RHCk

Безопасность в Opencart (обновляемая)

Recommended Posts

А такой запрет на доступ к файлам имеет смысл прописать в .htaccess (в корне сайта)?

<FilesMatch "\. (php|tpl|txt\ini|log)$">
Deny from all
</FilesMatch>

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 10.12.2018 at 15:28, J-Oc сказал:

А такой запрет на доступ к файлам имеет смысл прописать в .htaccess (в корне сайта)?


<FilesMatch "\. (php|tpl|txt\ini|log)$">
Deny from all
</FilesMatch>

 

Да

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 28.12.2018 at 15:28, Dozent сказал:

Вчера вечером меня ломанули через файл read.php в корне
 


[DELETED]

 

Пожалуйста не выкладывайте скрипты иньекций. 

Я вам в личку написал почему так могло произойти.
Пользуйтесь инструкцией из первого поста топика, вероятность намного уменьшится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Скрытый текст

<FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
 Require all denied
## For apache 2.2 and older, replace "Require all denied" with these two lines :
# Order deny,allow
# Deny from all
</FilesMatch>

подскажите, пожалуйста, этот код в файле .htaccess  в корне закрывает доступ?

И 2 . что означает этот файл editprod.php в корне сайта, стоит модуль editor++

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Файлам /config.php и admin/config.php надо задать права доступа 0644 ?

 

И еще такой вопрос, актуален ли способ?

перенести админку в .htaccess

RewriteCond %{HTTP_REFERER} !http://site/admin/
RewriteCond %{QUERY_STRING} !^123456789
RewriteRule ^.*admin/? /not_found [R,L]

выйдет http://site/admin/?123456789

 

 И ещё, подскажите пож. как это реализовать 

В 15.11.2016 at 13:02, RHCk сказал:

3.1 Средствами .htaccess можно ограничить доступ в админку вводом дополнительных логина и пароля (.htpasswd) и возможностью входа только с определенного IP-адреса. Перед этим важно не забыть получить статический IP-адрес у своего интернет-провайдера. Если будет интерес, можно сделать подробное описание этого метода.

 

А в какой пунк надо вставлять?

После RewriteEngine On или RewriteBase

В 15.11.2016 at 13:02, RHCk сказал:

edirectMatch 403 /\..*$


 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вы вставили отформатированное содержимое.   Удалить форматирование

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Похожие публикации

    • Автор: RHCk
      ПРАВИЛА ТЕМЫ:
       
      UPD07.03.2018 Яндекс заменит директиву HOST на 301-й редирект - больше информации ЗДЕСЬ.
       
      Данная инструкция актуальна для Opencart.PRO и Opencart.CMS всех версий!
       
      0. ВАЖНО! Перед началом любых экспериментов не забываем делать бэкап файлов и базы данных сайта!!!
       
      1. Для перехода на SSL (HTTPS) нужен сертификат, получить его можно здесь:
      ВАЖНО! Сертификат от Let'sEncrypt помимо своей бесплатности с некоторого времени может быть WildCard, т.е. выдаваться для основоного домена - domain.tld и всех поддоменов *.domain.tld
      2. Далее необходимо установить сертификат на сервер или передать его хостинг-провайдеру, для установки на сервер (на котором размещен ваш сайт), либо активировать/сгенерировать его в ПУ хостинга/сервера. Более подробно о данной процедуре можно узнать у службы технической поддержки вашего хостинг-провайдера.
       
      3. Настраиваем CMS для работы с SSL.
      3.1 В файлах /config.php и admin/config.php делаем замены:
      3.2 Идём Система -> Настройки -> Редактировать -> Вкладка Сервер -> Использовать SSL: выбираем Да.
      3.3 Производим следующие действия в файле robots.txt:
      если sitemap вашего сайта не отдается фидом, добавляем в обе секции (User-agent: * и User-agent: Yandex) файла robots.txt директиву:
      Sitemap: httрs://mysite.com/sitemap.xml если sitemap вашего сайта отдается фидом, отдаем ПСам новый фид (на HTTPS).  
      4.  Далее необходимо настроить 301-й редирект с HTTP на HTTPS.
      Это можно сделать двумя способами:
      Включить редирект в ПУ хостинга/сервера (требуется проверка, что редирект 301-й) Добавить редирект в файл .htaccess  
      В виду того, что у разных хостинг-провайдеров разные настройки серверов, необходимо выбрать тот вариант редиректа, который будет работать, либо запросить рабочий вариант у вашего хостинг-провайдера. Как проверить работу редиректа читайте ниже.
      ВАЖНО! Подразумевается, что редирект с "с www" на "без www", или наоборот, у вас уже настроен. Если нет, смотрите здесь или в пункте 4.1.2.
      ВАЖНО! Изменения вносятся в файл .htaccess в корневом каталоге сайта.
      ВАЖНО! Редиректы в файле .htaccess необходимо добавлять сразу после строки с 'RewriteBase /'. Если не работает, попробуйте поставить выше, сразу после строки с  'RewriteEngine On'. О результатах экспериментов пишите в этой теме.
      4.1 Варианты редиректов:
      4.1.1 Редиректы от @Yoda:
      4.1.2 Редиректы от @savage4pro:
      4.1.3 Редиректы от Timeweb.ru:
      4.1.4 Редиректы для ukraine.com.ua:
      4.1.5 Редирект для masterhost.ru (говорим спасибо @Yoda здесь)
      4.1.6 Редирект для webhost1.ru:
      4.1.7 Редирект для связки nginx и Apache:
      4.1.8 Редирект для jino.ru:
      4.1.9 Редирект для hostpro.ua:
      4.1.10 Редирект для beget.ru (говорим спасибо @BuslikDrev здесь)
       
      5. Проверка. Чтобы проверить корректность работы произведенных изменений необходимо сделать следующее:
      5.1 Если у вас настроен редирект с "с www" на "без www"
      идём на сайт по HTTP с WWW, должны получить HTTPS без WWW; идём на сайт по HTTP без WWW, должны получить HTTPS без WWW; идём на сайт по HTTPS с WWW, должны получить HTTPS без WWW. 5.2 Если у вас настроен редирект с "без www" на "с www"
      идём на сайт по HTTP с WWW, должны получить HTTPS с WWW; идём на сайт по HTTP без WWW, должны получить HTTPS с WWW; идём на сайт по HTTPS без WWW, должны получить HTTPS с WWW. 5.3 Отдельно можно проверить как после всех изменений ваш сервер отдает статические файлы, например, фото товаров.
      Зайдите на страницу товара, скопируйте ссылку на фото товара, вставьте её в строку браузера и поэкспериментируйте согласно пунктам 5.1 - 5.2, и посмотрите по какому протоколу будет отдаваться статика. 
      5.4 У некоторых хостинг-провайдеров есть возможность включить редирект в ПУ. Тут следует обратить внимание на то, каким редиректом будет осуществляться переадресация - 301-м или 302-м. Нужен 301-й. Как посмотреть? Можно здесь, вкладка Details. Также показывает редирект Screaming Frog SEO Spider, браузер тоже показывает (F12). Пробуйте.
      5.5 Проверьте сайт на наличие ссылок по HTTP. Это могут быть ссылки в статьях или описаниях товаров. Необходимо изменить в них HTTP на HTTPS или сделать их относительными, т.е. без доменного имени сайта.
       
      6. Далее добавляем новый сайт на HTTPS в Вебмастеры ПС:
       
      7. Дополнительная информация:
      от Яши - здесь, здесь, здесь и здесь.  от Гоши - здесь и здесь.  
      ВАЖНО! Все внешние скрипты, стили, шрифты и прочие iframe должны подключаться строго по HTTPS и никак иначе!
      В противном случае получим кучу ошибок в консоли браузера и корявости на сайте. 
       
      ПОЛЕЗНО! Сервис для проверки поддержки сервером ALPN (требуется OpenSSL 1.0.2+) для переключения на HTTP/2 - KEYCDN
      ПОЛЕЗНО! Сервис для проверки установленного сертификата - SSLSHOPEER
      ПОЛЕЗНО! Сервис для проверки установленного сертификата - QUALYS SSL LABS
      ПОЛЕЗНО! Сервис для мониторинга доступности сайта - HOST-TRACKER
    • Автор: RHCk
      ВАЖНО! ТЕМА ЗАКРЫТА. ОБНОВЛЕННАЯ ИНСТРУКЦИЯ ДЛЯ ПЕРЕХОДА НА HTTPS - >>>ЗДЕСЬ<<<
       
      Правила Темы:
       
      UPD24.10.2016 Данная инструкция актуальна для Opencart.PRO и Opencart.CMS версий 2.1.0.2.2 и выше!
      UPD02.11.2016 Важное дополнение по Ukraine.com.ua от @Yoda в Пункте 10.2
      UPD08.01.2017 Дополнение от @markimax в Пункте 3.4 о том, нужно ли удалять модуль HTTP FIX после склейки зеркал.
      UPD04.02.2017 Добавлен Раздел 12 - Дополнение для версий 1.5.X.
      UPD28.02.2017 Добавлена информация для настройки обмена по HTTPS с программами от 1С - ЗДЕСЬ.
      UPD16.03.2017 Обновлен список авторизационных (удостоверяющих) центров (CA).
      UPD07.03.2018 Яндекс заменит директиву HOST на 301-й редирект - больше информации ЗДЕСЬ.
       
       
      0. ВАЖНО! Перед началом любых экспериментов не забываем делать бэкап файлов и базы сайта!!!
       
      1. Для перехода на SSL (HTTPS) нужен сертификат, получить его можно здесь:
       
      2. Далее необходимо установить сертификат на сервер, либо активировать его в ПУ, либо передать его хостинг-провайдеру для установки на сервер (на котором размещен ваш сайт). Более подробно о данной процедуре можно узнать у техподдержки хостера.
       
      3. Настраиваем CMS для работы с SSL.
      3.1 В файлах /config.php и admin/config.php делаем замены:
      3.2 Устанавливаем этот модуль. Отдельно благодарим комрадов @Yoda, @savage4pro и @markimax, которыми он был написан.
      Настройка CMS на данном этапе завершена.
      3.3 Дополнительная информация от @savage4pro о работе модуля:
      3.4 Нужно ли удалять модуль после склейки зеркал?
       
      4.  Далее необходимо настроить редирект с HTTP на HTTPS.
      Ситуация здесь двоякая, если сразу настроить редирект, в большинстве случаев позиции в выдаче ПС будут потеряны. Явление временное, но неприятное.
      Посему, согласно изысканиям и рекомендациям комрадов @Yoda и @savage4pro (если о ком-то не написал, отпишитесь, исправлю), с редиректом мы повременим до момента склейки зеркал сайта поисковиками (зеркала - сайт на HTTP и на HTTPS).
      Делаем следующее в файле robots.txt:
      если sitemap вашего сайта не отдается фидом, добавляем в обе секции (User-agent: * и User-agent: Yandex) файла robots.txt следующие директивы:
      Sitemap: httрs://mysite.com/sitemap.xml в секции для Яндекса (User-agent: Yandex) добавляем директиву Host: Host: https://<ваш_сайт> если sitemap вашего сайта отдается фидом, отдаем ПСам новый фид (по HTTPS); добавляем новый сайт на HTTPS в Вебмастеры ПС; наблюдаем и ждём момента когда главным зеркалом станет сайт на HTTPS и произойдёт склейка зеркал. Вебмастеры ПС:
       
      5. Добавляем в Вебмастеры Яндекса и Гугла HTTPS-версии вашего сайта. В Вебмастере Яндекса наблюдаем и ждём момента, когда зеркала будут склеены. Для тех у кого не очень много товаров в каталоге или много свободного времени идём Инструменты -> Переобход страниц и каждый день добавляем по 10 ссылок (с HTTPS), тем самым заставляя Яшу чуть быстрее индексировать ваш сайт по HTTPS.
       
      6. Дополнительная информация:
      от Яши - здесь и здесь от Гоши - здесь и здесь.  
      7. Когда склейка зеркал произошла, остается дело за малым - настроить редирект.
      7.1 Идём "Система -> Настройки -> Редактировать -> Вкладка Сервер -> Использовать SSL: выбираем Да. ДО склейки зеркал НЕ включаем.
      7.2 И тут, на мой взгляд, основные танцы с бубном. Обновленный seo_pro (с версии 2.1.0.2.2) позволяет избавиться от танцев с бубном вокруг .htaccess, делая внесение изменений в него не обязательными.
       
      Написать о результатах и задать вопрос можно в теме поддержки модуля.
       
      Если вы всё же приняли решение настроить редирект в .htaccess, для вас информация далее.
      В виду того, что у разных хостинг-провайдеров разные настройки серверов, необходимо выбрать тот вариант редиректа, который будет работать. Как проверить напишу чуть ниже.
      Важный момент! Подразумевается, что редирект с "с www" на "без www", или наоборот, у вас уже настроен. Если нет, смотрите здесь.
      ВАЖНО! Изменения вносятся в файл .htaccess в корневом каталоге сайта.
      ВАЖНО! Редиректы в файле .htaccess необходимо добавлять сразу после строки с 'RewriteBase /'. Если не работает, попробуйте поставить выше, сразу после строки с  'RewriteEngine On'. О результатах экспериментов пишите в этой теме.
      7.3 Варианты редиректов:
      7.3.1 Редиректы от @Yoda:
      7.3.2 Редиректы от @savage4pro:
      7.3.3 Редирект от Timeweb.ru:
      7.3.4 Редирект для Ukraine.com.ua:
      7.3.5 Редирект для Masterhost.ru (говорим спасибо @Yoda здесь?
      7.3.6 Редирект для webhost1.ru:
      7.3.7 Редирект для связки nginx и Apache:
      7.3.8 Редирект для jino.ru от @markimax:
       
      8. Проверка. Чтобы проверить корректность работы произведенных изменений необходимо сделать следующее:
      8.1 Если у вас настроен редирект с "с www" на "без www"
      идём на сайт по HTTP с WWW, должны получить HTTPS без WWW; идём на сайт по HTTP без WWW, должны получить HTTPS без WWW; идём на сайт по HTTPS с WWW, должны получить HTTPS без WWW. 8.2 Если у вас настроен редирект с "без www" на "с www"
      идём на сайт по HTTP с WWW, должны получить HTTPS с WWW; идём на сайт по HTTP без WWW, должны получить HTTPS с WWW; идём на сайт по HTTPS без WWW, должны получить HTTPS с WWW. 8.3 Отдельно можно проверить как после всех изменений ваш сервер отдает статические файлы, например, фото товаров.
      Зайдите на страницу товара, скопируйте ссылку на фото товара, вставьте её в строку браузера и поэкспериментируйте согласно пунктам 8.1 - 8.2, и посмотрите по какому протоколу будет отдаваться статика. 
      8.4 У некоторых хостинг-провайдеров есть возможность включить редирект в ПУ. Тут следует обратить внимание на то, каким редиректом будет осуществляться переадресация - 301-м или 302-м. Нужен 301-й. Как посмотреть? Можно здесь. Также показывает редирект Screaming Frog SEO Spider, браузер тоже показывает. Пробуйте.
      8.5 Проверьте сайт на наличие ссылок по HTTP. Это могут быть ссылки в статьях или описаниях товаров. Необходимо изменить в них HTTP на HTTPS или сделать их относительными, т.е. без доменного имени сайта.
       
      9. ВАЖНО! Все внешние скрипты, стили, шрифты и прочие iframe должны подключаться строго по HTTPS и никак иначе! В противном случае получим кучу ошибок в консоли браузера и корявости на сайте. 
       
      10. Решения для хостинг-провайдеров:
      10.1 Хостинг-провайдер Timeweb.ru:
      10.2 Хостинг-провайдер Ukraine.com.ua:
       
      ПОЛЕЗНО! Сервис для тестирования установленного сертификата QUALYS SSL LABS
       
      11. Небольшой эксперимент с инструментом "Переобход страниц":
      11.1 Сайт, около 600 товаров, переставил на HTTPS.
      11.2 В вебмастере Яндекса сделал "переезд на https" получил ответ, что скоро всё произойдёт. До сих пор жду.
      11.3 Добавил отдельно тот же сайт, но по HTTPS, так "Переобход" работает.
      11.4 Добавляю каждый день по 10 страниц (без повторений) в "Переобход страниц".
      11.5 Результат (И - страниц в индексе, П - страниц в поиске):
      11.6 Вывод - профит от инструмента ясен и понятен.
      P.S. Ну а если вы всё ещё ждёте Яшу в гости, ну что ж ждите
       
      12. Переход на HTTPS для OC версий 1.5.X
      12.0 См. Пункт 0 настоящей Инструкции.
      12.1 Устанавливаем сертификат (Пункт 1 настоящей Инструкции). На shared хостингах в ПУ хостинга все редиректы должны быть выключены.
      12.2 В файлах /config.php и admin/config.php делаем замены:
      12.3 Делаем следующее в файле robots.txt:
      если sitemap вашего сайта не отдается фидом, добавляем в обе секции (User-agent: * и User-agent: Yandex) файла robots.txt следующие директивы:
      Sitemap: httрs://mysite.com/sitemap.xml в секции для Яндекса (User-agent: Yandex) добавляем директиву Host: Host: https://<ваш_сайт> если sitemap вашего сайта отдается фидом, отдаем ПСам новый фид (по HTTPS); добавляем новый сайт на HTTPS в Вебмастеры ПС; наблюдаем и ждём момента когда главным зеркалом станет сайт на HTTPS и произойдёт склейка зеркал. 12.4 В .htaccess добавляем один из редиректов (обращаем внимание на комментарии):
      Редирект ставим между директивами RewriteEngine On и RewriteBase /
      Первая строка и нижние строки добавлены для ориентира.
      12.5 Идём Система -> Настройки -> Нажать 'Изменить' -> Вкладка 'Сервер' -> Использовать SSL выбираем ДА.
      12.6 Производим проверку согласно Раздела 8 настоящей инструкции.
       
      P.S. На некоторых хостингах (из-за настроек серверов) не работают, либо работают некорректно, редиректы в .htaccess. Можно поэкспериментировать с редиректами из Пунктов 7.3.1 и 7.3.3 настоящей Инструкции, попытаться запросить правильный редирект у хостинг-провайдера, или включить редиректы в ПУ хостинга (предварительно откатив все изменения касающиеся редиректов в .htaccess).
    • Автор: Gerik
      Здравствуйте уважаемые друзья, коллеги!
      Вчера получил сообщение такого рода 
      "Chrome будет помечать сайты, работающие по HTTP, как небезопасные"
       
      Хотелось бы знать Ваше мнение по этому поводу:
      кто и где покупал сертификаты SSL ?
      стоит ли вообще заморачиваться с этой темой, по крайней мере пока  может проще гуглом не пользоваться
      с чем придется столкнуться с переходом на https ?
      да и вообще, кто помощью, кто советом поможет 
    • Автор: StavEXpert
      Тут выносилась на обсуждение очень интересная идея.
      Как по мне - так очень нужная весчь. И первый же коммент про аналог Wordfence для WP вполне интересный...
      Идею "этой поделки" все-таки забросил или нет?
      Может есть какие-то альтернативы?
    • Автор: Yoda
      В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. В связи с этим, по моим данным, около 10-15% популярных шаблонов и содержат в себе потенциальные уязвимости. 
      С теми, у кого у меня есть прямая связь, в частном порядке мы закрываем эти дыры с уведомлением покупателей. 
      Но со многими я просто физически не могу связаться, так как они отказываются идти на контакт.
       
      Поэтому давайте сделаем наши магазины безопаснее вместе.
       
      Вот очень полезная статья с большим набором заплаток от разного рода попыток взлома сайтов. Она правда для WP, но по сути техники взлома не сильно отличаются.
       
      https://perishablepress.com/6g/
      Для продвинутых пользователей, там все достаточно ясно-понятно. Для новичков, я бы рекомендовал добавить в .htaccess  хотя бы это:
      <IfModule mod_rewrite.c>     RewriteCond %{QUERY_STRING} (eval\() [NC,OR]     RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR]     RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR]     RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR]     RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR]     RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR]     RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR]     RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC]     RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки  
      RewriteEngine On После добавления, рекомендую запустить Xenu's
      И проверить доступность всех ссылок вашего магазина.
      Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц.
       
      Подробное описание у меня в блоге.
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу