COVID2019 и это вот все. Друзья, вся эта история начинает плохо пахнет. Мойте руки, не ходите в люди. Отложите все плановые покупки и положите в носок заначку. Заприте ваших родителей, бабушек-дедушек на даче. Лучше перебдеть чем недобдеть. Берегите себя!

Безопасность в Opencart (обновляемая)


RHCk

Recommended Posts

  • RHCk changed the title to Безопасность в Opencart (обновляемая)

вот к стати имеет ли смысл прятать пути админки как написано в блоге или использовать типа такого модуля https://opencartforum.com/files/file/3462-admin-login-page-guard/

ПС Может в этой теме еще размещать потенциально опасные модули

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, Nameless сказал:

вот кстати имеет ли смысл прятать пути админки

Возможна несовместимость с устанавливаемыми модулями, которые ожидают админку тут - admin.

Ещё она будет видна в robots.txt, когда вы её закроете от индексации ПС.

1 час назад, Nameless сказал:

Может в этой теме еще размещать потенциально опасные модули

Удобнее отдельной.

Ссылка на комментарий
Поделиться на других сайтах

11 час назад, RHCk сказал:

Возможна несовместимость с устанавливаемыми модулями, которые ожидают админку тут - admin.

Ещё она будет видна в robots.txt, когда вы её закроете от индексации ПС.

 

в том и вопрос стоит ли игра свеч или не заморачиваться с такими выкрутасами?

Ссылка на комментарий
Поделиться на других сайтах

Только что, Yoda сказал:

Не надо ничего переименовывать. Зачем себе наживать лишний гемор ?

он не переименовывает и не меняет место, изменяется урл

Ссылка на комментарий
Поделиться на других сайтах

51 минуту назад, Yoda сказал:

Самое лучшее средство - блок по айпи)))))

А еще лучше - разносить на разные виртуалхосты фронт  и админ)

 

 

надеюсь уважаемый Yoda поделиться че как что бы это сделать

Ссылка на комментарий
Поделиться на других сайтах

Переименовал админку, в роботсе не закрывал за два года нигде она не засветилась. Все модули работают отлично, окмоду вообще все равно как админка названа.
 

Ссылка на комментарий
Поделиться на других сайтах

В 15.11.2016 at 13:02, RHCk сказал:

в которых присутствуют закодированные base64 элементы.

 

Скрытый текст

Mfe53.png

 

нашел у себя такую бяку

при помощи сканирования линков в посоветованной @Yoda проге Xenu 
что это может значить?
что делать?

при чем файлов таких нет.... урлов тоже.... ссылка идет из файла: catalog/view/css/magic360.css (этот модуль у меня триальный), может быть из-за этого?

Ссылка на комментарий
Поделиться на других сайтах

  • 2 weeks later...
В 15.11.2016 at 13:02, RHCk сказал:

1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом).

А если магаз установлен, можно как-то сменит префикс?

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, StavEXpert сказал:

А если магаз установлен, можно как-то сменит префикс?

импортируйте базу

поменяйте в блокноте значения oc_ на то что надо

экспортируйте обратно

в конфигах поменяйте

Ссылка на комментарий
Поделиться на других сайтах

5 часов назад, spown сказал:

импортируйте базу

поменяйте в блокноте значения oc_ на то что надо

экспортируйте обратно

в конфигах поменяйте

Имелось в виду экспортировать (выгрузить), проделать все проделки и импортировать (загрузить обратно) :)

Ссылка на комментарий
Поделиться на других сайтах

Только что, RHCk сказал:

Имелось в виду экспортировать (выгрузить), проделать все проделки и импортировать (загрузить обратно) :)

ну да, слова наоборот 

утро было, спал )

Ссылка на комментарий
Поделиться на других сайтах

  • 1 month later...
В 15.11.2016 at 13:02, RHCk сказал:

2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024).

 

При генерировании ключа (1024) и вставки в панель управления магазином получаю следующее сообщение.

 

 

 

Ссылка на комментарий
Поделиться на других сайтах

  • 1 month later...
В 15.11.2016 at 13:02, RHCk сказал:

4.4 В коренвом каталоге сайта должны быть только следующие файлы:хуйнаныр

А можно чтоб в корне лежали xml-файлы для яндекса и других агрегаторов? Или обязательно их нужно убрать в папаку export?

В 15.11.2016 at 13:02, RHCk сказал:

Дополнения от @Yoda

 

  • делайте бекапы в хард моде
  • с сервера надо удалить phpmyadmin
  • отрубить в контроллере product метод upload
  • удалить станадртный бекапер базы данных
  • добавить в cache download, и еще там куда рука дотянется
  • htaccess, которые запрещают выполнение php
  • включить mod_security
  • для 1.5 критично поменять secret
  • не должно быть никаких админеров
  • ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess

ыр

1. Не подскажете - что такое делать  бэкапы в хард моде? В гугле хард мод - только компьютерная игра какая-то :)

2. Хостинг ukraine.com.ua - я ж не могу там удалить phpmyadmin?

3. метод upload  в контроллере product и станадртный бекапер базы данных - уже выпилян в OpenCart.Pro 2.1? Или нужно самому?

4. добавить в cache download, и еще там куда рука дотянется - этот пункт вообще не понял о чем речь идет

5. htaccess, которые запрещают выполнение php - можно пример? Это же в каких то только конкретных папках? Или всех кроме Index.php в корне?

6. ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess - можно узнать подробнее как это сделать на серверном, в htaccess

В 16.11.2016 at 09:59, Yoda сказал:

Во всех остальных случах, регулярные полные бекапы к себе на домашний комп вместе с каким нить облаком - наше все.

Расскажите, пожалуйста, как это организовать в автоматическом режиме. Недавно узнал что через cron можно с помощью Sypex Dumper 2 делать автоматические регулярные бэкапы. Но как потом быть с дампом БД? Посылать кроном на почту аттачем? А как автоматически в облако выложить? Это возможно?

Ссылка на комментарий
Поделиться на других сайтах

  • 3 months later...
В 15.11.2016 at 13:02, RHCk сказал:

#opencartsecurity #безопасностьвопенкарт #хуйнаныр

 

Недавно у тех поддержки «Siteguarding.com» спросил есть ли у них подобное «WordPress User Access Notification» бесплатное решение сигналки, но для Opencart Pro.  Удивительно, через несколько дней пришло письмо с предложением попробовать  только что выставленный новый плагин «OpenCart User Access Notification».  Попробовал загрузить через окмод,  но система в админке запросила включение FTP. С фиксом что-то не понял. Решил раскидать  файлы ручками,  в модулях плагин появился, активировал, но ожидаемого результата не получил.  То есть не сигналит на почту. Может кто знающий глянет, подскажет в чём дело?

 

https://www.siteguarding.com/en/opencart-user-access-notification

Ссылка на комментарий
Поделиться на других сайтах

  • 3 months later...

здравствуйте. После того как сделал защиту админки .htpassw нужно ли в общий  .htaccess всего сайта вписывать запрет на доступ к файлам начинающимся с точки
RedirectMatch 403 /\..*$

Ссылка на комментарий
Поделиться на других сайтах

  • 11 months later...
В 15.11.2016 at 12:02, RHCk сказал:

4.3 ВАЖНО! Регулярно меняйте пароли (не реже раза в три месяца) ко всем учётным записям (админка

 

 

Подскажите, пожалуйста - а логин пользователей админки - тоже нужно менять не реже 1 раза в 3 месяца? Или его можно оставить постоянным, а менять только пароль?

 

В 15.11.2016 at 12:02, RHCk сказал:

3.3 В .htaccess должен присутствовать запрет на чтение файлов/каталогов(папок) с "." (точкой) в начале имени:


RedirectMatch 403 /\..*$

Этот запрет В .htaccess - зачем нужен? Хотел для себя выяснить - не понял.

 

 

Спасибо!

Ссылка на комментарий
Поделиться на других сайтах

  • 2 months later...
  • 3 weeks later...
  • 1 month later...
  • 4 months later...
Скрытый текст

<FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
 Require all denied
## For apache 2.2 and older, replace "Require all denied" with these two lines :
# Order deny,allow
# Deny from all
</FilesMatch>

подскажите, пожалуйста, этот код в файле .htaccess  в корне закрывает доступ?

И 2 . что означает этот файл editprod.php в корне сайта, стоит модуль editor++

Ссылка на комментарий
Поделиться на других сайтах

  • 4 months later...

Файлам /config.php и admin/config.php надо задать права доступа 0644 ?

 

И еще такой вопрос, актуален ли способ?

перенести админку в .htaccess

RewriteCond %{HTTP_REFERER} !http://site/admin/
RewriteCond %{QUERY_STRING} !^123456789
RewriteRule ^.*admin/? /not_found [R,L]

выйдет http://site/admin/?123456789

 

 И ещё, подскажите пож. как это реализовать 

В 15.11.2016 at 13:02, RHCk сказал:

3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода.

 

А в какой пунк надо вставлять?

После RewriteEngine On или RewriteBase

В 15.11.2016 at 13:02, RHCk сказал:

edirectMatch 403 /\..*$


 

Ссылка на комментарий
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вы вставили отформатированное содержимое.   Удалить форматирование

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.