RHCk

инструкция
Руководство для перехода на SSL (HTTPS)

400 сообщений в этой теме

В 18.07.2016 at 17:34, RHCk сказал:

 

  Скрыть содержимое
  • если вы использовали HTTPS Fix и даже в исходном коде у вас все ссылки HTTPS, из-за кривог конфига nginx  на стороне хостера возможны ситуации, когда некоторые изображения отдаются с некорректным заголовком как plain/text и для них происходит 301 редирект на HTTP;
  • в index.php замените строку:


if (isset($_SERVER['HTTPS']) && (($_SERVER['HTTPS'] == 'on') || ($_SERVER['HTTPS'] == '1'))) {

на



if ((isset($_SERVER['HTTPS']) && ($_SERVER['HTTPS'] == 'on' || $_SERVER['HTTPS'] == '1' || $_SERVER['HTTPS'])) || (!empty($_SERVER['HTTP_X_FORWARDED_PROTO']) && (strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') || (!empty($_SERVER['HTTP_X_FORWARDED_SSL']) && $_SERVER['HTTP_X_FORWARDED_SSL'] == 'on'))) {

 

Opencart.pro 2.3.0.2.2 в index.php нет такой строчки. Значить ничего не нужно делать?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 23.03.2017 at 13:10, Hans сказал:

Доброго дня господа, подскажите пожалуйста, за что отвечает при переходе на https  строка из

Файл config.php из корневого каталога сайта

define('HTTP_SERVER', 'http://site.ru/'); ---> define('HTTP_SERVER', 'http://site.ru/');

Мне мой программист там тоже изменил на https  ---  (define('HTTP_SERVER', 'https://site.ru/'); хотя здесь советуют оставить как есть... Магазин Opencart.CMS 2.1.0.1.10. И в принципе, здесь пишется что весь алгоритм перехода актуален для версии Opencart 2.1.0.2.2 и выше, а в моем случае что то меняется? Хостинг  Ukraine.com.ua.

 

 

Люди, подскажите что-то, а то уже сегодня Яндекс не пускает в вебмастер, пишет прав на файл в корне нет, много редиректов....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

неужели никто не поможет? 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
36 минут назад, mdim сказал:

неужели никто не поможет? 

 

Проблема решилась. Автор темы помог. Там был косяк 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не нашел в шапке. Если нет - нужно добавить.

 

В общем если на мобильных сертификат (только на мобильных! при этом на десктопах все ок будет. Сертификат может быть и хороший платный - от Comodo например) показывается как недостоверный - значит нужно установить и промежуточные сертификаты. После установки промежуточных - на мобильных браузерах все становится ОК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Скрытый текст

// HTTPS
define('HTTPS_SERVER', 'http://oformy.ru/admin/');
define('HTTPS_CATALOG', 'http://oformy.ru/');

на

// HTTPS
define('HTTPS_SERVER', 'https://oformy.ru/admin/');
define('HTTPS_CATALOG', 'https://oformy.ru/');

и в файле config.php заменил

// HTTPS
define('HTTPS_SERVER', 'http://oformy.ru/');

на

// HTTPS
define('HTTPS_SERVER', 'https://oformy.ru/');

Мне помогло!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Привет! Ребята, подскажите пожалуйста, начал переход на ssl но в данный момент постоянно происходит редирект на http - что я делаю не так?

 

1) Установил сертификат от reg в ПУ shared хостинга Foozy

2) Движок OCStore 2.1.0.2.1

3) Шаблон Revolution (естественно лицензия)

4) Установил модуль SEO HTTPS FIX PRO, активировал все основные настройки, других модулей, которые затрагивают ссылки нет.

Есть популярные Simple, BatchEditor и тд

5) Делал все строго по инструкции описанной в этой статье, а именно:

 

1)Установил в ПУ сертификат на сайт

2)Изменил файлы config:

Скрытый текст

 

Корневой: 


// HTTP
define('HTTP_SERVER', 'http://proshellac.ru/');
// HTTPS
define('HTTPS_SERVER', 'https://proshellac.ru/');

Админский:


// HTTP
define('HTTP_SERVER', 'https://proshellac.ru/admin/');
define('HTTP_CATALOG', 'https://proshellac.ru/');

// HTTPS
define('HTTPS_SERVER', 'https://proshellac.ru/admin/');
define('HTTPS_CATALOG', 'https://proshellac.ru/');

 

В настройках движка опция SSL отключена

3)Установил, активировал и настроил основные настройки в модуле SEO HTTPS FIX PRO

Скрытый текст

 

2017-04-02_09-14-17.jpg.aa790590cc51c337f87fa6dbac009071.jpg

2017-04-02_09-14-23.thumb.jpg.138e1fc959524492a7013516f3179cb8.jpg

2017-04-02_09-14-28.jpg.e252b678659798450b35904fd95210ef.jpg

2017-04-02_09-14-33.jpg.075a1a311ba9289019ddcd4de18e2625.jpg

2017-04-02_09-14-39.jpg.15c5c88682b5ed1f7508e6f18cd77401.jpg

 

 

 

4)Добавил в ВебМастер Яши и Гугла - новые сайты (https)

5)В Вебмастере добавил ссылки на фид карты сайта по новой ссылке https (добавил в обе версии сайта один линк, т.е. в кабинете http есть новая ссылка на карту сайта по протоколу https так же как и на "новом сайте" по протоколу https добавлена ссылка на фид карты по протоколу https

6)Начал ждать появления зеркала в поисковиках

7)Отключил редирект в ПУ хостинга

 

Скрытый текст

2017-04-02_08-26-15.thumb.jpg.8f66b5697f0352b5539887e4ab884c18.jpg

В данный момент этого редиректа нет (но до установки сертификаты - был)

 

 

Но решил проверить как работает в данный момент сайт и появились проблемы:

1) Если перейти на сайт https://proshellac.ru перекидывает на http://proshellac.ru (все ссылки)

 

2) В админке сайт работает по протоколку https но горит предупреждение что не работает API:

Скрытый текст

 

Если нажать на предупреждение, то хром пишет что страница пытается загрузить скрипты из непроверенных источников

2017-04-02_09-08-52.thumb.jpg.e1fb6851d944ec2802d1baeeedc2fadf.jpg

Нажимаем загрузить и получается вот такая картина:

2017-04-02_09-11-27.jpg.9984fde0bc3d7d4fb08375ad4b77cad8.jpg

 

и в логе ошибок появляется такая ошибка:

2017-04-01 21:33:25 - PHP Notice:  Undefined index: key in /home/proshell/public_html/catalog/controller/api/login.php on line 25 

 

 

 

 

 

3) В вебместере гугла (у сайта по протоколу https) при добавлении ссылки на карту сайта горит предупреждение:

Скрытый текст

 

2017-04-02_09-03-03.jpg.6423f0a6fde48ffb659cb1772804db43.jpg

Если нажать на восклицательный знак выдает такое:

2017-04-02_09-04-30.jpg.c0bc7949e5b66f841fd308dcd72b57b7.jpg

 

 

 

 

 

Содержимое файла htacces

Скрытый текст

# 1.To use URL Alias you need to be running apache with mod_rewrite enabled.

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com

Options +FollowSymlinks

# Prevent Directoy listing
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
 Order deny,allow
 Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/

RewriteBase /
RewriteRule ^sitemap.xml$ index.php?route=feed/google_sitemap [L]
RewriteRule ^googlebase.xml$ index.php?route=feed/google_base [L]
RewriteRule ^system/download/(.*) index.php?route=error/not_found [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !.*\.(ico|gif|jpg|jpeg|png|js|css)
RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

### Additional Settings that may need to be enabled for some servers
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none

php_value session.gc_maxlifetime 96800
php_value session.cookie_lifetime 96800
php_value max_input_vars 10000  

 

 

 

 

Содержимое файла robots

Скрытый текст

User-agent: *
Disallow: /*route=account/
Disallow: /*route=affiliate/
Disallow: /*route=checkout/
Disallow: /*route=product/search
Disallow: /index.php?route=product/product*&manufacturer_id=
Disallow: /admin
Disallow: /catalog
Disallow: /system
Disallow: /*?sort=
Disallow: /*&sort=
Disallow: /*?order=
Disallow: /*&order=
Disallow: /*?limit=
Disallow: /*&limit=
Disallow: /*?filter_name=
Disallow: /*&filter_name=
Disallow: /*?filter_sub_category=
Disallow: /*&filter_sub_category=
Disallow: /*?filter_description=
Disallow: /*&filter_description=
Disallow: /*?tracking=
Disallow: /*&tracking=
Disallow: /*compare-products
Disallow: /*search
Disallow: /*cart
Disallow: /*checkout
Disallow: /*login
Disallow: /*logout
Disallow: /*vouchers
Disallow: /*wishlist
Disallow: /*my-account
Disallow: /*order-history
Disallow: /*newsletter
Disallow: /*return-add
Disallow: /*forgot-password
Disallow: /*downloads
Disallow: /*returns
Disallow: /*transactions
Disallow: /*create-account
Disallow: /*recurring
Disallow: /*address-book
Disallow: /*reward-points
Disallow: /*affiliate-forgot-password
Disallow: /*create-affiliate-account
Disallow: /*affiliate-login
Disallow: /*affiliates
Allow: /catalog/view/javascript/
Allow: /catalog/view/theme/*/
Sitemap: https://proshellac.ru/index.php?route=feed/google_sitemap

User-agent: Yandex
Disallow: /*route=account/
Disallow: /*route=affiliate/
Disallow: /*route=checkout/
Disallow: /*route=product/search
Disallow: /index.php?route=product/product*&manufacturer_id=
Disallow: /admin
Disallow: /catalog
Disallow: /system
Disallow: /*?sort=
Disallow: /*&sort=
Disallow: /*?order=
Disallow: /*&order=
Disallow: /*?limit=
Disallow: /*&limit=
Disallow: /*?filter_name=
Disallow: /*&filter_name=
Disallow: /*?filter_sub_category=
Disallow: /*&filter_sub_category=
Disallow: /*?filter_description=
Disallow: /*&filter_description=
Disallow: /*compare-products
Disallow: /*search
Disallow: /*cart
Disallow: /*checkout
Disallow: /*login
Disallow: /*logout
Disallow: /*vouchers
Disallow: /*wishlist
Disallow: /*my-account
Disallow: /*order-history
Disallow: /*newsletter
Disallow: /*return-add
Disallow: /*forgot-password
Disallow: /*downloads
Disallow: /*returns
Disallow: /*transactions
Disallow: /*create-account
Disallow: /*recurring
Disallow: /*address-book
Disallow: /*reward-points
Disallow: /*affiliate-forgot-password
Disallow: /*create-affiliate-account
Disallow: /*affiliate-login
Disallow: /*affiliates
Allow: /catalog/view/javascript/
Allow: /catalog/view/theme/*/
Clean-param: tracking
Host: http://proshellac.ru
Sitemap: http://proshellac.ru/index.php?route=feed/yandex_sitemap

 

 

 

Пожалуйста помогите разобраться, где я допустил ошибку(и) и заставить сайт работать по двум протоколам. Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
16 минут назад, RHCk сказал:

1. По пункту 1 - всё корректно работает. Зайдя на сайт по HTTPS уйти на HTTP не получилось.

2. В .htaccess, после 'RewriteEngine On' добавьте нужный редирект [с WWW] <-> [без WWW], у вас его нет.

3. В robots.txt, в секции для Яндекса, директива Host должнеа указывать на главное зеркало, а оно на HTTPS.

 

Спасибо за ответ! Мучаясь целый день в решении данной проблемы получилось "починить", но я нарушил 1 шаг в руководстве:

Скрытый текст

 В файлах /config.php и admin/config.php делаем замены:

  Скрыть содержимое

Файл config.php из корневого каталога сайта

// HTTP здесь оставляем как есть
define('HTTP_SERVER', 'http://site.ru/'); ---> define('HTTP_SERVER', 'http://site.ru/');

// HTTPS делаем замену
define('HTTPS_SERVER', 'http://site.ru/'); ---> define('HTTPS_SERVER', 'https://site.ru/');

 

И в данный момент мой конфиг из корня выглядит так:

Скрытый текст

// HTTP
define('HTTP_SERVER', 'https://proshellac.ru/');

// HTTPS
define('HTTPS_SERVER', 'https://proshellac.ru/');

После этого все проблемы, которые я описал выше пропали, но как я понимаю - так делать не стоило.

Скажите пожалуйста - на что повлияет, что я "нарушил" правила и написал https в поле HTTP_SERVER?

 

По поводу редиректа из совета №2 

Указывать на https или http?

т.е. так:

Скрытый текст

RewriteCond %{HTTP_HOST} ^www.proshellac.ru$ [NC]
RewriteRule ^(.*)$ http://proshellac.ru/$1 [R=301,L]

или так:

Скрытый текст

RewriteCond %{HTTP_HOST} ^www.proshellac.ru$ [NC]
RewriteRule ^(.*)$ httpS://proshellac.ru/$1 [R=301,L]

И спасибо за помощь и советы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В том то и дело, что сайту уже 3 года и есть высокие позиции в поисковиках, которые естественно не хочется терять.

Напишу markimax - надеюсь подскажет =)

 

С Яшей лучше не ссорится, может наказать. :facepalm:

Спасибо за помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

 

Подскажите, а если редирект с http на https настроить в панели управления доменом, не иcправляя ничего в .htaccess и robots.txt? Это будет неправильно с точки зрения работы ПС?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, Kiruxa сказал:

Подскажите

1. У некоторых хостинг-провайдеров редирект в ПУ 302-й (временный), а не 301-й. Поэтому нужно добавлять редирект в .htaccess.

2. ПСам нет разницы где будет включен редирект.

P.S. В инструкции описаны танцы с бубном (HTTPS FIX), чтобы минимизировать просадку вашего сайта (если он рабочий) в выдаче ПС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток. Подскажите начинающему) Имеется ИМ. Шаблон - лицензия. Так как он на этапе верстки и наполнения в robot.txt запретил индексацию. Решил сразу его перевести на SSL. Когда подключил SSL вся "красота" на сайте "съехала". Шаблон исказился до неузнаваемости) Инструкцию в ветке, пока не выполнял. В связи с этим появились вопросы:

1. После того как выполню руководство встанет ли все на свои места?
2. Может ли влиять выданный ключ лицензии на данную ситуацию?
3. Т.к. сайт еще не в индексе можно ли "опустить" какие то пункты руководства?
Заранее спасибо за ответы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите по инструкции для OC версий 1.5.X.

Из пункта 12.2:

Цитата

 

Файл config.php из корневого каталога сайта

// HTTP делаем замену
define('HTTP_SERVER', 'http://site.ru/'); ---> define('HTTP_SERVER', 'https://site.ru/');

// HTTPS делаем замену
define('HTTPS_SERVER', 'http://site.ru/'); ---> define('HTTPS_SERVER', 'https://site.ru/');

 

 

В то время как для Opencart 2.1.X по инструкции следует оставлять HTTP как есть.

Из пункта 3.1:

Цитата

 

// HTTP здесь оставляем как есть
define('HTTP_SERVER', 'http://site.ru/'); ---> define('HTTP_SERVER', 'http://site.ru/');

// HTTPS делаем замену
define('HTTPS_SERVER', 'http://site.ru/'); ---> define('HTTPS_SERVER', 'https://site.ru/');

 

 

Почему так, и если планируется плавный переход с использованием HTTPS FIX PRO - как поступать для 1.5.X? Все-таки оставлять HTTP в конфиге?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
20 минут назад, Xebec сказал:

Подскажите по инструкции для OC версий 1.5.X.

Из пункта 12.2:

 

В то время как для Opencart 2.1.X по инструкции следует оставлять HTTP как есть.

Из пункта 3.1:

 

Почему так, и если планируется плавный переход с использованием HTTPS FIX PRO - как поступать для 1.5.X? Все-таки оставлять HTTP в конфиге?

HTTP_SERVER   - http://...

HTTPS_SERVER  - https://...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Друзья, подскажите а по какому пункту жить тем кто сидит на "Версия ocStore 2.1.0.1" ??? :wall:

 

В инструкции есть пункт для 1.5. и для 2.1.0.2 а, что делать если версия 2.1.0.1

 

1. Внес изменения в конфиг.

Скрытый текст

Файл config.php из корневого каталога сайта

// HTTP здесь оставляем как есть
define('HTTP_SERVER', 'http://site.ru/'); ---> define('HTTP_SERVER', 'http://site.ru/');

// HTTPS делаем замену
define('HTTPS_SERVER', 'http://site.ru/'); ---> define('HTTPS_SERVER', 'https://site.ru/');

 

Файл config.php из каталога admin

// HTTP делаем замену
define('HTTP_SERVER', 'http://site.ru/admin/'); ---> define('HTTP_SERVER', 'https://site.ru/admin/');
define('HTTP_CATALOG', 'http://site.ru/'); ---> define('HTTP_CATALOG', 'https://site.ru/');

// HTTPS делаем замену
define('HTTPS_SERVER', 'http://site.ru/admin/'); ---> define('HTTPS_SERVER', 'https://site.ru/admin/');
define('HTTPS_CATALOG', 'http://site.ru/'); ---> define('HTTPS_CATALOG', 'https://site.ru/');

2.Установил HTTP FIX.

3. Добавил в роботе к адресу карты и хосту https://

4. Добавил в яндексе и гугле https версии сайта.

 

 

В яндекс вебмастере у меня ошибка. "Невозможно перенести сайт. Проверьте соответствие сайта всем необходимым условиям"

 

Писал в поддержку яндекса. Пришел ответ.

 

В настоящий момент из-за технических работ на нашей стороне заявка на переезд может не приниматься при использовании директивы Host. В данном случае Вы можете подождать немного, мы постараемся разрешить ситуацию на своей стороне, либо использовать редирект с http-версии на https, что позволит сменить протокол уже сейчас. Но замечу, поскольку страницы старого сайта станут недоступны для робота, они могут кратковременно пропасть из поиска в соответствии с редиректом.

 

Правильно ли все сделано?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подкажите, перевели сайт на работу по протоколу https, теперь в Отчет по просмотренным товарам нет не какой информации, на протоколе http все корректно и отлично работало. что может быть?

http://prntscr.com/ez013n

также заметил есть  проблемы в отчете Покупатели онлайн

отчет показывает что заходят по протоколу https , а дальше открывают страницы http

http://prntscr.com/ez020j

хотя реально это несоотвествует действительности, что не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 19.04.2017 at 14:16, likilu сказал:

Правильно ли все сделано?

1. Если Вы настроены ждать пока Яндекс исправит неполадки, Вы сделали правильно, но не всё. Нужно добавить директиву Host в robots.txt.

2. Если Вы хотите перейти на HTTPS, тогда добавьте в .htaccess (или включите в ПУ хостинга) редирект на https.

P.S. Вышеперечисленное актуально для Яндекса, Гугл увидит сайт на HTTPS и начнёт с ним работать сам.

19 часов назад, q457 сказал:

что не так?

Посмотрите черех XENU или Screaming Frog SEO Spider остались ли на сайте ссылки уводящие посетителя с HTTPS на HTTP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
34 минуты назад, RHCk сказал:

1. Если Вы настроены ждать пока Яндекс исправит неполадки, Вы сделали правильно, но не всё. Нужно добавить директиву Host в robots.txt.

2. Если Вы хотите перейти на HTTPS, тогда добавьте в .htaccess (или включите в ПУ хостинга) редирект на https.

P.S. Вышеперечисленное актуально для Яндекса, Гугл увидит сайт на HTTPS и начнёт с ним работать сам.

Посмотрите черех XENU или Screaming Frog SEO Spider остались ли на сайте ссылки уводящие посетителя с HTTPS на HTTP.

Спасибо @RHCk

Ждать не стал. Включил редирект на https. Host указал.

Третий день пошел Гугл и Яндекс не шевелятся с индексацией добавленных сайтов https ((( Жду вылета...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, likilu сказал:

Третий день пошел Гугл и Яндекс не шевелятся

Используйте AddUrl у Гугла (могу ошибаться) и Переобход страниц у Яндекса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 минут назад, RHCk сказал:

Используйте AddUrl у Гугла (могу ошибаться) и Переобход страниц у Яндекса.

Использовал AddUrl.

Единственное из всего вышеописанного пока не включил в настройках, админ панели Использовать SSL. вроде это в последнюю очередь включается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, likilu сказал:

в последнюю очередь включается.

После того как ПС выберут главным зеркалом сайт на HTTPS и заменят страницы в поиске.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас

  • Похожие публикации

    • Автор: RHCk
      UPD ПРАВИЛА ТЕМЫ:
       
      Тема создана для описания основ безопасности CMS Opencart.
      Если что-то упустил, пишите.
       
      0. ВАЖНО! Перед началом любых экспериментов делаем бэкап файлов и базы сайта!!!
      1. Установка
      1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом).
      1.2 Логин для админки НЕ должен быть admin! Пароль админки должен быть сложным, который содержит как минимум заглавные, строчные символы и цифры. Для этого пользуем генераторы паролей (они есть практически в любом менеджере паролей, также бывают отдельными программами). Онлайн генераторы от @savage4pro - тут и здесь.
      1.3 После установки или обновления CMS обязательно удаляем каталог install.
      1.4 Очень часто взлом и заражение ИМ происходит через соседей (устаревшие или не обновленные CMS в одном аккаунте с ИМ). Важно помнить - в одном аккаунте один магазин.
       
      2. Настройка CMS
      2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024).
      2.2 Там же отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Обработка ошибок -> Показывать ошибки -> НЕТ). Включать вывод ошибок нужно по необходимости - установка нового модуля, изменение функционала и т.д. (помним про п-кт 0).
      2.3 Часто, перед покупкой или установкой модулей, разработчики предлагают проверить соответствие вашего хостинга требованиям модуля. В корневой каталог сайта копируется info.php, заходим по адресу <сайт>/info.php видим инфу, определяемся с модулем и удаляем файл info.php, дабы не оставлять подсказку разным негодяям.
      2.4 Пользователям, на сайтах которых настроен обмен, следует проверить недоступность снаружи следующих адресов:
      domain.com/system/storage/cache/exchange1c/import.xml domain.com/system/storage/cache/exchange1c/offers.xml domain.com/system/storage/cache/exchange1c/orders.xml 2.5 ВАЖНО! Присутствующие на сайте тяжелые скрипты (если имеются), такие как парсеры, генераторы карт и прайс-листов, и т.д., не должны быть доступны всем подряд извне.
       
      3. Настройка хостинга
      3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода.
      Видел модуль, добавляющий капчу от Гоши в форму авторизации админки. Штука полезная, ибо усложняет процесс сбручивания пароля разными кулхацкерами.
      3.2 При установке CMS, добавлении функционала, установке модулей (предоставления доступа к файлам CMS разработчикам модулей и т.д.) требуется доступ к хостингу по FTP (SFTP). Для таких случаев создаем отдельные учётные записи на хостинге, с доступом только к необходимым ресурсам. Требования к учётной записи те же, что и в пункте 1.2.
      ВАЖНО! После проведения работ обязательно отключаем доступ по FTP. Об этом забывают 90% будущих Рокфеллеров.
      3.3 В .htaccess должен присутствовать запрет на чтение файлов/каталогов(папок) с "." (точкой) в начале имени:
      RedirectMatch 403 /\..*$  
      4. Периодические мероприятия
      4.1 ВАЖНО! Необходимо регулярно делать бэкапы. Чем чаще делаются бэкапы, тем меньши информации будет потеряно в случае форс-мажора. Есть шутка "Админы делятся на две группы - на тех, кто не делает бэкапы и тех, кто уже делает".
      Бэкап файлов делаем с помощью FileZilla (или архивируем хостингом, а забираем ей же). Бэкап базы делаем с помощью Sypex Dumper 2.
      4.2 ВАЖНО! Категорически нельзя складывать бэкапы в каталог (папку) сайта! Поэтому все бэкапы (архивы бэкапов) забираем с хостинга. Место для хранения бэкапов подбирается из расчета хранения 10 архивов: 1 ежемесячный, 3 еженедельных, 6 ежедневных.
      4.3 ВАЖНО! Регулярно меняйте пароли (не реже раза в три месяца) ко всем учётным записям (админка, ftp и т.д.) и базам данных! Пароль к базе данных хранится в двух файлах config.php (из корня и в папке admin) в следующей записи:
      define('DB_PASSWORD', '7EJCE9vIAEfGExueZ3vn'); где 7EJCE9vIAEfGExueZ3vn - есть пароль. 4.4 ВАЖНО! Регулярно проверяем кроневой каталог и папки cache и download на предмет посторонних файлов. Особое внимание уделяем файлам, в которых присутствуют закодированные base64 элементы.
      В коренвом каталоге сайта должны быть только следующие файлы:
       
      В планах:
       
      P.S. Данная инструкция была написана при поддержке @savage4pro и @Yoda.
      P.P.S. #opencartsecurity #безопасностьвопенкарт #хуйнаныр
       
    • Автор: Serg-24
      Есть вопрос. Пишут так о HTTPS (и при общении с админами хостланд.ру - они то же говорили про допоплату) - 
      Купить и установить сертификат на сервер. Цены начинаются примерно от 2500 рублей в год. Можно, конечно, и не покупать, но тогда пользователей будут постоянно предупреждать, что используется недоверенный сертификат. Сам сертификат состоит из двух частей: открытый и закрытый ключ (public и private). Первый используется для шифрования данных от клиента к серверу, а второй для расшифровки этих данных уже на сервере. Установка сертификата также зависит от сервера, плюс от операционной системы.
       - Это для тех кто хочет безопасное соединение сделать...
       Так, как получается? Платить хостерам (домена где находится сайт 2500 руб.)  за такое соединение или оно будет образованно автоматически и платить за сертификат не нужно? 
       
      - Так как получается? Разъясните пожалуйста...
      1) Будет ли работать сайт (опенкарта) на сертификате своем?
      2) Что нужно для того что бы сертификат (если сайт его может сам генерировать) - заработал?
      3) Если п. 1 и 2 - позволяют работать без платного сертификата - Разясните порядок действий, как его ставить. 
       Поставьте точку в этой дилемме. Спасибо!!!
       
       
    • Автор: Yoda


      Просмотреть файл HTTPS Fix для Opencart v2.X
      Небольшой мод, который заставляет Opencart работать корректно с обоими протоколами одновременно.
      Как того требует Яндекс какое то время, при переезде на HTTPS. Для правильной работы фикса у вас должны отличаться HTTP_CATALOG и HTTPS_CATALOG  в config.php.

      Также мод фиксит проблемы определения протокола, при нестандартных настройках связки nginx => apache.
       
      Кроме вашего покорного слуги решению приложили руки @markimax и @savage4pro.
       
      Если кто захочет заслать благодарности - куда слать у них в профилях.
      Автор Yoda Добавлен 24.10.2016 Категория Прочее  
    • Автор: Aleks
      Добрый день!
      Попутно с переездом домена решил сразу настроить SSL на новом домене, чтобы 2 раза не кормить новое зеркало поисковикам.
      Инструкцию по переезду на https для версии 1.5 использовал с yoda блога. http://ocshop.info/kostyli-dlya-normalnogo-pereezda-na-https-pod-opencart-1-5-x-dlya-togo-chtoby-ne-vypast-iz-indeksa-yandex/.

      Все сделал, перепроверил не один раз. Кеши чистил и руками и модулями, браузеры чистил, проблема следующего рода осталась:
       
      Mixed Content: The page at 'https://mysite.ru/' was loaded over HTTPS, but requested an insecure stylesheet 'http://mysite.ru/image/seocms.css'. This request has been blocked; the content must be served over HTTPS. 
       
      response.hph выглядит следующим образом
       
       
      Может есть у кого нибудь решение? Может не правильно что-то поправил?
      Подскажите, пожалуйста!
       
    • Автор: Jarama
      Здравствуйте, господа!
       
      Кто может помочь переехать маленькому магазинчику на ocstore 2.1.0.1 на https? 
      Можно в скайп писать: max_nexus
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу