Jump to content
Sign in to follow this  
anjey

Безопасность в OpenCart

Recommended Posts

Вот лазил в нете и нашел топик как улучшить безопасность в OpenCart.

После установки

1. Удалите каталог "/install/"

2. Измените права на файл "config.php" и "/admin/config.php" на 444

Защитите папку "/admin/"

Вы можете защитить папку "/admin/" сделав её доступной только после ввода пароля (htpasswd). Это можно сделать через панель управления вашим хостингом cPanel, webmin, virtualmin.

Изменить ключ шифрования:

1. "Система" -> "Настройки" -> выберите магазин и нажмите "изменить"

2. Перейдите в вкладку "Сервер" -> найдите "Ключ шифрования:"

3. Впишите туда новый ключ шифрования и нажмите "сохранить"

Файл .htaccess в папке "download":

1. Создайте новый файл с именем ".htaccess"

2. Напишите внутрь файла:

SetHandler send-as-is

3. Сохраните файл и загрузите его в папку "ваш_магазин/download"

Вот хотел посоветоваться насколько это дельная штука...и если дельная то обьясните пошагово что, как и где нужно менять.

Например первый раздел

1. Удалите каталог "/install/" ?

2. Измените права на файл "config.php" и "/admin/config.php" на 444 ?

Где искать этот каталог и как и где менять права на эти папки?

Ну а все остальное вроде ясно)

Буду очень благодарен кто поможет в расшифровке)

П.с. я чайник)

  • +1 1

Share this post


Link to post
Share on other sites
Guest brk

  1. следует удалить после установки скрипта магазина ( если его нет, то удалён уже)
  2. достаточно 644

Share this post


Link to post
Share on other sites

вообще папку admin не мешало переименовать

Share this post


Link to post
Share on other sites
  1. следует удалить после установки скрипта магазина ( если его нет, то удалён уже)
  2. достаточно 644

А не подскажете как именить права доступа с помощью Total Commandera? Ато у меня в окшке где менять атребуты нет ячейки для изменения\ прав(((

Share this post


Link to post
Share on other sites

вообще папку admin не мешало переименовать

Я так понимаю я просто меняю название папки на сервере и больше никаких телодвижений?Всмысле больше ничего не нужно не где настраеватьи поднастраивать, дописывать?

Share this post


Link to post
Share on other sites
Guest brk

Я так понимаю я просто меняю название папки на сервере и больше никаких телодвижений?Всмысле больше ничего не нужно не где настраеватьи поднастраивать, дописывать?

Я бы на Вашем месте этого не делал пока, не торопите события (:

Share this post


Link to post
Share on other sites
Я бы на Вашем месте этого не делал пока, не торопите события (:

В смысле. А когда нужно это делать и после каких событий?

Share this post


Link to post
Share on other sites

пока не много овладеете познаниями в движке, просто переименовать папку - не получится.

Share this post


Link to post
Share on other sites

пока не много овладеете познаниями в движке, просто переименовать папку - не получится.

Просто есть вероятность что некий человек имеет доступ, к сайту, то есть он имел когда то доступ по долу службы сейчас же не имеет я так думаю....я закрыл фтп, поменял пароль к админке, к бд....что еще???Не могу спокойно спать у меня как навязчивая идея....что сделать что бы я точно знал что этот человек не сможет зайти и навредить????Посоветуйте ...тогда способ попроще если есть такой....

Share this post


Link to post
Share on other sites

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

  • +1 3

Share this post


Link to post
Share on other sites

А еще вопрос, вот только заметил у меня на все папки права 777. Это плохо? Или так должно быть по умолчанию?

Share this post


Link to post
Share on other sites

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Получилось

Share this post


Link to post
Share on other sites

777 на все - плохо

смотрите логи ошибок. начать можно с system/logs/error.txt

Share this post


Link to post
Share on other sites

Просто есть вероятность что некий человек имеет доступ, к сайту, то есть он имел когда то доступ по долу службы сейчас же не имеет я так думаю....я закрыл фтп, поменял пароль к админке, к бд....что еще???Не могу спокойно спать у меня как навязчивая идея....что сделать что бы я точно знал что этот человек не сможет зайти и навредить????Посоветуйте ...тогда способ попроще если есть такой....

Напрасно вы так беспокоитесь. Достаточно было бы поменять все пароли по которым он заходил, даже не меняя логины и папки.

Для этого пароли и придуманы.

Share this post


Link to post
Share on other sites

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Спасибо то что надо для безопасности

Share this post


Link to post
Share on other sites

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Заработало - но появилась проблема -.

При установке VMODE/install пишет такую ошибку - Administrator index.php not writeable- что это может быть ?

Share this post


Link to post
Share on other sites

он ищет админку по старому пути.

установите его вручную

Edited by afwollis

Share this post


Link to post
Share on other sites

он ищет админку по старому пути.

установите его вручну.

Никогда не лазал в VQMOD в каком файле это подкурктить Вы не в курсе ?

Share this post


Link to post
Share on other sites

я им не пользуюсь.

задайте этот вопрос в разделе vQmod

Share this post


Link to post
Share on other sites

Заработало - но появилась проблема -.

При установке VMODE/install пишет такую ошибку - Administrator index.php not writeable- что это может быть ?

может кому-то пригодиться.

нужно установите права на запись index.php и /admin/index.php

Share this post


Link to post
Share on other sites
может кому-то пригодиться.

нужно установите права на запись index.php и /admin/index.php

врядли.

обсуждался вопрос возникновения ошибки после переименования директории admin во что-то другое.

Share this post


Link to post
Share on other sites

да че вы все так?

переименуйте admin во что угодно, только не забудьте потом в "admin/config.php" отредактировать пути до админки с указанием нового названия папки.

Угу, вот только очень бы не помешало теперь эту же папку добавить в robots.txt, а то поисковики ее проиндексируют...

А способа закрыть от внешнего просмотра файл robots.txt, чтобы оставить его открытым для поисковых роботов я пока не нашел...

Так что получается что это переименование - просто лишний геморрой, ничего общего не имеющий с безопасностью сайта.

По моему мнение закрыть папку admin паролем средствами хостинга - самый верный способ.

Share this post


Link to post
Share on other sites

Угу, вот только очень бы не помешало теперь эту же папку добавить в robots.txt, а то поисковики ее проиндексируют...

 

это уже обсуждалось. Вносить новое название в robots.txt, КАТЕГОРИЧЕСКИ не нужно. Если не вносить, как раз в этом случае поисковики и не найдут.

Алгоритм работы поисковика

1. robots.txt

2. sitemap.xml

3. внутренние ссылки на страницы

 

если нигде не фигурирует имя новой админки, поисковики ее никогда не найдут.

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

Share this post


Link to post
Share on other sites

это уже обсуждалось. Вносить новое название в robots.txt, КАТЕГОРИЧЕСКИ не нужно. Если не вносить, как раз в этом случае поисковики и не найдут.

Алгоритм работы поисковика

1. robots.txt

2. sitemap.xml

3. внутренние ссылки на страницы

 

если нигде не фигурирует имя новой админки, поисковики ее никогда не найдут.

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

Может и не найдут, а может как-то и найдут. Я этого проверять не хочу.

Одно могу сказать - ни на файл php.ini, ни на папку VQMOD/ у меня на сайте нет ни одной ссылки, однако же Яндекс каким-то образом попытался их проиндексировать и сообщил мне в Мастере что не проиндексировал, так сервер выдал "HTTP-статус: Доступ к ресурсу запрещён (403)"...

Вот и думай, откуда он их выкопал...

Share this post


Link to post
Share on other sites

Вот и думай, откуда он их выкопал...

 

а я и думать не стану, уже все написал

Исключение могут составить сообщения об ошибках на странице с указанием полного пути до админки, если конечно поисковик их прихватит раньше, чем ты сможешь их исправить.

 

Вот про твой php.ini

// Error

$_['error_upload_1']        = 'Загружаемый на сервер файл превышает параметр upload_max_filesize в php.ini!';

так-же и про vqmod, все из ошибок, которые появляются на сайте...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.