Уязвимости OpenCart. Как вы защищаете свои магазины?

[VaLeXaR]

поделитесь решением

Блокировка плохих ботов:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Блокировка SQL запросов в адресе:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Блокировка плохих рефереров:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[Bons]

В первую очередь переименовываю папку админ в набор символов, что бы не было попыток подобрать пароль.

Важно выставить доступы к папкам и каталогам по инструкции, ничего лишнего.

Есть хостинги с антивирусами, которые сообщат что залит опасный файл в дирректорию у которой есть записть, я использую Для просмотра ссылки Войди или Зарегистрируйся

 

[Bons]

Так же часто встречаю сайты на которых админы растеряли пустые index.html в подпапках движка, что даёт возможность лазить по дирректории читать и качать файлы движка.

 

[Bons]

Частая ошибка:
Пароли к mysql и пользователи, которые прописаны в конфигах движка создаются только для localhost и только для сайта.
Если вы подключаетесь к БД удалённо, как админ создавайте пользователя для себя отдельно.

 

[Bons]

Просчтите, чуть не забыл) Что в первую очередь должен сделать ЛЮБОЙ админ, любого проэкта???))) Правильно - бекап.
Основной смысл всем понятен, но я все же поясню зачем еще он нужен.

Что у вас на сайте может быть сверх секретного?)
Даже если взять какой-то крутой интернет-магазин, ну получите вы БД с описанием товаров, ну может ещё получите список пользователей, ну ещё заказы этого сайта и кучу кучу картинок товаров на диске.
Да что угодно, но разве это есть катастрофа? Да не приятно, тот же дизайн могут слить.. но не более....

А ВОТ НАСРАТЬ И УДАЛИТЬ БД МОГУТ!!! =) Делайте каждый день резервную копию всего сайта БД+Файлы и вас не победить.

 

[dokka2000]

есть еще один способ улучшить безопасность - это изменить название пути доступа в админку на свое, ну естественно скорректировать название папки админ и пути для корректной работы

 

[red-storm]

Не плохой модуль, дополнение к админке, - выводит капчу, - сложнее будет подбирать пароли к админке,- если найдут где она находится.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[silenty]

В этом плане у престы хорошо реализовано. папка админ при инсталляции изначально меняется на рендомные числа и буквы. так что, если захочешь запомнить - придется попотеть. ну или сменить на что-то более адекватное

 

[valeriy.kovalchuk]

Не плохой модуль, дополнение к админке, - выводит капчу, - сложнее будет подбирать пароли к админке,- если найдут где она находится.

Кто пробовал пользоваться этим дополнением?

 

[Vasyanya]

- Доступ к фтп по айпишке (у меня есть такое через хостера).
- Запрет доступа к файлам

<FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
Order deny,allow
Deny from all
</FilesMatch>

- блокировка подозрительных айпишек (по логах)

а роботс зачем закрывать?

Просчтите, чуть не забыл) Что в первую очередь должен сделать ЛЮБОЙ админ, любого проэкта???))) Правильно - бекап.
Основной смысл всем понятен, но я все же поясню зачем еще он нужен.

Что у вас на сайте может быть сверх секретного?)
Даже если взять какой-то крутой интернет-магазин, ну получите вы БД с описанием товаров, ну может ещё получите список пользователей, ну ещё заказы этого сайта и кучу кучу картинок товаров на диске.
Да что угодно, но разве это есть катастрофа? Да не приятно, тот же дизайн могут слить.. но не более....

А ВОТ НАСРАТЬ И УДАЛИТЬ БД МОГУТ!!! =) Делайте каждый день резервную копию всего сайта БД+Файлы и вас не победить.

есть какой нибудь модуль для автоматизированного бэкапа + заливка его в облако, например.