Zeppelin

Усиливаем безопасность. выносим config.php за пределы сайта.

Рекомендуемые сообщения

Zeppelin    82

этот пост не истина в последней инстанции, а приглашение к дискуссии :)

решил немного усилить безопасность магазина :)

т.к. у хостеров юзерские директории в настройках Apache обычно называются "public_html". То и "documentroot" , будет "public_html" и все директории к которым можно получить доступ из командной строки браузера будут "public_html" и "ниже". Иными словами из командной строки браузера добраться до корневой директории аккаунта, который вам выдал хостер весьма затруднительно. Поэтому, мы будем переносить файлы config.php, index.php и директории, к которым есть доступ на запись в директорию, выше чем "public_html" :)

Примем как данность, что магазин размещается в директории "public_html", а не в "public_html/upload", аккаунт, который выдал нам провайдер называется "merchant"

1. создаем с помощью стандартного FTP клиента или панели управления хостера директорию, пусть она называется "public_html_". получим путь "/public_html_"

2. "public_html_" назначаем права 755

3. внутри директории "public_html_" создаем нужные нам поддиректории и назначаем им права доступа

- /public_html_/admin (755)

- /public_html_/download (777)

- /public_html_/system (777)

- /public_html_/system/cache (777)

- /public_html_/system/logs (777)

4. создаем копии файлов, которые мы будем править "config.php, admin/config.php, index.php, admin/index.php"

5. вносим изменения в файл "public_html/index.php"

// Configuration
require_once('/home/merchant/public_html_/config.php');

6. в директорию "public_html_" перемещаем файл "config.php" из корня нашего сайта "public_html/config.php".

7. Для магазина, "Front End" вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');


9. Для панели администратора, "Back End"

10. вносим изменения в файл "public_html/admin/index.php"

// Configuration
require_once('/home/merchant/public_html_/admin/config.php');
11. в директорию "public_html_/admin" перемещаем файл "config.php" из директории "admin" нашего сайта "public_html/admin/config.php".

12. Вносим необходимые изменения в "config.php". Заменяем назначенные при инсталляции пути на наши:

define('DIR_CACHE', '/home/merchant/public_html_/system/cache/');
define('DIR_DOWNLOAD', '/home/merchant/public_html_/download/');
define('DIR_LOGS', '/home/merchant/public_html_/system/logs/');

вот собственно и все, если, где напутал с путями, пишите поправлю :)

права на директорию public_html_ будут принадлежать нам, а вот на файлы внутри поддиректорий пользователю 99 99 (nobody nobody) , следовательно удалить их будет невозможно!

также, можно прикрутить капчу на админскую панель. http://opencartforum...BE%D1%80%D0%B0/

претензии на то, что капча не сложная не состоятельны. это стандартная капча которая устанавливается вместе с движком.

капча, которая добавляется на форму регистрации нового пользователя http://www.opencart.com/index.php?route=extension/extension/info&extension_id=6499&filter_search=Admin%20Captcha%20Vqmod%20is%20a%20free%20mo

Изменено пользователем Zeppelin

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость brk   
Гость brk
1. создаем с помощью стандартного FTP клиента - это и есть дырища!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppelin    82

1. создаем с помощью стандартного FTP клиента - это и есть дырища!

Топик создан о защите магазина от внешних угроз, а не о проблемах общей безопасности и троянов на админской машине. Если хочется поговорить о общих принципах безопасности, пошли в другую тему ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vikingshop    9

Нахрена так морочиться и менять все от версии к версии...

http://alexanderschilling.net/page/bezopasnost-v-opencart

.htaccess в него пишем

SetHandler send-as-is

кладем в теже директории

для теста создаем

system/cache/info.php

<?php

phpinfo();

?>

И видим результат ;)

Админку можно закрыть + через .htpasswd

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppelin    82

Нахрена так морочиться и менять все от версии к версии...

если воспользоваться предложенным советом, файл отдается "как есть" т.е. ничем не обрабатывается, просто предлагается к СКАЧИВАНИЮ, вот у меня возник вопрос, что лучше:

- поморочиться и закрыть доступ к файлам расположенным в директориях с правом на запись

- позволить любому скачивать любые файлы расположенные в этих дерикториях

ЗЫ я не ерничаю, просто хочу поглубже вникнуть в суть рекомендованного метода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
delovoy    52

Cкажите Гуру, а данный и подобные способы, могут спасти базы от воровства и просмотра, админов хостинга?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppelin    82

могут спасти базы от воровства и просмотра, админов хостинга?

если это опечатка и вопрос звучит как "могут спасти базы от воровства и просмотра, админАМИ хостинга?" , то нет. Способа защиты от админов нет :) Если не говорить о своем выделенном сервере. Есть частные случаи шифрования, но для этого на хостинге должен стоять соответствующий софт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
delovoy    52

Можно примеры, этого "софта"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppelin    82

Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/webd/dweb/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость brk   
Гость brk

Если переписать весь код движка, то можно обойтись и стандартными средствами :)

http://sevidi.ru/web...b/phppage46.php

примеров готовой реализации с помощью стороннего софта я привести не могу.

Не сходится что-то (:

8871db0dbef13397724b4b1a0498c465.PNG

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppelin    82

Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinkscan.com/?lookup=http%3A%2F%2Fsevidi.ru%2Fwebd%2Fdweb%2Fphppage46.php&searchsubmit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

post-8333-0-04079400-1356360771_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость brk   
Гость brk

Ну, картинок накидать можно много, например вот такая картинка, и вроде все чисто :)

не в свое оправдание, а для справки

http://onlinelinksca...mit=Scan%20Link

и еще можно найти тыщу чекеров, которые ничего не найдут ;)

Да, рамблеровский счетчик чист судя по скрину )

e640beb1ec843d1181486d08d68c7786.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppelin    82

блин ;) +1000 да, по твоему скрину, там именно счетчик :))))) только на моей картинке справа видно полосу прокрутки :) да и экран зеленый

НО за чувство юмора, однозначно +100500, зачЁтно подмечено :)))

http://online1.drweb...128623efbb401c2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
delovoy    52

Ну, а какой же алгоритм шифрования используется в нынешнем опенкарте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppelin    82

Ну, а какой же алгоритм шифрования используется в нынешнем опенкарте?

В опенкарте шифруются только пароли по алгоритму MD5 + Salt (МД5 + Соль) в версиях старше 1.5.3*

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу