инструкция Безопасность в Opencart (обновляемая)

[RHCk]

UPD ПРАВИЛА ТЕМЫ:

Скрытый текст

>>>1.Правила темы:

Скрытый текст

1. Картинки (скриншоты) прячем под спойлер (пиктограмма Глаз).
2. Прежде чем задать вопрос, не поленитесь воспользоваться поиском по теме или прочитать несколько предыдущих страниц.
3. Если Вы написали сообщение и решили еще что-то добавить, не нужно писать второе сообщение сразу после него. Нажмите "Изменить" под Вашим сообщением и допишите.
4. Не нужно писать шрифтами большого размера и выделять жирным - всё и без этого прекрасно видно!
5. Недопустим оверквотинг (избыточное цитирование). Не нужно цитировать весь текст сообщения, на которое вы отвечаете. Выделите нужную часть и нажмите на всплывающую надпись "Цитировать".
6. Не злоупотребляем знаками препинания (используем согласно правилам русского ЛИТЕРАТУРНОГО языка) "!!!" "???" "........." - так нельзя!
7. Не используем всякие "ыыыыы", "гыыыы", "муууу" и так далее. Кстати вот "тааааак" тоже нельзя.
8. и ТаК пИсАтЬ НеЛьЗя!
9. Различные сленги недопустимы (в том числе олбанский, подонкофский, няшный ^^ и т.д.).

>>>2.Правила оформления сообщения (рекомендации):

Скрытый текст

При написании сообщения об ошибке, указывайте следующую информацию:

1. Хостинг. Shared или VDS/VPS.
2. Какая у вас сборка (движок).
3. Версия движка.
4. Какой шаблон установлен. Если платный, должна быть лицензия. С варезом можно не писать.
5. Какие модули установлены.
6. Точное описание последовательности действий, чтобы получить ошибку.
7. В особо тяжелых случаях может потребоваться адрес сайта. Однако ни что не мешает указывать его сразу.

ПОЛЕЗНО! Если на ваше сообщение не обращают внимание, возможно вы указали не всю информацию, проверьте себя.

>>>3."Почему моё сообщение удалили?"

Скрытый текст

1. Сообщение, не несёт в себе смысловую нагрузку.
2. Неинформативное сообщение, односложный ответ.
3. Неполный, неверный, дублирующий ответ.
4. Комментарий на ответы ("Я тоже так делаю", "Ага, и у меня так" и т.п.).
5. Сообщение, не относится к теме.
6. Сообщение, провоцирует флуд.

>>>ПОЛЕЗНО! Дополнительная информация:

Скрытый текст

1. Для выражения благодарности создана система репутации (посты-респекты захламляют тему).
2. Все свои ХОТЕЛКИ ("Я хочу чтобы было так...", "Будет лучше вот так..." ) дружно оформляем в разделе 'Предложения и пожелания'.
3. ***Посты не особо понятливых пользователей могут быть удалены без уведомления, но с выдачей предупреждения.

 

 

Тема создана для описания основ безопасности CMS Opencart.

Если что-то упустил, пишите.

 

0. ВАЖНО! Перед началом любых экспериментов делаем бэкап файлов и базы сайта!!!

1. Установка

1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом).

1.2 Логин для админки НЕ должен быть admin! Пароль админки должен быть сложным, который содержит как минимум заглавные, строчные символы и цифры. Для этого пользуем генераторы паролей (они есть практически в любом менеджере паролей, также бывают отдельными программами). Онлайн генераторы от @savage4pro - тут и здесь.

1.3 После установки или обновления CMS обязательно удаляем каталог install.

1.4 Очень часто взлом и заражение ИМ происходит через соседей (устаревшие или не обновленные CMS в одном аккаунте с ИМ). Важно помнить - в одном аккаунте один магазин.

 

2. Настройка CMS

2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024).

2.2 Там же отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Обработка ошибок -> Показывать ошибки -> НЕТ). Включать вывод ошибок нужно по необходимости - установка нового модуля, изменение функционала и т.д. (помним про п-кт 0).

2.3 Часто, перед покупкой или установкой модулей, разработчики предлагают проверить соответствие вашего хостинга требованиям модуля. В корневой каталог сайта копируется info.php, заходим по адресу <сайт>/info.php видим инфу, определяемся с модулем и удаляем файл info.php, дабы не оставлять подсказку разным негодяям.

2.4 Пользователям, на сайтах которых настроен обмен, следует проверить недоступность снаружи следующих адресов:

domain.com/system/storage/cache/exchange1c/import.xml
domain.com/system/storage/cache/exchange1c/offers.xml
domain.com/system/storage/cache/exchange1c/orders.xml

2.5 ВАЖНО! Присутствующие на сайте тяжелые скрипты (если имеются), такие как парсеры, генераторы карт и прайс-листов, и т.д., не должны быть доступны всем подряд извне.

 

3. Настройка хостинга

3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода.

Видел модуль, добавляющий капчу от Гоши в форму авторизации админки. Штука полезная, ибо усложняет процесс сбручивания пароля разными кулхацкерами.

3.2 При установке CMS, добавлении функционала, установке модулей (предоставления доступа к файлам CMS разработчикам модулей и т.д.) требуется доступ к хостингу по FTP (SFTP). Для таких случаев создаем отдельные учётные записи на хостинге, с доступом только к необходимым ресурсам. Требования к учётной записи те же, что и в пункте 1.2.

ВАЖНО! После проведения работ обязательно отключаем доступ по FTP. Об этом забывают 90% будущих Рокфеллеров.

3.3 В .htaccess должен присутствовать запрет на чтение файлов/каталогов(папок) с "." (точкой) в начале имени:

RedirectMatch 403 /\..*$

 

4. Периодические мероприятия

4.1 ВАЖНО! Необходимо регулярно делать бэкапы. Чем чаще делаются бэкапы, тем меньши информации будет потеряно в случае форс-мажора. Есть шутка "Админы делятся на две группы - на тех, кто не делает бэкапы и тех, кто уже делает".

Бэкап файлов делаем с помощью FileZilla (или архивируем хостингом, а забираем ей же). Бэкап базы делаем с помощью Sypex Dumper 2.

4.2 ВАЖНО! Категорически нельзя складывать бэкапы в каталог (папку) сайта! Поэтому все бэкапы (архивы бэкапов) забираем с хостинга. Место для хранения бэкапов подбирается из расчета хранения 10 архивов: 1 ежемесячный, 3 еженедельных, 6 ежедневных.

4.3 ВАЖНО! Регулярно меняйте пароли (не реже раза в три месяца) ко всем учётным записям (админка, ftp и т.д.) и базам данных! Пароль к базе данных хранится в двух файлах config.php (из корня и в папке admin) в следующей записи:

define('DB_PASSWORD', '7EJCE9vIAEfGExueZ3vn');
где 7EJCE9vIAEfGExueZ3vn - есть пароль.

4.4 ВАЖНО! Регулярно проверяем кроневой каталог и папки cache и download на предмет посторонних файлов. Особое внимание уделяем файлам, в которых присутствуют закодированные base64 элементы.

В коренвом каталоге сайта должны быть только следующие файлы:

Скрытый текст

• .htaccess
• config.php
• crossdomain.xml
• favicon.ico
• index.php
• php.ini
• robots.txt
• верификационные файлы в html-формате (google_*.html, yandex_*.html, wmail_*.html и т.д.)

 

В планах:

Скрытый текст

Установка

• префикс базы
• учетная запись админки
• вывод ошибок
• о вреде соседей

Настройка CMS

• очистка корневого каталога (info.php, бэкапы)

Настройка хостинга

• доступ в админку по IP (.htaccess)
• доступ по FTP

Периодические мероприятия

• бэкапы
• смена паролей
• доступ по FTP
• очистка корневого каталога (info.php, бэкапы)
• проверка download и cache на предмет странных файлов

 

Дополнения от @Yoda

• делайте бекапы в хард моде
• с сервера надо удалить phpmyadmin
• отрубить в контроллере product метод upload
• удалить станадртный бекапер базы данных
• добавить в cache download, и еще там куда рука дотянется
• htaccess, которые запрещают выполнение php
• включить mod_security
• для 1.5 критично поменять secret
• не должно быть никаких админеров
• ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess

 

P.S. Данная инструкция была написана при поддержке @savage4pro и @Yoda.

P.P.S. #opencartsecurity #безопасностьвопенкарт #хуйнаныр

 

[Nameless]

вот к стати имеет ли смысл прятать пути админки как написано в блоге или использовать типа такого модуля https://opencartforum.com/files/file/3462-admin-login-page-guard/

ПС Может в этой теме еще размещать потенциально опасные модули

[RHCk]

1 час назад, Nameless сказал:

вот кстати имеет ли смысл прятать пути админки

Возможна несовместимость с устанавливаемыми модулями, которые ожидают админку тут - admin.

Ещё она будет видна в robots.txt, когда вы её закроете от индексации ПС.

1 час назад, Nameless сказал:

Может в этой теме еще размещать потенциально опасные модули

Удобнее отдельной.

[Nameless]

11 час назад, RHCk сказал:

Возможна несовместимость с устанавливаемыми модулями, которые ожидают админку тут - admin.

Ещё она будет видна в robots.txt, когда вы её закроете от индексации ПС.

 

в том и вопрос стоит ли игра свеч или не заморачиваться с такими выкрутасами?

[Blade]

а вот такая штука опасна/не нужна/хорошая ?

 

change-admin-url.ocmod.xml

[Blade]

Только что, Yoda сказал:

Не надо ничего переименовывать. Зачем себе наживать лишний гемор ?

он не переименовывает и не меняет место, изменяется урл

[Nameless]

51 минуту назад, Yoda сказал:

Самое лучшее средство - блок по айпи)))))

А еще лучше - разносить на разные виртуалхосты фронт  и админ)

 

 

надеюсь уважаемый Yoda поделиться че как что бы это сделать

[Kagaris]

Переименовал админку, в роботсе не закрывал за два года нигде она не засветилась. Все модули работают отлично, окмоду вообще все равно как админка названа.
 

[ArtemAMA]

В 15.11.2016 at 13:02, RHCk сказал:

в которых присутствуют закодированные base64 элементы.

 

Скрытый текст

 

нашел у себя такую бяку

при помощи сканирования линков в посоветованной @Yoda проге Xenu 
что это может значить?
что делать?

при чем файлов таких нет.... урлов тоже.... ссылка идет из файла: catalog/view/css/magic360.css (этот модуль у меня триальный), может быть из-за этого?

[RHCk]

14 минуты назад, ArtemAMA сказал:

нашел у себя такую бяку

Ещё с помощью base64 кодируют картинки, встраивая их в код страницы (строка 3 и 4).

По первым двум строкам - ради интереса, попробуйте скормить код онлайновым декодерам.

[StavEXpert]

В 15.11.2016 at 13:02, RHCk сказал:

1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом).

А если магаз установлен, можно как-то сменит префикс?

[Blade]

1 час назад, StavEXpert сказал:

А если магаз установлен, можно как-то сменит префикс?

импортируйте базу

поменяйте в блокноте значения oc_ на то что надо

экспортируйте обратно

в конфигах поменяйте

[RHCk]

5 часов назад, spown сказал:

импортируйте базу

поменяйте в блокноте значения oc_ на то что надо

экспортируйте обратно

в конфигах поменяйте

Имелось в виду экспортировать (выгрузить), проделать все проделки и импортировать (загрузить обратно)

[Blade]

Только что, RHCk сказал:

Имелось в виду экспортировать (выгрузить), проделать все проделки и импортировать (загрузить обратно)

ну да, слова наоборот 

утро было, спал )

[vSHADOWv]

В 15.11.2016 at 13:02, RHCk сказал:

2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024).

 

При генерировании ключа (1024) и вставки в панель управления магазином получаю следующее сообщение.

 

 

 

[sadko]

В 15.11.2016 at 13:02, RHCk сказал:

4.4 В коренвом каталоге сайта должны быть только следующие файлы:хуйнаныр

А можно чтоб в корне лежали xml-файлы для яндекса и других агрегаторов? Или обязательно их нужно убрать в папаку export?

В 15.11.2016 at 13:02, RHCk сказал:

Дополнения от @Yoda

 

• делайте бекапы в хард моде
• с сервера надо удалить phpmyadmin
• отрубить в контроллере product метод upload
• удалить станадртный бекапер базы данных
• добавить в cache download, и еще там куда рука дотянется
• htaccess, которые запрещают выполнение php
• включить mod_security
• для 1.5 критично поменять secret
• не должно быть никаких админеров
• ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess

ыр

1. Не подскажете - что такое делать  бэкапы в хард моде? В гугле хард мод - только компьютерная игра какая-то

2. Хостинг ukraine.com.ua - я ж не могу там удалить phpmyadmin?

3. метод upload  в контроллере product и станадртный бекапер базы данных - уже выпилян в OpenCart.Pro 2.1? Или нужно самому?

4. добавить в cache download, и еще там куда рука дотянется - этот пункт вообще не понял о чем речь идет

5. htaccess, которые запрещают выполнение php - можно пример? Это же в каких то только конкретных папках? Или всех кроме Index.php в корне?

6. ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess - можно узнать подробнее как это сделать на серверном, в htaccess

В 16.11.2016 at 09:59, Yoda сказал:

Во всех остальных случах, регулярные полные бекапы к себе на домашний комп вместе с каким нить облаком - наше все.

Расскажите, пожалуйста, как это организовать в автоматическом режиме. Недавно узнал что через cron можно с помощью Sypex Dumper 2 делать автоматические регулярные бэкапы. Но как потом быть с дампом БД? Посылать кроном на почту аттачем? А как автоматически в облако выложить? Это возможно?

[Apoka]

В 15.11.2016 at 13:02, RHCk сказал:

#opencartsecurity #безопасностьвопенкарт #хуйнаныр

 

Недавно у тех поддержки «Siteguarding.com» спросил есть ли у них подобное «WordPress User Access Notification» бесплатное решение сигналки, но для Opencart Pro.  Удивительно, через несколько дней пришло письмо с предложением попробовать  только что выставленный новый плагин «OpenCart User Access Notification».  Попробовал загрузить через окмод,  но система в админке запросила включение FTP. С фиксом что-то не понял. Решил раскидать  файлы ручками,  в модулях плагин появился, активировал, но ожидаемого результата не получил.  То есть не сигналит на почту. Может кто знающий глянет, подскажет в чём дело?

 

https://www.siteguarding.com/en/opencart-user-access-notification

[beliy1973]

здравствуйте. После того как сделал защиту админки .htpassw нужно ли в общий  .htaccess всего сайта вписывать запрет на доступ к файлам начинающимся с точки
RedirectMatch 403 /\..*$

[sadko]

В 15.11.2016 at 12:02, RHCk сказал:

4.3 ВАЖНО! Регулярно меняйте пароли (не реже раза в три месяца) ко всем учётным записям (админка

 

 

Подскажите, пожалуйста - а логин пользователей админки - тоже нужно менять не реже 1 раза в 3 месяца? Или его можно оставить постоянным, а менять только пароль?

 

В 15.11.2016 at 12:02, RHCk сказал:

3.3 В .htaccess должен присутствовать запрет на чтение файлов/каталогов(папок) с "." (точкой) в начале имени:

RedirectMatch 403 /\..*$

Этот запрет В .htaccess - зачем нужен? Хотел для себя выяснить - не понял.

 

 

Спасибо!

[J-Oc]

А такой запрет на доступ к файлам имеет смысл прописать в .htaccess (в корне сайта)?

<FilesMatch "\. (php|tpl|txt\ini|log)$">
Deny from all
</FilesMatch>

 

[Dozent]

Вчера вечером меня ломанули через файл read.php в корне
 

[DELETED]

 

[001]

Поле ключа для шифрования использует не более 900 знаков. А должен бы 1024.

[svetlev]

Скрытый текст

<FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
 Require all denied
## For apache 2.2 and older, replace "Require all denied" with these two lines :
# Order deny,allow
# Deny from all
</FilesMatch>

подскажите, пожалуйста, этот код в файле .htaccess  в корне закрывает доступ?

И 2 . что означает этот файл editprod.php в корне сайта, стоит модуль editor++

[Yra]

Файлам /config.php и admin/config.php надо задать права доступа 0644 ?

 

И еще такой вопрос, актуален ли способ?

перенести админку в .htaccess

RewriteCond %{HTTP_REFERER} !http://site/admin/
RewriteCond %{QUERY_STRING} !^123456789
RewriteRule ^.*admin/? /not_found [R,L]

выйдет http://site/admin/?123456789

 

 И ещё, подскажите пож. как это реализовать 

В 15.11.2016 at 13:02, RHCk сказал:

3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода.

 

А в какой пунк надо вставлять?

После RewriteEngine On или RewriteBase

В 15.11.2016 at 13:02, RHCk сказал:

edirectMatch 403 /\..*$