Усиливаем безопасность. выносим config.php за пределы сайта.

Zeppelin · 17 вересня 2012

этот пост не истина в последней инстанции, а приглашение к дискуссии :)

решил немного усилить безопасность магазина :)

т.к. у хостеров юзерские директории в настройках Apache обычно называются "public_html". То и "documentroot" , будет "public_html" и все директории к которым можно получить доступ из командной строки браузера будут "public_html" и "ниже". Иными словами из командной строки браузера добраться до корневой директории аккаунта, который вам выдал хостер весьма затруднительно. Поэтому, мы будем переносить файлы config.php, index.php и директории, к которым есть доступ на запись в директорию, выше чем "public_html" :)

Примем как данность, что магазин размещается в директории "public_html", а не в "public_html/upload", аккаунт, который выдал нам провайдер называется "merchant"

1. создаем с помощью стандартного FTP клиента или панели управления хостера директорию, пусть она называется "public_html_". получим путь "/public_html_"

2. "public_html_" назначаем права 755

3. внутри директории "public_html_" создаем нужные нам поддиректории и назначаем им права доступа

- /public_html_/admin (755)

- /public_html_/download (777)

- /public_html_/system (777)

- /public_html_/system/cache (777)

- /public_html_/system/logs (777)

4. создаем копии файлов, которые мы будем править "config.php, admin/config.php, index.php, admin/index.php"

5. вносим изменения в файл "public_html/index.php"

// Configuration
require_once('/home/merchant/public_html_/config.php');

6. в директорию "public_html_" перемещаем файл "config.php" из корня нашего сайта "public_html/config.php".

7. Для магазина, "Front End" вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');

9. Для панели администратора, "Back End"

10. вносим изменения в файл "public_html/admin/index.php"

// Configuration
require_once('/home/merchant/public_html_/admin/config.php');

11. в директорию "public_html_/admin" перемещаем файл "config.php" из директории "admin" нашего сайта "public_html/admin/config.php".

12. Вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');

вот собственно и все, если, где напутал с путями, пишите поправлю :)

права на директорию public_html_ будут принадлежать нам, а вот на файлы внутри поддиректорий пользователю 99 99 (nobody nobody) , следовательно удалить их будет невозможно!

также, можно прикрутить капчу на админскую панель. http://opencartforum...BE%D1%80%D0%B0/

претензии на то, что капча не сложная не состоятельны. это стандартная капча которая устанавливается вместе с движком.

капча, которая добавляется на форму регистрации нового пользователя http://www.opencart.com/index.php?route=extension/extension/info&extension_id=6499&filter_search=Admin%20Captcha%20Vqmod%20is%20a%20free%20mo

Змінено 17 вересня 2012 користувачем Zeppelin

17 вересня 2012

1. создаем с помощью стандартного FTP клиента - это и есть дырища!

Zeppelin · 17 вересня 2012

1. создаем с помощью стандартного FTP клиента - это и есть дырища!

Топик создан о защите магазина от внешних угроз, а не о проблемах общей безопасности и троянов на админской машине. Если хочется поговорить о общих принципах безопасности, пошли в другую тему ;)

vikingshop · 25 жовтня 2012

Нахрена так морочиться и менять все от версии к версии...

http://alexanderschilling.net/page/bezopasnost-v-opencart

.htaccess в него пишем

SetHandler send-as-is

кладем в теже директории

для теста создаем

system/cache/info.php

<?php

phpinfo();

?>

И видим результат ;)

Админку можно закрыть + через .htpasswd

Zeppelin · 14 листопада 2012

Нахрена так морочиться и менять все от версии к версии...

если воспользоваться предложенным советом, файл отдается "как есть" т.е. ничем не обрабатывается, просто предлагается к СКАЧИВАНИЮ, вот у меня возник вопрос, что лучше:

- поморочиться и закрыть доступ к файлам расположенным в директориях с правом на запись

- позволить любому скачивать любые файлы расположенные в этих дерикториях

ЗЫ я не ерничаю, просто хочу поглубже вникнуть в суть рекомендованного метода.

delovoy · 21 грудня 2012

Cкажите Гуру, а данный и подобные способы, могут спасти базы от воровства и просмотра, админов хостинга?

Zeppelin · 22 грудня 2012

могут спасти базы от воровства и просмотра, админов хостинга?

если это опечатка и вопрос звучит как "могут спасти базы от воровства и просмотра, админАМИ хостинга?" , то нет. Способа защиты от админов нет :) Если не говорить о своем выделенном сервере. Есть частные случаи шифрования, но для этого на хостинге должен стоять соответствующий софт.

delovoy · 22 грудня 2012

Можно примеры, этого "софта"?

Zeppelin · 24 грудня 2012

Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/webd/dweb/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

24 грудня 2012

Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/web...b/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Не сходится что-то (:

Zeppelin · 24 грудня 2012

Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinkscan.com/?lookup=http%3A%2F%2Fsevidi.ru%2Fwebd%2Fdweb%2Fphppage46.php&searchsubmit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

24 грудня 2012

Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinksca...mit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

Да, рамблеровский счетчик чист судя по скрину )

Zeppelin · 24 грудня 2012

блин ;) +1000 да, по твоему скрину, там именно счетчик :))))) только на моей картинке справа видно полосу прокрутки :) да и экран зеленый

НО за чувство юмора, однозначно +100500, зачЁтно подмечено :)))

http://online1.drweb...128623efbb401c2

delovoy · 24 грудня 2012

Ну, а какой же алгоритм шифрования используется в нынешнем опенкарте?

Zeppelin · 25 грудня 2012

Ну, а какой же алгоритм шифрования используется в нынешнем опенкарте?

В опенкарте шифруются только пароли по алгоритму MD5 + Salt (МД5 + Соль) в версиях старше 1.5.3*

Вхід

Усиливаем безопасность. выносим config.php за пределы сайта.

Recommended Posts

Надіслати

Поділитися на інших сайтах

Гість brk

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Гість brk

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Гість brk

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Створити обліковий запис

Вхід

Зараз на сторінці 0 користувачів

Покупцям

Розробникам

Корисна інформація

Останні розширення

Important Information