D4.FR tworzy oprogramowanie dla dostawców hostingu, agencji internetowych i freelancerów · Odkryj Orbiter, nasz flagowy produkt   Zamów demo →
orbiter.systems Zamów demo
Orbiter · Shield & Fortress

Twoje CMS, opancerzone
na poziomie jądra.
WAF + anty-eksfiltracja zintegrowane.

Shield montuje kod Twoich witryn w trybie tylko-do-odczytu na poziomie jądra Linux. Fortress dodaje WAF nginx, hardening PHP, skaner uploadów w czasie rzeczywistym i kontrolę wyjścia sieci. Bez kosmetycznego chmod — prawdziwa ochrona wymuszana przez jądro.

Zamów demo Powrót na stronę główną
Warstwa 1 — Shield

Opancerzona ochrona na poziomie jądra

Docroot jest montowany w trybie tylko-do-odczytu na poziomie VFS jądra przez Docker bind mount :ro. Nawet skompromitowany root wewnątrz kontenera nie może pisać.

Montowanie :ro w jądrze

Docker bind mount w trybie tylko-do-odczytu na poziomie VFS. Żaden chmod, chattr ani exploit PHP tego nie obejdzie. Ochrona strukturalna, nie kosmetyczna.

8 wstępnie skonfigurowanych profili CMS

WordPress, WooCommerce, Joomla, PrestaShop, Magento, Drupal, Laravel i Custom. Każdy profil wie, które foldery zachować zapisywalne (uploady, cache, sesje).

Chirurgiczne foldery RW

Tylko naprawdę niezbędne foldery (wp-content/uploads, cache, logi) pozostają zapisywalne. Wszystko inne — core, wtyczki, motywy — jest niezmienne.

Exec-block nginx w strefach RW

Oprócz montowania w jądrze, nginx zwraca 403 dla każdego .php / .phtml / .phar / .pl / .cgi / .sh / .py wgranego do stref zapisywalnych. Obrona w głąb.

Audyt watchdog co 5 min

Cron healthcheck weryfikuje od wewnątrz kontenera, że docroot nadal jest tylko-do-odczytu. Natychmiast wykrywa jakikolwiek dryft montowania.

Aktywacja 1 kliknięciem, odwracalna

Przycisk w UI lub komenda CLI shield-enable. Aktywowalne podczas tworzenia kontenera. Wyłączalne na gorąco bez utraty danych.

Demonstracja

Kosmetyczny chmod vs montowanie w jądrze

Klasyczna ochrona chmod
Poziom wymuszeniaUserspace
Obejście PHPchmod()
Obejście rootaTrywialne
Wrzucenie złośliwego .phpPowodzi się
Wykrywanie audytuBrak
Shield (Docker :ro)
Poziom wymuszeniaVFS jądra
Obejście PHPNiemożliwe
Obejście rootaNiemożliwe
Wrzucenie złośliwego .phpEROFS
Wykrywanie audytuWatchdog 5 min
Warstwa 2 — Fortress

Warstwowa anty-eksfiltracja

WAF nginx generowany per reguła, hardening PHP, skaner uploadów w czasie rzeczywistym i kontrola wyjścia sieci. Aktywowalne / dezaktywowalne warstwa po warstwie.

WAF nginx 7 reguł

SQLi, LFI, XSS, RFI, skanery, wrażliwe pliki, exec PHP w strefach uploadów, xmlrpc, rate-limit. Generowane z magazynu, wstrzykiwane przy reconfigure-domain.

Skaner uploadów w czasie rzeczywistym

Usługa systemd na domenę. Check MIME (libmagic), wzorzec PHP, ZipSlip, SVG, PDF, entropia Shannona, regeneracja obrazu Pillow. 7 indywidualnych checków.

Hardening PHP

Chirurgiczne disable_functions (exec, system, passthru, ...) + open_basedir + extra-disable / extra-allow per domena. Opcjonalny tryb strict dla stref ryzyka.

Kontrolowany egress

3 tryby: permissive (domyślnie), standard (blokada bind-shell do IP spoza whitelisty), strict (wewnętrzny DNS + ścisła allowlist IP). Zapobiega eksfiltracji danych.

Hardening WordPress

Blokuje xmlrpc.php, blokuje REST API jeśli nieużywane. Mu-plugin umieszczany w wp-content/mu-plugins/ dla ochron inline.

Wbudowany test WAF

Przycisk "Testuj WAF" uruchamia prawdziwy curl z payloadem SQLi przeciw domenie i sprawdza, czy nginx zwraca 403. Walidacja ciągła, nie deklaratywna.

8
Profile Shield CMS
7
Reguły WAF Fortress
7
Checki skanera uploadów
0
Zmodyfikowany kod klienta
Bezpłatne demo

Zobacz Shield + Fortress w akcji

Demo na żywo: próbujemy złośliwego uploadu PHP na WordPress, oglądamy jak Shield + Fortress to odrzucają. Bez zobowiązań.

Selectionnez une date pour voir les creneaux disponibles
Strefa czasowa: Paryż (CET/CEST) — od poniedziałku do piątku
Prezentacja po francusku lub angielsku
2 + 1 =

  Bez zobowiązań · Odpowiedź w ciągu 24 godz. · Dedykowane wsparcie D4.FR