Мне передали старый проект Laravel 5.7. Текущая версия Laravel — 8. Я не знаю, имеют ли эти данные отношение к моей проблеме, но я все равно их добавляю. У меня есть тестовый сервер, работающий с IP-адреса (без домена), чтобы клиенты могли видеть прогресс по мере того, как я отправляю новые функции на GitHub. Этот проект GitHub установлен как частный, а сервер правильно настроен на отображение только публичной папки. В частном репозитории также нет жестко закодированного .envфайла, поэтому даже если кто-то проникнет в мой GitHub, он не сможет получить никакой реальной информации из файла .env, так как он пустой и настраивается непосредственно на сервере.
К моей главной проблеме. Я использую Mailtrap для тестирования и постоянно получаю несанкционированную почту вроде этой:
Я пробовал удалить свой почтовый ящик Mailtrap и создать его заново, чтобы получить новые учетные данные, но какой-нибудь случайный скрипт-кидди всегда взламывает сервер SMTP. На данный момент, поскольку мой SMTP подключен к Mailtrap, это безвредно. Но когда я вывожу настоящий веб-сайт в сеть, я начинаю беспокоиться о том, как эти взломщики это делают.
Есть идеи?
решение1
Основные причины, по которым это может произойти:
- Ваш производственный сайт — APP_DEBUG=true
Измените настройку в вашем .env на false для режима отладки, в противном случае сведения о вашем приложении будут видны, если кто-либо сможет заставить ваш сайт отобразить страницу с ошибкой.
- Ваш сайт настроен неправильно и .env виден
Попробуйте зайти на yourwebsite.com/.env или your.ip.add.ress/.env и посмотреть, сможете ли вы просмотреть свои файлы .env.
- Вы установили Laravel в подкаталог, что означает, что файлы вашего сайта видны