Поиск по сайту

Результаты поиска по тегам 'безопасность'.

  • Поиск по тегам

    Введите теги через запятую.
  • Поиск по автору

Тип публикаций


Категории и разделы

  • Релизы
    • Анонсы
    • Сообщения об ошибках
    • Предложения и пожелания
    • Перевод
    • Информация
  • Поддержка
    • HOW TO
    • Общие вопросы
    • Шаблоны и внешний вид магазина
    • SEO
  • Модули, шаблоны, дополнения
    • Модули
    • Шаблоны
    • Wanted
  • Реклама
    • Google Adwords
    • Яндекс Директ
  • Стол заказов
    • Мастеровые
    • Разработка интернет магазина под ключ
    • Разработка Модулей
    • Разработка Дополнительного Функционала
    • Разработка Дизайна и Шаблонов
    • Разные работы по существующему магазину
  • Доска почёта
    • Хвастаемся своими магазинами
    • Хвалим / Ругаем Исполнителей
  • Разное
    • Курилка
    • Хостинг
  • Песочница
    • Проблемы с установкой настройкой движка
    • Часто задаваемые вопросы
  • Настройка, оптимизация, безопасность
    • Безопасность магазинов на Opencart
    • Тонкая настройка и оптимизация магазинов

Искать результаты в...

Искать результаты, которые...


Дата создания

  • Начало

    Конец


Последнее обновление

  • Начало

    Конец


Фильтр по количеству...

Зарегистрирован

  • Начало

    Конец


Группа


AIM


MSN


Website URL


ICQ


Yahoo


Jabber


Skype


Location


Interests

Найдено 5 результатов

  1. UPD ПРАВИЛА ТЕМЫ: Тема создана для описания основ безопасности CMS Opencart. Если что-то упустил, пишите. 0. ВАЖНО! Перед началом любых экспериментов делаем бэкап файлов и базы сайта!!! 1. Установка 1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом). 1.2 Логин для админки НЕ должен быть admin! Пароль админки должен быть сложным, который содержит как минимум заглавные, строчные символы и цифры. Для этого пользуем генераторы паролей (они есть практически в любом менеджере паролей, также бывают отдельными программами). Онлайн генераторы от @savage4pro - тут и здесь. 1.3 После установки или обновления CMS обязательно удаляем каталог install. 1.4 Очень часто взлом и заражение ИМ происходит через соседей (устаревшие или не обновленные CMS в одном аккаунте с ИМ). Важно помнить - в одном аккаунте один магазин. 2. Настройка CMS 2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024). 2.2 Там же отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Обработка ошибок -> Показывать ошибки -> НЕТ). Включать вывод ошибок нужно по необходимости - установка нового модуля, изменение функционала и т.д. (помним про п-кт 0). 2.3 Часто, перед покупкой или установкой модулей, разработчики предлагают проверить соответствие вашего хостинга требованиям модуля. В корневой каталог сайта копируется info.php, заходим по адресу <сайт>/info.php видим инфу, определяемся с модулем и удаляем файл info.php, дабы не оставлять подсказку разным негодяям. 2.4 Пользователям, на сайтах которых настроен обмен, следует проверить недоступность снаружи следующих адресов: domain.com/system/storage/cache/exchange1c/import.xml domain.com/system/storage/cache/exchange1c/offers.xml domain.com/system/storage/cache/exchange1c/orders.xml 2.5 ВАЖНО! Присутствующие на сайте тяжелые скрипты (если имеются), такие как парсеры, генераторы карт и прайс-листов, и т.д., не должны быть доступны всем подряд извне. 3. Настройка хостинга 3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода. Видел модуль, добавляющий капчу от Гоши в форму авторизации админки. Штука полезная, ибо усложняет процесс сбручивания пароля разными кулхацкерами. 3.2 При установке CMS, добавлении функционала, установке модулей (предоставления доступа к файлам CMS разработчикам модулей и т.д.) требуется доступ к хостингу по FTP (SFTP). Для таких случаев создаем отдельные учётные записи на хостинге, с доступом только к необходимым ресурсам. Требования к учётной записи те же, что и в пункте 1.2. ВАЖНО! После проведения работ обязательно отключаем доступ по FTP. Об этом забывают 90% будущих Рокфеллеров. 3.3 В .htaccess должен присутствовать запрет на чтение файлов/каталогов(папок) с "." (точкой) в начале имени: RedirectMatch 403 /\..*$ 4. Периодические мероприятия 4.1 ВАЖНО! Необходимо регулярно делать бэкапы. Чем чаще делаются бэкапы, тем меньши информации будет потеряно в случае форс-мажора. Есть шутка "Админы делятся на две группы - на тех, кто не делает бэкапы и тех, кто уже делает". Бэкап файлов делаем с помощью FileZilla (или архивируем хостингом, а забираем ей же). Бэкап базы делаем с помощью Sypex Dumper 2. 4.2 ВАЖНО! Категорически нельзя складывать бэкапы в каталог (папку) сайта! Поэтому все бэкапы (архивы бэкапов) забираем с хостинга. Место для хранения бэкапов подбирается из расчета хранения 10 архивов: 1 ежемесячный, 3 еженедельных, 6 ежедневных. 4.3 ВАЖНО! Регулярно меняйте пароли (не реже раза в три месяца) ко всем учётным записям (админка, ftp и т.д.) и базам данных! Пароль к базе данных хранится в двух файлах config.php (из корня и в папке admin) в следующей записи: define('DB_PASSWORD', '7EJCE9vIAEfGExueZ3vn'); где 7EJCE9vIAEfGExueZ3vn - есть пароль. 4.4 ВАЖНО! Регулярно проверяем кроневой каталог и папки cache и download на предмет посторонних файлов. Особое внимание уделяем файлам, в которых присутствуют закодированные base64 элементы. В коренвом каталоге сайта должны быть только следующие файлы: В планах: P.S. Данная инструкция была написана при поддержке @savage4pro и @Yoda. P.P.S. #opencartsecurity #безопасностьвопенкарт #хуйнаныр
  2. В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. В связи с этим, по моим данным, около 10-15% популярных шаблонов и содержат в себе потенциальные уязвимости. С теми, у кого у меня есть прямая связь, в частном порядке мы закрываем эти дыры с уведомлением покупателей. Но со многими я просто физически не могу связаться, так как они отказываются идти на контакт. Поэтому давайте сделаем наши магазины безопаснее вместе. Вот очень полезная статья с большим набором заплаток от разного рода попыток взлома сайтов. Она правда для WP, но по сути техники взлома не сильно отличаются. https://perishablepress.com/6g/ Для продвинутых пользователей, там все достаточно ясно-понятно. Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Подробное описание у меня в блоге.
  3. Тут выносилась на обсуждение очень интересная идея. Как по мне - так очень нужная весчь. И первый же коммент про аналог Wordfence для WP вполне интересный... Идею "этой поделки" все-таки забросил или нет? Может есть какие-то альтернативы?
  4. Здравствуйте уважаемые друзья, коллеги! Вчера получил сообщение такого рода "Chrome будет помечать сайты, работающие по HTTP, как небезопасные" Хотелось бы знать Ваше мнение по этому поводу: кто и где покупал сертификаты SSL ? стоит ли вообще заморачиваться с этой темой, по крайней мере пока может проще гуглом не пользоваться с чем придется столкнуться с переходом на https ? да и вообще, кто помощью, кто советом поможет
  5. Всем привет! Немного наброшу о безопасности. Читать здесь. Статья будет полезна всем. Чуть более будет полезна тем, кто сначала покупает модули, а потом расспрашивает о них. Крайне полезна комрадам, которые думают "сейчас поставлю nulled, а как взлетит, сразу куплю". Ну и для тех, кто ищет небесплатной помощи на fl и т.д. (кстати, интересный момент заметил, напишите fl в русской раскладке). P.S. C компанией Ревизиум немного работал, писал об этом здесь (ессессно не реклама, мало ли)