Уязвимости OpenCart. Как вы защищаете свои магазины?

GopStop

GopStop

:nulled:
Регистрация
20 Ноя 2007
Сообщения
149
Реакции
100
Как вы защищаете свои магазины?
Из простого, переименование папки admin и выставление доступа к ней только с ip администратора\менеджера.
Что еще дополнительного можно сделать?
 
Сделать ограниченный доступ к папке admin по логину и паролю
 
- Доступ к фтп по айпишке (у меня есть такое через хостера).
- Запрет доступа к файлам
Код: 
<FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
Order deny,allow
Deny from all
</FilesMatch>
- блокировка подозрительных айпишек (по логах)
 
Та много чего. Блокировка SQL запросов в htaccess, блокировка плохих ботов, блокировка XSS атак, ограничение на чтение htaccess.

Ну и само собой, пароль на папку admin.
 
Последнее редактирование модератором:
Самая лучшая защита магазина - это не давать доступы самому не проверенным лицам (неизвестным фрилансерам).
Ценная информация в магазине - обычно, это данные клиентов. Остальное так, не интересно.
 
Нашел интересное решение для админки
Открываем файл /admin/view/template/common/login.tpl

В самый верх файла (над строчкой <?php echo $header; ?>) вставляем такой код, предварительно заменив слова secretkey и secretkeyvalue на свои уникальные, например access и denied (пробелы, если есть, заменяем на подчеркивания или дефисы) :
Код: 
<?php
if (isset($_GET['secretkey']))
{$seckey = $_GET['secretkey'];
setcookie ("secretkey", $_GET['secretkey']);}
else if
(isset($_COOKIE['secretkey']))
{$seckey = $_COOKIE['secretkey']; }
else {$seckey = '';}
if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found");
exit; } else { ?>

В самый конец файла, примерно после строки <?php echo $footer; ?> добавляем:

Код: 
<?php}?>

Сохраняем…

Все, теперь не зная связки из этих двух слов злоумышленники не смогут обнаружить админку и соответственно приступить к перебору паролей. Кстати, если вы сами забудете эту связку то тоже не сможете войти на сайт, так что запомните ее.

Теперь, чтобы попасть на страницу авторизации в админ-часть, необходимо в поле адреса указать Для просмотра ссылки Войди или Зарегистрируйся (где вместо secretkey и secretkeyvalue ваши значения, которые вы указали в файле login.tpl)

Можно пойти дальше и запретить индексацию админки поисковиками…

Для этого открываем файл header.tpl, который лежит в той же папке, что и login.tpl (/admin/view/template/common/) и в любом месте между тегами <head></head> вставляем строчку:

Код: 
<meta name="robots"content="noindex" />

Сохраняем. Теперь проверьте файл в корне сайта robots.txt на наличие там записей вида:

Disallow: /admin и удаляем ее. Или если есть время, можете навести злоумышленников на ложный след – заменяем (Disallow: /admin на Disallow: /administrator.php) В корень сайта кладем php-документ administrator.php, в котором будет муляжная форма ввода логина и пароля, которая при любых значениях возвращает ошибку “Неправильная пара логин/пароль”
 
Да есть проще способ, поставьте к примеру модуль SecureMyAdmin он меняет путь страницы авторизации, и скрывает вход в админку

Есть еще платный модуль DS Firewall (Модуль защиты), по описанию возможностей весьма интересный.
1 Защита cookies
2 Защита от ботов
3 Защита от XSS
4 Mini dos защита
5 Защита от sql-инъекций
6 Защита от червя
7 Запросы GET метод
8 Запросы POST метод
9 Защита запросов
10 Защита URL
 
Последнее редактирование модератором:
AVIZEN написал(а):
Есть еще платный модуль DS Firewall (Модуль защиты), по описанию возможностей весьма интересный.
1 Защита cookies
2 Защита от ботов
3 Защита от XSS
4 Mini dos защита
5 Защита от sql-инъекций
6 Защита от червя
7 Запросы GET метод
8 Запросы POST метод
9 Защита запросов
10 Защита URL
Нажмите для раскрытия...
Для защиты 90% от всего этого можно прописать правила в htaccess.
 
Во-первых запретить доступ к логам и смотреть какие модули и откуда качаете
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху