Перейти к содержанию
anjey

Безопасность в OpenCart

Рекомендуемые сообщения

Вот лазил в нете и нашел топик как улучшить безопасность в OpenCart.

После установки

1. Удалите каталог "/install/"

2. Измените права на файл "config.php" и "/admin/config.php" на 444

Защитите папку "/admin/"

Вы можете защитить папку "/admin/" сделав её доступной только после ввода пароля (htpasswd). Это можно сделать через панель управления вашим хостингом cPanel, webmin, virtualmin.

Изменить ключ шифрования:

1. "Система" -> "Настройки" -> выберите магазин и нажмите "изменить"

2. Перейдите в вкладку "Сервер" -> найдите "Ключ шифрования:"

3. Впишите туда новый ключ шифрования и нажмите "сохранить"

Файл .htaccess в папке "download":

1. Создайте новый файл с именем ".htaccess"

2. Напишите внутрь файла:

SetHandler send-as-is

3. Сохраните файл и загрузите его в папку "ваш_магазин/download"

Вот хотел посоветоваться насколько это дельная штука...и если дельная то обьясните пошагово что, как и где нужно менять.

Например первый раздел

1. Удалите каталог "/install/" ?

2. Измените права на файл "config.php" и "/admin/config.php" на 444 ?

Где искать этот каталог и как и где менять права на эти папки?

Ну а все остальное вроде ясно)

Буду очень благодарен кто поможет в расшифровке)

П.с. я чайник)

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость brk

  1. следует удалить после установки скрипта магазина ( если его нет, то удалён уже)
  2. достаточно 644

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вообще папку admin не мешало переименовать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
  1. следует удалить после установки скрипта магазина ( если его нет, то удалён уже)
  2. достаточно 644

А не подскажете как именить права доступа с помощью Total Commandera? Ато у меня в окшке где менять атребуты нет ячейки для изменения\ прав(((

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вообще папку admin не мешало переименовать

Я так понимаю я просто меняю название папки на сервере и больше никаких телодвижений?Всмысле больше ничего не нужно не где настраеватьи поднастраивать, дописывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость brk

Я так понимаю я просто меняю название папки на сервере и больше никаких телодвижений?Всмысле больше ничего не нужно не где настраеватьи поднастраивать, дописывать?

Я бы на Вашем месте этого не делал пока, не торопите события (:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я бы на Вашем месте этого не делал пока, не торопите события (:

В смысле. А когда нужно это делать и после каких событий?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

пока не много овладеете познаниями в движке, просто переименовать папку - не получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

пока не много овладеете познаниями в движке, просто переименовать папку - не получится.

Просто есть вероятность что некий человек имеет доступ, к сайту, то есть он имел когда то доступ по долу службы сейчас же не имеет я так думаю....я закрыл фтп, поменял пароль к админке, к бд....что еще???Не могу спокойно спать у меня как навязчивая идея....что сделать что бы я точно знал что этот человек не сможет зайти и навредить????Посоветуйте ...тогда способ попроще если есть такой....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

  • +1 3

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А еще вопрос, вот только заметил у меня на все папки права 777. Это плохо? Или так должно быть по умолчанию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Получилось

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

777 на все - плохо

смотрите логи ошибок. начать можно с system/logs/error.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Просто есть вероятность что некий человек имеет доступ, к сайту, то есть он имел когда то доступ по долу службы сейчас же не имеет я так думаю....я закрыл фтп, поменял пароль к админке, к бд....что еще???Не могу спокойно спать у меня как навязчивая идея....что сделать что бы я точно знал что этот человек не сможет зайти и навредить????Посоветуйте ...тогда способ попроще если есть такой....

Напрасно вы так беспокоитесь. Достаточно было бы поменять все пароли по которым он заходил, даже не меняя логины и папки.

Для этого пароли и придуманы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Спасибо то что надо для безопасности

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Заработало - но появилась проблема -.

При установке VMODE/install пишет такую ошибку - Administrator index.php not writeable- что это может быть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

он ищет админку по старому пути.

установите его вручную

Изменено пользователем afwollis

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

он ищет админку по старому пути.

установите его вручну.

Никогда не лазал в VQMOD в каком файле это подкурктить Вы не в курсе ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я им не пользуюсь.

задайте этот вопрос в разделе vQmod

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Заработало - но появилась проблема -.

При установке VMODE/install пишет такую ошибку - Administrator index.php not writeable- что это может быть ?

может кому-то пригодиться.

нужно установите права на запись index.php и /admin/index.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
может кому-то пригодиться.

нужно установите права на запись index.php и /admin/index.php

врядли.

обсуждался вопрос возникновения ошибки после переименования директории admin во что-то другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Угу, вот только очень бы не помешало теперь эту же папку добавить в robots.txt, а то поисковики ее проиндексируют...

А способа закрыть от внешнего просмотра файл robots.txt, чтобы оставить его открытым для поисковых роботов я пока не нашел...

Так что получается что это переименование - просто лишний геморрой, ничего общего не имеющий с безопасностью сайта.

По моему мнение закрыть папку admin паролем средствами хостинга - самый верный способ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Угу, вот только очень бы не помешало теперь эту же папку добавить в robots.txt, а то поисковики ее проиндексируют...

 

это уже обсуждалось. Вносить новое название в robots.txt, КАТЕГОРИЧЕСКИ не нужно. Если не вносить, как раз в этом случае поисковики и не найдут.

Алгоритм работы поисковика

1. robots.txt

2. sitemap.xml

3. внутренние ссылки на страницы

 

если нигде не фигурирует имя новой админки, поисковики ее никогда не найдут.

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это уже обсуждалось. Вносить новое название в robots.txt, КАТЕГОРИЧЕСКИ не нужно. Если не вносить, как раз в этом случае поисковики и не найдут.

Алгоритм работы поисковика

1. robots.txt

2. sitemap.xml

3. внутренние ссылки на страницы

 

если нигде не фигурирует имя новой админки, поисковики ее никогда не найдут.

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

Может и не найдут, а может как-то и найдут. Я этого проверять не хочу.

Одно могу сказать - ни на файл php.ini, ни на папку VQMOD/ у меня на сайте нет ни одной ссылки, однако же Яндекс каким-то образом попытался их проиндексировать и сообщил мне в Мастере что не проиндексировал, так сервер выдал "HTTP-статус: Доступ к ресурсу запрещён (403)"...

Вот и думай, откуда он их выкопал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот и думай, откуда он их выкопал...

 

а я и думать не стану, уже все написал

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

 

Вот про твой php.ini

// Error

$_['error_upload_1']        = 'Загружаемый на сервер файл превышает параметр upload_max_filesize в php.ini!';

так-же и про vqmod, все из ошибок, которые появляются на сайте...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.