beeburat

Перенесу с форума - думаю будет полезно тем кто его не читает
 
Инструкция как делать НЕ НАДО!!!
 
1. Никаких admin admin и 123456!
 
Ни в коем случае не ставьте admin admin ни в каких случаях, даже если вам просто нужно поиграться с опенкартом
У вас рядом могут быть живые сайты, которые пострадают
 
Запомните - имея админку опенкарта можно получить доступ ко всей файловой системе и другим сайтам сервера/хостинг-аккаунта
 
Никаких example@example.com!
пишите свою или доверенную почту на которую вы сможете получить свой сложный пароль типа &*^%hygkjhGJHG^*&@ghkjhqeeqeqr 
это гораздо безопаснее! Злоумышленник может зарегать example@example.com - и привет!
Отключите демо аккаунт - там доступна на чтение вся информация!
 
Добавьте двухфакторную авторизацию в админку, даже через .htpasswd, это уже осложнит жизнь потенциальному хакеру
Ограничьте сверху доступом по IP
 
2. Никакого phpmyadmin в мир!
В 90% случаев phpmyadmin доступен в мир по ip/phpmyadmin
Закрывайте его для чужих, ну, свой ip можно оставить
Попросите хостера это сделать или так же защитить двухфакторной аутентификацией
 
3. Никаких админеров!
В каждом пятом сайте админер лежит в корне, удаляйте его после работы или переименуйте в lwjdkhkjwrehtkwrjhvsfvgsfgsf.php если без него нельзя жить!
Это тоже потенциальная уязвимость
 
4. Никаких логов!
В логах можно найти очень много интересной информации, начиная от структуры файловой системы заканчивая пароля к базе данных
И их можно посмотреть даже под демо-аккаунтом
Логи должны быть доступны только вам, error_log не должен лежать в корне сайта для всех
 
5. Никаких архивов в корне сайта!
У многих лежит в корне архив site.tar.gz, db.sql, backup.zip и прочее
Эти файлы можно скачать!!! Там есть все конфиги, логины пароли и прочее интересное, вы сами отдаете свой сайт злоумышленникам.
Никаких доступов в текстовых файлах, ничего!

 
вот все должно быть в корне!
 
6. Регулярно меняйте ВСЕ пароли
Это касается всего, базы, хостинга, фтп, админки сайта, проводите регулярно эту проверку
Рекомендую раз в месяц
Также сканируйте свой сайт каким-то айболитом или чем-то подобным на предмет всякой херни
 
7. Не ставьте ломаных модулей (даже бесплатных)!
Подавляющее число модулей на опенкарт стоят до 1000 р, это не та сумма чтобы ставить себе на сайт бомбы замедленного действия с варезных сайтов!
В один прекрасный момент этот механизм активируется и вы потеряете свой сайт и репутацию с потрохами!
Также рекомендую ставить модули только от проверенных разработчиков и читая темы поддержки. Т.к. были случаи что платный модуль добавлял sql-дырку в магазин.
 
8. Никаких ошибок php на фронте!
Отключите сами вывод ошибок в системный лог и на экран и вам не будут писать стасики с предложением купить у них вашу базу
Не умеете - просите хостера! 
Это касается всей служебной информации
 
9. SQL-инъекции
В интернете полно скриптов как базово обезопасить свой сайт хотя бы от самых популярных инъекций!
Найдите в интернете правила для apache и/или nginx и примените их даже если сами в этом нифига не понимаете!
 
10. Давая данные кому-то - не забывайте их менять!
Даже если разработчики добросовестные - они могут подхватить с порнхаба какую-то дрянь и сохраненный пароль к вашему сайту улетит!
Потратьте 3 минуты после работы на смену доступов!
FTP еще желательно делать по IP чтобы 21 порт был недоступен недоверенным людям, у каждого вменяемого разработчика IP статический (постоянный)
Включите mod_security в PHP, он всякую шушеру нормально отбивает
suhosin тоже неплох, но его настраивать надо
 
 
11. Никогда не держите яйца в одной корзине!
 
Для каждого сайта создавайте свой аккаунт, чтобы если ломанули пострадал только один сайт
Часто вижу как дев и прод находятся на одном сервере рядышком, а к деву admin admin потому что разработчику так удобно и он не может запомнить пароль посложнее
Или какой-нибудь дырявый вордпресс бложек старой версии, взломав который весь аккаунт хостинга превращается в кашу из шеллов и показывает гуглу иероглифы а вы этого даже можете не знать!
 
12. Отрубите tool/upload
Если у вас нет острой необходимости чтобы юзеры закачивали к файлы на сервер - это вам не нужно, тоже неплохая потенциальная дырка.
А если необходимость есть - сделайте дополнительные проверки!
 
13. Возможно будет дополняться!
 
Если у вас есть проблемы хотя бы по одному из пунктов - то у вас большие проблемы!!!
 
Я каждый день занимаюсь исправлением уязвимостей и беда происходит если есть хотя бы один из этих пунктов, если их количество увеличивается - это в геометрической прогрессии увеличивает ваши шансы отдать базу клиентов, а это все-таки какая-никакая а коммерция. И чем ваш сайт приносит больше денег тем более вы интересны конкурентам!
 
Это элементарные правила цифровой гигиены, применимые не только к опенкарт, соблюдая которые вы сможете заниматься своими делами, а не беганием по форумам и фриланс-биржам с вопросом что же теперь делать!
 
Будьте внимательны и бдительны, это ваше бабло и репутация!
 
 
Кто дочитал - всем спасибо за внимание, ваш spectre

Не хочу никого обидеть, но выскажу своё мнение касаемо шаблона.
 
1) Хороший адаптивный шаблон, который почти на весь экран при разрешении full hd.
2) Большое количество полезных модулей, которые идут из коробки, не нужно наваливать кучу разных модулей, практически все необходимое есть в шаблоне.
3) Удобная настройка шаблона, сталкивался с шоп стор, там нужно знать как минимум html код чтобы настроить, тут же все просто и понятно.
4) Если наполнить магазин всей инфой, то выглядит очень даже хорошо.
 
Теперь про минусы.
 
1) Не завелся сразу на opencart.pro, ну это может я рукожоп, но ручная установка не получилась, пришлось писать в саппорт, но решили нормально, в течении дня сделали.
2) Не заработал Mega Filter и вот тут начался ад как по мне, я написал в поддержку в сб, уже сегодня вторник, вопрос так и не решился, попросили доступы на фтп и на этом все закончилось, в понедельник написал, спросил как успехи, ничего не ответили. Т.е. четвертый день, а проблема не решена, пришлось писать в поддержку мега фильтра, вопрос уже решают.
 
 
Итого: Хороший шаблон со странной поддержкой, так что будьте готовы к тому, что разработка магазина затянется.
 
P.S: Пока не все проверил, шаблон только попал ко мне, по мере возможности буду дополнять этот пост.

Думаю кому-нибудь пригодится. Победил я эту проблему, вот содержимое рабочего варианта:


RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

# 1.To use URL Alias you need to be running apache with mod_rewrite enabled.

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com

Options +FollowSymlinks

# Prevent Directoy listing
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "\.(tpl|ini|log)">
Order deny,allow
Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/

RewriteBase /
RewriteRule ^sitemap.xml$ index.php?route=feed/google_sitemap [L]
RewriteRule ^googlebase.xml$ index.php?route=feed/google_base [L]
RewriteRule ^download/(.*) /index.php?route=error/not_found [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !.*\.(ico|gif|jpg|jpeg|png|js|css)
RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

### Additional Settings that may need to be enabled for some servers
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none