Безопасность в OpenCart

[anjey]

Вот лазил в нете и нашел топик как улучшить безопасность в OpenCart.

После установки

1. Удалите каталог "/install/"

2. Измените права на файл "config.php" и "/admin/config.php" на 444

Защитите папку "/admin/"

Вы можете защитить папку "/admin/" сделав её доступной только после ввода пароля (htpasswd). Это можно сделать через панель управления вашим хостингом cPanel, webmin, virtualmin.

Изменить ключ шифрования:

1. "Система" -> "Настройки" -> выберите магазин и нажмите "изменить"

2. Перейдите в вкладку "Сервер" -> найдите "Ключ шифрования:"

3. Впишите туда новый ключ шифрования и нажмите "сохранить"

Файл .htaccess в папке "download":

1. Создайте новый файл с именем ".htaccess"

2. Напишите внутрь файла:

SetHandler send-as-is

3. Сохраните файл и загрузите его в папку "ваш_магазин/download"

Вот хотел посоветоваться насколько это дельная штука...и если дельная то обьясните пошагово что, как и где нужно менять.

Например первый раздел

1. Удалите каталог "/install/" ?

2. Измените права на файл "config.php" и "/admin/config.php" на 444 ?

Где искать этот каталог и как и где менять права на эти папки?

Ну а все остальное вроде ясно)

Буду очень благодарен кто поможет в расшифровке)

П.с. я чайник)

[Гість brk]

1. следует удалить после установки скрипта магазина ( если его нет, то удалён уже)
   
2. достаточно 644
   

[milus]

вообще папку admin не мешало переименовать

[anjey]

1. следует удалить после установки скрипта магазина ( если его нет, то удалён уже)
   
2. достаточно 644
   

А не подскажете как именить права доступа с помощью Total Commandera? Ато у меня в окшке где менять атребуты нет ячейки для изменения\ прав(((

[anjey]

вообще папку admin не мешало переименовать

Я так понимаю я просто меняю название папки на сервере и больше никаких телодвижений?Всмысле больше ничего не нужно не где настраеватьи поднастраивать, дописывать?

[Гість brk]

Я так понимаю я просто меняю название папки на сервере и больше никаких телодвижений?Всмысле больше ничего не нужно не где настраеватьи поднастраивать, дописывать?

Я бы на Вашем месте этого не делал пока, не торопите события (:

[anjey]

Я бы на Вашем месте этого не делал пока, не торопите события (:

В смысле. А когда нужно это делать и после каких событий?

[milus]

пока не много овладеете познаниями в движке, просто переименовать папку - не получится.

[anjey]

пока не много овладеете познаниями в движке, просто переименовать папку - не получится.

Просто есть вероятность что некий человек имеет доступ, к сайту, то есть он имел когда то доступ по долу службы сейчас же не имеет я так думаю....я закрыл фтп, поменял пароль к админке, к бд....что еще???Не могу спокойно спать у меня как навязчивая идея....что сделать что бы я точно знал что этот человек не сможет зайти и навредить????Посоветуйте ...тогда способ попроще если есть такой....

[afwollis]

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

[anjey]

А еще вопрос, вот только заметил у меня на все папки права 777. Это плохо? Или так должно быть по умолчанию?

[anjey]

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Получилось

[afwollis]

777 на все - плохо

смотрите логи ошибок. начать можно с system/logs/error.txt

[Vitukr]

Просто есть вероятность что некий человек имеет доступ, к сайту, то есть он имел когда то доступ по долу службы сейчас же не имеет я так думаю....я закрыл фтп, поменял пароль к админке, к бд....что еще???Не могу спокойно спать у меня как навязчивая идея....что сделать что бы я точно знал что этот человек не сможет зайти и навредить????Посоветуйте ...тогда способ попроще если есть такой....

Напрасно вы так беспокоитесь. Достаточно было бы поменять все пароли по которым он заходил, даже не меняя логины и папки.

Для этого пароли и придуманы.

[rsn]

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Спасибо то что надо для безопасности

[GeorgyM]

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Заработало - но появилась проблема -.

При установке VMODE/install пишет такую ошибку - Administrator index.php not writeable- что это может быть ?

[afwollis]

он ищет админку по старому пути.

установите его вручную

Змінено 31 січня 2013 користувачем afwollis

[GeorgyM]

он ищет админку по старому пути.

установите его вручну.

Никогда не лазал в VQMOD в каком файле это подкурктить Вы не в курсе ?

[afwollis]

я им не пользуюсь.

задайте этот вопрос в разделе vQmod

[Osas]

Заработало - но появилась проблема -.

При установке VMODE/install пишет такую ошибку - Administrator index.php not writeable- что это может быть ?

может кому-то пригодиться.

нужно установите права на запись index.php и /admin/index.php

[afwollis]

может кому-то пригодиться.

нужно установите права на запись index.php и /admin/index.php

врядли.

обсуждался вопрос возникновения ошибки после переименования директории admin во что-то другое.

[yvv75]

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Угу, вот только очень бы не помешало теперь эту же папку добавить в robots.txt, а то поисковики ее проиндексируют...

А способа закрыть от внешнего просмотра файл robots.txt, чтобы оставить его открытым для поисковых роботов я пока не нашел...

Так что получается что это переименование - просто лишний геморрой, ничего общего не имеющий с безопасностью сайта.

По моему мнение закрыть папку admin паролем средствами хостинга - самый верный способ.

[Zeppelin]

Угу, вот только очень бы не помешало теперь эту же папку добавить в robots.txt, а то поисковики ее проиндексируют...

 

это уже обсуждалось. Вносить новое название в robots.txt, КАТЕГОРИЧЕСКИ не нужно. Если не вносить, как раз в этом случае поисковики и не найдут.

Алгоритм работы поисковика

1. robots.txt

2. sitemap.xml

3. внутренние ссылки на страницы

 

если нигде не фигурирует имя новой админки, поисковики ее никогда не найдут.

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

[yvv75]

это уже обсуждалось. Вносить новое название в robots.txt, КАТЕГОРИЧЕСКИ не нужно. Если не вносить, как раз в этом случае поисковики и не найдут.

Алгоритм работы поисковика

1. robots.txt

2. sitemap.xml

3. внутренние ссылки на страницы

 

если нигде не фигурирует имя новой админки, поисковики ее никогда не найдут.

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

Может и не найдут, а может как-то и найдут. Я этого проверять не хочу.

Одно могу сказать - ни на файл php.ini, ни на папку VQMOD/ у меня на сайте нет ни одной ссылки, однако же Яндекс каким-то образом попытался их проиндексировать и сообщил мне в Мастере что не проиндексировал, так сервер выдал "HTTP-статус: Доступ к ресурсу запрещён (403)"...

Вот и думай, откуда он их выкопал...

[Zeppelin]

Вот и думай, откуда он их выкопал...

 

а я и думать не стану, уже все написал

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

 

Вот про твой php.ini

// Error

$_['error_upload_1']        = 'Загружаемый на сервер файл превышает параметр upload_max_filesize в php.ini!';

так-же и про vqmod, все из ошибок, которые появляются на сайте...