Скрыть информацию о том, что сайт работает на MODX

Ну вот и случился (июль 2018) массовый взлом MODX REVO, и теперь все те, кто раньше забивали на безопасность задаются вопросом — как защитить систему MODX от взлома? Сам я именно из таких ребят, поэтому постараюсь собрать тут лучшие практики, которые можно применять легко и быстро.

Традиционно первым рубежом защиты является скрытие информации о движке. Чтобы скрипты не смогли определить, что сайт работает на MODX. Пока что у меня вот такой алгоритм:

1. Вынести папку core за пределы webroot и переименовать ее
2. Переименовать папки assets, connectors, manager
3. Внести правки в файлы конфигурации. Указать там новое положение папки /core — /config.core.php, manager/config.core.php, connectors/config.core.php
4. А в файле core/config.core.php указать все новые пути. Обратите внимание, что для connectors и manager нужно изменить не только $modx_..._path, но и $modx_..._url (находится на строчку ниже)
5. Добавить в .htaccess строчки, чтобы скрыть config.core.php:
   RewriteCond %{REQUEST_URI} ^/config.core.php*
RewriteRule ^(.*)$ [R=404]
6. Добавить в .htaccess строчки, чтобы не показывать ошибки PHP:
   php_flag display_errors off

По поводу robots.txt

Глупо переименовывать папку manager в manager-hidden, и затем писать в robots.txt Disallow: /manager-hidden. но указать-то папки хочется. Выход изящный: Переименовываем папки в формате someprefix-foldername — например asrtasg-manager. И так все папки, у нас получится:
asrt87as_gnuy-manager
asrt87as_gnuy-assets
asrt87as_gnuy-core
asrt87as_gnuy-connectors
Теперь в robots.txt делаем запись Disallow: /asrt87as_gn*. Таким образом все папки закрыты. Пара нюансов - выбираейте такое сочитание символов, которые маловероятно повториться в URL реальной страницы. Например добавьте символ _, (по-умолчанию он преобразуется в - при создании дружественных URL, так содержание его в адресе ресурса исключено). И, удалите пару символов префикса, чтобы совсем спутать - то есть для префикса asrt87as_gnuy пишем Disallow: /asrt87as_gn*.

Обратите внимание, что таким образом мы скрываем от робота все в папке asrt87as_gnuy-assets, а там могут быть важные картинки (уменьшеные изображения товаров, или галлереи). Спросите у СЕОшника нормально ли это. И напишите в комментарии что он ответит:)

И не забудьте проверить свой robots.txt тут - https://webmaster.yandex.ru/tools/robotstxt/

Изменить путь к уменьшеным изображениям

При использовании pThumb, мы имеем путь к изображению вида /assets/components/phpthumbof/cache/3e...61.jpg. Окей, папку assets мы переименовали. Но зоркий глаз, или умный скрипт может увидеть components/phpthumbof/cache и все понять.

Вариант 1:
Чтобы поменять этот путь заходим в code/components/phpthumbof/model/phpthumbof.class.php, и находим там строчки components/phpthumbof/cache, и меняем их.

Вариант 2:
Переходим в системные настройки -> phpthumbof, и там меняем:
pthumb.ptcache_images_basedir -> название папки assets (К сожалению, указав [[++assets_url]], будет нарушена работа сниппета:\)
pthumb.ptcache_location -> название папки assets/MYREZ_Переименуйте-на-своё_FOLDER
pthumb.use_ptcache -> "Да"

Удалите старые папки с кэшированными картинками /assets/components/phpthumbof/cache/

Если у вас есть еще эффективные методы, пишите в комментариях. Спасибо.

Возможные проблемы

Если пропали картинки товаров miniShop2 — перейдите в Медиа -> Источники файлов -> MS2 Images, и отредактируйте настройки basePath и baseUrl. Укажите новый путь к папке assets

Также для старых версий miniShop2 потребуется отредактировать записы в таблицах БД - ms2_product_files и ms2_products:

UPDATE `ПРЕФИКС_ms2_product_files` SET `url` = REPLACE(`url`, '/assets/', '/НОВОЕ_НАЗВАНИЕ_ПАПКИ/');
UPDATE `ПРЕФИКС_ms2_products` SET `image` = REPLACE(`image`, '/assets/', '/НОВОЕ_НАЗВАНИЕ_ПАПКИ/');
UPDATE `ПРЕФИКС_ms2_products` SET `thumb` = REPLACE(`thumb`, '/assets/', '/НОВОЕ_НАЗВАНИЕ_ПАПКИ/');