Уязвимости OpenCart. Как вы защищаете свои магазины?

Тема в разделе "Opencart", создана пользователем GopStop, 22 июн 2015.

Информация :
Внимание форумчане! При создании тем, или выкладывании какой-либо информации проверьте в какой ветке форума вы находитесь! Не путайте Opencart и Opencart2. При несоблюдении данного условия выносится соответствующее наказание! И потом не говорите что вас НЕ ПРЕДУПРЕЖДАЛИ! По возможности используйте обменники mail, yandex, google, dropbox, rghost Дабы избежать просьб перезалить и проблем с рекламой!
Модераторы: ZiX
  1. GopStop

    GopStop :nulled:

    Регистр.:
    20 ноя 2007
    Сообщения:
    140
    Симпатии:
    100
    Как вы защищаете свои магазины?
    Из простого, переименование папки admin и выставление доступа к ней только с ip администратора\менеджера.
    Что еще дополнительного можно сделать?
     
    den-ch-s нравится это.
  2. Funya007

    Funya007 Постоялец

    Регистр.:
    27 окт 2007
    Сообщения:
    83
    Симпатии:
    30
    Сделать ограниченный доступ к папке admin по логину и паролю
     
  3. toropa

    toropa

    Регистр.:
    17 ноя 2009
    Сообщения:
    206
    Симпатии:
    55
    - Доступ к фтп по айпишке (у меня есть такое через хостера).
    - Запрет доступа к файлам
    Код:
    <FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
    Order deny,allow
    Deny from all
    </FilesMatch>
    - блокировка подозрительных айпишек (по логах)
     
  4. VaLeXaR

    VaLeXaR Создатель

    Регистр.:
    5 апр 2013
    Сообщения:
    45
    Симпатии:
    16
    Та много чего. Блокировка SQL запросов в htaccess, блокировка плохих ботов, блокировка XSS атак, ограничение на чтение htaccess.

    Ну и само собой, пароль на папку admin.
     
    Последнее редактирование модератором: 25 июн 2015
  5. bezzubtsev

    bezzubtsev

    Регистр.:
    14 май 2015
    Сообщения:
    255
    Симпатии:
    75
    Самая лучшая защита магазина - это не давать доступы самому не проверенным лицам (неизвестным фрилансерам).
    Ценная информация в магазине - обычно, это данные клиентов. Остальное так, не интересно.
     
    Kolya groza morey нравится это.
  6. GopStop

    GopStop :nulled:

    Регистр.:
    20 ноя 2007
    Сообщения:
    140
    Симпатии:
    100
    Нашел интересное решение для админки
    Открываем файл /admin/view/template/common/login.tpl

    В самый верх файла (над строчкой <?php echo $header; ?>) вставляем такой код, предварительно заменив слова secretkey и secretkeyvalue на свои уникальные, например access и denied (пробелы, если есть, заменяем на подчеркивания или дефисы) :
    Код:
    <?php
    if (isset($_GET['secretkey']))
    {$seckey = $_GET['secretkey'];
    setcookie ("secretkey", $_GET['secretkey']);}
    else if
    (isset($_COOKIE['secretkey']))
    {$seckey = $_COOKIE['secretkey']; }
    else {$seckey = '';}
    if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found");
    exit; } else { ?>
    В самый конец файла, примерно после строки <?php echo $footer; ?> добавляем:

    Код:
    <?php}?>
    
    Сохраняем…

    Все, теперь не зная связки из этих двух слов злоумышленники не смогут обнаружить админку и соответственно приступить к перебору паролей. Кстати, если вы сами забудете эту связку то тоже не сможете войти на сайт, так что запомните ее.

    Теперь, чтобы попасть на страницу авторизации в админ-часть, необходимо в поле адреса указать Перейти по ссылке (где вместо secretkey и secretkeyvalue ваши значения, которые вы указали в файле login.tpl)

    Можно пойти дальше и запретить индексацию админки поисковиками…

    Для этого открываем файл header.tpl, который лежит в той же папке, что и login.tpl (/admin/view/template/common/) и в любом месте между тегами <head></head> вставляем строчку:

    Код:
    <meta name="robots"content="noindex" />
    
    Сохраняем. Теперь проверьте файл в корне сайта robots.txt на наличие там записей вида:

    Disallow: /admin и удаляем ее. Или если есть время, можете навести злоумышленников на ложный след – заменяем (Disallow: /admin на Disallow: /administrator.php) В корень сайта кладем php-документ administrator.php, в котором будет муляжная форма ввода логина и пароля, которая при любых значениях возвращает ошибку “Неправильная пара логин/пароль”
     
    den-ch-s, mazik001 и bezzubtsev нравится это.
  7. AVIZEN

    AVIZEN Постоялец

    Регистр.:
    11 апр 2008
    Сообщения:
    68
    Симпатии:
    7
    Да есть проще способ, поставьте к примеру модуль SecureMyAdmin он меняет путь страницы авторизации, и скрывает вход в админку

    Есть еще платный модуль DS Firewall (Модуль защиты), по описанию возможностей весьма интересный.
    1 Защита cookies
    2 Защита от ботов
    3 Защита от XSS
    4 Mini dos защита
    5 Защита от sql-инъекций
    6 Защита от червя
    7 Запросы GET метод
    8 Запросы POST метод
    9 Защита запросов
    10 Защита URL
     
    Последнее редактирование модератором: 2 июл 2015
  8. VaLeXaR

    VaLeXaR Создатель

    Регистр.:
    5 апр 2013
    Сообщения:
    45
    Симпатии:
    16
    Для защиты 90% от всего этого можно прописать правила в htaccess.
     
  9. toropa

    toropa

    Регистр.:
    17 ноя 2009
    Сообщения:
    206
    Симпатии:
    55
    поделитесь решением
     
  10. greatbart

    greatbart Постоялец

    Регистр.:
    25 авг 2007
    Сообщения:
    59
    Симпатии:
    13
    Во-первых запретить доступ к логам и смотреть какие модули и откуда качаете