Проверка PHP на безопасность?

Question

[Николай]

Всем привет. Имею сайт на joomla и намерен установить некоторые компоненты, темы и плагины со стороннего ресурса. Как можно, желательно автоматически (онлайн), проверить файлы php (самого компонента, темы или плагина) на такие вещи как бэкдор, base64? Какие еще могут быть "подводные камни", угрожающие безопасности?

Comments

[sts]

Никак. А если и есть такие сервисы, то 100% проверят только на самое очевидное

Answer 1

[Антон Р.]

Никак. И если ты собираешься ставить палёный варез то лучше сразу удали свой сайт с хостинга, как говорится "не можешь срать - не мучай жопу".

Comments

[Николай]

Спасибо, начинающий веб-разработчик)

[Антон Р.]

Николай, если б ты знал как я нае***ался уже с этой джумлой и сколько зараженных сайтов лечил... ))) С 2010 года, если точно.
Поэтому и учу сейчас php и всё прочее чтобы забыть эти бесплатные движки нафиг.

Answer 2

[xmoonlight]

Как защитить сайты от взлома?
PS: фильтры - проверены на CMS Joomla!

Comments

[Антон Р.]

Да бесполезно, если он решил дырявого ворованного вареза понаставить на сайт.

[xmoonlight]

Антон Р., Я бы не бежал впереди паровоза...
Всегда есть возможность отслеживания сетевой активности и возможность использования песочницы. (помимо конфигурации самого сервера)

[Антон Р.]

xmoonlight, бэкдор или шелл может начать работать не сразу а спустя пару месяцев, когда человек поверит что всё ок и начнет спокойно развивать сайт + бэкапы перезапишутся к тому времени (на вирт хостингах обычно автоматические бэкапы максимум месяц "назад") .

[xmoonlight]

Антон Р.,

бэкдор или шелл может начать работать не сразу а спустя пару месяцев

может попробовать начать)

[Антон Р.]

xmoonlight, да пусть делает что хочет ) если ему сайт не жалко

[xmoonlight]

Антон Р., Вообще, варианта всего 2: или делать нормально сразу, или не делать совсем (на любой CMS или даже на своём коде).
А "дырявым" может быть любой код: самописный, официальный (CMS), официальный (плагинов) или варезный.
Главное - это ЗАРАНЕЕ! корректно настроить все ограничения среды исполнения перед тем, как выкладывать туда какой-то код на запуск.

[Николай]

Речь в вопросе, изначально, шла о вредоносном коде, который могут внедрить (предамеренно) авторы бесплатностей. А дыры были, есть и будут. Об этом я знаю

[xmoonlight]

Николай, когда кому-то конкретному пишите - жмите "ответить" или вводите ники после символа "@".