freefighteer

Как обеспечить безопасность и защиту магазина?

Рекомендуемые сообщения

freefighteer    79

Собственно, заинтересовался обеспечением безопасности интернет-магазина, поделитесь кто какие методы защиты знает и дыры через которые могут взломать. Мне пока на ум только 2 способа пришли:

 

1. Не ставить с вареза, я еще когда еще зеленый был, и этот форум толком не знал, один модуль установил с вареза, так мне на всех карточках товаров эта пакость проставила айфреймы с переадресацией на другой мусорный сайт, пришлось помучатся, с каждой карточки удалить этот мусор ну и сам модуль.

 

2. Поставить доступ к фтп на хостинге только с разрешенных айпи.

 

Встречал еще методы переименовать админку, но по мне суровому хацкеру это не помеха, разве что сканеры будут идти мимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 533

1. Совершенно правильный пункт

Добавлю

Не разрешать пользователям загружать файлы не сервер

К примеру загружать картинки к отзывам и т п

И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
n3bo    185

Отчетность изменяемых файлов. 

Т.е. когда, что и где изменялось, следить за этим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
freefighteer    79
n3bo, А не через фтп сервер это могут сделать, изменить системные файлы? Ибо теоретически закрыв доступ к фтп для всех айпи кроме своего закрывает эту дыру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 533

Гы :-D

Зайти могут через "соседей" по серверу, взломав их

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexDW    844

основные моменты - здесь

 

в дополнение:

желательно использовать систему мониторинга, например такую

 

по-возможности хранить проекты на других движках (wp, modx и тп) раздельно, на другой учетной записи у хостера и поддерживать версии этих других движков в актуальном состоянии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SlideShow    21

1. Сложные пароли и имена админских учеток.

2. Надежный хостинг.

3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом.

4. Ставим минимум модулей.

5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености.

6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее.

7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит.

8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах.

9. Почитайте про .htpasswd, но это право лишнее.

10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо.

11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее.

12.Конечно ворованный код брать у вора, что получим - да, украли и у вас.

 

В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pingvi    0

1. Сложные пароли и имена админских учеток.

2. Надежный хостинг.

3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом.

4. Ставим минимум модулей.

5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености.

6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее.

7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит.

8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах.

9. Почитайте про .htpasswd, но это право лишнее.

10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо.

11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее.

12.Конечно ворованный код брать у вора, что получим - да, украли и у вас.

 

В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться.

А что скажите насчет модулей, которые по умолчанию установлены в ocStore в разделе "дополнения - защита". Модули: FraudLabs Pro, Anti-Fraud IP, MaxMind Anti-Fraud. Есть ли от них толк? Включать все, либо отдельно? Либо вообще забить на них? Благодарю.

Изменено пользователем Pingvi

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexDW    844

это модули для защиты от мошенничества при оплате - например использования краденных данных кредитных карт и тд

и для их работы требуется регистрация на соответствующих сайтах

 

для понимания - просто включите и перейдите по ссылкам из их настроек

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AWARO    621

Как обеспечить безопасность и защиту магазина?
Вообще поломать можно всё что угодно)
тут даже Александр Радионович не поможет

7570425.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alexusss    3

Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IronMann    13

Если кто использовал Anti-Fraud модули - в какой момент они срабатывают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dotrox    334
5 минут назад, IronMann сказал:

Если кто использовал Anti-Fraud модули - в какой момент они срабатывают?

Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexDW    844

в момент оплаты +при условии что вы подключены к сервису фрода

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IronMann    13

Я понял, спасибо! Как раз этот момент и интересовал.

Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это:

1)  Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает".

2) Заказы от людей, попавших за те или иные действия в  "чёрный список".

3) Заказы, сгенерированные спам-ботами.

Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail  для п.2 и IP лист для п.3

"Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP.

Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля.

Изменено пользователем IronMann

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dotrox    334
31 минуту назад, IronMann сказал:

данный набор требований может послужить как ТЗ для фрод-модуля.

Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3).

 

По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д.

 

36 минут назад, IronMann сказал:

"Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP.

А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IronMann    13

Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dotrox    334
8 часов назад, IronMann сказал:

они лицензионные и для работы требуют ввода соответствующих ключей

У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст.

 

8 часов назад, IronMann сказал:

постоянно что-то заказывают, но заказы свои не выкупают

Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IronMann    13

Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nikifalex    351

и много у вас спамных заказов? Боретесь с ветряными мельницами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IronMann    13

Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vmax1    0
В 15.08.2016 в 21:44, markimax сказал:

Не разрешать пользователям загружать файлы не сервер

К примеру загружать картинки к отзывам и т п

И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется

Если Вас не затруднит, просветите, как это сделать. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
l1key    0

тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3  поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень  хочется .. что посоветуете ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexDW    844
23 минуты назад, l1key сказал:

что посоветуете ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
l1key    0
1 час назад, AlexDW сказал:

 

 то есть при обращении домен/admin директория будет доступна только определенному IP ?

а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess  новый IP ?

а можно если не сложно код ) большое спасибо заранее.

погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ?

 

 

 

Изменено пользователем l1key

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу