Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Усиливаем безопасность. выносим config.php за пределы сайта.


Zeppelin

Recommended Posts

этот пост не истина в последней инстанции, а приглашение к дискуссии :)

решил немного усилить безопасность магазина :)

т.к. у хостеров юзерские директории в настройках Apache обычно называются "public_html". То и "documentroot" , будет "public_html" и все директории к которым можно получить доступ из командной строки браузера будут "public_html" и "ниже". Иными словами из командной строки браузера добраться до корневой директории аккаунта, который вам выдал хостер весьма затруднительно. Поэтому, мы будем переносить файлы config.php, index.php и директории, к которым есть доступ на запись в директорию, выше чем "public_html" :)

Примем как данность, что магазин размещается в директории "public_html", а не в "public_html/upload", аккаунт, который выдал нам провайдер называется "merchant"

1. создаем с помощью стандартного FTP клиента или панели управления хостера директорию, пусть она называется "public_html_". получим путь "/public_html_"

2. "public_html_" назначаем права 755

3. внутри директории "public_html_" создаем нужные нам поддиректории и назначаем им права доступа

- /public_html_/admin (755)

- /public_html_/download (777)

- /public_html_/system (777)

- /public_html_/system/cache (777)

- /public_html_/system/logs (777)

4. создаем копии файлов, которые мы будем править "config.php, admin/config.php, index.php, admin/index.php"

5. вносим изменения в файл "public_html/index.php"

// Configuration
require_once('/home/merchant/public_html_/config.php');

6. в директорию "public_html_" перемещаем файл "config.php" из корня нашего сайта "public_html/config.php".

7. Для магазина, "Front End" вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');


9. Для панели администратора, "Back End"

10. вносим изменения в файл "public_html/admin/index.php"

// Configuration
require_once('/home/merchant/public_html_/admin/config.php');
11. в директорию "public_html_/admin" перемещаем файл "config.php" из директории "admin" нашего сайта "public_html/admin/config.php".

12. Вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');

вот собственно и все, если, где напутал с путями, пишите поправлю :)

права на директорию public_html_ будут принадлежать нам, а вот на файлы внутри поддиректорий пользователю 99 99 (nobody nobody) , следовательно удалить их будет невозможно!

также, можно прикрутить капчу на админскую панель. http://opencartforum...BE%D1%80%D0%B0/

претензии на то, что капча не сложная не состоятельны. это стандартная капча которая устанавливается вместе с движком.

капча, которая добавляется на форму регистрации нового пользователя http://www.opencart.com/index.php?route=extension/extension/info&extension_id=6499&filter_search=Admin%20Captcha%20Vqmod%20is%20a%20free%20mo

Змінено користувачем Zeppelin
Надіслати
Поділитися на інших сайтах


1. создаем с помощью стандартного FTP клиента - это и есть дырища!

Топик создан о защите магазина от внешних угроз, а не о проблемах общей безопасности и троянов на админской машине. Если хочется поговорить о общих принципах безопасности, пошли в другую тему ;)

Надіслати
Поділитися на інших сайтах


  • 1 month later...

Нахрена так морочиться и менять все от версии к версии...

http://alexanderschilling.net/page/bezopasnost-v-opencart

.htaccess в него пишем

SetHandler send-as-is

кладем в теже директории

для теста создаем

system/cache/info.php

<?php

phpinfo();

?>

И видим результат ;)

Админку можно закрыть + через .htpasswd

Надіслати
Поділитися на інших сайтах


  • 3 weeks later...

Нахрена так морочиться и менять все от версии к версии...

если воспользоваться предложенным советом, файл отдается "как есть" т.е. ничем не обрабатывается, просто предлагается к СКАЧИВАНИЮ, вот у меня возник вопрос, что лучше:

- поморочиться и закрыть доступ к файлам расположенным в директориях с правом на запись

- позволить любому скачивать любые файлы расположенные в этих дерикториях

ЗЫ я не ерничаю, просто хочу поглубже вникнуть в суть рекомендованного метода.

Надіслати
Поділитися на інших сайтах


  • 1 month later...

могут спасти базы от воровства и просмотра, админов хостинга?

если это опечатка и вопрос звучит как "могут спасти базы от воровства и просмотра, админАМИ хостинга?" , то нет. Способа защиты от админов нет :) Если не говорить о своем выделенном сервере. Есть частные случаи шифрования, но для этого на хостинге должен стоять соответствующий софт.

Надіслати
Поділитися на інших сайтах


Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/webd/dweb/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Надіслати
Поділитися на інших сайтах


Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/web...b/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Не сходится что-то (:

8871db0dbef13397724b4b1a0498c465.PNG

Надіслати
Поділитися на інших сайтах

Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinkscan.com/?lookup=http%3A%2F%2Fsevidi.ru%2Fwebd%2Fdweb%2Fphppage46.php&searchsubmit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

post-8333-0-04079400-1356360771_thumb.jpg

Надіслати
Поділитися на інших сайтах


Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinksca...mit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

Да, рамблеровский счетчик чист судя по скрину )

e640beb1ec843d1181486d08d68c7786.png

Надіслати
Поділитися на інших сайтах

блин ;) +1000 да, по твоему скрину, там именно счетчик :))))) только на моей картинке справа видно полосу прокрутки :) да и экран зеленый

НО за чувство юмора, однозначно +100500, зачЁтно подмечено :)))

http://online1.drweb...128623efbb401c2

Надіслати
Поділитися на інших сайтах


Ну, а какой же алгоритм шифрования используется в нынешнем опенкарте?

В опенкарте шифруются только пароли по алгоритму MD5 + Salt (МД5 + Соль) в версиях старше 1.5.3*

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.