Jump to content
Search In
  • More options...
Find results that contain...
Find results in...

Усиливаем безопасность. выносим config.php за пределы сайта.


 Share

Recommended Posts

этот пост не истина в последней инстанции, а приглашение к дискуссии :)

решил немного усилить безопасность магазина :)

т.к. у хостеров юзерские директории в настройках Apache обычно называются "public_html". То и "documentroot" , будет "public_html" и все директории к которым можно получить доступ из командной строки браузера будут "public_html" и "ниже". Иными словами из командной строки браузера добраться до корневой директории аккаунта, который вам выдал хостер весьма затруднительно. Поэтому, мы будем переносить файлы config.php, index.php и директории, к которым есть доступ на запись в директорию, выше чем "public_html" :)

Примем как данность, что магазин размещается в директории "public_html", а не в "public_html/upload", аккаунт, который выдал нам провайдер называется "merchant"

1. создаем с помощью стандартного FTP клиента или панели управления хостера директорию, пусть она называется "public_html_". получим путь "/public_html_"

2. "public_html_" назначаем права 755

3. внутри директории "public_html_" создаем нужные нам поддиректории и назначаем им права доступа

- /public_html_/admin (755)

- /public_html_/download (777)

- /public_html_/system (777)

- /public_html_/system/cache (777)

- /public_html_/system/logs (777)

4. создаем копии файлов, которые мы будем править "config.php, admin/config.php, index.php, admin/index.php"

5. вносим изменения в файл "public_html/index.php"

// Configuration
require_once('/home/merchant/public_html_/config.php');

6. в директорию "public_html_" перемещаем файл "config.php" из корня нашего сайта "public_html/config.php".

7. Для магазина, "Front End" вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');


9. Для панели администратора, "Back End"

10. вносим изменения в файл "public_html/admin/index.php"

// Configuration
require_once('/home/merchant/public_html_/admin/config.php');
11. в директорию "public_html_/admin" перемещаем файл "config.php" из директории "admin" нашего сайта "public_html/admin/config.php".

12. Вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');

вот собственно и все, если, где напутал с путями, пишите поправлю :)

права на директорию public_html_ будут принадлежать нам, а вот на файлы внутри поддиректорий пользователю 99 99 (nobody nobody) , следовательно удалить их будет невозможно!

также, можно прикрутить капчу на админскую панель. http://opencartforum...BE%D1%80%D0%B0/

претензии на то, что капча не сложная не состоятельны. это стандартная капча которая устанавливается вместе с движком.

капча, которая добавляется на форму регистрации нового пользователя http://www.opencart.com/index.php?route=extension/extension/info&extension_id=6499&filter_search=Admin%20Captcha%20Vqmod%20is%20a%20free%20mo

Edited by Zeppelin
Link to comment
Share on other sites


1. создаем с помощью стандартного FTP клиента - это и есть дырища!
Link to comment
Share on other sites

1. создаем с помощью стандартного FTP клиента - это и есть дырища!

Топик создан о защите магазина от внешних угроз, а не о проблемах общей безопасности и троянов на админской машине. Если хочется поговорить о общих принципах безопасности, пошли в другую тему ;)

Link to comment
Share on other sites


  • 1 month later...

Нахрена так морочиться и менять все от версии к версии...

http://alexanderschilling.net/page/bezopasnost-v-opencart

.htaccess в него пишем

SetHandler send-as-is

кладем в теже директории

для теста создаем

system/cache/info.php

<?php

phpinfo();

?>

И видим результат ;)

Админку можно закрыть + через .htpasswd

Link to comment
Share on other sites


  • 3 weeks later...

Нахрена так морочиться и менять все от версии к версии...

если воспользоваться предложенным советом, файл отдается "как есть" т.е. ничем не обрабатывается, просто предлагается к СКАЧИВАНИЮ, вот у меня возник вопрос, что лучше:

- поморочиться и закрыть доступ к файлам расположенным в директориях с правом на запись

- позволить любому скачивать любые файлы расположенные в этих дерикториях

ЗЫ я не ерничаю, просто хочу поглубже вникнуть в суть рекомендованного метода.

Link to comment
Share on other sites


  • 1 month later...

могут спасти базы от воровства и просмотра, админов хостинга?

если это опечатка и вопрос звучит как "могут спасти базы от воровства и просмотра, админАМИ хостинга?" , то нет. Способа защиты от админов нет :) Если не говорить о своем выделенном сервере. Есть частные случаи шифрования, но для этого на хостинге должен стоять соответствующий софт.

Link to comment
Share on other sites


Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/webd/dweb/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Link to comment
Share on other sites


Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/web...b/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Не сходится что-то (:

8871db0dbef13397724b4b1a0498c465.PNG

Link to comment
Share on other sites

Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinkscan.com/?lookup=http%3A%2F%2Fsevidi.ru%2Fwebd%2Fdweb%2Fphppage46.php&searchsubmit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

post-8333-0-04079400-1356360771_thumb.jpg

Link to comment
Share on other sites


Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinksca...mit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

Да, рамблеровский счетчик чист судя по скрину )

e640beb1ec843d1181486d08d68c7786.png

Link to comment
Share on other sites

блин ;) +1000 да, по твоему скрину, там именно счетчик :))))) только на моей картинке справа видно полосу прокрутки :) да и экран зеленый

НО за чувство юмора, однозначно +100500, зачЁтно подмечено :)))

http://online1.drweb...128623efbb401c2

Link to comment
Share on other sites


Ну, а какой же алгоритм шифрования используется в нынешнем опенкарте?

В опенкарте шифруются только пароли по алгоритму MD5 + Salt (МД5 + Соль) в версиях старше 1.5.3*

Link to comment
Share on other sites


Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.