Перейти к публикации
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...

Как обеспечить безопасность и защиту магазина?


freefighteer
 Поделиться

Рекомендованные сообщения

Собственно, заинтересовался обеспечением безопасности интернет-магазина, поделитесь кто какие методы защиты знает и дыры через которые могут взломать. Мне пока на ум только 2 способа пришли:

 

1. Не ставить с вареза, я еще когда еще зеленый был, и этот форум толком не знал, один модуль установил с вареза, так мне на всех карточках товаров эта пакость проставила айфреймы с переадресацией на другой мусорный сайт, пришлось помучатся, с каждой карточки удалить этот мусор ну и сам модуль.

 

2. Поставить доступ к фтп на хостинге только с разрешенных айпи.

 

Встречал еще методы переименовать админку, но по мне суровому хацкеру это не помеха, разве что сканеры будут идти мимо.

  • +1 1
Ссылка на комментарий
Поделиться на других сайтах


1. Совершенно правильный пункт

Добавлю

Не разрешать пользователям загружать файлы не сервер

К примеру загружать картинки к отзывам и т п

И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется

  • +1 3
Ссылка на комментарий
Поделиться на других сайтах

n3bo, А не через фтп сервер это могут сделать, изменить системные файлы? Ибо теоретически закрыв доступ к фтп для всех айпи кроме своего закрывает эту дыру.
Ссылка на комментарий
Поделиться на других сайтах


Гы :-D

Зайти могут через "соседей" по серверу, взломав их

  • +1 1
Ссылка на комментарий
Поделиться на других сайтах

основные моменты - здесь

 

в дополнение:

желательно использовать систему мониторинга, например такую

 

по-возможности хранить проекты на других движках (wp, modx и тп) раздельно, на другой учетной записи у хостера и поддерживать версии этих других движков в актуальном состоянии

  • +1 2
Ссылка на комментарий
Поделиться на других сайтах

1. Сложные пароли и имена админских учеток.

2. Надежный хостинг.

3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом.

4. Ставим минимум модулей.

5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености.

6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее.

7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит.

8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах.

9. Почитайте про .htpasswd, но это право лишнее.

10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо.

11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее.

12.Конечно ворованный код брать у вора, что получим - да, украли и у вас.

 

В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться.

  • +1 1
Ссылка на комментарий
Поделиться на других сайтах


  • 4 недели спустя...

1. Сложные пароли и имена админских учеток.

2. Надежный хостинг.

3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом.

4. Ставим минимум модулей.

5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености.

6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее.

7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит.

8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах.

9. Почитайте про .htpasswd, но это право лишнее.

10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо.

11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее.

12.Конечно ворованный код брать у вора, что получим - да, украли и у вас.

 

В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться.

А что скажите насчет модулей, которые по умолчанию установлены в ocStore в разделе "дополнения - защита". Модули: FraudLabs Pro, Anti-Fraud IP, MaxMind Anti-Fraud. Есть ли от них толк? Включать все, либо отдельно? Либо вообще забить на них? Благодарю.

Изменено пользователем Pingvi
Ссылка на комментарий
Поделиться на других сайтах


это модули для защиты от мошенничества при оплате - например использования краденных данных кредитных карт и тд

и для их работы требуется регистрация на соответствующих сайтах

 

для понимания - просто включите и перейдите по ссылкам из их настроек

Ссылка на комментарий
Поделиться на других сайтах

Как обеспечить безопасность и защиту магазина?
Вообще поломать можно всё что угодно)
тут даже Александр Радионович не поможет

7570425.jpg

Ссылка на комментарий
Поделиться на других сайтах


  • 4 недели спустя...

Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 

Ссылка на комментарий
Поделиться на других сайтах


  • 4 месяца спустя...
5 минут назад, IronMann сказал:

Если кто использовал Anti-Fraud модули - в какой момент они срабатывают?

Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах.

Ссылка на комментарий
Поделиться на других сайтах


Я понял, спасибо! Как раз этот момент и интересовал.

Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это:

1)  Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает".

2) Заказы от людей, попавших за те или иные действия в  "чёрный список".

3) Заказы, сгенерированные спам-ботами.

Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail  для п.2 и IP лист для п.3

"Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP.

Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля.

Изменено пользователем IronMann
Ссылка на комментарий
Поделиться на других сайтах


31 минуту назад, IronMann сказал:

данный набор требований может послужить как ТЗ для фрод-модуля.

Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3).

 

По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д.

 

36 минут назад, IronMann сказал:

"Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP.

А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind.

Ссылка на комментарий
Поделиться на других сайтах


Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит.

Ссылка на комментарий
Поделиться на других сайтах


8 часов назад, IronMann сказал:

они лицензионные и для работы требуют ввода соответствующих ключей

У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст.

 

8 часов назад, IronMann сказал:

постоянно что-то заказывают, но заказы свои не выкупают

Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять.

Ссылка на комментарий
Поделиться на других сайтах


Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. :)

Ссылка на комментарий
Поделиться на других сайтах


Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал.

Ссылка на комментарий
Поделиться на других сайтах


  • 3 месяца спустя...
В 15.08.2016 в 21:44, markimax сказал:

Не разрешать пользователям загружать файлы не сервер

К примеру загружать картинки к отзывам и т п

И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется

Если Вас не затруднит, просветите, как это сделать. Спасибо.

Ссылка на комментарий
Поделиться на других сайтах


  • 4 недели спустя...

тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3  поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень  хочется .. что посоветуете ?

Ссылка на комментарий
Поделиться на других сайтах


1 час назад, AlexDW сказал:

 

 то есть при обращении домен/admin директория будет доступна только определенному IP ?

а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess  новый IP ?

а можно если не сложно код ) большое спасибо заранее.

погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ?

 

 

 

Изменено пользователем l1key
Ссылка на комментарий
Поделиться на других сайтах


28 минут назад, l1key сказал:

 

а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess  новый IP ?

Да сделайте двойную авторизацию (как вам писали,  htaccess htpasswd, в гугле по этим словам руководств море )  и не забивайте себе голову.

Ссылка на комментарий
Поделиться на других сайтах


Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Поделиться

  • Сейчас на странице   0 пользователей

    • Нет пользователей, просматривающих эту страницу.
×
×
  • Создать...

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.