RHCk

Безопасность в Opencart (обновляемая)

Recommended Posts

вот к стати имеет ли смысл прятать пути админки как написано в блоге или использовать типа такого модуля https://opencartforum.com/files/file/3462-admin-login-page-guard/

ПС Может в этой теме еще размещать потенциально опасные модули

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Nameless сказал:

вот кстати имеет ли смысл прятать пути админки

Возможна несовместимость с устанавливаемыми модулями, которые ожидают админку тут - admin.

Ещё она будет видна в robots.txt, когда вы её закроете от индексации ПС.

1 час назад, Nameless сказал:

Может в этой теме еще размещать потенциально опасные модули

Удобнее отдельной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 час назад, RHCk сказал:

Возможна несовместимость с устанавливаемыми модулями, которые ожидают админку тут - admin.

Ещё она будет видна в robots.txt, когда вы её закроете от индексации ПС.

 

в том и вопрос стоит ли игра свеч или не заморачиваться с такими выкрутасами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 минуту назад, Nameless сказал:

 

в том и вопрос стоит ли игра свеч или не заморачиваться с такими выкрутасами?

Админка прячется элементарным подложенным в папку admin htaccess и блоком по ip
Переименовывать - смысла нет.

 

Т.е надо понимать. Что первоначально надо заботиться о том. Чтобы злоумышленник не получил доступа в базу или на ftp.

Если у нас ftp дырявый - как вы не закрывайте admin, ничего не поможет.

 

А доступ к файловой системе можно получить двумя способами. Первый - угнать пароль ftp.

Второй воспользоваться какой-либо уязвимостью, позволяющей загрузить любой исполняемый файл на сервер средствами php.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, spown сказал:

а вот такая штука опасна/не нужна/хорошая ?

 

change-admin-url.ocmod.xml

Не надо ничего переименовывать. Зачем себе наживать лишний гемор ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, Yoda сказал:

Не надо ничего переименовывать. Зачем себе наживать лишний гемор ?

он не переименовывает и не меняет место, изменяется урл

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

смысл переименовывать админ - не в том, чтобы не нашли адрес админки, а чтобы не брутфорсили.
Если вы закрыли по ip доступ - что брутфорсить ? 404 страницу? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну такое - изврат, зачем эти топсекрет кей, зачем куки ?

Самое лучшее средство - блок по айпи)))))

А еще лучше - разносить на разные виртуалхосты фронт  и админ)

 

И еще.. смотри какая логика.. Допустим у нас появился какой то дыромодуль, типа файл менеджера и висит скрипт

 

/admin/common/dirdir_filemanager.php

Который напрямую что нить может сохранить при обращении к нему..

Как спасет это вкумод ?

Никак!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
51 минуту назад, Yoda сказал:

Самое лучшее средство - блок по айпи)))))

А еще лучше - разносить на разные виртуалхосты фронт  и админ)

 

 

надеюсь уважаемый Yoda поделиться че как что бы это сделать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
26 минут назад, Nameless сказал:

 

надеюсь уважаемый Yoda поделиться че как что бы это сделать

Да это дикий, дичайший изврат, в двух словах, берете админку... В рамках одного и того же сервера, разворачиваете какой нить отдельный vhost типа admin.site.com, с боевого магазина удаляете. 
Соответсвенно разграничиваете доступы.  Общий доступ у хостов только к базе данных.
Имеет смысл только в ситуациях, когда ну ооооочень кто-то хочет вам сделать плохо.

 

Во всех остальных случах, регулярные полные бекапы к себе на домашний комп вместе с каким нить облаком - наше все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Переименовал админку, в роботсе не закрывал за два года нигде она не засветилась. Все модули работают отлично, окмоду вообще все равно как админка названа.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 15.11.2016 at 13:02, RHCk сказал:

в которых присутствуют закодированные base64 элементы.


Mfe53.png

 

нашел у себя такую бяку

при помощи сканирования линков в посоветованной @Yoda проге Xenu 
что это может значить?
что делать?

при чем файлов таких нет.... урлов тоже.... ссылка идет из файла: catalog/view/css/magic360.css (этот модуль у меня триальный), может быть из-за этого?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 15.11.2016 at 13:02, RHCk сказал:

1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом).

А если магаз установлен, можно как-то сменит префикс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, StavEXpert сказал:

А если магаз установлен, можно как-то сменит префикс?

импортируйте базу

поменяйте в блокноте значения oc_ на то что надо

экспортируйте обратно

в конфигах поменяйте

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, spown сказал:

импортируйте базу

поменяйте в блокноте значения oc_ на то что надо

экспортируйте обратно

в конфигах поменяйте

Имелось в виду экспортировать (выгрузить), проделать все проделки и импортировать (загрузить обратно) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, RHCk сказал:

Имелось в виду экспортировать (выгрузить), проделать все проделки и импортировать (загрузить обратно) :)

ну да, слова наоборот 

утро было, спал )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 15.11.2016 at 13:02, RHCk сказал:

2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024).

 

При генерировании ключа (1024) и вставки в панель управления магазином получаю следующее сообщение.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 15.11.2016 at 13:02, RHCk сказал:

4.4 В коренвом каталоге сайта должны быть только следующие файлы:хуйнаныр

А можно чтоб в корне лежали xml-файлы для яндекса и других агрегаторов? Или обязательно их нужно убрать в папаку export?

В 15.11.2016 at 13:02, RHCk сказал:

Дополнения от @Yoda

 

  • делайте бекапы в хард моде
  • с сервера надо удалить phpmyadmin
  • отрубить в контроллере product метод upload
  • удалить станадртный бекапер базы данных
  • добавить в cache download, и еще там куда рука дотянется
  • htaccess, которые запрещают выполнение php
  • включить mod_security
  • для 1.5 критично поменять secret
  • не должно быть никаких админеров
  • ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess

ыр

1. Не подскажете - что такое делать  бэкапы в хард моде? В гугле хард мод - только компьютерная игра какая-то :)

2. Хостинг ukraine.com.ua - я ж не могу там удалить phpmyadmin?

3. метод upload  в контроллере product и станадртный бекапер базы данных - уже выпилян в OpenCart.Pro 2.1? Или нужно самому?

4. добавить в cache download, и еще там куда рука дотянется - этот пункт вообще не понял о чем речь идет

5. htaccess, которые запрещают выполнение php - можно пример? Это же в каких то только конкретных папках? Или всех кроме Index.php в корне?

6. ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess - можно узнать подробнее как это сделать на серверном, в htaccess

В 16.11.2016 at 09:59, Yoda сказал:

Во всех остальных случах, регулярные полные бекапы к себе на домашний комп вместе с каким нить облаком - наше все.

Расскажите, пожалуйста, как это организовать в автоматическом режиме. Недавно узнал что через cron можно с помощью Sypex Dumper 2 делать автоматические регулярные бэкапы. Но как потом быть с дампом БД? Посылать кроном на почту аттачем? А как автоматически в облако выложить? Это возможно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 15.11.2016 at 13:02, RHCk сказал:

#opencartsecurity #безопасностьвопенкарт #хуйнаныр

 

Недавно у тех поддержки «Siteguarding.com» спросил есть ли у них подобное «WordPress User Access Notification» бесплатное решение сигналки, но для Opencart Pro.  Удивительно, через несколько дней пришло письмо с предложением попробовать  только что выставленный новый плагин «OpenCart User Access Notification».  Попробовал загрузить через окмод,  но система в админке запросила включение FTP. С фиксом что-то не понял. Решил раскидать  файлы ручками,  в модулях плагин появился, активировал, но ожидаемого результата не получил.  То есть не сигналит на почту. Может кто знающий глянет, подскажет в чём дело?

 

https://www.siteguarding.com/en/opencart-user-access-notification

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Похожие публикации

    • Автор: RHCk
      UPD24.10.2016 Данная инструкция актуальна для Opencart.PRO и Opencart.CMS версий 2.1.0.2.2 и выше!
      UPD02.11.2016 Важное дополнение по Ukraine.com.ua от @Yoda в Пункте 10.2
      UPD08.01.2017 Дополнение от @markimax в Пункте 3.4 о том, нужно ли удалять модуль HTTP FIX после склейки зеркал.
      UPD04.02.2017 Добавлен Раздел 12 - Дополнение для версий 1.5.X.
      UPD28.02.2017 Добавлена информация для настройки обмена по HTTPS с программами от 1С - ЗДЕСЬ.
      UPD16.03.2017 Обновлен список авторизационных (удостоверяющих) центров (CA).
      UPD25.03.2017 Правила темы:
       
      0. ВАЖНО! Перед началом любых экспериментов не забываем делать бэкап файлов и базы сайта!!!
       
      1. Для перехода на SSL (HTTPS) нужен сертификат, получить его можно здесь:
       
      2. Далее необходимо установить сертификат на сервер, либо активировать его в ПУ, либо передать его хостинг-провайдеру для установки на сервер (на котором размещен ваш сайт). Более подробно о данной процедуре можно узнать у техподдержки хостера.
       
      3. Настраиваем CMS для работы с SSL.
      3.1 В файлах /config.php и admin/config.php делаем замены:
      3.2 Устанавливаем этот модуль. Отдельно благодарим комрадов @Yoda, @savage4pro и @markimax, которыми он был написан.
      Настройка CMS на данном этапе завершена.
      3.3 Дополнительная информация от @savage4pro о работе модуля:
      3.4 Нужно ли удалять модуль после склейки зеркал?
       
      4.  Далее необходимо настроить редирект с HTTP на HTTPS.
      Ситуация здесь двоякая, если сразу настроить редирект, в большинстве случаев позиции в выдаче ПС будут потеряны. Явление временное, но неприятное.
      Посему, согласно изысканиям и рекомендациям комрадов @Yoda и @savage4pro (если о ком-то не написал, отпишитесь, исправлю), с редиректом мы повременим до момента склейки зеркал сайта поисковиками (зеркала - сайт на HTTP и на HTTPS).
      Делаем следующее в файле robots.txt:
      если sitemap вашего сайта не отдается фидом, добавляем в обе секции (User-agent: * и User-agent: Yandex) файла robots.txt следующие директивы:
      Sitemap: httрs://mysite.com/sitemap.xml в секции для Яндекса (User-agent: Yandex) добавляем директиву Host: Host: https://<ваш_сайт> если sitemap вашего сайта отдается фидом, отдаем ПСам новый фид (по HTTPS); добавляем новый сайт на HTTPS в Вебмастеры ПС; наблюдаем и ждём момента когда главным зеркалом станет сайт на HTTPS и произойдёт склейка зеркал. Вебмастеры ПС:
       
      5. Добавляем в Вебмастеры Яндекса и Гугла HTTPS-версии вашего сайта. В Вебмастере Яндекса наблюдаем и ждём момента, когда зеркала будут склеены. Для тех у кого не очень много товаров в каталоге или много свободного времени идём Инструменты -> Переобход страниц и каждый день добавляем по 10 ссылок (с HTTPS), тем самым заставляя Яшу чуть быстрее индексировать ваш сайт по HTTPS.
       
      6. Дополнительная информация:
      от Яши - здесь; от Гоши - здесь и здесь.  
      7. Когда склейка зеркал произошла, остается дело за малым - настроить редирект.
      7.1 Идём "Система -> Настройки -> Редактировать -> Вкладка Сервер -> Использовать SSL: выбираем Да. ДО склейки зеркал НЕ включаем.
      7.2 И тут, на мой взгляд, основные танцы с бубном. Обновленный seo_pro (с версии 2.1.0.2.2) позволяет избавиться от танцев с бубном вокруг .htaccess, делая внесение изменений в него не обязательными.
       
      Написать о результатах и задать вопрос можно в теме поддержки модуля.
       
      Если вы всё же приняли решение настроить редирект в .htaccess, для вас информация далее.
      В виду того, что у разных хостинг-провайдеров разные настройки серверов, необходимо выбрать тот вариант редиректа, который будет работать. Как проверить напишу чуть ниже.
      Важный момент! Подразумевается, что редирект с "с www" на "без www", или наоборот, у вас уже настроен. Если нет, смотрите здесь.
      ВАЖНО! Изменения вносятся в файл .htaccess в корневом каталоге сайта.
      ВАЖНО! Редиректы в файле .htaccess необходимо добавлять сразу после строки с 'RewriteBase /'. Если не работает, попробуйте поставить выше, сразу после строки с  'RewriteEngine On'. О результатах экспериментов пишите в этой теме.
      7.3 Варианты редиректов:
      7.3.1 Редиректы от @Yoda:
      7.3.2 Редиректы от @savage4pro:
      7.3.3 Редирект от Timeweb.ru:
      7.3.4 Редирект для Ukraine.com.ua:
      7.3.5 Редирект для Masterhost.ru (говорим спасибо @Yoda здесь):
      7.3.6 Редирект для webhost1.ru: (от @markimax)
       
      8. Проверка. Чтобы проверить корректность работы произведенных изменений необходимо сделать следующее:
      8.1 Если у вас настроен редирект с "с www" на "без www"
      идём на сайт по HTTP с WWW, должны получить HTTPS без WWW; идём на сайт по HTTP без WWW, должны получить HTTPS без WWW; идём на сайт по HTTPS с WWW, должны получить HTTPS без WWW. 8.2 Если у вас настроен редирект с "без www" на "с www"
      идём на сайт по HTTP с WWW, должны получить HTTPS с WWW; идём на сайт по HTTP без WWW, должны получить HTTPS с WWW; идём на сайт по HTTPS без WWW, должны получить HTTPS с WWW. 8.3 Отдельно можно проверить как после всех изменений ваш сервер отдает статические файлы, например, фото товаров.
      Зайдите на страницу товара, скопируйте ссылку на фото товара, вставьте её в строку браузера и поэкспериментируйте согласно пунктам 8.1 - 8.2, и посмотрите по какому протоколу будет отдаваться статика. 
      8.4 У некоторых хостинг-провайдеров есть возможность включить редирект в ПУ. Тут следует обратить внимание на то, каким редиректом будет осуществляться переадресация - 301-м или 302-м. Нужен 301-й. Как посмотреть? Можно здесь. Также показывает редирект Screaming Frog SEO Spider, браузер тоже показывает. Пробуйте.
      8.5 Проверьте сайт на наличие ссылок по HTTP. Это могут быть ссылки в статьях или описаниях товаров. Необходимо изменить в них HTTP на HTTPS или сделать их относительными, т.е. без доменного имени сайта.
       
      9. ВАЖНО! Все внешние скрипты, стили, шрифты и прочие iframe должны подключаться строго по HTTPS и никак иначе! В противном случае получим кучу ошибок в консоли браузера и корявости на сайте. 
       
      10. Решения для хостинг-провайдеров:
      10.1 Хостинг-провайдер Timeweb.ru:
      10.2 Хостинг-провайдер Ukraine.com.ua:
       
      ПОЛЕЗНО! Сервис для тестирования установленного сертификата QUALYS SSL LABS
       
      11. Небольшой эксперимент с инструментом "Переобход страниц":
      11.1 Сайт, около 600 товаров, переставил на HTTPS.
      11.2 В вебмастере Яндекса сделал "переезд на https" получил ответ, что скоро всё произойдёт. До сих пор жду.
      11.3 Добавил отдельно тот же сайт, но по HTTPS, так "Переобход" работает.
      11.4 Добавляю каждый день по 10 страниц (без повторений) в "Переобход страниц".
      11.5 Результат (И - страниц в индексе, П - страниц в поиске):
      11.6 Вывод - профит от инструмента ясен и понятен.
      P.S. Ну а если вы всё ещё ждёте Яшу в гости, ну что ж ждите
       
      12. Переход на HTTPS для OC версий 1.5.X
      12.0 См. Пункт 0 настоящей Инструкции.
      12.1 Устанавливаем сертификат (Пункт 1 настоящей Инструкции). На shared хостингах в ПУ хостинга все редиректы должны быть выключены.
      12.2 В файлах /config.php и admin/config.php делаем замены:
      12.3 Делаем следующее в файле robots.txt:
      если sitemap вашего сайта не отдается фидом, добавляем в обе секции (User-agent: * и User-agent: Yandex) файла robots.txt следующие директивы:
      Sitemap: httрs://mysite.com/sitemap.xml в секции для Яндекса (User-agent: Yandex) добавляем директиву Host: Host: https://<ваш_сайт> если sitemap вашего сайта отдается фидом, отдаем ПСам новый фид (по HTTPS); добавляем новый сайт на HTTPS в Вебмастеры ПС; наблюдаем и ждём момента когда главным зеркалом станет сайт на HTTPS и произойдёт склейка зеркал. 12.4 В .htaccess добавляем один из редиректов (обращаем внимание на комментарии):
      Редирект ставим между директивами RewriteEngine On и RewriteBase /
      Первая строка и нижние строки добавлены для ориентира.
      12.5 Идём Система -> Настройки -> Нажать 'Изменить' -> Вкладка 'Сервер' -> Использовать SSL выбираем ДА.
      12.6 Производим проверку согласно Раздела 8 настоящей инструкции.
       
      P.S. На некоторых хостингах (из-за настроек серверов) не работают, либо работают некорректно, редиректы в .htaccess. Можно поэкспериментировать с редиректами из Пунктов 7.3.1 и 7.3.3 настоящей Инструкции, попытаться запросить правильный редирект у хостинг-провайдера, или включить редиректы в ПУ хостинга (предварительно откатив все изменения касающиеся редиректов в .htaccess).
       
       
      99.0 Реклама (обязательна к просмотру):
       
    • Автор: Gerik
      Здравствуйте уважаемые друзья, коллеги!
      Вчера получил сообщение такого рода 
      "Chrome будет помечать сайты, работающие по HTTP, как небезопасные"
       
      Хотелось бы знать Ваше мнение по этому поводу:
      кто и где покупал сертификаты SSL ?
      стоит ли вообще заморачиваться с этой темой, по крайней мере пока  может проще гуглом не пользоваться
      с чем придется столкнуться с переходом на https ?
      да и вообще, кто помощью, кто советом поможет 
    • Автор: StavEXpert
      Тут выносилась на обсуждение очень интересная идея.
      Как по мне - так очень нужная весчь. И первый же коммент про аналог Wordfence для WP вполне интересный...
      Идею "этой поделки" все-таки забросил или нет?
      Может есть какие-то альтернативы?
    • Автор: Yoda
      В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. В связи с этим, по моим данным, около 10-15% популярных шаблонов и содержат в себе потенциальные уязвимости. 
      С теми, у кого у меня есть прямая связь, в частном порядке мы закрываем эти дыры с уведомлением покупателей. 
      Но со многими я просто физически не могу связаться, так как они отказываются идти на контакт.
       
      Поэтому давайте сделаем наши магазины безопаснее вместе.
       
      Вот очень полезная статья с большим набором заплаток от разного рода попыток взлома сайтов. Она правда для WP, но по сути техники взлома не сильно отличаются.
       
      https://perishablepress.com/6g/
      Для продвинутых пользователей, там все достаточно ясно-понятно. Для новичков, я бы рекомендовал добавить в .htaccess  хотя бы это:
      <IfModule mod_rewrite.c>     RewriteCond %{QUERY_STRING} (eval\() [NC,OR]     RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR]     RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR]     RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR]     RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR]     RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR]     RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR]     RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC]     RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки  
      RewriteEngine On После добавления, рекомендую запустить Xenu's
      И проверить доступность всех ссылок вашего магазина.
      Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц.
       
      Подробное описание у меня в блоге.
    • Автор: RHCk
      Всем привет!
       
      Немного наброшу о безопасности. Читать здесь.
      Статья будет полезна всем.
      Чуть более будет полезна тем, кто сначала покупает модули, а потом расспрашивает о них.
      Крайне полезна комрадам, которые думают "сейчас поставлю nulled, а как взлетит, сразу куплю".
      Ну и для тех, кто ищет небесплатной помощи на fl и т.д. (кстати, интересный момент заметил, напишите fl в русской раскладке).
       
      P.S. C компанией Ревизиум немного работал, писал об этом здесь (ессессно не реклама, мало ли)
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу