Как обеспечить безопасность и защиту магазина?

[freefighteer]

Собственно, заинтересовался обеспечением безопасности интернет-магазина, поделитесь кто какие методы защиты знает и дыры через которые могут взломать. Мне пока на ум только 2 способа пришли:

 

1. Не ставить с вареза, я еще когда еще зеленый был, и этот форум толком не знал, один модуль установил с вареза, так мне на всех карточках товаров эта пакость проставила айфреймы с переадресацией на другой мусорный сайт, пришлось помучатся, с каждой карточки удалить этот мусор ну и сам модуль.

 

2. Поставить доступ к фтп на хостинге только с разрешенных айпи.

 

Встречал еще методы переименовать админку, но по мне суровому хацкеру это не помеха, разве что сканеры будут идти мимо.

[markimax]

1. Совершенно правильный пункт

Добавлю

Не разрешать пользователям загружать файлы не сервер

К примеру загружать картинки к отзывам и т п

И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется

[n3bo]

Отчетность изменяемых файлов. 

Т.е. когда, что и где изменялось, следить за этим.

[freefighteer]

n3bo, А не через фтп сервер это могут сделать, изменить системные файлы? Ибо теоретически закрыв доступ к фтп для всех айпи кроме своего закрывает эту дыру.

[markimax]

Гы :-D

Зайти могут через "соседей" по серверу, взломав их

[AlexDW]

основные моменты - здесь

 

в дополнение:

желательно использовать систему мониторинга, например такую

 

по-возможности хранить проекты на других движках (wp, modx и тп) раздельно, на другой учетной записи у хостера и поддерживать версии этих других движков в актуальном состоянии

[SlideShow]

1. Сложные пароли и имена админских учеток.

2. Надежный хостинг.

3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом.

4. Ставим минимум модулей.

5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености.

6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее.

7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит.

8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах.

9. Почитайте про .htpasswd, но это право лишнее.

10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо.

11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее.

12.Конечно ворованный код брать у вора, что получим - да, украли и у вас.

 

В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться.

[Pingvi]

1. Сложные пароли и имена админских учеток.

2. Надежный хостинг.

3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом.

4. Ставим минимум модулей.

5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености.

6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее.

7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит.

8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах.

9. Почитайте про .htpasswd, но это право лишнее.

10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо.

11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее.

12.Конечно ворованный код брать у вора, что получим - да, украли и у вас.

 

В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться.

А что скажите насчет модулей, которые по умолчанию установлены в ocStore в разделе "дополнения - защита". Модули: FraudLabs Pro, Anti-Fraud IP, MaxMind Anti-Fraud. Есть ли от них толк? Включать все, либо отдельно? Либо вообще забить на них? Благодарю.

Змінено 10 вересня 2016 користувачем Pingvi

[AlexDW]

это модули для защиты от мошенничества при оплате - например использования краденных данных кредитных карт и тд

и для их работы требуется регистрация на соответствующих сайтах

 

для понимания - просто включите и перейдите по ссылкам из их настроек

[HyperLabTeam]

Как обеспечить безопасность и защиту магазина?
Вообще поломать можно всё что угодно)
тут даже Александр Радионович не поможет

[Alexusss]

Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 

[IronMann]

Если кто использовал Anti-Fraud модули - в какой момент они срабатывают?

[Dotrox]

5 минут назад, IronMann сказал:

Если кто использовал Anti-Fraud модули - в какой момент они срабатывают?

Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах.

[AlexDW]

в момент оплаты +при условии что вы подключены к сервису фрода

[IronMann]

Я понял, спасибо! Как раз этот момент и интересовал.

Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это:

1)  Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает".

2) Заказы от людей, попавших за те или иные действия в  "чёрный список".

3) Заказы, сгенерированные спам-ботами.

Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail  для п.2 и IP лист для п.3

"Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP.

Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля.

Змінено 9 лютого 2017 користувачем IronMann

[Dotrox]

31 минуту назад, IronMann сказал:

данный набор требований может послужить как ТЗ для фрод-модуля.

Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3).

 

По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д.

 

36 минут назад, IronMann сказал:

"Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP.

А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind.

[IronMann]

Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит.

[Dotrox]

8 часов назад, IronMann сказал:

они лицензионные и для работы требуют ввода соответствующих ключей

У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст.

 

8 часов назад, IronMann сказал:

постоянно что-то заказывают, но заказы свои не выкупают

Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять.

[IronMann]

Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно.

[IronMann]

Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал.

[vmax1]

В 15.08.2016 в 21:44, markimax сказал:

Не разрешать пользователям загружать файлы не сервер

К примеру загружать картинки к отзывам и т п

И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется

Если Вас не затруднит, просветите, как это сделать. Спасибо.

[l1key]

тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3  поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень  хочется .. что посоветуете ?

[AlexDW]

23 минуты назад, l1key сказал:

что посоветуете ?

 

[l1key]

1 час назад, AlexDW сказал:

 

 то есть при обращении домен/admin директория будет доступна только определенному IP ?

а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess  новый IP ?

а можно если не сложно код ) большое спасибо заранее.

погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ?

 

 

 

Змінено 19 червня 2017 користувачем l1key

[Shureg]

28 минут назад, l1key сказал:

 

а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess  новый IP ?

Да сделайте двойную авторизацию (как вам писали,  htaccess htpasswd, в гугле по этим словам руководств море )  и не забивайте себе голову.