Перейти к содержанию
Dim0n4ik

Безопасность админки

Рекомендуемые сообщения

по поиску ничего не нашел...

Вопрос такой: как то можно обезопасить вход в админскую зону? от перебора паролей например поставить кол-во неверных введеных попыток (3,5,7,и тд)с блокировкой на час допустим,или поставить форму для введения случайных букв,цифр(щас забыл как называется..) или накрайняк, как хотя бы поменять строку ://ваш сайт/admin на что нить другое...???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Впринципе поддерживаю, тут уже подымалась тема безопасности магазина.

Странно, что реально нет, ни каких таймаутов при вводе.

А так, ты можешь:

1. Запаролить папку средствами хостинга;

2. Переименовать ее и пути к ней.

3. Сделать блокировку по IP

Взломать могут и другими средствами

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Впринципе поддерживаю, тут уже подымалась тема безопасности магазина.

Странно, что реально нет, ни каких таймаутов при вводе.

А так, ты можешь:

1. Запаролить папку средствами хостинга;

2. Переименовать ее и пути к ней.

3. Сделать блокировку по IP

Взломать могут и другими средствами

1.при запароливании папки у меня почему то закрывается весь сайт от инета.

2.про поменять пути к админке.. напиши подробнее как делать?

3.а если айпишник к примеру динамический? ;)

Но самый то простой и распространенный способ ,тупой перебор паролей ботом. а в ОК он и не защищен.

мне понравилось как в ModX,защиту сделали,и все включено в базовую версию. не надо огороды городить.Так бы в ОК сделали ли бы. а так дырка реальная...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1.при запароливании папки у меня почему то закрывается весь сайт от инета.

2.про поменять пути к админке.. напиши подробнее как делать?

3.а если айпишник к примеру динамический? ;)

Но самый то простой и распространенный способ ,тупой перебор паролей ботом. а в ОК он и не защищен.

мне понравилось как в ModX,защиту сделали,и все включено в базовую версию. не надо огороды городить.Так бы в ОК сделали ли бы. а так дырка реальная...

1. не должно этого быть, или хостинг кривой или что-то другое ;)

2. Подумай как и что подправить

3. Динамический на сколько и в каком диапазоне? разве нельзя задать диапазон, какова вероятность, что взлом будет именно из твоего диапазона адресов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. не должно этого быть, или хостинг кривой или что-то другое ;)

2. Подумай как и что подправить

3. Динамический на сколько и в каком диапазоне? разве нельзя задать диапазон, какова вероятность, что взлом будет именно из твоего диапазона адресов?

1.хостинг то, профессиональный! скорее 2-ой вариант. :))

2.допиваю 2-ой литр вискаря,... как ,где ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперь представь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1.хостинг то, профессиональный! скорее 2-ой вариант. Изображение)

2.допиваю 2-ой литр вискаря,... как ,где ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперь представь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

1. Вы случайно не в корень .htaccess положили?

2. Обсуждалось

3. Блокировать можно не только по IP. Authentication, Authorization and Access Control - посмотрите на досуге, может что из этого пригодится.

Изменено пользователем afwollis
исправлена ссылка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Вы случайно не в корень .htaccess положили?

2. Обсуждалось

3. Блокировать можно не только по IP. Authentication, Authorization and Access Control - посмотрите на досуге, может что из этого пригодится.

1.именно туда.

2.почитал.... это я как понял тока со статикой прокатит?

3.опять огород городить... хочется что бы все было уже в готовом продукте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1.именно туда.

2.почитал.... это я как понял тока со статикой прокатит?

3.опять огород городить... хочется что бы все было уже в готовом продукте.

1. Видимо в этом и была причина. Что туда прописали?

2. На вторую часть того сообщения не обращайте внимания.

3. Вам в Платные услуги

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Брутфорсить :)) Интересно сколько по времени займет брутфорс комбинации логин + пароль вида:

Логин: xxxxxxxxx 9 символов

Пароль: xxxxxxxxx 9 символов

Не думаю что вообще есть смысл. Ну проберут по заготовленным спискам и все :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1.хостинг то, профессиональный! скорее 2-ой вариант. :))

2.допиваю 2-ой литр вискаря,... как ,где ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперь представь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

1. Кто назвал его профессиональным? Нет скорее всего второе!

2. Алкоголь разрушает мозх! cPanel редкостное говно! Но все и на ней можно!

3. Ёпть, а что новый поставить, будет не судьба? Второе у тебя, что сразу весь диапазон меняется? Тогда поставь себе статический IP!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сегодня прочитал статью из журнала Ха..р " Проникновение в очаг OpenCart: взлом движка онлайн-магазина", забавная :rolleyes: .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

3. dyndns.org никто не отменял (это косвенно обсуждалось в теме "как удалить надпись работает на OC")

novinsk,

[:||||:]

:[||||]:

[:||||:]

[:||||||:]

[:||||:]

[:||||||:]

Изображение

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

3. dyndns.org никто не отменял (это косвенно обсуждалось в теме "как удалить надпись работает на OC")

novinsk,

[:||||:]

:[||||]:

[:||||:]

[:||||||:]

[:||||:]

[:||||||:]

Изображение

Не все продвинутые пользователи )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

реализация капчи при входе в админку не запланирована в новых версиях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пока никто не взялся. Отслеживать текущее состояние запроса можно на странице:

http://www.assembla.com/spaces/ocstoreru/tickets/3-безопасность-входа-в-админку

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
motomax, я бы вам посоветовал самим поставить recaptcha

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

пароль просто посложнее ставь да и все

конечно было бы не плохо сменить расположение папки Админ

и поставить еще какую то защиту

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Лично я просто изменил имя папки администратора и подправил файлы config.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У кого-то есть конкретные попытки взлома магазина?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Лично я просто изменил имя папки администратора и подправил файлы config.php

Подскажите какие для этого манипуляции потребуются? Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите какие для этого манипуляции потребуются? Спасибо

1. Меняем имя папки "admin" на любое другое, например "vasya_neuyazvimji";

2. Редактируем файл config.php из папки, которая теперь носит название vasya_neuyazvimji/config.php

Редактировать необходимо строки, заменяя "admin" на новое название папки, в нашем случае это "vasya_neuyazvimji".

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

при переименовывании папки и внесении изменений в файл конфиг.пхп главное не забыть при апгрейде все это дело поправить обратно.

у меня возникла проблема следующего хар-ра, при попытке дополнительно защитить директорию admin паролем при помощи .htaccess, мешает параметр, прописанный в .htaccess, который в корне сайта

# [b]Необходимо для ЧПУ[/b].
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
  RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

из-за этого перенаправления

RewriteRule ^([^?]*) index.php?_route_=$1

и не работает защита, пробовал прописать в .htaccess который в папке admin строку

RewriteEngine Off
но никакакого эффекта это не произвело.

Подскажите, плиз, как сделать исключение папки admin (или только index.php с папки admin) из этой переадресации, чтобы можно было использовать защиту совместно с с SEO url?

P.S. имеется в виду способ, описанный здесь, при помещении файла .htaccess в папку admin с содержимым

AuthType Basic   


AuthName admin 
require valid-user

вместо запроса пароля выдает "страница не найдена", если закомментировать RewriteRule, тогда все ок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите пожалуйста! Я изменила название папки admin на своё: lysy. В конфигурационных файлах (config.php и lysy/config.php) изменила путь к папкам admin на lysy. И сайт перестал работать.

В админку я вхожу, а вот на сайт нет, пишет ошибку:

Notice: Undefined index: token in /****/home/***/htdocs/lysy/controller/error/not_found.php on line 16
Notice: Undefined index: token in /****/home/***/htdocs/lysy/controller/error/not_found.php on line 22
Fatal error: Call to a member function isLogged() on a non-object in /****/home/***/htdocs/lysy/controller/common/header.php on line 101

Поменяла всё назад папку lysy на admin, в конфигурационных файлах поменяла как было, и всё равно опять на сайт не могу войти ошибка та-же.

Что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Меняем имя папки "admin" на любое другое, например "vasya_neuyazvimji";

2. Редактируем файл config.php из папки, которая теперь носит название vasya_neuyazvimji/config.php

Редактировать необходимо строки, заменяя "admin" на новое название папки, в нашем случае это "vasya_neuyazvimji".

этот способ не сработал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.