Jump to content
Sign in to follow this  
Zeppelin

Усиливаем безопасность. выносим config.php за пределы сайта.

Recommended Posts

этот пост не истина в последней инстанции, а приглашение к дискуссии :)

решил немного усилить безопасность магазина :)

т.к. у хостеров юзерские директории в настройках Apache обычно называются "public_html". То и "documentroot" , будет "public_html" и все директории к которым можно получить доступ из командной строки браузера будут "public_html" и "ниже". Иными словами из командной строки браузера добраться до корневой директории аккаунта, который вам выдал хостер весьма затруднительно. Поэтому, мы будем переносить файлы config.php, index.php и директории, к которым есть доступ на запись в директорию, выше чем "public_html" :)

Примем как данность, что магазин размещается в директории "public_html", а не в "public_html/upload", аккаунт, который выдал нам провайдер называется "merchant"

1. создаем с помощью стандартного FTP клиента или панели управления хостера директорию, пусть она называется "public_html_". получим путь "/public_html_"

2. "public_html_" назначаем права 755

3. внутри директории "public_html_" создаем нужные нам поддиректории и назначаем им права доступа

- /public_html_/admin (755)

- /public_html_/download (777)

- /public_html_/system (777)

- /public_html_/system/cache (777)

- /public_html_/system/logs (777)

4. создаем копии файлов, которые мы будем править "config.php, admin/config.php, index.php, admin/index.php"

5. вносим изменения в файл "public_html/index.php"

// Configuration
require_once('/home/merchant/public_html_/config.php');

6. в директорию "public_html_" перемещаем файл "config.php" из корня нашего сайта "public_html/config.php".

7. Для магазина, "Front End" вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');


9. Для панели администратора, "Back End"

10. вносим изменения в файл "public_html/admin/index.php"

// Configuration
require_once('/home/merchant/public_html_/admin/config.php');
11. в директорию "public_html_/admin" перемещаем файл "config.php" из директории "admin" нашего сайта "public_html/admin/config.php".

12. Вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');

вот собственно и все, если, где напутал с путями, пишите поправлю :)

права на директорию public_html_ будут принадлежать нам, а вот на файлы внутри поддиректорий пользователю 99 99 (nobody nobody) , следовательно удалить их будет невозможно!

также, можно прикрутить капчу на админскую панель. http://opencartforum...BE%D1%80%D0%B0/

претензии на то, что капча не сложная не состоятельны. это стандартная капча которая устанавливается вместе с движком.

капча, которая добавляется на форму регистрации нового пользователя http://www.opencart.com/index.php?route=extension/extension/info&extension_id=6499&filter_search=Admin%20Captcha%20Vqmod%20is%20a%20free%20mo

Edited by Zeppelin

Share this post


Link to post
Share on other sites
Guest brk
1. создаем с помощью стандартного FTP клиента - это и есть дырища!

Share this post


Link to post
Share on other sites

1. создаем с помощью стандартного FTP клиента - это и есть дырища!

Топик создан о защите магазина от внешних угроз, а не о проблемах общей безопасности и троянов на админской машине. Если хочется поговорить о общих принципах безопасности, пошли в другую тему ;)

Share this post


Link to post
Share on other sites

Нахрена так морочиться и менять все от версии к версии...

http://alexanderschilling.net/page/bezopasnost-v-opencart

.htaccess в него пишем

SetHandler send-as-is

кладем в теже директории

для теста создаем

system/cache/info.php

<?php

phpinfo();

?>

И видим результат ;)

Админку можно закрыть + через .htpasswd

Share this post


Link to post
Share on other sites

Нахрена так морочиться и менять все от версии к версии...

если воспользоваться предложенным советом, файл отдается "как есть" т.е. ничем не обрабатывается, просто предлагается к СКАЧИВАНИЮ, вот у меня возник вопрос, что лучше:

- поморочиться и закрыть доступ к файлам расположенным в директориях с правом на запись

- позволить любому скачивать любые файлы расположенные в этих дерикториях

ЗЫ я не ерничаю, просто хочу поглубже вникнуть в суть рекомендованного метода.

Share this post


Link to post
Share on other sites

Cкажите Гуру, а данный и подобные способы, могут спасти базы от воровства и просмотра, админов хостинга?

Share this post


Link to post
Share on other sites

могут спасти базы от воровства и просмотра, админов хостинга?

если это опечатка и вопрос звучит как "могут спасти базы от воровства и просмотра, админАМИ хостинга?" , то нет. Способа защиты от админов нет :) Если не говорить о своем выделенном сервере. Есть частные случаи шифрования, но для этого на хостинге должен стоять соответствующий софт.

Share this post


Link to post
Share on other sites

Можно примеры, этого "софта"?

Share this post


Link to post
Share on other sites

Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/webd/dweb/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Share this post


Link to post
Share on other sites
Guest brk

Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/web...b/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Не сходится что-то (:

8871db0dbef13397724b4b1a0498c465.PNG

Share this post


Link to post
Share on other sites

Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinkscan.com/?lookup=http%3A%2F%2Fsevidi.ru%2Fwebd%2Fdweb%2Fphppage46.php&searchsubmit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

post-8333-0-04079400-1356360771_thumb.jpg

Share this post


Link to post
Share on other sites
Guest brk

Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinksca...mit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

Да, рамблеровский счетчик чист судя по скрину )

e640beb1ec843d1181486d08d68c7786.png

Share this post


Link to post
Share on other sites

блин ;) +1000 да, по твоему скрину, там именно счетчик :))))) только на моей картинке справа видно полосу прокрутки :) да и экран зеленый

НО за чувство юмора, однозначно +100500, зачЁтно подмечено :)))

http://online1.drweb...128623efbb401c2

Share this post


Link to post
Share on other sites

Ну, а какой же алгоритм шифрования используется в нынешнем опенкарте?

Share this post


Link to post
Share on other sites

Ну, а какой же алгоритм шифрования используется в нынешнем опенкарте?

В опенкарте шифруются только пароли по алгоритму MD5 + Salt (МД5 + Соль) в версиях старше 1.5.3*

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.