COVID2019 и это вот все. Друзья, вся эта история начинает плохо пахнет. Мойте руки, не ходите в люди. Отложите все плановые покупки и положите в носок заначку. Заприте ваших родителей, бабушек-дедушек на даче. Лучше перебдеть чем недобдеть. Берегите себя!

Безопасность в Opencart (обновляемая)


RHCk

Recommended Posts

  • RHCk changed the title to Безопасность в Opencart (обновляемая)

вот к стати имеет ли смысл прятать пути админки как написано в блоге или использовать типа такого модуля https://opencartforum.com/files/file/3462-admin-login-page-guard/

ПС Может в этой теме еще размещать потенциально опасные модули

Ссылка на комментарий
Поделиться на других сайтах

  В 15.11.2016 at 16:32, Nameless сказал:

вот кстати имеет ли смысл прятать пути админки

Expand  

Возможна несовместимость с устанавливаемыми модулями, которые ожидают админку тут - admin.

Ещё она будет видна в robots.txt, когда вы её закроете от индексации ПС.

  В 15.11.2016 at 16:32, Nameless сказал:

Может в этой теме еще размещать потенциально опасные модули

Expand  

Удобнее отдельной.

Ссылка на комментарий
Поделиться на других сайтах

  В 15.11.2016 at 17:57, RHCk сказал:

Возможна несовместимость с устанавливаемыми модулями, которые ожидают админку тут - admin.

Ещё она будет видна в robots.txt, когда вы её закроете от индексации ПС.

Expand  

 

в том и вопрос стоит ли игра свеч или не заморачиваться с такими выкрутасами?

Ссылка на комментарий
Поделиться на других сайтах

  В 16.11.2016 at 05:34, Yoda сказал:

Не надо ничего переименовывать. Зачем себе наживать лишний гемор ?

Expand  

он не переименовывает и не меняет место, изменяется урл

Ссылка на комментарий
Поделиться на других сайтах

  В 16.11.2016 at 05:38, Yoda сказал:

Самое лучшее средство - блок по айпи)))))

А еще лучше - разносить на разные виртуалхосты фронт  и админ)

 

Expand  

 

надеюсь уважаемый Yoda поделиться че как что бы это сделать

Ссылка на комментарий
Поделиться на других сайтах

Переименовал админку, в роботсе не закрывал за два года нигде она не засветилась. Все модули работают отлично, окмоду вообще все равно как админка названа.
 

Ссылка на комментарий
Поделиться на других сайтах

  В 15.11.2016 at 10:02, RHCk сказал:

в которых присутствуют закодированные base64 элементы.

Expand  

 

  Показать содержимое

 

нашел у себя такую бяку

при помощи сканирования линков в посоветованной @Yoda проге Xenu 
что это может значить?
что делать?

при чем файлов таких нет.... урлов тоже.... ссылка идет из файла: catalog/view/css/magic360.css (этот модуль у меня триальный), может быть из-за этого?

Ссылка на комментарий
Поделиться на других сайтах

  • 2 weeks later...
  В 15.11.2016 at 10:02, RHCk сказал:

1.1 При установке меняем префикс базы данных на другой - например "ос_" на "sn_" (и помним об этом).

Expand  

А если магаз установлен, можно как-то сменит префикс?

Ссылка на комментарий
Поделиться на других сайтах

  В 29.11.2016 at 23:14, StavEXpert сказал:

А если магаз установлен, можно как-то сменит префикс?

Expand  

импортируйте базу

поменяйте в блокноте значения oc_ на то что надо

экспортируйте обратно

в конфигах поменяйте

Ссылка на комментарий
Поделиться на других сайтах

  В 30.11.2016 at 00:34, spown сказал:

импортируйте базу

поменяйте в блокноте значения oc_ на то что надо

экспортируйте обратно

в конфигах поменяйте

Expand  

Имелось в виду экспортировать (выгрузить), проделать все проделки и импортировать (загрузить обратно) :)

Ссылка на комментарий
Поделиться на других сайтах

  В 30.11.2016 at 06:28, RHCk сказал:

Имелось в виду экспортировать (выгрузить), проделать все проделки и импортировать (загрузить обратно) :)

Expand  

ну да, слова наоборот 

утро было, спал )

Ссылка на комментарий
Поделиться на других сайтах

  • 1 month later...
  В 15.11.2016 at 10:02, RHCk сказал:

2.1 После установки отключаем вывод ошибок на "морду" магазина (Система -> Настройки -> Редактировать -> Вкладка Сервер -> Раздел Безопасность -> Ключ шифрования -> С помощью генераторов из п-та 1.2 генерируем новый (длина 1024).

Expand  

 

При генерировании ключа (1024) и вставки в панель управления магазином получаю следующее сообщение.

 

 

 

Ссылка на комментарий
Поделиться на других сайтах

  • 1 month later...
  В 15.11.2016 at 10:02, RHCk сказал:

4.4 В коренвом каталоге сайта должны быть только следующие файлы:хуйнаныр

Expand  

А можно чтоб в корне лежали xml-файлы для яндекса и других агрегаторов? Или обязательно их нужно убрать в папаку export?

  В 15.11.2016 at 10:02, RHCk сказал:

Дополнения от @Yoda

 

  • делайте бекапы в хард моде
  • с сервера надо удалить phpmyadmin
  • отрубить в контроллере product метод upload
  • удалить станадртный бекапер базы данных
  • добавить в cache download, и еще там куда рука дотянется
  • htaccess, которые запрещают выполнение php
  • включить mod_security
  • для 1.5 критично поменять secret
  • не должно быть никаких админеров
  • ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess

ыр

Expand  

1. Не подскажете - что такое делать  бэкапы в хард моде? В гугле хард мод - только компьютерная игра какая-то :)

2. Хостинг ukraine.com.ua - я ж не могу там удалить phpmyadmin?

3. метод upload  в контроллере product и станадртный бекапер базы данных - уже выпилян в OpenCart.Pro 2.1? Или нужно самому?

4. добавить в cache download, и еще там куда рука дотянется - этот пункт вообще не понял о чем речь идет

5. htaccess, которые запрещают выполнение php - можно пример? Это же в каких то только конкретных папках? Или всех кроме Index.php в корне?

6. ошибки должны быть выключены на всех уровнях, в админке, на серверном, в htaccess - можно узнать подробнее как это сделать на серверном, в htaccess

  В 16.11.2016 at 06:59, Yoda сказал:

Во всех остальных случах, регулярные полные бекапы к себе на домашний комп вместе с каким нить облаком - наше все.

Expand  

Расскажите, пожалуйста, как это организовать в автоматическом режиме. Недавно узнал что через cron можно с помощью Sypex Dumper 2 делать автоматические регулярные бэкапы. Но как потом быть с дампом БД? Посылать кроном на почту аттачем? А как автоматически в облако выложить? Это возможно?

Ссылка на комментарий
Поделиться на других сайтах

  • 3 months later...
  В 15.11.2016 at 10:02, RHCk сказал:

#opencartsecurity #безопасностьвопенкарт #хуйнаныр

 

Expand  

Недавно у тех поддержки «Siteguarding.com» спросил есть ли у них подобное «WordPress User Access Notification» бесплатное решение сигналки, но для Opencart Pro.  Удивительно, через несколько дней пришло письмо с предложением попробовать  только что выставленный новый плагин «OpenCart User Access Notification».  Попробовал загрузить через окмод,  но система в админке запросила включение FTP. С фиксом что-то не понял. Решил раскидать  файлы ручками,  в модулях плагин появился, активировал, но ожидаемого результата не получил.  То есть не сигналит на почту. Может кто знающий глянет, подскажет в чём дело?

 

https://www.siteguarding.com/en/opencart-user-access-notification

Ссылка на комментарий
Поделиться на других сайтах

  • 3 months later...

здравствуйте. После того как сделал защиту админки .htpassw нужно ли в общий  .htaccess всего сайта вписывать запрет на доступ к файлам начинающимся с точки
RedirectMatch 403 /\..*$

Ссылка на комментарий
Поделиться на других сайтах

  • 11 months later...
  В 15.11.2016 at 10:02, RHCk сказал:

4.3 ВАЖНО! Регулярно меняйте пароли (не реже раза в три месяца) ко всем учётным записям (админка

 

Expand  

 

Подскажите, пожалуйста - а логин пользователей админки - тоже нужно менять не реже 1 раза в 3 месяца? Или его можно оставить постоянным, а менять только пароль?

 

  В 15.11.2016 at 10:02, RHCk сказал:

3.3 В .htaccess должен присутствовать запрет на чтение файлов/каталогов(папок) с "." (точкой) в начале имени:

RedirectMatch 403 /\..*$
Expand  

Этот запрет В .htaccess - зачем нужен? Хотел для себя выяснить - не понял.

 

 

Спасибо!

Ссылка на комментарий
Поделиться на других сайтах

  • 2 months later...
  • 3 weeks later...
  • 1 month later...
  • 4 months later...
  Показать содержимое

подскажите, пожалуйста, этот код в файле .htaccess  в корне закрывает доступ?

И 2 . что означает этот файл editprod.php в корне сайта, стоит модуль editor++

Ссылка на комментарий
Поделиться на других сайтах

  • 4 months later...

Файлам /config.php и admin/config.php надо задать права доступа 0644 ?

 

И еще такой вопрос, актуален ли способ?

перенести админку в .htaccess

RewriteCond %{HTTP_REFERER} !http://site/admin/
RewriteCond %{QUERY_STRING} !^123456789
RewriteRule ^.*admin/? /not_found [R,L]

выйдет http://site/admin/?123456789

 

 И ещё, подскажите пож. как это реализовать 

  В 15.11.2016 at 10:02, RHCk сказал:

3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода.

Expand  

 

А в какой пунк надо вставлять?

После RewriteEngine On или RewriteBase

  В 15.11.2016 at 10:02, RHCk сказал:

edirectMatch 403 /\..*$

Expand  


 

Ссылка на комментарий
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вы вставили отформатированное содержимое.   Удалить форматирование

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.