Проблемы MODX

При разработке на Windows имеются проблемы с установкой приложений (дополенний) и в XAMPP и в OSPanel. Они просто не загружаются, не смотря на работающий curl. На хостинге список приложений открывается, но очень медленно.

Частично эта проблема исправлена в версии 2.4, но ExtJS по-прежнему вызывает тормоза и проблемы отображения в админке, приходится перезагружать страницу, что не добавляет скорости наполнения. Пользователи жалуются на сложность и перегруженность интерфейса. Отсутствует даже возможность сделать доп. поля с настройками страницы второй вкладкой в админке, разве что скрыть часть чекбоксов и пунктов меню.

Чтобы не быть голословным, приведу реальный фидбек от клиентов:

Я сделал копию ресурса. Всё норм. Что бы на сайте не висело две одинаковые страницы, убрал галочку Опубликовать. На моменте сохранения изменений всё зависло. Браузер Microsoft Edge.

Как разблокировать пользователя или сбросить пароль от админ-панели MODX Revo, MODX Evo через phpMyAdmin

Если пользователь заблокирован за то, что слишком много раз ввел неверный пароль, то для снятия блокировки есть 2 способа — ждать автоматическую разблокировку (время блокировки меняется в админке, раздел «Авторизация и безопасность» (Revo) и «Пользователи» (Evo)) или снять блокировку через базу данных при помощи phpMyAdmin. Рассмотрим вариант с phpMyAdmin.

Навигация по статье:

• Как разблокировать пользователя админ-панели MODX Revolution
• Как сменить пароль пользователя MODX Revolution через phpMyAdmin
• Как разблокировать пользователя админ-панели MODX Evolution
• Как сменить пароль пользователя MODX Evolution через phpMyAdmin

Как разблокировать пользователя админ-панели MODX Revolution

Если при входе в админ-панель управления сайтом ввести несколько раз (по умолчанию 3 раза) неправильно логин или пароль, то система управления вас заблокирует и вы будете видеть надпись «Ваш доступ к системе управления заблокирован администратором».

Самые простые решения:

1. Нажмите «Забыли свой пароль?» укажите «E-mail учетной записи» и вам придёт на почту ссылка со сбросом пароля.
2. Если по какой-то причине вы не знаете «E-mail учетной записи» или к этой почте нет доступа, то можно восстановить доступ, сменив почту в phpMyAdmin:
   Заходим в базу данных через phpMyAdmin. Находим таблицу modx_user_attributes и в поле email меняем почту на свою и возвращаемся к пункту 1 для запроса на смену пароля.
3. Заходим в базу данных через phpMyAdmin. Находим таблицу modx_user_attributes и меняем на 0 (ноль) содержимое полей (если там что-то есть):
   blocked, blockeduntil, failedlogincount;
4. Выходим из phpMyAdmin, обновляем страницу входа в админ-панель, после этого можно зайти в админку под своим логином и паролем.

Важно: Префикс «modx_» в вашей базе может быть другим! Зависит от настроек базы.

Как сменить пароль пользователя MODX Revolution через phpMyAdmin

1. Заходим в БД через phpMyAdmin. В таблице modx_users у нужного пользователя значение в поле hash_class ставим hashing.modMD5, поля salt и cachepwd очищаем, а в поле password меняем значение на:

Теперь пароль от панели управления — qwerty (выше указан пароль qwerty в MD5-хеше)

Не забудьте для пользователя сменить в админке пароль qwerty на безопасный.

Как разблокировать пользователя админ-панели MODX Evolution

1. Нажмите «Забыли свой пароль?» укажите «E-mail учетной записи» и вам придёт на почту ссылка со сбросом пароля.
2. Если вы не знаете «E-mail учетной записи» или к этой почте нет доступа, то можно восстановить доступ, сменив почту в phpMyAdmin:
   Заходим в базу данных через phpMyAdmin. Находим таблицу modx_user_attributes и в поле email меняем почту на свою и возвращаемся к пункту 1 для запроса на смену пароля.
3. Заходим в базу данных через phpMyAdmin. Находим таблицу modx_user_attributes и меняем на 0 (ноль) содержимое полей (если там что-то есть):
   blocked, blockeduntil, failedlogincount;
4. Выходим из phpMyAdmin, обновляем страницу входа в админ-панель, все должно работать.

Как сменить пароль пользователя MODX Evolution через phpMyAdmin

1. Заходим в БД через phpMyAdmin. В таблице modx_manager_users у нужного пользователя значение в поле password меняем значение на:

При редактировании, в столбце phpMyAdmin «Функция» указать MD5. Теперь пароль от админки — qwerty (выше указан пароль qwerty в MD5-хеше)

Не забудьте для пользователя сменить в админке пароль qwerty на безопасный.

ТОП-3 уязвимости MODX

Своего врага нужно знать в лицо. Поэтому рассказываем по-порядку о последних официально зафиксированных уязвимостях.

3 место. 11 июля 2018

Один из массовых взломов MODX был зафиксирован летом 2018-го.

Кодовые названия вирусных атак CVE-2018-1000207 и CVE-2018-1000208.

Эти критические уязвимости позволяют удаленно загружать скрипты, удалять файлы/папки, изменять содержимое и т.д. — в общем издеваться над сайтом, как угодно. Подвержены угрозам MODX версии 2.6.4 и ниже. Так что, если вы «в танке», то советуем не тянуть с обновлением.

Взлом проходит по 2-3 классическим сценариям. Вирус выдает себя наличием файлов с подозрительными именами: dbs.php и cache.php в корне сайта (а еще бывает там майнер лежит).

Избежать заражения MODX можно при соблюдении двух условий:

• если папка connectors переименована и закрыт к ней доступ;
• переименована папка assets (при использовании компонента gallery).

Проблема в следующем. MODX передает пользовательские параметры в класс phpthumb без необходимой фильтрации. Для заражения сайта используются скрипт /connectors/system/phpthumb.php или любой другой передающий параметры в класс modphpthumb.class.php. Вредоносный скрипт получает на вход имена функций и параметры через куки. С помощью полученных данных происходит косвенный вызов этих функций. Например, если у вас установлен плагин Gallery (классика жанра), то атака может происходить через скрипт: /assets/components/gallery/connector.php.

Если сайт размещен на аккаунте виртуального хостинга без изоляции сайтов, то данный backdoor позволяет заразить не только хакнутый сайт, но и его “соседей”.

Решение:

Найти и удалить вирусные файлы, обновить CMS до последней версии.

2 место. 27 октября 2018

Уже через три месяца после предыдущей атаки, была зафиксирована новая уязвимость. На этот раз в сниппете AjaxSearch.

Проблема похожа на предыдущую. Из-за плохой фильтрации значения параметра ucfg (передача пользовательской конфигурации), возможен вызов бэкдора через POST обращение к сайту. «Черный ход» хранится в БД и позволяет в дальнейшем проводить успешные атаки на сайт: загрузку веб-шеллов, редактирование файлов, баз данных и прочего. Из-за того что код сохраняется в БД, он не обнаруживается сканерами файлов на хостинге и, даже в случае успешного удаления всех загруженных шеллов, у хакера все равно остается «лазейка», через которую он повторно загружает вредоносные скрипты.

Решение:

Найти и удалить вирусные файлы, обновить сниппет до последний версии.

1 место. 24 апреля 2019

Самая свежая угроза MODX зафиксирована весной 2019-го.

Был обнаружен exploit (эксплойт) для сайтов, в которых осталась директория setup. Эта «дыра» позволяет получить полный доступ к сайту, а если не повезет, то и веб-серверу.

Проверить свой сайт на такую уязвимость можно следующим образом. Введите в строку любого браузера адрес вашего домена + /setup.

Решение:

Зайти через SSH или FTP на свой сервер и удалить этот каталог.

«Вы заблокированы» при входе в панель администратора Modx

• Теги:
• восстановление доступа
• не войти в админку

Комментарии (32)

Просто когда клиенты начинают писать «Я ввёл… а он говорит не верно, и в итоге все заблокировалось»… Что делать? Я за сайт денег заплатил. Исправьте!»

Таким честно на вопрос «Что делать» — хочется ответить — «новый сайт», ибо не стоит обвинять других людей в своей кривизне рук.
Теперь ссылка сюда и вопрос закрыт, либо за допплату.

Охххохо, спасибо за статью 🙂 Хоть и прописные истины, которые 100500 раз тут уже повторялись, пусть будет и она.

MODX.RU получал ТАК много таких запросов, что нам пришлось вынести специальный текст (который мало кто читает все равно, увы):

Поток этих запросов сильно снизился, но не до конца. И порой если мы игнорируем такие запросы — люди начинают писать нам гневные письма: грозятся судами, обзывают и в общем выливают тонны г… гнева на нас 🙂 Довольно забавно, хотя и надоело толком.

Извините, ничего личного, просто напомнило.

Если серьезно, глупо даже сравнивать modx.com и modx.ru. Мы никогда не пытались и не будем конкурировать с основным сайтом разработчиков системы MODX. Если Вы не в курсе деталей, modx.ru — это площадка для обсуждения MODX на русском языке. Ну, одна из площадок, если быть точным. Надеюсь, не самая плохая. Ну и все. Естественно, modx.com как сайт разработчиков будет наполнен большим количеством информации.

>> правда ее теперь только через прокси смотреть можно
Ах, да, не учел, что в России есть страшный Роскомнадзор 🙂

>> но именно она отвратила меня от MODX раз и навсегда
Кого-то отвратила, кого-то привлекла. Думаю, вторых все же больше.

Всем привет!
Сделал всё по указанной инструкции. Однако всё равно пишет »
Ваш доступ к системе управления заблокирован администратором.». Это несмотря на то, что blocked, blockeduntil, blockedafter = 0. Пароль сбрасывается, но разблокировки не происходит.

Подскажите, что можно сделать? Куда ещё копать?
Доступ пропал после обновления системы через Upgrade Modx.
Спасибо!

Было тоже самое, но еще и доступ на базу данных не дали, только по FTP мог зайти, это и помогло, добавил 3 строчки в файл «login.processor.php» и пожалуйста, зашел в админку с паролем типа 12345. Потом поменял пароль на нормальный, вернул файл «login.processor.php» и все стало хорошо, блокировки тоже удалились
Добавил после $failed_allowed = $modx->config[«failed_login_attempts»];:
$failed_allowed = 100; //—кол-во блокировок

в файле после строк присвоения переменных:
$blockeduntildate=time()-1000; //—«время до» блокировок
$dbasePassword=md5(‘123456’); //— новый пароль 🙂

Добавить правило белого списка¶

Общий пример¶

Общее правило белого списка выглядит так:

Вы можете изменить его и добавить в свою директиву VirtualHosts (либо в вашем основном httpd.conf, либо во внешних vhosts.conf файлах). Пока Apache загружает файл конфигурации, правило белого списка будет зарегистрировано.

Конкретный пример¶

Приведите наш пример сообщения об ошибке ранее, в котором указана следующая ошибка:

Мы могли бы перейти к директиве VirtualHosts для yoursite.com и добавить следующее правило:

Обратите внимание, что он ссылается на коннектор MODX по его пути и ссылается на правило ModSecurity по его идентификатору.

Система прав доступа в MODX

MODX Revolution не позволяет напрямую назначать права пользователю. В этой системе данное действие осуществляется через группы пользователей.

Другими словами, для того чтобы пользователю предоставить некоторые права, необходимо:

• создать группу и назначить ей нужные привилегии;
• поместить одного или нескольких пользователей в эту группу.

Но нахождения пользователя в группе не означает то, что он получит все её привилегии. Права, которые получит пользователь, будут определяться с помощью отведённой ему в этой группе роли. Роль (ранг) пользователя в группе определяется с помощью числа от 0 до 9999. Это значение определяет, какие пользователь получит привилегии группы, а какие нет.

Другими словами роль – это некий механизм, который позволяет в пределах одной группы разным пользователям назначить разные права.

Разберём небольшой пример.

• Пользователь User1 принадлежит к группе Group1. Он имеет те привилегии группы, роль которых больше 2000.
• Пользователь User2 состоит в 2 группах. Он имеет привилегии 2 групп. От первой группы (Group1) он имеет те привилегии, роль которых больше или равно 1000. А от второй (Group2) — те привилегии, роль которых больше или равно 9999.
• Пользователь User3 находится в группе Group2. Эта группа даёт ему те права, роль которых больше или равно 5000.

Политика доступа в MODX

Установление привилегий группе в MODX Revolution осуществляется с помощью политики доступа. Она (политика доступа) назначаются группе применительно к определённым сущностям MODX, а именно к контексту, группе ресурсов, категории элементов, источнику файлов и пространству имён. Кроме этого указывается ещё минимальная роль, которая нужна пользователю этой группы, чтобы иметь эти привилегии.

• Пользователь User1 (роль в группе Group1 — 2000) имеет все привилегии группы Group1, роль которых больше или равно 2000. Т.е. это К1, К2 и Г2.
• Пользователь User2 имеет самую высокую роль в группе (0) и, следовательно, все её привилегии (К1, К2, Г1 и Г2).
• Пользователь User3 имеет в группе Group1 самую низкую роль (9999). В соответствии с ней он может совершать действия в системе, определённые в К2 и Г2.

Политика доступа – это набор прав, предоставляемый пользователю для совершения действий на сайте, работающем под управлением CMS MODX Revolution.

Почему это реализовано именно так? Это связано с тем, что прав в MODX очень много и их более удобно назначать группами (другими словами с помощью политики доступа), а не по одному.

Например, политика доступа Load, List and View имеет следующий набор разрешений:

• load (загружать объекты);
• list (получать коллекцию объектов);
• view (просмотр объектов).

Защищаем MODX Revolution

Привет, друзья!

Немало статей написано и переписано о том, как защитить MODX, но в этой статье я опишу не только стандартные рекомендации по защите инстанса MODX Revolution (далее я буду писать просто MODX, потому что ветка MODX Evolution — это тупиковая ветвь «эволюции» являющаяся рудиментом не заслуживающим внимания современных разработчиков), но и некоторые новые методы «заметания следов».

Итак, начнем самого важного.

Существует две разновидности установщика MODX — это Traditional и Advanced.
Какая между ними разница?

Traditional — это простой вариант установки на любой хостинг соответствующий рекомендациям для установки MODX, где ядро устанавливается прямо в корень публичной папки сайта. Незатейливые «сайтоклёпы» ставят версию Tradtiional, не закрывают директории от просмотра и в итоге всё содержимое сайта, в т.ч. служебных директорий, попадает в индекс поисковиков. Не станем фантазировать на тему, к чему это может привести. Здесь всё понятно.

Advanced — версия для парней, которые, как минимум «смотрели кино про нидзей». Этот вид установщика позволяет разместить ядро MODX вне публичной папки, спрятав его от посягательств злоумышленников. Для серьезных проектов это рекомендуемый вариант, но лично я его использую всегда.

Защита ядра

Защитить ядро можно двумя способами:

1. На нормальном хостинге — вынести ядро из публичной папки и можно его не переименовывать и не настраивать .htaccess лежащий в этом каталоге (на VDS не стоит забывать о настройке прав доступа пользователя, от которого запускается Apache).

2. На дурацком хостинге — переименовать каталог ядра воспользовавшись, например, генератором паролей (без спецсимволов, конечно же — только буквы и цифры) И во время установки указать физический путь к каталогу ядра. Именно поэтому лучше использовать Advanced установщик.

Защита служебных каталогов

Не секрет, что кроме каталога ядра, другие служебные каталоги должны остаться в публичной папке сервера.

Что нам сделать для защиты от попыток взлома через коннекторы и попыток проникнуть в админку? Стандартные наименования каталога коннекторов /connectors, а для админки — /manager, и это палево.

Во время установки вам будет предложено изменить эти названия. В этом нам поможет, правильно, — генератор паролей и, как ни странно, в случае с админкой собственная голова. Название каталога админки лучше сделать человекопонятным, но не /admin, конечно же 🙂

Возможно, вы захотите спросить: Почему мы не прячем /assets?
И, возможно, я отвечу: А зачем? Все картинки и скрипты лежат в /assets, а в коде страницы есть все ссылки на картинки и скрипты 🙂

Защита таблиц БД

Во время установки, в настройках БД, по умолчанию предлагается префикс таблиц «modx_». Так дело не пойдет. И вновь нам поможет генератор паролей (Помнишь, товарищ? Только из букв и цифр!). Меняем стандартный префикс на кракозябры, в конце которых ставим нижнее подчеркивание. Например, «IU1xbp4_».

Защита от определения CMS

Сервисы автоматического определения CMS сайтов, конечно, не в курсе, что MODX — это CMF, но это не мешает им определить, что контентом на сайте рулит именно MODX. Казалось бы, мы уже спрятали всё что надо. А вот и нет.

Первым делом, при установке MODX Revolution необходимо отключить чекбокс «X-Powered-By», который включен по умолчанию (на картинке ниже). Это необходимо для того, чтобы MODX не «палился», отправляя в заголовках информацию о том, что сайт сделан на MODX.

Если сайт уже установлен, то проверить этот параметр можно в системных настройках по адресу: домен_вашего.сайта/manager/?a=system/settings
И в поле «Поиск по ключу» ввести «send_poweredby_header» или просто «header» и нажать Enter на клавиатуре. Значение «send_poweredby_header» должно быть установлено как «Нет».

Также не лишним будет скрыть файлы конфигурации.
Для примера, возьмем первую ссылку из приведенного выше списка поиска Google, и попробуем открыть файл настроек config.core.php, или, не смотря на то, что на этом сайте уже закрыт листинг каталогов, по ссылке «www.vvhotel.ru/core/config/config.inc.php», сайт отдает результат исполнения файла .php, а это значит что каждый из этих файлов существует и даже по первому из них можно предположить, что сайт на MODX.

Скрыть этот файл можно при помощи .htaccess, дописав:

Кое-что ещё

Кроме описанных приёмов, можно применить небольшую хитрость, чтобы увести возможных злоумышленников по ложному следу. Некоторые «попсовые» CMS добавляли метатэги с указанием названия CMS:

Можно смело добавить в свой код такой тэг, и создать фэйковую стандартную страницу входа в админку указанной версии имитируемой CMS.

Автоопределялки будут интерпретировать наш MODX как WordPress, а если хулиганы захотят залезть в админку, то будут долго и нудно пытаться подобрать отмычки от простого замка к сканеру сетчатки глаза ( это метафора 🙂 ).

А что, если сайт уже установлен?

В час наименьшей нагрузки, переименуйте все указанные каталоги (/core, если позволяет хостинг, лучше вынести из паблика).

Смените префикс существующих, с помощью phpMyAdmin:

• в левой части phpMyAdmin кликаете на название нужной базы;
• в основной области появится список всех таблиц, внизу которого надо отметить чекбокс «Отметить все»;
• справа от чекбокса комбобокс «С отмеченными:» в котором надо выбрать «Заменить префикс таблицы»;
• в новом окне указать старый префикс и новый префикс, на который надо заменить старый.

Затем, если у вас Traditional, но вы хотите заменить на Advanced, то поверх содержимого /core (или как вы его по-новому назвали) надо записать содержимое каталога /core из архива Advanced установщика, а в корень сайта поместить /setup.

Проверить права и доступ (на каталоги 755, на файлы 644).

Запустить процесс установки.

Во время установки вам надо будет указать физический путь до каталога ядра.

ВАЖНО выбрать вариант установки «Расширенное обновление (с настройкой параметров базы данных)», потому что после ввода данных БД, появится диалог переименования каталогов.

Можно, конечно, было залезть в config.inc.php и отредактировать всё там. Но зачем что-то делать, если этого можно не делать? 🙂

На этом всё. Если информация из этой статьи окажется Вам полезной — супер. Если захотите что-то спросить, добавить или просто поумничать — вэлкам в коменты!

Динара

• Разработка сайта курьерской службы

Вопросы

Категории

• REVO [ 238 ]
• EVO [ 1388 ]

Подразделы блога

Блоги

• Топ

• Готовые дополнения для MODX148
• В разработке47
• evoShop3
• Краундфандинг2
• Юмор10
• MODX Cloud8
• Социальная сеть12
• bid-cart24
• MODX custom by Dmi3yy51
• Интегрированные среды разработки (IDE)13
• Для модераторов13
• Оформления для frontend’a и backend’a41
• Быстрые решения104
• Проект MODX.im50
• Эксперименты и исследования59
• Документация и уроки63
• Форки MODX26
• Сайты на MODX47
• Tips & tricks90
• Новости71
• Безопасность83
• Обьявления о работе293
• Вопросы793

• Все теги

• #evo #modx
• ajax
• ajaxsearch
• Ditto
• dmi3yy
• DocLister
• eForm
• EVO
• EVO Shopkeeper
• EvoGallery
• evolution
• formit
• FormLister
• getResources
• htaccess
• IF
• jotx
• KCFinder
• ManagerManager
• MODX
• MODx (EVO)
• MODX (Revo)
• modx evo
• MODx Revo
• multitv
• php
• phpthumb
• PHx
• plugin
• REVO
• revolution
• shopkeeper
• shopkeeper modx evo
• SimpleGallery
• TinyMCE
• TinyMCE4
• TV
• TV-параметры
• Wayfinder
• webloginpe
• авторизация
• админка
• мультиязычность
• пагинация
• плагин
• пользователи
• работа
• регистрация
• сниппет
• фильтрация

Добавление фотографий

Итак, если перед Вами страница с возможностью добавления фотографий, то туда можно добавить фотографии (картинки) посредством нажатия кнопки «Вставить» и загрузки на сервер из памяти компьютера интересующей картинки. В открытом окне выбираем слева папку, куда загрузить картинку, затем жмем «загрузить» и выбираем путь в компьютере. После загрузки картинка появляется в списке. После этого дважды жмем на нее. Если вы все сделали правильно, то вы увидите картинку около поля ввода. В некоторых случаях, когда на странице несколько картинок, нажатие на (+) добавляет поле для вставки картинки, (-) удаляет его.

Это на случай, если забыли поставить галочку напротив «Автоматически дать доступ группе Administrator». Для это заходим в «Контроль доступа»

Кликаем правой кнопкой мыши по группе пользователей «Administrator» и жмем «редактировать группу пользователей»

Идем на вкладку «Права доступа»

Здесь идем во вкладку «Доступы к группам ресурсов»

И жмем кнопку «Добавить группу ресурсов»

• Группа ресурсов: «Admin»
• Контекст: Manager (mgr)
• Минимальная роль: Member-9999
• Политика доступа: Resource

Жмем «Сохранить»

Обновляем админку менеджера и видим, что ресурсы, которые мы добавили в группу ресурсов «Admin» исчезли.

Конечно при условии, если вы создавали админку менеджера по этой инструкции.

В следущий раз когда Вам нужно будет скрыть како-либо ресурс, Вы просто можете зайти в этот ресурс, нажать на «Группы пользователей» и отметить галочку напротив «Admin»

На этом у меня все, успехов Вам в освоении Modx Revolution и до новых уроков. Надеюсь помог. Добро.

Помогла статья? Угости чашечкой кофе =)

Если вы не видите кнопку «Скачать»
отключите блокировщик рекламы

Отблагодарить Эрика
—> Подписаться на Вконтакте Подписаться на twitter