Безопасность админки

[Dim0n4ik]

по поиску ничего не нашел...

Вопрос такой: как то можно обезопасить вход в админскую зону? от перебора паролей например поставить кол-во неверных введеных попыток (3,5,7,и тд)с блокировкой на час допустим,или поставить форму для введения случайных букв,цифр(щас забыл как называется..) или накрайняк, как хотя бы поменять строку ://ваш сайт/admin на что нить другое...???

[sys]

Впринципе поддерживаю, тут уже подымалась тема безопасности магазина.

Странно, что реально нет, ни каких таймаутов при вводе.

А так, ты можешь:

1. Запаролить папку средствами хостинга;

2. Переименовать ее и пути к ней.

3. Сделать блокировку по IP

Взломать могут и другими средствами

[Dim0n4ik]

Впринципе поддерживаю, тут уже подымалась тема безопасности магазина.

Странно, что реально нет, ни каких таймаутов при вводе.

А так, ты можешь:

1. Запаролить папку средствами хостинга;

2. Переименовать ее и пути к ней.

3. Сделать блокировку по IP

Взломать могут и другими средствами

1.при запароливании папки у меня почему то закрывается весь сайт от инета.

2.про поменять пути к админке.. напиши подробнее как делать?

3.а если айпишник к примеру динамический? ;)

Но самый то простой и распространенный способ ,тупой перебор паролей ботом. а в ОК он и не защищен.

мне понравилось как в ModX,защиту сделали,и все включено в базовую версию. не надо огороды городить.Так бы в ОК сделали ли бы. а так дырка реальная...

[sys]

1.при запароливании папки у меня почему то закрывается весь сайт от инета.

2.про поменять пути к админке.. напиши подробнее как делать?

3.а если айпишник к примеру динамический? ;)

Но самый то простой и распространенный способ ,тупой перебор паролей ботом. а в ОК он и не защищен.

мне понравилось как в ModX,защиту сделали,и все включено в базовую версию. не надо огороды городить.Так бы в ОК сделали ли бы. а так дырка реальная...

1. не должно этого быть, или хостинг кривой или что-то другое ;)

2. Подумай как и что подправить

3. Динамический на сколько и в каком диапазоне? разве нельзя задать диапазон, какова вероятность, что взлом будет именно из твоего диапазона адресов?

[Dim0n4ik]

1. не должно этого быть, или хостинг кривой или что-то другое ;)

2. Подумай как и что подправить

3. Динамический на сколько и в каком диапазоне? разве нельзя задать диапазон, какова вероятность, что взлом будет именно из твоего диапазона адресов?

1.хостинг то, профессиональный! скорее 2-ой вариант. :))

2.допиваю 2-ой литр вискаря,... как ,где ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперь представь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

[michael]

1.хостинг то, профессиональный! скорее 2-ой вариант. )

2.допиваю 2-ой литр вискаря,... как ,где ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперь представь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

1. Вы случайно не в корень .htaccess положили?

2. Обсуждалось

3. Блокировать можно не только по IP. Authentication, Authorization and Access Control - посмотрите на досуге, может что из этого пригодится.

Змінено 23 березня 2013 користувачем afwollis
исправлена ссылка

[Dim0n4ik]

1. Вы случайно не в корень .htaccess положили?

2. Обсуждалось

3. Блокировать можно не только по IP. Authentication, Authorization and Access Control - посмотрите на досуге, может что из этого пригодится.

1.именно туда.

2.почитал.... это я как понял тока со статикой прокатит?

3.опять огород городить... хочется что бы все было уже в готовом продукте.

[michael]

1.именно туда.

2.почитал.... это я как понял тока со статикой прокатит?

3.опять огород городить... хочется что бы все было уже в готовом продукте.

1. Видимо в этом и была причина. Что туда прописали?

2. На вторую часть того сообщения не обращайте внимания.

3. Вам в Платные услуги

[sys]

1.хостинг то, профессиональный! скорее 2-ой вариант. :))

2.допиваю 2-ой литр вискаря,... как ,где ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперь представь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

1. Кто назвал его профессиональным? Нет скорее всего второе!

2. Алкоголь разрушает мозх! cPanel редкостное говно! Но все и на ней можно!

3. Ёпть, а что новый поставить, будет не судьба? Второе у тебя, что сразу весь диапазон меняется? Тогда поставь себе статический IP!

[novinsk]

Сегодня прочитал статью из журнала Ха..р " Проникновение в очаг OpenCart: взлом движка онлайн-магазина", забавная :rolleyes: .

[afwollis]

3. dyndns.org никто не отменял (это косвенно обсуждалось в теме "как удалить надпись работает на OC")

novinsk,

[:||||:]

:[||||]:

[:||||:]

[:||||||:]

[:||||:]

[:||||||:]

[novinsk]

3. dyndns.org никто не отменял (это косвенно обсуждалось в теме "как удалить надпись работает на OC")

novinsk,

[:||||:]

:[||||]:

[:||||:]

[:||||||:]

[:||||:]

[:||||||:]

Не все продвинутые пользователи )))

[motomax]

реализация капчи при входе в админку не запланирована в новых версиях?

[Sammy95]

Пока никто не взялся. Отслеживать текущее состояние запроса можно на странице:

http://www.assembla.com/spaces/ocstoreru/tickets/3-безопасность-входа-в-админку

[afwollis]

motomax, я бы вам посоветовал самим поставить recaptcha

[Googlah]

пароль просто посложнее ставь да и все

конечно было бы не плохо сменить расположение папки Админ

и поставить еще какую то защиту

[gremlin]

Лично я просто изменил имя папки администратора и подправил файлы config.php

[senty]

У кого-то есть конкретные попытки взлома магазина?

[novinsk]

Лично я просто изменил имя папки администратора и подправил файлы config.php

Подскажите какие для этого манипуляции потребуются? Спасибо

[pro1d]

Подскажите какие для этого манипуляции потребуются? Спасибо

1. Меняем имя папки "admin" на любое другое, например "vasya_neuyazvimji";

2. Редактируем файл config.php из папки, которая теперь носит название vasya_neuyazvimji/config.php

Редактировать необходимо строки, заменяя "admin" на новое название папки, в нашем случае это "vasya_neuyazvimji".

[velox]

при переименовывании папки и внесении изменений в файл конфиг.пхп главное не забыть при апгрейде все это дело поправить обратно.

у меня возникла проблема следующего хар-ра, при попытке дополнительно защитить директорию admin паролем при помощи .htaccess, мешает параметр, прописанный в .htaccess, который в корне сайта

# [b]Необходимо для ЧПУ[/b].
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
  RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

из-за этого перенаправления

RewriteRule ^([^?]*) index.php?_route_=$1

и не работает защита, пробовал прописать в .htaccess который в папке admin строку

RewriteEngine Off

но никакакого эффекта это не произвело.

Подскажите, плиз, как сделать исключение папки admin (или только index.php с папки admin) из этой переадресации, чтобы можно было использовать защиту совместно с с SEO url?

P.S. имеется в виду способ, описанный здесь, при помещении файла .htaccess в папку admin с содержимым

AuthType Basic   


AuthName admin 
require valid-user

вместо запроса пароля выдает "страница не найдена", если закомментировать RewriteRule, тогда все ок

[Гість]

Возможный путь защиты доступа к админке читать внимательно: Защита входа в админку

[lysa]

Подскажите пожалуйста! Я изменила название папки admin на своё: lysy. В конфигурационных файлах (config.php и lysy/config.php) изменила путь к папкам admin на lysy. И сайт перестал работать.

В админку я вхожу, а вот на сайт нет, пишет ошибку:

Notice: Undefined index: token in /****/home/***/htdocs/lysy/controller/error/not_found.php on line 16
Notice: Undefined index: token in /****/home/***/htdocs/lysy/controller/error/not_found.php on line 22
Fatal error: Call to a member function isLogged() on a non-object in /****/home/***/htdocs/lysy/controller/common/header.php on line 101

Поменяла всё назад папку lysy на admin, в конфигурационных файлах поменяла как было, и всё равно опять на сайт не могу войти ошибка та-же.

Что делать?

[ELITE]

1. Меняем имя папки "admin" на любое другое, например "vasya_neuyazvimji";

2. Редактируем файл config.php из папки, которая теперь носит название vasya_neuyazvimji/config.php

Редактировать необходимо строки, заменяя "admin" на новое название папки, в нашем случае это "vasya_neuyazvimji".

этот способ не сработал

[Edward]

этот способ не сработал

что именно у Вас не сработало?