IgorRU Опубликовано: 23 февраля 2014 Поделиться Опубликовано: 23 февраля 2014 в целях безопасности что нужно сделать после завершения работы над сайтом ? сделал config.php 644-атрибут (корневом каталоге и в админ панели ), а еще что нужно? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
aafilippov Опубликовано: 23 февраля 2014 Поделиться Опубликовано: 23 февраля 2014 а остальное под 777 осталось чтоли? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
IgorRU Опубликовано: 23 февраля 2014 Автор Поделиться Опубликовано: 23 февраля 2014 а остальное под 777 осталось чтоли? как после инсталляции движка сделал так и осталось. А как должно быть ? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
aafilippov Опубликовано: 23 февраля 2014 Поделиться Опубликовано: 23 февраля 2014 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Luchik Опубликовано: 26 февраля 2014 Поделиться Опубликовано: 26 февраля 2014 1) Бэкап на винчестер (файлы и базу)2) бэкап в запасном месте 3) 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Я так же делаю. 4)В некоторые папки (например, download) можно закинуть файл .htaccess с содержанием: Order allow,denyDeny from all # Prevent Directoy listingOptions All -Indexes Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
IgorRU Опубликовано: 26 февраля 2014 Автор Поделиться Опубликовано: 26 февраля 2014 Папки Download и Image тоже сделать 755? 1) Бэкап на винчестер (файлы и базу)2) бэкап в запасном месте 3) Я так же делаю. 4)В некоторые папки (например, download) можно закинуть файл .htaccess с содержанием: Order allow,denyDeny from all # Prevent Directoy listingOptions All -Indexes А что дает 4-й пункт ? поясните пожалуйста. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
aafilippov Опубликовано: 27 февраля 2014 Поделиться Опубликовано: 27 февраля 2014 1) Бэкап на винчестер (файлы и базу) 2) бэкап в запасном месте 3) Я так же делаю. 4)В некоторые папки (например, download) можно закинуть файл .htaccess с содержанием: Order allow,deny Deny from all # Prevent Directoy listing Options All -Indexes Да, точно, я забыл дописать, тоже закидываю htassecc во все нужные папки Папки Download и Image тоже сделать 755? А что дает 4-й пункт ? поясните пожалуйста. блокирует доступ всем в папку Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
LccccL Опубликовано: 13 марта 2014 Поделиться Опубликовано: 13 марта 2014 если в admin закинуть .htaccess, какой текст вписать? этот - Order allow,deny Deny from all # Prevent Directoy listingOptions All -Indexes ??? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
IgorRU Опубликовано: 15 марта 2014 Автор Поделиться Опубликовано: 15 марта 2014 если в admin закинуть .htaccess, какой текст вписать? этот - Order allow,deny Deny from all # Prevent Directoy listing Options All -Indexes ??? Если честно, тоже не понял! Этот текст напечатать в обычном блокноте набрать ? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
webds Опубликовано: 16 марта 2014 Поделиться Опубликовано: 16 марта 2014 Прочел, решил и че нить самому дописать Вообще безопасность - штука интересная. Я занимаюсь ней некоторое время, изучал, анализировал и могу сказать, что при аренде хостинга, ее сложно максимально обеспечить своему сайту. Более реалистично, что то сделать, только при выделенным сервере. Выше посмотрел переписку, хочу ответить на некоторые вопросы. 4)В некоторые папки (например, download) можно закинуть файл .htaccess с содержанием: Order allow,denyDeny from all # Prevent Directoy listingOptions All -Indexes А что дает 4-й пункт ? поясните пожалуйста. блокирует доступ всем в папку Да, действительно доступ будет прямого вызова недоступен. Order allow,deny - это правило очередности выполнения действий. Deny from all - это правило запрещает доступ к файлам Также хочу предупредить что действия htaccess распространяется на все поддиректории. Вообще моя Все рекомендация - НЕ ИСПОЛЬЗУЙТЕ htaccess, а лучше вообще отключить его использование. Правила прописывать в конфигурации сервера, куда не смогут залезть так называемые "вирусные" скрипты. Если очень нужно использования этих файлов, как одна с идей, можно переименовать htaccess на любое другое имя, но опять, для работы нужен свой веб сервер. Options All -Indexes Это запрет на просмотр каталогов, если в нем нет индексового файла ,который сервер по умолчанию должен запустить 755 на папки, 644 на файлы Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать. Да согласен что нужно по максимуму закрывать право на запись файла, и ставить только чтение. Но как показал опыт, все скрипты работают под Админ правами сервера. Потому, если кто то к Вам каким то образом что то залил, то он сможет управлять правами на скрипты , папки и т.д. Честно пока мало эффекта видел от этого назначения прав, хотя элементарная защита как бы есть , и я все же рекомендую выставлять права по максимуму правильно. Из защиты админки, запаролить ее через .htaccess, Уточню информацию. Самим htaccess не чего не получится. В реале этот файл нужен для создания правил, которые выполняет сервер. Чтоб установить пароль нужен будет еще и файл .htpasswd, в котором и хранятся пароль. Почитать как это сделать, думаю не составить труда, статей много. + поставить мод который будет следить за изменениями файлов Ммм конечно не понятно о каком модули идет речь, но в реальности на сервере должен минимум стоять модуль mod_security , сразу видно будет если кто заразит Это легко делается через команды в консуле Будет время, возможно буду описывать все моменты безопасности. А вообще мне интересно, на сколько эта тема актуальна для людей? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... aafilippov Опубликовано: 16 марта 2014 Поделиться Опубликовано: 16 марта 2014 Вообще моя Все рекомендация - НЕ ИСПОЛЬЗУЙТЕ htaccess, а лучше вообще отключить его использование. ЧПУ Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать. Если не понимаешь это не значит что надо выставить 777 и забить Но как показал опыт, все скрипты работают под Админ правами сервера. Скрипты работают от пользователя от которого запущен вэб сервер Ммм конечно не понятно о каком модули идет речь Ни о каком, это делается отдельным скриптом. Хотя можно реализовать Security module + backup Это легко делается через команды в консуле Это как? В апаче есть логи которые показывают изменения содержимого фалов?! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 16 марта 2014 Поделиться Опубликовано: 16 марта 2014 Добрый день aafilippov, Вы занимаетесь безопасностью? Просто если нет, то попрошу не комментировать мои посты в не верном направление. Уважаемые пользователи, специалисты. Если есть те кто занимается безопасностью, прошу ответить мне в личку. Хотелось бы собрать Вас всех в месте в будущем, и обсуждать разные идеи и алгоритмы. ЧПУ Для этого не обязательно использовать htaccess. Просто, если бы Вы знали что это за файл, для чего нужен, как можно без него работать, не писали мне о ЧПУ. htaccess - согласен, что удобно очень. Но если использовать возможность назначения правил работы сервера через внешние файлы (htaccess ), то для большей безопасности лучше его перейменовать и задать ему другое имя, чтоб не могли найти скрипты вирусы его. Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать. Если не понимаешь это не значит что надо выставить 777 и забить Тут сложно Вам понять мои слова, не проанализировав тактику и алгоритмы взломов. Описывать к сожалению не вижу смысла, потому оставим это. Скрипты работают от пользователя от которого запущен вэб сервер )))) Будет у меня время я вас озадачу. А сейчас отвечу просто. -Вирус скрипты и Ваш сайт работают под одним пользователем. И смысла в правах нет вообще, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно поставить. Ни о каком, это делается отдельным скриптом. Это не есть хорошо. и не есть правильно. Хотя на какой то % конечно поднимает безопасность. Это как? В апаче есть логи которые показывают изменения содержимого фалов?! )) При чем тут Апач? Командами через ssh консоль прямо обращаетесь к линуксу. Security module + backup Есть тоже много нюансов. Если особенно ставить разные условия. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... aafilippov Опубликовано: 18 марта 2014 Поделиться Опубликовано: 18 марта 2014 Для этого не обязательно использовать htaccess спасибо кэп, а мы дураки за него взялись Это не есть хорошо. и не есть правильно. Хотя на какой то % конечно поднимает безопасность. Спасибо кэп, а я дурак на почту получаю изменения содержимого файлов, а оказывается это плохо Командами через ssh консоль прямо обращаетесь к линуксу. Господи, сохрани админский бубен. Даже если ты это реализуешь, проще пойти и застрелиться чем через консоль изменения php кода смотреть Есть тоже много нюансов. да живи ты проще, делай бекапы да сервер правильно настрой, а если надо будет и так сломают )))) Будет у меня время я вас озадачу. А сейчас отвечу просто. -Вирус скрипты и Ваш сайт работают под одним пользователем. И смысла в правах нет вообще, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно поставить. уязвимость вэб-сервера, хрен с ним, нашел кулцхакер дыру, запустил скрипт от юзера вася, и каким боком он мне сервер уронит если прав нету ни на че у него? думаю после этого тебе станет понятно для чего права на папки и файлы Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... webds Опубликовано: 29 марта 2014 Поделиться Опубликовано: 29 марта 2014 запустил скрипт от юзера вася, Ну включите же логику, если она у Вас есть.. не пишите глупостей. Вы наверное путаете доступ по ftp и работу скриптов. и каким боком он мне сервер уронит если прав нету ни на че у него? Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. Нет в разделения прав на Васю, Петю, и т.д. Но по логике, если бы были, то каждый пользователь, который бы зашел на сайт Ваш, должен был бы как то себя идентифицировать, то есть назвать себя, от какого он пользователя использует сайт, от Васи или Пети. Еще раз повторю, всегда обдумайте сначала то что пишите. да живи ты проще, делай бекапы да сервер правильно настрой, а если надо будет и так сломают Может поделишься "Правильной настройкой" ? А на счет бекапов - это конечно хорошо. Но в реале, бекапы нужны для воостановления сайта после кривых рук программиста, который что то писал и все поломал. В жизни, если злоумышленник находит лазейку, он будет постоянно лезть через нее, и поверь - первый раз ее сложно найти. Остальные разы для взлома ему нужно будет несколько секунд или максимум несколько минут. Потому нужно искать эти лазейки и закрывать. Господи, сохрани админский бубен. Даже если ты это реализуешь, проще пойти и застрелиться чем через консоль изменения php кода смотреть Я надеюсь только на то что ты не работаешь Администратором серверов. :ugeek: Что значит это реализовать? Это тоже самое что тебе на windows запустить media player и посмотреть фильм. Но конечно для некоторых и это может быть сложным, согласен :-D спасибо кэп, а мы дураки за него взялись Это с той истории, докажи алкашу что он алкаш. ))) Использование htaccess - сами разработчики рекомендуют не использовать. Что ты на это скажешь? Хотя всем сказано. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... afwollis Опубликовано: 29 марта 2014 Поделиться Опубликовано: 29 марта 2014 webds, может где-то в чем-то ты и понимаешь, но в вопросах безопасности, поднятых в этой теме, ты выглядишь просто клоуном со своими сообщениями. aafilippov, не обращай внимания на него. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 ты выглядишь просто клоуном со своими сообщениями. afwollisМожет конкретнее укажите на мои сообщения "клоунады"? Вы бы лучше конкретно прокомментировали мои ответы, я бы постарался описать проблемы по возможности с примерами. А писать о клуонаде, любой гость этого форума сможет. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 А писать о клуонаде, любой гость этого форума сможет.Ну ведь реально смешно)) Особенно пользователям шаред-хоcтингов, у которых вся надежда на htaccess, права файлов и ModSecurity от хостера. Иногда на php.ini, если дадут.. А так да, при фулдоступе ты сам себе хозяин и .htaccess ненада. Только основной контингент как-раз то и на шареде... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... afwollis Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 Может конкретнее укажите на мои сообщения "клоунады"? та пожалуйста Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. тчк. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 3 апреля 2014 Поделиться Опубликовано: 3 апреля 2014 та пожалуйста Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне так в этой теме много флудта. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на реале. Ну ведь реально смешно))Особенно пользователям шаред-хоcтингов мда уж.... И что смешного? Только основной контингент как-раз то и на шареде... А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке... но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать. Потому соглашусь с Вами. Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. ))))) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 4 апреля 2014 Поделиться Опубликовано: 4 апреля 2014 Да ладно, это ж форум... "Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей) Давай дубль два, новую тему где всё по пунктам. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 8 месяцев спустя... s7a8n9 Опубликовано: 22 декабря 2014 Поделиться Опубликовано: 22 декабря 2014 Ребята, где взять модуль Security module + backup Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 24 декабря 2014 Поделиться Опубликовано: 24 декабря 2014 Давайте немного внесем ясность в то, с чем мы пытаемся работать... 1. Свое железо, своя операционка, свой PHP, свой сайт. Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт. 2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов. 3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили. С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант. Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу. Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует. 1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда. 2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте? 3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет. 4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали. 5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему. 6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине. 7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 3 недели спустя... s7a8n9 Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 недель спустя... IgorRU Опубликовано: 9 февраля 2015 Автор Поделиться Опубликовано: 9 февраля 2015 хорошо. закружили... тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную . а тут свою папку сделать (права 755?) , например goadmin и работать ... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Назад 1 2 Вперёд Страница 1 из 2 Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности что нужно сделать после завершения работы над сайтом ? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
aafilippov Опубликовано: 16 марта 2014 Поделиться Опубликовано: 16 марта 2014 Вообще моя Все рекомендация - НЕ ИСПОЛЬЗУЙТЕ htaccess, а лучше вообще отключить его использование. ЧПУ Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать. Если не понимаешь это не значит что надо выставить 777 и забить Но как показал опыт, все скрипты работают под Админ правами сервера. Скрипты работают от пользователя от которого запущен вэб сервер Ммм конечно не понятно о каком модули идет речь Ни о каком, это делается отдельным скриптом. Хотя можно реализовать Security module + backup Это легко делается через команды в консуле Это как? В апаче есть логи которые показывают изменения содержимого фалов?! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
webds Опубликовано: 16 марта 2014 Поделиться Опубликовано: 16 марта 2014 Добрый день aafilippov, Вы занимаетесь безопасностью? Просто если нет, то попрошу не комментировать мои посты в не верном направление. Уважаемые пользователи, специалисты. Если есть те кто занимается безопасностью, прошу ответить мне в личку. Хотелось бы собрать Вас всех в месте в будущем, и обсуждать разные идеи и алгоритмы. ЧПУ Для этого не обязательно использовать htaccess. Просто, если бы Вы знали что это за файл, для чего нужен, как можно без него работать, не писали мне о ЧПУ. htaccess - согласен, что удобно очень. Но если использовать возможность назначения правил работы сервера через внешние файлы (htaccess ), то для большей безопасности лучше его перейменовать и задать ему другое имя, чтоб не могли найти скрипты вирусы его. Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать. Если не понимаешь это не значит что надо выставить 777 и забить Тут сложно Вам понять мои слова, не проанализировав тактику и алгоритмы взломов. Описывать к сожалению не вижу смысла, потому оставим это. Скрипты работают от пользователя от которого запущен вэб сервер )))) Будет у меня время я вас озадачу. А сейчас отвечу просто. -Вирус скрипты и Ваш сайт работают под одним пользователем. И смысла в правах нет вообще, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно поставить. Ни о каком, это делается отдельным скриптом. Это не есть хорошо. и не есть правильно. Хотя на какой то % конечно поднимает безопасность. Это как? В апаче есть логи которые показывают изменения содержимого фалов?! )) При чем тут Апач? Командами через ssh консоль прямо обращаетесь к линуксу. Security module + backup Есть тоже много нюансов. Если особенно ставить разные условия. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... aafilippov Опубликовано: 18 марта 2014 Поделиться Опубликовано: 18 марта 2014 Для этого не обязательно использовать htaccess спасибо кэп, а мы дураки за него взялись Это не есть хорошо. и не есть правильно. Хотя на какой то % конечно поднимает безопасность. Спасибо кэп, а я дурак на почту получаю изменения содержимого файлов, а оказывается это плохо Командами через ssh консоль прямо обращаетесь к линуксу. Господи, сохрани админский бубен. Даже если ты это реализуешь, проще пойти и застрелиться чем через консоль изменения php кода смотреть Есть тоже много нюансов. да живи ты проще, делай бекапы да сервер правильно настрой, а если надо будет и так сломают )))) Будет у меня время я вас озадачу. А сейчас отвечу просто. -Вирус скрипты и Ваш сайт работают под одним пользователем. И смысла в правах нет вообще, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно поставить. уязвимость вэб-сервера, хрен с ним, нашел кулцхакер дыру, запустил скрипт от юзера вася, и каким боком он мне сервер уронит если прав нету ни на че у него? думаю после этого тебе станет понятно для чего права на папки и файлы Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... webds Опубликовано: 29 марта 2014 Поделиться Опубликовано: 29 марта 2014 запустил скрипт от юзера вася, Ну включите же логику, если она у Вас есть.. не пишите глупостей. Вы наверное путаете доступ по ftp и работу скриптов. и каким боком он мне сервер уронит если прав нету ни на че у него? Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. Нет в разделения прав на Васю, Петю, и т.д. Но по логике, если бы были, то каждый пользователь, который бы зашел на сайт Ваш, должен был бы как то себя идентифицировать, то есть назвать себя, от какого он пользователя использует сайт, от Васи или Пети. Еще раз повторю, всегда обдумайте сначала то что пишите. да живи ты проще, делай бекапы да сервер правильно настрой, а если надо будет и так сломают Может поделишься "Правильной настройкой" ? А на счет бекапов - это конечно хорошо. Но в реале, бекапы нужны для воостановления сайта после кривых рук программиста, который что то писал и все поломал. В жизни, если злоумышленник находит лазейку, он будет постоянно лезть через нее, и поверь - первый раз ее сложно найти. Остальные разы для взлома ему нужно будет несколько секунд или максимум несколько минут. Потому нужно искать эти лазейки и закрывать. Господи, сохрани админский бубен. Даже если ты это реализуешь, проще пойти и застрелиться чем через консоль изменения php кода смотреть Я надеюсь только на то что ты не работаешь Администратором серверов. :ugeek: Что значит это реализовать? Это тоже самое что тебе на windows запустить media player и посмотреть фильм. Но конечно для некоторых и это может быть сложным, согласен :-D спасибо кэп, а мы дураки за него взялись Это с той истории, докажи алкашу что он алкаш. ))) Использование htaccess - сами разработчики рекомендуют не использовать. Что ты на это скажешь? Хотя всем сказано. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... afwollis Опубликовано: 29 марта 2014 Поделиться Опубликовано: 29 марта 2014 webds, может где-то в чем-то ты и понимаешь, но в вопросах безопасности, поднятых в этой теме, ты выглядишь просто клоуном со своими сообщениями. aafilippov, не обращай внимания на него. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 ты выглядишь просто клоуном со своими сообщениями. afwollisМожет конкретнее укажите на мои сообщения "клоунады"? Вы бы лучше конкретно прокомментировали мои ответы, я бы постарался описать проблемы по возможности с примерами. А писать о клуонаде, любой гость этого форума сможет. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 А писать о клуонаде, любой гость этого форума сможет.Ну ведь реально смешно)) Особенно пользователям шаред-хоcтингов, у которых вся надежда на htaccess, права файлов и ModSecurity от хостера. Иногда на php.ini, если дадут.. А так да, при фулдоступе ты сам себе хозяин и .htaccess ненада. Только основной контингент как-раз то и на шареде... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... afwollis Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 Может конкретнее укажите на мои сообщения "клоунады"? та пожалуйста Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. тчк. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 3 апреля 2014 Поделиться Опубликовано: 3 апреля 2014 та пожалуйста Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне так в этой теме много флудта. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на реале. Ну ведь реально смешно))Особенно пользователям шаред-хоcтингов мда уж.... И что смешного? Только основной контингент как-раз то и на шареде... А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке... но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать. Потому соглашусь с Вами. Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. ))))) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 4 апреля 2014 Поделиться Опубликовано: 4 апреля 2014 Да ладно, это ж форум... "Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей) Давай дубль два, новую тему где всё по пунктам. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 8 месяцев спустя... s7a8n9 Опубликовано: 22 декабря 2014 Поделиться Опубликовано: 22 декабря 2014 Ребята, где взять модуль Security module + backup Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 24 декабря 2014 Поделиться Опубликовано: 24 декабря 2014 Давайте немного внесем ясность в то, с чем мы пытаемся работать... 1. Свое железо, своя операционка, свой PHP, свой сайт. Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт. 2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов. 3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили. С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант. Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу. Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует. 1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда. 2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте? 3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет. 4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали. 5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему. 6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине. 7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 3 недели спустя... s7a8n9 Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 недель спустя... IgorRU Опубликовано: 9 февраля 2015 Автор Поделиться Опубликовано: 9 февраля 2015 хорошо. закружили... тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную . а тут свою папку сделать (права 755?) , например goadmin и работать ... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Назад 1 2 Вперёд Страница 1 из 2 Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности что нужно сделать после завершения работы над сайтом ? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
aafilippov Опубликовано: 18 марта 2014 Поделиться Опубликовано: 18 марта 2014 Для этого не обязательно использовать htaccess спасибо кэп, а мы дураки за него взялись Это не есть хорошо. и не есть правильно. Хотя на какой то % конечно поднимает безопасность. Спасибо кэп, а я дурак на почту получаю изменения содержимого файлов, а оказывается это плохо Командами через ssh консоль прямо обращаетесь к линуксу. Господи, сохрани админский бубен. Даже если ты это реализуешь, проще пойти и застрелиться чем через консоль изменения php кода смотреть Есть тоже много нюансов. да живи ты проще, делай бекапы да сервер правильно настрой, а если надо будет и так сломают )))) Будет у меня время я вас озадачу. А сейчас отвечу просто. -Вирус скрипты и Ваш сайт работают под одним пользователем. И смысла в правах нет вообще, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно поставить. уязвимость вэб-сервера, хрен с ним, нашел кулцхакер дыру, запустил скрипт от юзера вася, и каким боком он мне сервер уронит если прав нету ни на че у него? думаю после этого тебе станет понятно для чего права на папки и файлы Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
webds Опубликовано: 29 марта 2014 Поделиться Опубликовано: 29 марта 2014 запустил скрипт от юзера вася, Ну включите же логику, если она у Вас есть.. не пишите глупостей. Вы наверное путаете доступ по ftp и работу скриптов. и каким боком он мне сервер уронит если прав нету ни на че у него? Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. Нет в разделения прав на Васю, Петю, и т.д. Но по логике, если бы были, то каждый пользователь, который бы зашел на сайт Ваш, должен был бы как то себя идентифицировать, то есть назвать себя, от какого он пользователя использует сайт, от Васи или Пети. Еще раз повторю, всегда обдумайте сначала то что пишите. да живи ты проще, делай бекапы да сервер правильно настрой, а если надо будет и так сломают Может поделишься "Правильной настройкой" ? А на счет бекапов - это конечно хорошо. Но в реале, бекапы нужны для воостановления сайта после кривых рук программиста, который что то писал и все поломал. В жизни, если злоумышленник находит лазейку, он будет постоянно лезть через нее, и поверь - первый раз ее сложно найти. Остальные разы для взлома ему нужно будет несколько секунд или максимум несколько минут. Потому нужно искать эти лазейки и закрывать. Господи, сохрани админский бубен. Даже если ты это реализуешь, проще пойти и застрелиться чем через консоль изменения php кода смотреть Я надеюсь только на то что ты не работаешь Администратором серверов. :ugeek: Что значит это реализовать? Это тоже самое что тебе на windows запустить media player и посмотреть фильм. Но конечно для некоторых и это может быть сложным, согласен :-D спасибо кэп, а мы дураки за него взялись Это с той истории, докажи алкашу что он алкаш. ))) Использование htaccess - сами разработчики рекомендуют не использовать. Что ты на это скажешь? Хотя всем сказано. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... afwollis Опубликовано: 29 марта 2014 Поделиться Опубликовано: 29 марта 2014 webds, может где-то в чем-то ты и понимаешь, но в вопросах безопасности, поднятых в этой теме, ты выглядишь просто клоуном со своими сообщениями. aafilippov, не обращай внимания на него. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 ты выглядишь просто клоуном со своими сообщениями. afwollisМожет конкретнее укажите на мои сообщения "клоунады"? Вы бы лучше конкретно прокомментировали мои ответы, я бы постарался описать проблемы по возможности с примерами. А писать о клуонаде, любой гость этого форума сможет. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 А писать о клуонаде, любой гость этого форума сможет.Ну ведь реально смешно)) Особенно пользователям шаред-хоcтингов, у которых вся надежда на htaccess, права файлов и ModSecurity от хостера. Иногда на php.ini, если дадут.. А так да, при фулдоступе ты сам себе хозяин и .htaccess ненада. Только основной контингент как-раз то и на шареде... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... afwollis Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 Может конкретнее укажите на мои сообщения "клоунады"? та пожалуйста Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. тчк. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 3 апреля 2014 Поделиться Опубликовано: 3 апреля 2014 та пожалуйста Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне так в этой теме много флудта. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на реале. Ну ведь реально смешно))Особенно пользователям шаред-хоcтингов мда уж.... И что смешного? Только основной контингент как-раз то и на шареде... А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке... но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать. Потому соглашусь с Вами. Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. ))))) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 4 апреля 2014 Поделиться Опубликовано: 4 апреля 2014 Да ладно, это ж форум... "Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей) Давай дубль два, новую тему где всё по пунктам. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 8 месяцев спустя... s7a8n9 Опубликовано: 22 декабря 2014 Поделиться Опубликовано: 22 декабря 2014 Ребята, где взять модуль Security module + backup Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 24 декабря 2014 Поделиться Опубликовано: 24 декабря 2014 Давайте немного внесем ясность в то, с чем мы пытаемся работать... 1. Свое железо, своя операционка, свой PHP, свой сайт. Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт. 2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов. 3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили. С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант. Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу. Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует. 1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда. 2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте? 3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет. 4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали. 5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему. 6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине. 7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 3 недели спустя... s7a8n9 Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 недель спустя... IgorRU Опубликовано: 9 февраля 2015 Автор Поделиться Опубликовано: 9 февраля 2015 хорошо. закружили... тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную . а тут свою папку сделать (права 755?) , например goadmin и работать ... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Назад 1 2 Вперёд Страница 1 из 2 Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности что нужно сделать после завершения работы над сайтом ? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
afwollis Опубликовано: 29 марта 2014 Поделиться Опубликовано: 29 марта 2014 webds, может где-то в чем-то ты и понимаешь, но в вопросах безопасности, поднятых в этой теме, ты выглядишь просто клоуном со своими сообщениями. aafilippov, не обращай внимания на него. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 ты выглядишь просто клоуном со своими сообщениями. afwollisМожет конкретнее укажите на мои сообщения "клоунады"? Вы бы лучше конкретно прокомментировали мои ответы, я бы постарался описать проблемы по возможности с примерами. А писать о клуонаде, любой гость этого форума сможет. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 А писать о клуонаде, любой гость этого форума сможет.Ну ведь реально смешно)) Особенно пользователям шаред-хоcтингов, у которых вся надежда на htaccess, права файлов и ModSecurity от хостера. Иногда на php.ini, если дадут.. А так да, при фулдоступе ты сам себе хозяин и .htaccess ненада. Только основной контингент как-раз то и на шареде... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... afwollis Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 Может конкретнее укажите на мои сообщения "клоунады"? та пожалуйста Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. тчк. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 3 апреля 2014 Поделиться Опубликовано: 3 апреля 2014 та пожалуйста Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне так в этой теме много флудта. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на реале. Ну ведь реально смешно))Особенно пользователям шаред-хоcтингов мда уж.... И что смешного? Только основной контингент как-раз то и на шареде... А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке... но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать. Потому соглашусь с Вами. Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. ))))) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 4 апреля 2014 Поделиться Опубликовано: 4 апреля 2014 Да ладно, это ж форум... "Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей) Давай дубль два, новую тему где всё по пунктам. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 8 месяцев спустя... s7a8n9 Опубликовано: 22 декабря 2014 Поделиться Опубликовано: 22 декабря 2014 Ребята, где взять модуль Security module + backup Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 24 декабря 2014 Поделиться Опубликовано: 24 декабря 2014 Давайте немного внесем ясность в то, с чем мы пытаемся работать... 1. Свое железо, своя операционка, свой PHP, свой сайт. Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт. 2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов. 3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили. С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант. Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу. Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует. 1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда. 2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте? 3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет. 4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали. 5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему. 6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине. 7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 3 недели спустя... s7a8n9 Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 недель спустя... IgorRU Опубликовано: 9 февраля 2015 Автор Поделиться Опубликовано: 9 февраля 2015 хорошо. закружили... тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную . а тут свою папку сделать (права 755?) , например goadmin и работать ... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Назад 1 2 Вперёд Страница 1 из 2 Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности что нужно сделать после завершения работы над сайтом ? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha
webds Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 ты выглядишь просто клоуном со своими сообщениями. afwollisМожет конкретнее укажите на мои сообщения "клоунады"? Вы бы лучше конкретно прокомментировали мои ответы, я бы постарался описать проблемы по возможности с примерами. А писать о клуонаде, любой гость этого форума сможет. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 А писать о клуонаде, любой гость этого форума сможет.Ну ведь реально смешно)) Особенно пользователям шаред-хоcтингов, у которых вся надежда на htaccess, права файлов и ModSecurity от хостера. Иногда на php.ini, если дадут.. А так да, при фулдоступе ты сам себе хозяин и .htaccess ненада. Только основной контингент как-раз то и на шареде... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... afwollis Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 Может конкретнее укажите на мои сообщения "клоунады"? та пожалуйста Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. тчк. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 3 апреля 2014 Поделиться Опубликовано: 3 апреля 2014 та пожалуйста Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне так в этой теме много флудта. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на реале. Ну ведь реально смешно))Особенно пользователям шаред-хоcтингов мда уж.... И что смешного? Только основной контингент как-раз то и на шареде... А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке... но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать. Потому соглашусь с Вами. Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. ))))) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 4 апреля 2014 Поделиться Опубликовано: 4 апреля 2014 Да ладно, это ж форум... "Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей) Давай дубль два, новую тему где всё по пунктам. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 8 месяцев спустя... s7a8n9 Опубликовано: 22 декабря 2014 Поделиться Опубликовано: 22 декабря 2014 Ребята, где взять модуль Security module + backup Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 24 декабря 2014 Поделиться Опубликовано: 24 декабря 2014 Давайте немного внесем ясность в то, с чем мы пытаемся работать... 1. Свое железо, своя операционка, свой PHP, свой сайт. Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт. 2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов. 3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили. С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант. Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу. Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует. 1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда. 2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте? 3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет. 4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали. 5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему. 6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине. 7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 3 недели спустя... s7a8n9 Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 недель спустя... IgorRU Опубликовано: 9 февраля 2015 Автор Поделиться Опубликовано: 9 февраля 2015 хорошо. закружили... тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную . а тут свою папку сделать (права 755?) , например goadmin и работать ... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Назад 1 2 Вперёд Страница 1 из 2 Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности что нужно сделать после завершения работы над сайтом ?
neocaridina Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 А писать о клуонаде, любой гость этого форума сможет.Ну ведь реально смешно)) Особенно пользователям шаред-хоcтингов, у которых вся надежда на htaccess, права файлов и ModSecurity от хостера. Иногда на php.ini, если дадут.. А так да, при фулдоступе ты сам себе хозяин и .htaccess ненада. Только основной контингент как-раз то и на шареде... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
afwollis Опубликовано: 30 марта 2014 Поделиться Опубликовано: 30 марта 2014 Может конкретнее укажите на мои сообщения "клоунады"? та пожалуйста Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. тчк. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... webds Опубликовано: 3 апреля 2014 Поделиться Опубликовано: 3 апреля 2014 та пожалуйста Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне так в этой теме много флудта. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на реале. Ну ведь реально смешно))Особенно пользователям шаред-хоcтингов мда уж.... И что смешного? Только основной контингент как-раз то и на шареде... А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке... но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать. Потому соглашусь с Вами. Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. ))))) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 4 апреля 2014 Поделиться Опубликовано: 4 апреля 2014 Да ладно, это ж форум... "Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей) Давай дубль два, новую тему где всё по пунктам. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 8 месяцев спустя... s7a8n9 Опубликовано: 22 декабря 2014 Поделиться Опубликовано: 22 декабря 2014 Ребята, где взять модуль Security module + backup Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 24 декабря 2014 Поделиться Опубликовано: 24 декабря 2014 Давайте немного внесем ясность в то, с чем мы пытаемся работать... 1. Свое железо, своя операционка, свой PHP, свой сайт. Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт. 2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов. 3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили. С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант. Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу. Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует. 1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда. 2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте? 3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет. 4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали. 5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему. 6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине. 7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 3 недели спустя... s7a8n9 Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 недель спустя... IgorRU Опубликовано: 9 февраля 2015 Автор Поделиться Опубликовано: 9 февраля 2015 хорошо. закружили... тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную . а тут свою папку сделать (права 755?) , например goadmin и работать ... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Назад 1 2 Вперёд Страница 1 из 2 Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу.
webds Опубликовано: 3 апреля 2014 Поделиться Опубликовано: 3 апреля 2014 та пожалуйста Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне так в этой теме много флудта. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на реале. Ну ведь реально смешно))Особенно пользователям шаред-хоcтингов мда уж.... И что смешного? Только основной контингент как-раз то и на шареде... А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке... но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать. Потому соглашусь с Вами. Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. ))))) Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... neocaridina Опубликовано: 4 апреля 2014 Поделиться Опубликовано: 4 апреля 2014 Да ладно, это ж форум... "Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей) Давай дубль два, новую тему где всё по пунктам. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 8 месяцев спустя... s7a8n9 Опубликовано: 22 декабря 2014 Поделиться Опубликовано: 22 декабря 2014 Ребята, где взять модуль Security module + backup Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 24 декабря 2014 Поделиться Опубликовано: 24 декабря 2014 Давайте немного внесем ясность в то, с чем мы пытаемся работать... 1. Свое железо, своя операционка, свой PHP, свой сайт. Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт. 2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов. 3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили. С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант. Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу. Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует. 1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда. 2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте? 3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет. 4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали. 5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему. 6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине. 7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 3 недели спустя... s7a8n9 Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Blondi Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 5 недель спустя... IgorRU Опубликовано: 9 февраля 2015 Автор Поделиться Опубликовано: 9 февраля 2015 хорошо. закружили... тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную . а тут свою папку сделать (права 755?) , например goadmin и работать ... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Назад 1 2 Вперёд Страница 1 из 2 Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0
neocaridina Опубликовано: 4 апреля 2014 Поделиться Опубликовано: 4 апреля 2014 Да ладно, это ж форум... "Норм спецы" тут не шарятся по чужим темам а сразу врываются со своей) Давай дубль два, новую тему где всё по пунктам. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
s7a8n9 Опубликовано: 22 декабря 2014 Поделиться Опубликовано: 22 декабря 2014 Ребята, где взять модуль Security module + backup Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Blondi Опубликовано: 24 декабря 2014 Поделиться Опубликовано: 24 декабря 2014 Давайте немного внесем ясность в то, с чем мы пытаемся работать... 1. Свое железо, своя операционка, свой PHP, свой сайт. Что мы имеем? Мы должны заботиться о безопасности железа, патчить саму операционку, патчить PHP и конечно же то что на нем крутится, сам сайт. 2. VDS\VPS - о железе и операционке заботится хостер, у нас есть рутовые права, мы можем ставить какие то модули сами. Заботится надо только о безопасности сайтов. 3. Шаринг-хостинг. Все что можно сделать, какие модули поставить - все зависит от хостинга. Рутовых прав нету, есть только доступ на FTP и в SQL. Все. Работаем только с тем с чем нам разрешили. С точки зрения безопасности конечно же первый предпочтительнее, третий наименее гибок, второй - компромиссный вариант. Но давайте не будем забывать еще и о стоимости того или иного решения. Если у человека магазин на бесплатном движке и $100 на допил, то первые два варианта отпадают сразу. Давайте рассматривать пока что только третий вариант, поскольку подавляющее большинство пользователей OpenCart используют все таки его, и даже если использовать первый и второй, то безопасность самого сайта там тоже присутствует. 1. Исходный код. Еще до того как магазин будет закончен, нужно помнить о безопасности, а именно о том откуда взялся тот или иной код. Бывает так что непонятно откуда взявшийся модуль уже несет в себе бэкдор. Проверить его на virustotal не составит труда. 2. Права доступа на файлы и папки. Какие права ставить - 640, 777 - зависит от многого, но в любом случае нужно руководствоваться минимально необходимыми правами для работы. Да, конечно же, если у Вас свое собственное железо, то можно вообще раздел смонтировать в RO и навсегда забыть о правах, но мы же говорим о более сложном варианте? 3. Защита доступа к FTP - обязательно сложные пароли и по возможности ограничить доступ по IP адресам, если хостинг позволяет. 4. Файл .htaccess. Опять таки, если третий вариант хостинга, то без него никуда. Его можно закидывать в разные папки с разными параметрами, уже писали. 5. Бэкапы. Бэкапы делают все хостеры, у себя же нужно иметь эталонную копию файлов и базы. И нужно это не для того что бы быстро восстановить сайт, это делается из админки хостера за пару кликов, а для того что бы иметь возможность сравнить файлы по содержимому и найти те или иные изменения которые непонятно кем вносились. И опять таки это ищется не для того что бы удалить изменения, а для того что бы понять что собственно произошло и почему. 6. Защита админки. Да, есть много способов защиты админки. Можно через .htaccess разрешить доступ только с определенных IP адресов, или добавить .htpasswd и входить по паролю сначала в каталог, потом в админку, или переименовать её, или добавить капчу, что бы не подобрали пароль. Пароли, опять таки - не ставьте простые пароли. Вроде как прописная истина, но никто не этого не делает. Но честно говоря я не вижу особого смысла тут заморачиваться, поскольку если каким то образом залит шелл на хостинг, то можно получить доступ и в админку, и куда угодно. И вряд ли злоумышленнику интересно сколько чего и кому вы продали в своем магазине. 7. Собственно поиск уязвимостей. Вот тут много говорили - найдут дыру и поломают. А что мешает самим поискать эти уязвимости, и устранить их? Есть куча сканеров безопасности. Причем делать это надо не только после окончания работ по сайту, а периодически. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
s7a8n9 Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 755 на папки, 644 на файлы. Конфиги я вообще 400 ставлю. Если доступ дать на файлы с папками юзеру от которого вэб-сервер запущен, то и менять права не надо будет, хотя на большинстве хостингов так и есть. Из защиты админки, запаролить ее через .htaccess, можно еще и переименовать. Есть файрволы еще на php, можно и им обезопаситься :-) + поставить мод который будет следить за изменениями файлов, сразу видно будет если кто заразит. Ну и сайты на джумле и вордпрессе рядом не держать, а то ломают часто. А с недавних пор я еще и ip выделенный стал заказывать, тоже защита, например, от ростелекома, который из-за соседей может нормальный сайт в блок запихать Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Blondi Опубликовано: 10 января 2015 Поделиться Опубликовано: 10 января 2015 Подскажите, права 755 на все каталоги ставить? Права 644 на все файлы? Каким образом максимально быстро проделать данные процедуры? Самое простое - через фтп-файл-менеджер встроенный в панель управления хостингом. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
IgorRU Опубликовано: 9 февраля 2015 Автор Поделиться Опубликовано: 9 февраля 2015 хорошо. закружили... тогда так , может кто-то подсказать , как спрятать саму папку admin? Напиример как в wordpress есть плагин, который прячет админку при обращении к ней пересылает на главную . а тут свою папку сделать (права 755?) , например goadmin и работать ... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Рекомендованные сообщения