LDPS Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. Надіслати Поділитися на інших сайтах More sharing options...
sv2109 Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 самый простой и самый надежный способ - изменить название папки админки с admin на любое другое, даже на admin123 или для параноиков что-то типа "e130c5a38" тогда никто даже знать не будет по какому адресу подбирать. Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 в ocStore_155+ лог-файл потому и был мною переименован в ***.log Надіслати Поділитися на інших сайтах More sharing options... DAN Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. У меня по этому адресу выдает 403 ошибку. Т.к. доступ запрещен. Админка переименована. Надіслати Поділитися на інших сайтах More sharing options... sv2109 Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 sv2109, мы-то в курсе - потому ж и .log, а не .txt :-) Надіслати Поділитися на інших сайтах More sharing options... LDPS Опубліковано: 13 вересня 2015 Автор Share Опубліковано: 13 вересня 2015 видимо самое простое пока добавить пароль на доступ к папке админ от апача. только вот у меня не работает. Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 13 вересня 2015 Share Опубліковано: 13 вересня 2015 вот еще хороший вариант https://opencartforum.com/files/file/2667-recaptcha-%D0%B4%D0%BB%D1%8F-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD-%D0%BF%D0%B0%D0%BD%D0%B5%D0%BB%D0%B8/ Надіслати Поділитися на інших сайтах More sharing options... agefremov Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin такая каптча считывается на раз два три Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... SterN Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 (змінено) <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> содержимое /admin/view/template/common/login.tpl <?php } ?> Как вариант не ? один раз ключи вбил, в куки засели и все пучком. что бы войти www.вашсайт.com/admin?secretkey=secretkeyvalue Змінено 13 жовтня 2015 користувачем SterN Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 SterN, не. Надіслати Поділитися на інших сайтах More sharing options... 1 year later... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. По этому адресу не ищется. Надіслати Поділитися на інших сайтах More sharing options... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 Давайте как-то обобщим. 1. Переименовать папку админа. 2. Доступ к ней только с опр. IP адресов 3. Дальше что, вот это? лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... 1 year later... Anri13 Опубліковано: 20 грудня 2017 Share Опубліковано: 20 грудня 2017 В 12.09.2015 в 12:29, LDPS сказал: День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. 1. Сокрытие входа в административную панель По умолчанию для того, чтобы войти в панель администратора, обычно используется такой путь: ваш_сайт.ru/admin. Естественно, чем больше информации будет у хакеров, тем легче им будет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еще более сложное. Как это сделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сделайте такую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли там упоминание admin). Если все сделано правильно, то теперь административная панель будет доступна по новому адресу – главное, не забудьте его. 2. Изменение логина администратора (и пароля) После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообще основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять. Как это сделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом виде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой. Кстати, тут же вы можете поменять и пароль – настоятельно рекомендую сделать это, придумав пароль не короче десяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Яндексе. Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не ставьте для входа в панель администратора такой же пароль, как и, к примеру, для входа в почту. 3. Изменение прав доступа для важных файлов Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), содержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение». Как это сделать: менять права можно при помощи любого инструмента, которым вы пользуетесь для работы с файлами. Самый простой способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»: Можно выставить там цифрами 444 (только чтение для владельца и для всех остальных), либо отметить ползунками эти же параметры. Также можно воспользоваться FTP-клиентом – например, Filezilla – и выставить права доступа там. 4. Отказ от отображения ошибок Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообщения об ошибках, которые отображаются на неправильные действия. Поэтому рекомендую отказаться от отображения этих ошибок. Как это сделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и там в настройках откройте вкладку «Сервер», внизу будет блок «Ошибки», вот там нужно поставить «Нет» у «Показывать ошибки». Тут у вас, скорее всего, возникнет вопрос, а что делать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошибок (его название есть в этом же блоке в настройках). Посмотреть его вы можете, если зайдете в корневую папку сайта, затем в system и затем в logs. 5. Добавление связки слов для входа в панель администратора Как и в остальных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ более сложный, чем остальные, так как предусматривает работу с кодом. Как это сделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найдете его по такому пути: public_html/admin/view/template/common/login.tpl (Если вы ранее уже поменяли название папки admin на другое, то в этом пути также замените его на нужное.) Далее вам нужно в самый верх файла скопировать следующие строки: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> Но это не вся работа, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без удаления и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайта. После этого в самый конец файла вам нужно добавить: <?php } ?> Сохраните файл. Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку такого вида: ваш_сайт.ru/admin?secretkey=secretkeyvalue Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно поставить то название, которое вы дали этой папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования. Еще одно действие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам индексировать страницу для авторизации. Перейдите в ту директорию, которая уже упоминалась выше (где находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку: <meta name="robots" content="noindex" /> Теперь поисковые роботы не будут индексировать эту страницу. Если до этого в файле robots.txt вы писали что-то вроде Disallow: /admin (для того, чтобы запретить индексацию этой страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том числе и взломщики. Поэтому писать там адрес панели администрирования не следует. ============================================================================ P.S. Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод. Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 21 грудня 2017 Share Опубліковано: 21 грудня 2017 Цитата 1. Сокрытие входа в административную панель ...... 5. Добавление связки слов для входа в панель администратора Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... SeoSan Опубліковано: 1 травня 2018 Share Опубліковано: 1 травня 2018 В 21.12.2017 в 16:40, Shureg сказал: Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. Можно инструкцию подробную как это сделать! Заранее благодарю! Надіслати Поділитися на інших сайтах More sharing options... 1 year later... ANiMAL Опубліковано: 27 січня 2020 Share Опубліковано: 27 січня 2020 Адаптация вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/ Надіслати Поділитися на інших сайтах More sharing options... 1 year later... DN2020 Опубліковано: 3 березня 2021 Share Опубліковано: 3 березня 2021 Толи лыжи не те, толи палки мешают. Не сработало в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку. Цитата /admin/view/template/common/login.tpl Запихнул в controller, теперь работает. Цитата /admin/controller/common/login.php Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Защита админки от взлома, подбора? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Повний пакет SEO Автор: GeekoDev SameSite Session Fix Opencart 3 Автор: web_bond SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
afwollis Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 в ocStore_155+ лог-файл потому и был мною переименован в ***.log Надіслати Поділитися на інших сайтах More sharing options... DAN Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. У меня по этому адресу выдает 403 ошибку. Т.к. доступ запрещен. Админка переименована. Надіслати Поділитися на інших сайтах More sharing options... sv2109 Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 sv2109, мы-то в курсе - потому ж и .log, а не .txt :-) Надіслати Поділитися на інших сайтах More sharing options... LDPS Опубліковано: 13 вересня 2015 Автор Share Опубліковано: 13 вересня 2015 видимо самое простое пока добавить пароль на доступ к папке админ от апача. только вот у меня не работает. Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 13 вересня 2015 Share Опубліковано: 13 вересня 2015 вот еще хороший вариант https://opencartforum.com/files/file/2667-recaptcha-%D0%B4%D0%BB%D1%8F-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD-%D0%BF%D0%B0%D0%BD%D0%B5%D0%BB%D0%B8/ Надіслати Поділитися на інших сайтах More sharing options... agefremov Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin такая каптча считывается на раз два три Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... SterN Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 (змінено) <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> содержимое /admin/view/template/common/login.tpl <?php } ?> Как вариант не ? один раз ключи вбил, в куки засели и все пучком. что бы войти www.вашсайт.com/admin?secretkey=secretkeyvalue Змінено 13 жовтня 2015 користувачем SterN Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 SterN, не. Надіслати Поділитися на інших сайтах More sharing options... 1 year later... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. По этому адресу не ищется. Надіслати Поділитися на інших сайтах More sharing options... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 Давайте как-то обобщим. 1. Переименовать папку админа. 2. Доступ к ней только с опр. IP адресов 3. Дальше что, вот это? лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... 1 year later... Anri13 Опубліковано: 20 грудня 2017 Share Опубліковано: 20 грудня 2017 В 12.09.2015 в 12:29, LDPS сказал: День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. 1. Сокрытие входа в административную панель По умолчанию для того, чтобы войти в панель администратора, обычно используется такой путь: ваш_сайт.ru/admin. Естественно, чем больше информации будет у хакеров, тем легче им будет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еще более сложное. Как это сделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сделайте такую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли там упоминание admin). Если все сделано правильно, то теперь административная панель будет доступна по новому адресу – главное, не забудьте его. 2. Изменение логина администратора (и пароля) После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообще основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять. Как это сделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом виде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой. Кстати, тут же вы можете поменять и пароль – настоятельно рекомендую сделать это, придумав пароль не короче десяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Яндексе. Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не ставьте для входа в панель администратора такой же пароль, как и, к примеру, для входа в почту. 3. Изменение прав доступа для важных файлов Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), содержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение». Как это сделать: менять права можно при помощи любого инструмента, которым вы пользуетесь для работы с файлами. Самый простой способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»: Можно выставить там цифрами 444 (только чтение для владельца и для всех остальных), либо отметить ползунками эти же параметры. Также можно воспользоваться FTP-клиентом – например, Filezilla – и выставить права доступа там. 4. Отказ от отображения ошибок Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообщения об ошибках, которые отображаются на неправильные действия. Поэтому рекомендую отказаться от отображения этих ошибок. Как это сделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и там в настройках откройте вкладку «Сервер», внизу будет блок «Ошибки», вот там нужно поставить «Нет» у «Показывать ошибки». Тут у вас, скорее всего, возникнет вопрос, а что делать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошибок (его название есть в этом же блоке в настройках). Посмотреть его вы можете, если зайдете в корневую папку сайта, затем в system и затем в logs. 5. Добавление связки слов для входа в панель администратора Как и в остальных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ более сложный, чем остальные, так как предусматривает работу с кодом. Как это сделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найдете его по такому пути: public_html/admin/view/template/common/login.tpl (Если вы ранее уже поменяли название папки admin на другое, то в этом пути также замените его на нужное.) Далее вам нужно в самый верх файла скопировать следующие строки: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> Но это не вся работа, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без удаления и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайта. После этого в самый конец файла вам нужно добавить: <?php } ?> Сохраните файл. Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку такого вида: ваш_сайт.ru/admin?secretkey=secretkeyvalue Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно поставить то название, которое вы дали этой папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования. Еще одно действие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам индексировать страницу для авторизации. Перейдите в ту директорию, которая уже упоминалась выше (где находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку: <meta name="robots" content="noindex" /> Теперь поисковые роботы не будут индексировать эту страницу. Если до этого в файле robots.txt вы писали что-то вроде Disallow: /admin (для того, чтобы запретить индексацию этой страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том числе и взломщики. Поэтому писать там адрес панели администрирования не следует. ============================================================================ P.S. Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод. Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 21 грудня 2017 Share Опубліковано: 21 грудня 2017 Цитата 1. Сокрытие входа в административную панель ...... 5. Добавление связки слов для входа в панель администратора Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... SeoSan Опубліковано: 1 травня 2018 Share Опубліковано: 1 травня 2018 В 21.12.2017 в 16:40, Shureg сказал: Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. Можно инструкцию подробную как это сделать! Заранее благодарю! Надіслати Поділитися на інших сайтах More sharing options... 1 year later... ANiMAL Опубліковано: 27 січня 2020 Share Опубліковано: 27 січня 2020 Адаптация вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/ Надіслати Поділитися на інших сайтах More sharing options... 1 year later... DN2020 Опубліковано: 3 березня 2021 Share Опубліковано: 3 березня 2021 Толи лыжи не те, толи палки мешают. Не сработало в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку. Цитата /admin/view/template/common/login.tpl Запихнул в controller, теперь работает. Цитата /admin/controller/common/login.php Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Защита админки от взлома, подбора? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Повний пакет SEO Автор: GeekoDev SameSite Session Fix Opencart 3 Автор: web_bond SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
DAN Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. У меня по этому адресу выдает 403 ошибку. Т.к. доступ запрещен. Админка переименована. Надіслати Поділитися на інших сайтах More sharing options...
sv2109 Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 sv2109, мы-то в курсе - потому ж и .log, а не .txt :-) Надіслати Поділитися на інших сайтах More sharing options... LDPS Опубліковано: 13 вересня 2015 Автор Share Опубліковано: 13 вересня 2015 видимо самое простое пока добавить пароль на доступ к папке админ от апача. только вот у меня не работает. Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 13 вересня 2015 Share Опубліковано: 13 вересня 2015 вот еще хороший вариант https://opencartforum.com/files/file/2667-recaptcha-%D0%B4%D0%BB%D1%8F-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD-%D0%BF%D0%B0%D0%BD%D0%B5%D0%BB%D0%B8/ Надіслати Поділитися на інших сайтах More sharing options... agefremov Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin такая каптча считывается на раз два три Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... SterN Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 (змінено) <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> содержимое /admin/view/template/common/login.tpl <?php } ?> Как вариант не ? один раз ключи вбил, в куки засели и все пучком. что бы войти www.вашсайт.com/admin?secretkey=secretkeyvalue Змінено 13 жовтня 2015 користувачем SterN Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 SterN, не. Надіслати Поділитися на інших сайтах More sharing options... 1 year later... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. По этому адресу не ищется. Надіслати Поділитися на інших сайтах More sharing options... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 Давайте как-то обобщим. 1. Переименовать папку админа. 2. Доступ к ней только с опр. IP адресов 3. Дальше что, вот это? лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... 1 year later... Anri13 Опубліковано: 20 грудня 2017 Share Опубліковано: 20 грудня 2017 В 12.09.2015 в 12:29, LDPS сказал: День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. 1. Сокрытие входа в административную панель По умолчанию для того, чтобы войти в панель администратора, обычно используется такой путь: ваш_сайт.ru/admin. Естественно, чем больше информации будет у хакеров, тем легче им будет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еще более сложное. Как это сделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сделайте такую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли там упоминание admin). Если все сделано правильно, то теперь административная панель будет доступна по новому адресу – главное, не забудьте его. 2. Изменение логина администратора (и пароля) После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообще основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять. Как это сделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом виде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой. Кстати, тут же вы можете поменять и пароль – настоятельно рекомендую сделать это, придумав пароль не короче десяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Яндексе. Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не ставьте для входа в панель администратора такой же пароль, как и, к примеру, для входа в почту. 3. Изменение прав доступа для важных файлов Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), содержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение». Как это сделать: менять права можно при помощи любого инструмента, которым вы пользуетесь для работы с файлами. Самый простой способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»: Можно выставить там цифрами 444 (только чтение для владельца и для всех остальных), либо отметить ползунками эти же параметры. Также можно воспользоваться FTP-клиентом – например, Filezilla – и выставить права доступа там. 4. Отказ от отображения ошибок Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообщения об ошибках, которые отображаются на неправильные действия. Поэтому рекомендую отказаться от отображения этих ошибок. Как это сделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и там в настройках откройте вкладку «Сервер», внизу будет блок «Ошибки», вот там нужно поставить «Нет» у «Показывать ошибки». Тут у вас, скорее всего, возникнет вопрос, а что делать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошибок (его название есть в этом же блоке в настройках). Посмотреть его вы можете, если зайдете в корневую папку сайта, затем в system и затем в logs. 5. Добавление связки слов для входа в панель администратора Как и в остальных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ более сложный, чем остальные, так как предусматривает работу с кодом. Как это сделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найдете его по такому пути: public_html/admin/view/template/common/login.tpl (Если вы ранее уже поменяли название папки admin на другое, то в этом пути также замените его на нужное.) Далее вам нужно в самый верх файла скопировать следующие строки: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> Но это не вся работа, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без удаления и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайта. После этого в самый конец файла вам нужно добавить: <?php } ?> Сохраните файл. Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку такого вида: ваш_сайт.ru/admin?secretkey=secretkeyvalue Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно поставить то название, которое вы дали этой папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования. Еще одно действие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам индексировать страницу для авторизации. Перейдите в ту директорию, которая уже упоминалась выше (где находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку: <meta name="robots" content="noindex" /> Теперь поисковые роботы не будут индексировать эту страницу. Если до этого в файле robots.txt вы писали что-то вроде Disallow: /admin (для того, чтобы запретить индексацию этой страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том числе и взломщики. Поэтому писать там адрес панели администрирования не следует. ============================================================================ P.S. Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод. Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 21 грудня 2017 Share Опубліковано: 21 грудня 2017 Цитата 1. Сокрытие входа в административную панель ...... 5. Добавление связки слов для входа в панель администратора Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... SeoSan Опубліковано: 1 травня 2018 Share Опубліковано: 1 травня 2018 В 21.12.2017 в 16:40, Shureg сказал: Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. Можно инструкцию подробную как это сделать! Заранее благодарю! Надіслати Поділитися на інших сайтах More sharing options... 1 year later... ANiMAL Опубліковано: 27 січня 2020 Share Опубліковано: 27 січня 2020 Адаптация вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/ Надіслати Поділитися на інших сайтах More sharing options... 1 year later... DN2020 Опубліковано: 3 березня 2021 Share Опубліковано: 3 березня 2021 Толи лыжи не те, толи палки мешают. Не сработало в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку. Цитата /admin/view/template/common/login.tpl Запихнул в controller, теперь работает. Цитата /admin/controller/common/login.php Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Защита админки от взлома, подбора? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Повний пакет SEO Автор: GeekoDev SameSite Session Fix Opencart 3 Автор: web_bond SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
afwollis Опубліковано: 12 вересня 2015 Share Опубліковано: 12 вересня 2015 sv2109, мы-то в курсе - потому ж и .log, а не .txt :-) Надіслати Поділитися на інших сайтах More sharing options... LDPS Опубліковано: 13 вересня 2015 Автор Share Опубліковано: 13 вересня 2015 видимо самое простое пока добавить пароль на доступ к папке админ от апача. только вот у меня не работает. Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 13 вересня 2015 Share Опубліковано: 13 вересня 2015 вот еще хороший вариант https://opencartforum.com/files/file/2667-recaptcha-%D0%B4%D0%BB%D1%8F-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD-%D0%BF%D0%B0%D0%BD%D0%B5%D0%BB%D0%B8/ Надіслати Поділитися на інших сайтах More sharing options... agefremov Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin такая каптча считывается на раз два три Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... SterN Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 (змінено) <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> содержимое /admin/view/template/common/login.tpl <?php } ?> Как вариант не ? один раз ключи вбил, в куки засели и все пучком. что бы войти www.вашсайт.com/admin?secretkey=secretkeyvalue Змінено 13 жовтня 2015 користувачем SterN Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 SterN, не. Надіслати Поділитися на інших сайтах More sharing options... 1 year later... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. По этому адресу не ищется. Надіслати Поділитися на інших сайтах More sharing options... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 Давайте как-то обобщим. 1. Переименовать папку админа. 2. Доступ к ней только с опр. IP адресов 3. Дальше что, вот это? лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... 1 year later... Anri13 Опубліковано: 20 грудня 2017 Share Опубліковано: 20 грудня 2017 В 12.09.2015 в 12:29, LDPS сказал: День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. 1. Сокрытие входа в административную панель По умолчанию для того, чтобы войти в панель администратора, обычно используется такой путь: ваш_сайт.ru/admin. Естественно, чем больше информации будет у хакеров, тем легче им будет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еще более сложное. Как это сделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сделайте такую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли там упоминание admin). Если все сделано правильно, то теперь административная панель будет доступна по новому адресу – главное, не забудьте его. 2. Изменение логина администратора (и пароля) После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообще основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять. Как это сделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом виде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой. Кстати, тут же вы можете поменять и пароль – настоятельно рекомендую сделать это, придумав пароль не короче десяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Яндексе. Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не ставьте для входа в панель администратора такой же пароль, как и, к примеру, для входа в почту. 3. Изменение прав доступа для важных файлов Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), содержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение». Как это сделать: менять права можно при помощи любого инструмента, которым вы пользуетесь для работы с файлами. Самый простой способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»: Можно выставить там цифрами 444 (только чтение для владельца и для всех остальных), либо отметить ползунками эти же параметры. Также можно воспользоваться FTP-клиентом – например, Filezilla – и выставить права доступа там. 4. Отказ от отображения ошибок Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообщения об ошибках, которые отображаются на неправильные действия. Поэтому рекомендую отказаться от отображения этих ошибок. Как это сделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и там в настройках откройте вкладку «Сервер», внизу будет блок «Ошибки», вот там нужно поставить «Нет» у «Показывать ошибки». Тут у вас, скорее всего, возникнет вопрос, а что делать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошибок (его название есть в этом же блоке в настройках). Посмотреть его вы можете, если зайдете в корневую папку сайта, затем в system и затем в logs. 5. Добавление связки слов для входа в панель администратора Как и в остальных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ более сложный, чем остальные, так как предусматривает работу с кодом. Как это сделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найдете его по такому пути: public_html/admin/view/template/common/login.tpl (Если вы ранее уже поменяли название папки admin на другое, то в этом пути также замените его на нужное.) Далее вам нужно в самый верх файла скопировать следующие строки: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> Но это не вся работа, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без удаления и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайта. После этого в самый конец файла вам нужно добавить: <?php } ?> Сохраните файл. Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку такого вида: ваш_сайт.ru/admin?secretkey=secretkeyvalue Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно поставить то название, которое вы дали этой папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования. Еще одно действие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам индексировать страницу для авторизации. Перейдите в ту директорию, которая уже упоминалась выше (где находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку: <meta name="robots" content="noindex" /> Теперь поисковые роботы не будут индексировать эту страницу. Если до этого в файле robots.txt вы писали что-то вроде Disallow: /admin (для того, чтобы запретить индексацию этой страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том числе и взломщики. Поэтому писать там адрес панели администрирования не следует. ============================================================================ P.S. Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод. Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 21 грудня 2017 Share Опубліковано: 21 грудня 2017 Цитата 1. Сокрытие входа в административную панель ...... 5. Добавление связки слов для входа в панель администратора Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... SeoSan Опубліковано: 1 травня 2018 Share Опубліковано: 1 травня 2018 В 21.12.2017 в 16:40, Shureg сказал: Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. Можно инструкцию подробную как это сделать! Заранее благодарю! Надіслати Поділитися на інших сайтах More sharing options... 1 year later... ANiMAL Опубліковано: 27 січня 2020 Share Опубліковано: 27 січня 2020 Адаптация вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/ Надіслати Поділитися на інших сайтах More sharing options... 1 year later... DN2020 Опубліковано: 3 березня 2021 Share Опубліковано: 3 березня 2021 Толи лыжи не те, толи палки мешают. Не сработало в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку. Цитата /admin/view/template/common/login.tpl Запихнул в controller, теперь работает. Цитата /admin/controller/common/login.php Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Защита админки от взлома, подбора? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Повний пакет SEO Автор: GeekoDev SameSite Session Fix Opencart 3 Автор: web_bond SP Telegram повідомлення FREE Автор: spectre Відключити порожні категорії Автор: spectre SEO Автор тексту категорії / фільтра / блогу з датою оновлення контенту + мікророзмітка Автор: radaevich
LDPS Опубліковано: 13 вересня 2015 Автор Share Опубліковано: 13 вересня 2015 видимо самое простое пока добавить пароль на доступ к папке админ от апача. только вот у меня не работает. Надіслати Поділитися на інших сайтах More sharing options...
ashap Опубліковано: 13 вересня 2015 Share Опубліковано: 13 вересня 2015 вот еще хороший вариант https://opencartforum.com/files/file/2667-recaptcha-%D0%B4%D0%BB%D1%8F-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD-%D0%BF%D0%B0%D0%BD%D0%B5%D0%BB%D0%B8/ Надіслати Поділитися на інших сайтах More sharing options... agefremov Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin Надіслати Поділитися на інших сайтах More sharing options... ashap Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin такая каптча считывается на раз два три Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... SterN Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 (змінено) <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> содержимое /admin/view/template/common/login.tpl <?php } ?> Как вариант не ? один раз ключи вбил, в куки засели и все пучком. что бы войти www.вашсайт.com/admin?secretkey=secretkeyvalue Змінено 13 жовтня 2015 користувачем SterN Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 SterN, не. Надіслати Поділитися на інших сайтах More sharing options... 1 year later... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. По этому адресу не ищется. Надіслати Поділитися на інших сайтах More sharing options... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 Давайте как-то обобщим. 1. Переименовать папку админа. 2. Доступ к ней только с опр. IP адресов 3. Дальше что, вот это? лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... 1 year later... Anri13 Опубліковано: 20 грудня 2017 Share Опубліковано: 20 грудня 2017 В 12.09.2015 в 12:29, LDPS сказал: День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. 1. Сокрытие входа в административную панель По умолчанию для того, чтобы войти в панель администратора, обычно используется такой путь: ваш_сайт.ru/admin. Естественно, чем больше информации будет у хакеров, тем легче им будет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еще более сложное. Как это сделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сделайте такую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли там упоминание admin). Если все сделано правильно, то теперь административная панель будет доступна по новому адресу – главное, не забудьте его. 2. Изменение логина администратора (и пароля) После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообще основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять. Как это сделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом виде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой. Кстати, тут же вы можете поменять и пароль – настоятельно рекомендую сделать это, придумав пароль не короче десяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Яндексе. Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не ставьте для входа в панель администратора такой же пароль, как и, к примеру, для входа в почту. 3. Изменение прав доступа для важных файлов Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), содержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение». Как это сделать: менять права можно при помощи любого инструмента, которым вы пользуетесь для работы с файлами. Самый простой способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»: Можно выставить там цифрами 444 (только чтение для владельца и для всех остальных), либо отметить ползунками эти же параметры. Также можно воспользоваться FTP-клиентом – например, Filezilla – и выставить права доступа там. 4. Отказ от отображения ошибок Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообщения об ошибках, которые отображаются на неправильные действия. Поэтому рекомендую отказаться от отображения этих ошибок. Как это сделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и там в настройках откройте вкладку «Сервер», внизу будет блок «Ошибки», вот там нужно поставить «Нет» у «Показывать ошибки». Тут у вас, скорее всего, возникнет вопрос, а что делать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошибок (его название есть в этом же блоке в настройках). Посмотреть его вы можете, если зайдете в корневую папку сайта, затем в system и затем в logs. 5. Добавление связки слов для входа в панель администратора Как и в остальных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ более сложный, чем остальные, так как предусматривает работу с кодом. Как это сделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найдете его по такому пути: public_html/admin/view/template/common/login.tpl (Если вы ранее уже поменяли название папки admin на другое, то в этом пути также замените его на нужное.) Далее вам нужно в самый верх файла скопировать следующие строки: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> Но это не вся работа, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без удаления и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайта. После этого в самый конец файла вам нужно добавить: <?php } ?> Сохраните файл. Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку такого вида: ваш_сайт.ru/admin?secretkey=secretkeyvalue Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно поставить то название, которое вы дали этой папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования. Еще одно действие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам индексировать страницу для авторизации. Перейдите в ту директорию, которая уже упоминалась выше (где находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку: <meta name="robots" content="noindex" /> Теперь поисковые роботы не будут индексировать эту страницу. Если до этого в файле robots.txt вы писали что-то вроде Disallow: /admin (для того, чтобы запретить индексацию этой страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том числе и взломщики. Поэтому писать там адрес панели администрирования не следует. ============================================================================ P.S. Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод. Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 21 грудня 2017 Share Опубліковано: 21 грудня 2017 Цитата 1. Сокрытие входа в административную панель ...... 5. Добавление связки слов для входа в панель администратора Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... SeoSan Опубліковано: 1 травня 2018 Share Опубліковано: 1 травня 2018 В 21.12.2017 в 16:40, Shureg сказал: Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. Можно инструкцию подробную как это сделать! Заранее благодарю! Надіслати Поділитися на інших сайтах More sharing options... 1 year later... ANiMAL Опубліковано: 27 січня 2020 Share Опубліковано: 27 січня 2020 Адаптация вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/ Надіслати Поділитися на інших сайтах More sharing options... 1 year later... DN2020 Опубліковано: 3 березня 2021 Share Опубліковано: 3 березня 2021 Толи лыжи не те, толи палки мешают. Не сработало в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку. Цитата /admin/view/template/common/login.tpl Запихнул в controller, теперь работает. Цитата /admin/controller/common/login.php Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Защита админки от взлома, подбора?
agefremov Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin Надіслати Поділитися на інших сайтах More sharing options...
ashap Опубліковано: 15 вересня 2015 Share Опубліковано: 15 вересня 2015 http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin такая каптча считывается на раз два три Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... SterN Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 (змінено) <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> содержимое /admin/view/template/common/login.tpl <?php } ?> Как вариант не ? один раз ключи вбил, в куки засели и все пучком. что бы войти www.вашсайт.com/admin?secretkey=secretkeyvalue Змінено 13 жовтня 2015 користувачем SterN Надіслати Поділитися на інших сайтах More sharing options... afwollis Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 SterN, не. Надіслати Поділитися на інших сайтах More sharing options... 1 year later... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. По этому адресу не ищется. Надіслати Поділитися на інших сайтах More sharing options... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 Давайте как-то обобщим. 1. Переименовать папку админа. 2. Доступ к ней только с опр. IP адресов 3. Дальше что, вот это? лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... 1 year later... Anri13 Опубліковано: 20 грудня 2017 Share Опубліковано: 20 грудня 2017 В 12.09.2015 в 12:29, LDPS сказал: День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. 1. Сокрытие входа в административную панель По умолчанию для того, чтобы войти в панель администратора, обычно используется такой путь: ваш_сайт.ru/admin. Естественно, чем больше информации будет у хакеров, тем легче им будет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еще более сложное. Как это сделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сделайте такую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли там упоминание admin). Если все сделано правильно, то теперь административная панель будет доступна по новому адресу – главное, не забудьте его. 2. Изменение логина администратора (и пароля) После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообще основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять. Как это сделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом виде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой. Кстати, тут же вы можете поменять и пароль – настоятельно рекомендую сделать это, придумав пароль не короче десяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Яндексе. Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не ставьте для входа в панель администратора такой же пароль, как и, к примеру, для входа в почту. 3. Изменение прав доступа для важных файлов Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), содержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение». Как это сделать: менять права можно при помощи любого инструмента, которым вы пользуетесь для работы с файлами. Самый простой способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»: Можно выставить там цифрами 444 (только чтение для владельца и для всех остальных), либо отметить ползунками эти же параметры. Также можно воспользоваться FTP-клиентом – например, Filezilla – и выставить права доступа там. 4. Отказ от отображения ошибок Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообщения об ошибках, которые отображаются на неправильные действия. Поэтому рекомендую отказаться от отображения этих ошибок. Как это сделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и там в настройках откройте вкладку «Сервер», внизу будет блок «Ошибки», вот там нужно поставить «Нет» у «Показывать ошибки». Тут у вас, скорее всего, возникнет вопрос, а что делать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошибок (его название есть в этом же блоке в настройках). Посмотреть его вы можете, если зайдете в корневую папку сайта, затем в system и затем в logs. 5. Добавление связки слов для входа в панель администратора Как и в остальных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ более сложный, чем остальные, так как предусматривает работу с кодом. Как это сделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найдете его по такому пути: public_html/admin/view/template/common/login.tpl (Если вы ранее уже поменяли название папки admin на другое, то в этом пути также замените его на нужное.) Далее вам нужно в самый верх файла скопировать следующие строки: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> Но это не вся работа, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без удаления и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайта. После этого в самый конец файла вам нужно добавить: <?php } ?> Сохраните файл. Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку такого вида: ваш_сайт.ru/admin?secretkey=secretkeyvalue Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно поставить то название, которое вы дали этой папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования. Еще одно действие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам индексировать страницу для авторизации. Перейдите в ту директорию, которая уже упоминалась выше (где находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку: <meta name="robots" content="noindex" /> Теперь поисковые роботы не будут индексировать эту страницу. Если до этого в файле robots.txt вы писали что-то вроде Disallow: /admin (для того, чтобы запретить индексацию этой страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том числе и взломщики. Поэтому писать там адрес панели администрирования не следует. ============================================================================ P.S. Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод. Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 21 грудня 2017 Share Опубліковано: 21 грудня 2017 Цитата 1. Сокрытие входа в административную панель ...... 5. Добавление связки слов для входа в панель администратора Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... SeoSan Опубліковано: 1 травня 2018 Share Опубліковано: 1 травня 2018 В 21.12.2017 в 16:40, Shureg сказал: Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. Можно инструкцию подробную как это сделать! Заранее благодарю! Надіслати Поділитися на інших сайтах More sharing options... 1 year later... ANiMAL Опубліковано: 27 січня 2020 Share Опубліковано: 27 січня 2020 Адаптация вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/ Надіслати Поділитися на інших сайтах More sharing options... 1 year later... DN2020 Опубліковано: 3 березня 2021 Share Опубліковано: 3 березня 2021 Толи лыжи не те, толи палки мешают. Не сработало в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку. Цитата /admin/view/template/common/login.tpl Запихнул в controller, теперь работает. Цитата /admin/controller/common/login.php Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
SterN Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 (змінено) <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> содержимое /admin/view/template/common/login.tpl <?php } ?> Как вариант не ? один раз ключи вбил, в куки засели и все пучком. что бы войти www.вашсайт.com/admin?secretkey=secretkeyvalue Змінено 13 жовтня 2015 користувачем SterN Надіслати Поділитися на інших сайтах More sharing options...
afwollis Опубліковано: 13 жовтня 2015 Share Опубліковано: 13 жовтня 2015 SterN, не. Надіслати Поділитися на інших сайтах More sharing options... 1 year later... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. По этому адресу не ищется. Надіслати Поділитися на інших сайтах More sharing options... bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 Давайте как-то обобщим. 1. Переименовать папку админа. 2. Доступ к ней только с опр. IP адресов 3. Дальше что, вот это? лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options... 1 year later... Anri13 Опубліковано: 20 грудня 2017 Share Опубліковано: 20 грудня 2017 В 12.09.2015 в 12:29, LDPS сказал: День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. 1. Сокрытие входа в административную панель По умолчанию для того, чтобы войти в панель администратора, обычно используется такой путь: ваш_сайт.ru/admin. Естественно, чем больше информации будет у хакеров, тем легче им будет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еще более сложное. Как это сделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сделайте такую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли там упоминание admin). Если все сделано правильно, то теперь административная панель будет доступна по новому адресу – главное, не забудьте его. 2. Изменение логина администратора (и пароля) После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообще основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять. Как это сделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом виде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой. Кстати, тут же вы можете поменять и пароль – настоятельно рекомендую сделать это, придумав пароль не короче десяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Яндексе. Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не ставьте для входа в панель администратора такой же пароль, как и, к примеру, для входа в почту. 3. Изменение прав доступа для важных файлов Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), содержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение». Как это сделать: менять права можно при помощи любого инструмента, которым вы пользуетесь для работы с файлами. Самый простой способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»: Можно выставить там цифрами 444 (только чтение для владельца и для всех остальных), либо отметить ползунками эти же параметры. Также можно воспользоваться FTP-клиентом – например, Filezilla – и выставить права доступа там. 4. Отказ от отображения ошибок Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообщения об ошибках, которые отображаются на неправильные действия. Поэтому рекомендую отказаться от отображения этих ошибок. Как это сделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и там в настройках откройте вкладку «Сервер», внизу будет блок «Ошибки», вот там нужно поставить «Нет» у «Показывать ошибки». Тут у вас, скорее всего, возникнет вопрос, а что делать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошибок (его название есть в этом же блоке в настройках). Посмотреть его вы можете, если зайдете в корневую папку сайта, затем в system и затем в logs. 5. Добавление связки слов для входа в панель администратора Как и в остальных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ более сложный, чем остальные, так как предусматривает работу с кодом. Как это сделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найдете его по такому пути: public_html/admin/view/template/common/login.tpl (Если вы ранее уже поменяли название папки admin на другое, то в этом пути также замените его на нужное.) Далее вам нужно в самый верх файла скопировать следующие строки: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> Но это не вся работа, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без удаления и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайта. После этого в самый конец файла вам нужно добавить: <?php } ?> Сохраните файл. Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку такого вида: ваш_сайт.ru/admin?secretkey=secretkeyvalue Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно поставить то название, которое вы дали этой папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования. Еще одно действие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам индексировать страницу для авторизации. Перейдите в ту директорию, которая уже упоминалась выше (где находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку: <meta name="robots" content="noindex" /> Теперь поисковые роботы не будут индексировать эту страницу. Если до этого в файле robots.txt вы писали что-то вроде Disallow: /admin (для того, чтобы запретить индексацию этой страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том числе и взломщики. Поэтому писать там адрес панели администрирования не следует. ============================================================================ P.S. Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод. Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 21 грудня 2017 Share Опубліковано: 21 грудня 2017 Цитата 1. Сокрытие входа в административную панель ...... 5. Добавление связки слов для входа в панель администратора Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... SeoSan Опубліковано: 1 травня 2018 Share Опубліковано: 1 травня 2018 В 21.12.2017 в 16:40, Shureg сказал: Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. Можно инструкцию подробную как это сделать! Заранее благодарю! Надіслати Поділитися на інших сайтах More sharing options... 1 year later... ANiMAL Опубліковано: 27 січня 2020 Share Опубліковано: 27 січня 2020 Адаптация вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/ Надіслати Поділитися на інших сайтах More sharing options... 1 year later... DN2020 Опубліковано: 3 березня 2021 Share Опубліковано: 3 березня 2021 Толи лыжи не те, толи палки мешают. Не сработало в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку. Цитата /admin/view/template/common/login.tpl Запихнул в controller, теперь работает. Цитата /admin/controller/common/login.php Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 ну да. а потом зайти по адресу domen.com/system/logs/error.txt и прочитать адрес админки. комплексный должен быть подход. По этому адресу не ищется. Надіслати Поділитися на інших сайтах More sharing options...
bitterlemon Опубліковано: 1 грудня 2016 Share Опубліковано: 1 грудня 2016 Давайте как-то обобщим. 1. Переименовать папку админа. 2. Доступ к ней только с опр. IP адресов 3. Дальше что, вот это? лучше не переименовывать лог файл, а запретить доступ к нему, в корне же лежит .htaccess # Prevent Direct Access to files <FilesMatch "\.(tpl|ini|log)"> Order deny,allow Deny from all </FilesMatch> Надіслати Поділитися на інших сайтах More sharing options...
Anri13 Опубліковано: 20 грудня 2017 Share Опубліковано: 20 грудня 2017 В 12.09.2015 в 12:29, LDPS сказал: День добрый. Прошу поделиться опытом кто как и какими модулями защищает админку от подбора паролей и взлома. 1. Сокрытие входа в административную панель По умолчанию для того, чтобы войти в панель администратора, обычно используется такой путь: ваш_сайт.ru/admin. Естественно, чем больше информации будет у хакеров, тем легче им будет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еще более сложное. Как это сделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сделайте такую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли там упоминание admin). Если все сделано правильно, то теперь административная панель будет доступна по новому адресу – главное, не забудьте его. 2. Изменение логина администратора (и пароля) После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообще основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять. Как это сделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом виде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой. Кстати, тут же вы можете поменять и пароль – настоятельно рекомендую сделать это, придумав пароль не короче десяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Яндексе. Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не ставьте для входа в панель администратора такой же пароль, как и, к примеру, для входа в почту. 3. Изменение прав доступа для важных файлов Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), содержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение». Как это сделать: менять права можно при помощи любого инструмента, которым вы пользуетесь для работы с файлами. Самый простой способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»: Можно выставить там цифрами 444 (только чтение для владельца и для всех остальных), либо отметить ползунками эти же параметры. Также можно воспользоваться FTP-клиентом – например, Filezilla – и выставить права доступа там. 4. Отказ от отображения ошибок Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообщения об ошибках, которые отображаются на неправильные действия. Поэтому рекомендую отказаться от отображения этих ошибок. Как это сделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и там в настройках откройте вкладку «Сервер», внизу будет блок «Ошибки», вот там нужно поставить «Нет» у «Показывать ошибки». Тут у вас, скорее всего, возникнет вопрос, а что делать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошибок (его название есть в этом же блоке в настройках). Посмотреть его вы можете, если зайдете в корневую папку сайта, затем в system и затем в logs. 5. Добавление связки слов для входа в панель администратора Как и в остальных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ более сложный, чем остальные, так как предусматривает работу с кодом. Как это сделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найдете его по такому пути: public_html/admin/view/template/common/login.tpl (Если вы ранее уже поменяли название папки admin на другое, то в этом пути также замените его на нужное.) Далее вам нужно в самый верх файла скопировать следующие строки: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> Но это не вся работа, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без удаления и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайта. После этого в самый конец файла вам нужно добавить: <?php } ?> Сохраните файл. Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку такого вида: ваш_сайт.ru/admin?secretkey=secretkeyvalue Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно поставить то название, которое вы дали этой папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования. Еще одно действие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам индексировать страницу для авторизации. Перейдите в ту директорию, которая уже упоминалась выше (где находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку: <meta name="robots" content="noindex" /> Теперь поисковые роботы не будут индексировать эту страницу. Если до этого в файле robots.txt вы писали что-то вроде Disallow: /admin (для того, чтобы запретить индексацию этой страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том числе и взломщики. Поэтому писать там адрес панели администрирования не следует. ============================================================================ P.S. Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод. Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1 1 Надіслати Поділитися на інших сайтах More sharing options...
Shureg Опубліковано: 21 грудня 2017 Share Опубліковано: 21 грудня 2017 Цитата 1. Сокрытие входа в административную панель ...... 5. Добавление связки слов для входа в панель администратора Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. 1 Надіслати Поділитися на інших сайтах More sharing options...
SeoSan Опубліковано: 1 травня 2018 Share Опубліковано: 1 травня 2018 В 21.12.2017 в 16:40, Shureg сказал: Запарольте доступ к директории admin штатными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd). И будет вам щастье, без глюков и танцев с бубном. Причем гораздо надежнее. Можно инструкцию подробную как это сделать! Заранее благодарю! Надіслати Поділитися на інших сайтах More sharing options...
ANiMAL Опубліковано: 27 січня 2020 Share Опубліковано: 27 січня 2020 Адаптация вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/ Надіслати Поділитися на інших сайтах More sharing options...
DN2020 Опубліковано: 3 березня 2021 Share Опубліковано: 3 березня 2021 Толи лыжи не те, толи палки мешают. Не сработало в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку. Цитата /admin/view/template/common/login.tpl Запихнул в controller, теперь работает. Цитата /admin/controller/common/login.php Надіслати Поділитися на інших сайтах More sharing options...
Recommended Posts