Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Как обеспечить безопасность и защиту магазина?


freefighteer

Recommended Posts

Собственно, заинтересовался обеспечением безопасности интернет-магазина, поделитесь кто какие методы защиты знает и дыры через которые могут взломать. Мне пока на ум только 2 способа пришли:

 

1. Не ставить с вареза, я еще когда еще зеленый был, и этот форум толком не знал, один модуль установил с вареза, так мне на всех карточках товаров эта пакость проставила айфреймы с переадресацией на другой мусорный сайт, пришлось помучатся, с каждой карточки удалить этот мусор ну и сам модуль.

 

2. Поставить доступ к фтп на хостинге только с разрешенных айпи.

 

Встречал еще методы переименовать админку, но по мне суровому хацкеру это не помеха, разве что сканеры будут идти мимо.

  • +1 1
Надіслати
Поділитися на інших сайтах


1. Совершенно правильный пункт

Добавлю

Не разрешать пользователям загружать файлы не сервер

К примеру загружать картинки к отзывам и т п

И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется

  • +1 3
Надіслати
Поділитися на інших сайтах

n3bo, А не через фтп сервер это могут сделать, изменить системные файлы? Ибо теоретически закрыв доступ к фтп для всех айпи кроме своего закрывает эту дыру.
Надіслати
Поділитися на інших сайтах


основные моменты - здесь

 

в дополнение:

желательно использовать систему мониторинга, например такую

 

по-возможности хранить проекты на других движках (wp, modx и тп) раздельно, на другой учетной записи у хостера и поддерживать версии этих других движков в актуальном состоянии

  • +1 2
Надіслати
Поділитися на інших сайтах

1. Сложные пароли и имена админских учеток.

2. Надежный хостинг.

3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом.

4. Ставим минимум модулей.

5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености.

6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее.

7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит.

8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах.

9. Почитайте про .htpasswd, но это право лишнее.

10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо.

11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее.

12.Конечно ворованный код брать у вора, что получим - да, украли и у вас.

 

В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться.

  • +1 1
Надіслати
Поділитися на інших сайтах


  • 4 weeks later...

1. Сложные пароли и имена админских учеток.

2. Надежный хостинг.

3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом.

4. Ставим минимум модулей.

5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености.

6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее.

7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит.

8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах.

9. Почитайте про .htpasswd, но это право лишнее.

10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо.

11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее.

12.Конечно ворованный код брать у вора, что получим - да, украли и у вас.

 

В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться.

А что скажите насчет модулей, которые по умолчанию установлены в ocStore в разделе "дополнения - защита". Модули: FraudLabs Pro, Anti-Fraud IP, MaxMind Anti-Fraud. Есть ли от них толк? Включать все, либо отдельно? Либо вообще забить на них? Благодарю.

Змінено користувачем Pingvi
Надіслати
Поділитися на інших сайтах


это модули для защиты от мошенничества при оплате - например использования краденных данных кредитных карт и тд

и для их работы требуется регистрация на соответствующих сайтах

 

для понимания - просто включите и перейдите по ссылкам из их настроек

Надіслати
Поділитися на інших сайтах

Как обеспечить безопасность и защиту магазина?
Вообще поломать можно всё что угодно)
тут даже Александр Радионович не поможет

7570425.jpg

Надіслати
Поділитися на інших сайтах


  • 4 weeks later...

Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 

Надіслати
Поділитися на інших сайтах


  • 4 months later...
5 минут назад, IronMann сказал:

Если кто использовал Anti-Fraud модули - в какой момент они срабатывают?

Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах.

Надіслати
Поділитися на інших сайтах


Я понял, спасибо! Как раз этот момент и интересовал.

Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это:

1)  Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает".

2) Заказы от людей, попавших за те или иные действия в  "чёрный список".

3) Заказы, сгенерированные спам-ботами.

Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail  для п.2 и IP лист для п.3

"Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP.

Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля.

Змінено користувачем IronMann
Надіслати
Поділитися на інших сайтах


31 минуту назад, IronMann сказал:

данный набор требований может послужить как ТЗ для фрод-модуля.

Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3).

 

По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д.

 

36 минут назад, IronMann сказал:

"Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP.

А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind.

Надіслати
Поділитися на інших сайтах


Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит.

Надіслати
Поділитися на інших сайтах


8 часов назад, IronMann сказал:

они лицензионные и для работы требуют ввода соответствующих ключей

У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст.

 

8 часов назад, IronMann сказал:

постоянно что-то заказывают, но заказы свои не выкупают

Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять.

Надіслати
Поділитися на інших сайтах


Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. :)

Надіслати
Поділитися на інших сайтах


Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал.

Надіслати
Поділитися на інших сайтах


  • 3 months later...
В 15.08.2016 в 21:44, markimax сказал:

Не разрешать пользователям загружать файлы не сервер

К примеру загружать картинки к отзывам и т п

И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется

Если Вас не затруднит, просветите, как это сделать. Спасибо.

Надіслати
Поділитися на інших сайтах


  • 4 weeks later...

тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3  поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень  хочется .. что посоветуете ?

Надіслати
Поділитися на інших сайтах


1 час назад, AlexDW сказал:

 

 то есть при обращении домен/admin директория будет доступна только определенному IP ?

а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess  новый IP ?

а можно если не сложно код ) большое спасибо заранее.

погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ?

 

 

 

Змінено користувачем l1key
Надіслати
Поділитися на інших сайтах


28 минут назад, l1key сказал:

 

а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess  новый IP ?

Да сделайте двойную авторизацию (как вам писали,  htaccess htpasswd, в гугле по этим словам руководств море )  и не забивайте себе голову.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.