RHCk

Руководство для перехода на SSL (HTTPS)

Recommended Posts

1 час назад, RHCk сказал:
  Показать содержимое

1. Отсюда два урла висят на http

2. +209 страниц на http

3. Линк на группу в ВК поправьте

4. Редиректы проверьте, что-то с ними уж очень сильно наворочено)

У Вас есть хороший инструмент - Лягушка, пользуйтесь им, там видны все проблемные места.

 

Спасибо. Только взял недавно Лягушку. Вот и появился повод детально с ней ознакомиться)

С редиректами прошу помочь. Здесь я совсем не силен. Файл htaccess прилагаю. Подскажите, пожалуйста, что не так. Или где взять правильный htaccess. Тот, что у меня - делался сторонним программистом, который ускорял сайт.

9.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Niraban сказал:

С редиректами прошу помочь

Оформите вопрос отдельной темой, и вам туда быстренько ответов накидают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем доброго времени суток, сделал переезд на https, все работает отлично, на сайте косяков вообще не вижу, а в админке не отображаются картинки. И при попытке открыть их по ссылке выдает ошибку dns.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет!

Не получается правильно настроить редирект с "без WWW" на "с WWW", а именно: с https://site.com на https://www.site.com

 

Сейчас используется такой редирект:

RewriteBase /
RewriteCond %{HTTPS} off
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

 

Какие строчки попробовать добавить для переадресации с "без WWW" на "с WWW"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
6 часов назад, veto сказал:

Какие строчки попробовать добавить

П-кт 7.3.2, Вариант 2, первые две строки.

В п-кте 7.2 написано куда добавить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо. Этот вариант пробовал, не помогает.

Редирект работает  с http://site.com на https://www.site.com

Но не работает в случае с https://site.com на https://www.site.com

То есть сайт вообще недоступен по адресу https://site.com , "сервер не отвечает"

Возможно это проблема со стороны хостинга?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день! Крайне необходима помощь.

 

После внесения изменений:

Цитата

Файл config.php из каталога admin

// HTTP делаем замену
define('HTTP_SERVER', 'http://site.ru/admin/'); ---> define('HTTP_SERVER', 'https://site.ru/admin/');
define('HTTP_CATALOG', 'http://site.ru/'); ---> define('HTTP_CATALOG', 'https://site.ru/');

// HTTPS делаем замену
define('HTTPS_SERVER', 'http://site.ru/admin/'); ---> define('HTTPS_SERVER', 'https://site.ru/admin/');
define('HTTPS_CATALOG', 'http://site.ru/'); ---> define('HTTPS_CATALOG', 'https://site.ru/');

 невозможно авторизоваться в админке.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, germida.com.ua сказал:

После внесения изменений

До внесения изменений нужно установить сертификат.

Проверить состояние редиректа на https в ПУ хостинга и в .htaccess.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Похожие публикации

    • Автор: Наталья 12
      Переводила сайт на https, но sitemap остался на http
      Когда я проверяю sitemap  -    выдает ошибку: Fatal error: Maximum execution time of 30 seconds exceeded in /home/vovi/site.com.ua/www/vqmod/vqcache/vq2-system_modification_system_library_db.php on line 39
      Строка 39   $nitro_match = preg_match('~SELECT.*WHERE.*(LIKE|MATCH)~i', $sql, $nitro_matches);
      Помогите разобраться.
    • Автор: uglevsky
      Всем привет! Такая проблема: установил ssl сертификат, все нормально настроил, но есть нюанс! Данная строка $this->document->addLink($this->url->link('product/product', 'product_id=' . $this->request->get['product_id']), 'canonical'); в product.php прописывает каноническую ссылку в товаре без httpS, от этого в индекс гугл попадают именно ссылки без httpS(насколько я знаю яндекс теперь тоже понимает canonical), как это исправить. Opencart.cms 2.1.0.2.2
    • Автор: GhostKU
      День добрый
      Система: OCSHOP.CMS v1.5.6.4
       
      UPD: Я тут немного почитал и понял что неверно расставил акценты в своей проблеме поэтому спрячу часть под кат
      Обратились с проблемой что после переноса на https пропала возможность заходить в админку. Выяснилось что возможность пропала потому, что в html форме логина которая выдается по ссылке https://site.com/admin в тэге <base href=''https://site.com/"> прописан путь к корню сайта а не к подпапке /admin/ и соответственно все подгрузки картинок, стилей и js не работают.
       
      UPD: Тут как я понял переносившие поленились правильно изменить конфиги, или наоборот испортили их потому что с такими конфигами и на http такая же проблема Но я исправил, детально под спойлером:
       
       
      UPD: Вот тут самое важное
      Теперь при попытке логина получаю ошибку: Notice: Undefined variable: username in /var/www/site/site.com/system/library/user.php on line 13Notice: Undefined variable: password in /var/www/site/site.com/system/library/user.php on line 13Notice: Undefined variable: password in /var/www/site/site.com/system/library/user.php on line 13
      Судя по всему система не получает переданные формой данные. Причем при вводе неверного пароля - получаю классическое сообщение о неверном пароле. Причем и без https такая без проблема
       
      Посоветуйте куда копать.
       
    • Автор: RHCk
      UPD ПРАВИЛА ТЕМЫ:
       
      Тема создана для описания основ безопасности CMS Opencart.
      Если что-то упустил, пишите.
       
      0. ВАЖНО! Перед началом любых экспериментов делаем бэкап файлов и базы сайта!!!
      1. Установка
      1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом).
      1.2 Логин для админки НЕ должен быть admin! Пароль админки должен быть сложным, который содержит как минимум заглавные, строчные символы и цифры. Для этого пользуем генераторы паролей (они есть практически в любом менеджере паролей, также бывают отдельными программами). Онлайн генераторы от @savage4pro - тут и здесь.
      1.3 После установки или обновления CMS обязательно удаляем каталог install.
      1.4 Очень часто взлом и заражение ИМ происходит через соседей (устаревшие или не обновленные CMS в одном аккаунте с ИМ). Важно помнить - в одном аккаунте один магазин.
       
      2. Настройка CMS
      2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024).
      2.2 Там же отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Обработка ошибок -> Показывать ошибки -> НЕТ). Включать вывод ошибок нужно по необходимости - установка нового модуля, изменение функционала и т.д. (помним про п-кт 0).
      2.3 Часто, перед покупкой или установкой модулей, разработчики предлагают проверить соответствие вашего хостинга требованиям модуля. В корневой каталог сайта копируется info.php, заходим по адресу <сайт>/info.php видим инфу, определяемся с модулем и удаляем файл info.php, дабы не оставлять подсказку разным негодяям.
      2.4 Пользователям, на сайтах которых настроен обмен, следует проверить недоступность снаружи следующих адресов:
      domain.com/system/storage/cache/exchange1c/import.xml domain.com/system/storage/cache/exchange1c/offers.xml domain.com/system/storage/cache/exchange1c/orders.xml 2.5 ВАЖНО! Присутствующие на сайте тяжелые скрипты (если имеются), такие как парсеры, генераторы карт и прайс-листов, и т.д., не должны быть доступны всем подряд извне.
       
      3. Настройка хостинга
      3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода.
      Видел модуль, добавляющий капчу от Гоши в форму авторизации админки. Штука полезная, ибо усложняет процесс сбручивания пароля разными кулхацкерами.
      3.2 При установке CMS, добавлении функционала, установке модулей (предоставления доступа к файлам CMS разработчикам модулей и т.д.) требуется доступ к хостингу по FTP (SFTP). Для таких случаев создаем отдельные учётные записи на хостинге, с доступом только к необходимым ресурсам. Требования к учётной записи те же, что и в пункте 1.2.
      ВАЖНО! После проведения работ обязательно отключаем доступ по FTP. Об этом забывают 90% будущих Рокфеллеров.
      3.3 В .htaccess должен присутствовать запрет на чтение файлов/каталогов(папок) с "." (точкой) в начале имени:
      RedirectMatch 403 /\..*$  
      4. Периодические мероприятия
      4.1 ВАЖНО! Необходимо регулярно делать бэкапы. Чем чаще делаются бэкапы, тем меньши информации будет потеряно в случае форс-мажора. Есть шутка "Админы делятся на две группы - на тех, кто не делает бэкапы и тех, кто уже делает".
      Бэкап файлов делаем с помощью FileZilla (или архивируем хостингом, а забираем ей же). Бэкап базы делаем с помощью Sypex Dumper 2.
      4.2 ВАЖНО! Категорически нельзя складывать бэкапы в каталог (папку) сайта! Поэтому все бэкапы (архивы бэкапов) забираем с хостинга. Место для хранения бэкапов подбирается из расчета хранения 10 архивов: 1 ежемесячный, 3 еженедельных, 6 ежедневных.
      4.3 ВАЖНО! Регулярно меняйте пароли (не реже раза в три месяца) ко всем учётным записям (админка, ftp и т.д.) и базам данных! Пароль к базе данных хранится в двух файлах config.php (из корня и в папке admin) в следующей записи:
      define('DB_PASSWORD', '7EJCE9vIAEfGExueZ3vn'); где 7EJCE9vIAEfGExueZ3vn - есть пароль. 4.4 ВАЖНО! Регулярно проверяем кроневой каталог и папки cache и download на предмет посторонних файлов. Особое внимание уделяем файлам, в которых присутствуют закодированные base64 элементы.
      В коренвом каталоге сайта должны быть только следующие файлы:
       
      В планах:
       
      P.S. Данная инструкция была написана при поддержке @savage4pro и @Yoda.
      P.P.S. #opencartsecurity #безопасностьвопенкарт #хуйнаныр
       
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу