Как обеспечить безопасность и защиту магазина?

l1key · 19 червня 2017

В 19.06.2017 в 12:35, AlexDW сказав:

Expand

вроде как разобрался , файлы все сгенерировал , один момент не понятен как указать в htaccess что мне именно директорию админ нужно закрыть паролем ..

AlexDW · 19 червня 2017

уточнить у хостера или поискать в гугле

l1key · 20 червня 2017

В 19.06.2017 в 16:06, AlexDW сказав:

уточнить у хостера или поискать в гугле

Expand

спасибо, хорошая статья .. я нагуглил несколько там все расписано правильно и понятно, но вот тот момент что для защищаемой директории создается отдельный файл htaccess как-то упустили ), теперь пазлы сложились )

Змінено 20 червня 2017 користувачем l1key

l1key · 20 червня 2017

добавляю .htaccess в папку /админ .. и сразу запрашиваемая страница становится недоступной ..

никакого окошка аутентификации не появляется ..

l1key · 21 червня 2017

как оказалось в cPanel есть функция "конфиденциальность папки" но увы она тоже не захотела работать с папкой админ ) вот что ответила поддержка ..

К сожалению, пока что не удалось понять в чем проблема, однако, воссоздав структуру директорий на тестовом поддомене ошибку воспроизвести не удалось, при доступе к каталогу admin пароль запрашивается.
Проверить, что функционал работает можно по ссылке ......

Судя по сообщениям в форумах мы видим, что такая проблема иногда возникает у пользователей OpenCart, однако какого-то конкретного решения или пояснения не находим. Судя по всему дело в обработке запросов CMS. Возможно стоит на время отключить реврайты основного сайта, чтобы проверить будет работать авторизация в этом случае.

какие такие реврайты -- нужно отключать? ) и нужно ли .. ? в общем все не так просто )

l1key · 22 червня 2017

у вас подобное удалось ?, так как у меня не она инструкция не сработала..

l1key · 22 червня 2017

В 19.06.2017 в 13:57, Shureg сказав:

Да сделайте двойную авторизацию (как вам писали, htaccess htpasswd, в гугле по этим словам руководств море ) и не забивайте себе голову.

Expand

у вас подобное удалось ?, так как у меня не она инструкция не сработала..

Dotrox · 23 червня 2017

В 21.06.2017 в 09:05, l1key сказав:

какие такие реврайты -- нужно отключать? ) и нужно ли .. ? в общем все не так просто )

Expand

Учитывая, что у вас всё равно отдельный .htaccess для директории admin, можете просто добавить туда

RewriteEngine Off

Это полностью отключит mod_rewrite и исключит все проблемы, которые могли бы быть вызваны им.

В админке ЧПУ в любом случае не используется.

l1key · 23 червня 2017

В 23.06.2017 в 09:59, Dotrox сказав:
Учитывая, что у вас всё равно отдельный .htaccess для директории admin, можете просто добавить туда
RewriteEngine Off
Это полностью отключит mod_rewrite и исключит все проблемы, которые могли бы быть вызваны им.

В админке ЧПУ в любом случае не используется.
Expand

спасибо, я извиняюсь за наглость ) а где и как его выключить ?

в главном htaccess ?

Dotrox · 23 червня 2017

В 23.06.2017 в 15:09, l1key сказав:

в главном htaccess ?

Expand

Я же написал, что в .htaccess, который в директории admin.

А как - путём добавления этой директивы.

l1key · 24 червня 2017

В 23.06.2017 в 15:12, Dotrox сказав:

Я же написал, что в .htaccess, который в директории admin.

А как - путём добавления этой директивы.

Expand

ясно, спасибо. Попробую напишу что вышло в итоге.

кстати как-то мало тем по безопасности в целом..

l1key · 26 червня 2017

В 23.06.2017 в 15:12, Dotrox сказав:

Я же написал, что в .htaccess, который в директории admin.

А как - путём добавления этой директивы.

Expand

RewriteEngine Off
AuthType Basic   
AuthName "Private zone. Only for administrator!" 
AuthUserFile  xxxx/xxxxxxx/xxxxx.in.ua/admin .htpasswd   
require valid-user 
xxxx/xxxxxxx/xxxxx.in.ua/admin

ничего не изменилось .. "запрашиваемая страница недоступна"

Dotrox · 26 червня 2017

В 26.06.2017 в 07:05, l1key сказав:

AuthUserFile xxxx/xxxxxxx/xxxxx.in.ua/admin .htpasswd

Expand

Вот это неправильно. Здесь должен быть путь к .htpasswd, а у вас здесь что (внимательно посмотрите)? И почему require с маленькой буквы?

Назначение последней строки вообще непонятно.

l1key · 27 червня 2017

В 26.06.2017 в 13:52, Dotrox сказав:

Вот это неправильно. Здесь должен быть путь к .htpasswd, а у вас здесь что (внимательно посмотрите)? И почему require с маленькой буквы?

Назначение последней строки вообще непонятно.

Expand

так это же и есть путь к htpasswd

в последней строке указан полный путь к каталогу который паролится,

в целом я понял что этот шаблон .htaccess с ошибками .. сейчас поищу другой

Dotrox · 27 червня 2017

В 27.06.2017 в 07:13, l1key сказав:

так это же и есть путь к htpasswd

Expand

Нет, это не он.

У вас здесь есть путь к директории admin (и то не хватает слеша вначале), а дальше просто непонятная приписка с .htpasswd.

Полный путь должен выглядеть так: /bla/bla-bla/admin/.htpasswd - сравните с тем, что у вас сейчас.

В 27.06.2017 в 07:13, l1key сказав:

в последней строке указан полный путь к каталогу который паролится,

Expand

Ну, во-первых он не полный, ибо должен начинаться со слеша, а во-вторых, почему вы решили, что это вообще там нужно? У вас .htaccess уже лежит в директории, которую нужно запаролить.

l1key · 10 липня 2017

В 27.06.2017 в 15:32, Dotrox сказав:

Нет, это не он.

У вас здесь есть путь к директории admin (и то не хватает слеша вначале), а дальше просто непонятная приписка с .htpasswd.

Полный путь должен выглядеть так: /bla/bla-bla/admin/.htpasswd - сравните с тем, что у вас сейчас.

Ну, во-первых он не полный, ибо должен начинаться со слеша, а во-вторых, почему вы решили, что это вообще там нужно? У вас .htaccess уже лежит в директории, которую нужно запаролить.

Expand

AuthUserFile /home/xxxxxx.in.ua/admin/.htpasswd
AuthType Basic
AuthName “Password-protected Area”
Require valid-user
RewriteEngine Off

какие уже только варианты кода в файле .htaccess не пробовал, ничего не выходит .. как только кладу файл в директорию - страница сразу недоступна .

нашел вот такую статью ссылка но у меня на сервере нет файла с конфигом ..

неужели все сидят с открытыми админками ?

я тот сейчас как вариант просто оставляю файл .htaccess в админке, а когда нужно работать с сайтом переименовываю файл и таким образом открываю доступ к директории , это даже не особо геморно но довольно не удобно .. ведь можно забыть переименовать файл обратно или попасть на взлом в момент работы с сайтом..

Dotrox · 10 липня 2017

В 10.07.2017 в 14:48, l1key сказав:

неужели все сидят с открытыми админками ?

Expand

Сидят

Что у вас здесь за кавычки:

В 10.07.2017 в 14:48, l1key сказав:

AuthName “Password-protected Area”

Expand

?

Должны быть прямые, а вы скопировали с того сайта косые.

А вообще у меня есть подозрение, что у вас .htaccess в админке вообще не обрабатывается, потому что он бы со всеми этими ошибками должен был выдавать ошибку 500. Или под страница недоступна вы подразумевали именно её?

l1key · 10 липня 2017

В 10.07.2017 в 14:54, Dotrox сказав:

Сидят

Что у вас здесь за кавычки:

?

Должны быть прямые, а вы скопировали с того сайта косые.

А вообще у меня есть подозрение, что у вас .htaccess в админке вообще не обрабатывается, потому что он бы со всеми этими ошибками должен был выдавать ошибку 500. Или под страница недоступна вы подразумевали именно её?

Expand

нет у меня без ошибок , кавычки сейчас подравняю но не думаю что от этого заработает )

Dotrox · 10 липня 2017

В 10.07.2017 в 15:00, l1key сказав:

нет у меня без ошибок

Expand

Тогда долбите поддержку.

l1key · 11 липня 2017

В 10.07.2017 в 15:14, Dotrox сказав:

Тогда долбите поддержку.

Expand

она мне сказала что у некоторых пользователей opencart могут быть проблемы )

типо у некоторых не могут ))

Dotrox · 11 липня 2017

В 11.07.2017 в 06:15, l1key сказав:

она мне сказала что у некоторых пользователей opencart могут быть проблемы )

Expand

Долбите до тех пор, пока они вам не дадут ссылку на статью, где эти проблемы описаны (либо не перестанут отмазываться). Потому что на самом деле это бред: .htaccess обрабатывается до того, как запрос перейдёт к ОК, а значит проблема конкретно в .htaccess либо самом Apache.

Покажите как у вас сейчас выглядит основной .htaccess и .htaccess в директории admin.

l1key · 12 липня 2017

В 11.07.2017 в 17:08, Dotrox сказав:

Покажите как у вас сейчас выглядит основной .htaccess и .htaccess в директории admin.

Expand

Показати вміст

# 1.To use URL Alias you need to be running apache with mod_rewrite enabled.

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com
Options +FollowSymlinks

# Prevent Directoy listing
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "(?i)((\.tpl|\.ini|\.log|(?<!robots)\.txt))">
 Require all denied
## For apache 2.2 and older, replace "Require all denied" with these two lines :
# Order deny,allow
# Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/

RewriteBase /
RewriteRule ^sitemap.xml$ index.php?route=extension/feed/google_sitemap [L]
RewriteRule ^googlebase.xml$ index.php?route=extension/feed/google_base [L]
RewriteRule ^system/download/(.*) index.php?route=error/not_found [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !.*\.(ico|gif|jpg|jpeg|png|js|css)
RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

### Additional Settings that may need to be enabled for some servers
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none

### Display PHP errors 
### Uncomment the commands by removing the # sign in front of it.
# php_flag display_startup_errors on
# php_flag display_errors on
# php_flag html_errors on
# php_flag track_errors on
# php_value error_reporting "E_ALL"

Показати вміст

AuthUserFile /homedir/xxxxxxgo/xxxxxx.in.ua/admin/.htpasswd
AuthType Basic
AuthName "Password-protected Area"
Require valid-user
RewriteEngine Off

я стандартный htaccess еще не менял, может посоветуете вариант для ОС оптимальный

может им статью по настройке Apache дать ту что я нашел )

Змінено 12 липня 2017 користувачем l1key

l1key · 12 липня 2017

В 11.07.2017 в 17:08, Dotrox сказав:

Покажите как у вас сейчас выглядит основной .htaccess

Expand

победа )) реврайты нужно было в корневом отключать.. ) спасибо что натолкнули на мыслю)

l1key · 12 липня 2017

когда-то нашел такой .htaccess, только с ним нормально кеширование работало

Показати вміст


# Закрываем директории от просмотра
Options All -Indexes

# Закрываем доступ к файлам шаблонов, настройкам и логам
<FilesMatch "\.(tpl|ini|log)">
    Order deny,allow
    Deny from all
</FilesMatch>

# SEO URL Settings
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/ 
RewriteEngine On
RewriteBase /
RewriteRule ^sitemap.xml$ index.php?route=feed/google_sitemap [L]
RewriteRule ^googlebase.xml$ index.php?route=feed/google_base [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !.*\.(ico|gif|jpg|jpeg|png|js|css)
RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

# Включаем Gzip сжатие, используя mod_gzip
<IfModule mod_gzip.c>
    mod_gzip_on         Yes
    mod_gzip_dechunk    Yes
    mod_gzip_item_include file      \.(html?|txt|css|js|php|pl)$
    mod_gzip_item_include mime      ^text\.*
    mod_gzip_item_include mime      ^application/x-javascript.*
    mod_gzip_item_include mime      ^application/x-font-woff.*
    mod_gzip_item_exclude mime      ^image\.*
    mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</IfModule>

# Включаем Gzip сжатие, используя mod_deflate
<IfModule mod_deflate.c>
    AddOutputFilterByType DEFLATE text/text text/html text/plain text/xml text/javascript text/css application/x-javascript application/javascript
</IfModule>

# Кэширование статики заголовком Cache-control
<IfModule mod_headers.c>
    Header unset Last-Modified
# 120 days
    <FilesMatch "\.(ico|pdf|flv|jpg|jpeg|png|gif|swf|cssgz|jsgz)$">
    Header set Cache-Control "max-age=7776000, public"
    </FilesMatch>
# 120 days + Append Accept Encoding
    <FilesMatch "\.(css|js|cssgz|jsgz)$">
    Header set Cache-Control "max-age=7776000, public"
    Header append Vary: Accept-Encoding
    </FilesMatch>   
# 120 days
    <FilesMatch "\.(xml|txt)$">
    Header set Cache-Control "max-age=7776000, public, must-revalidate"
    </FilesMatch>
# 120 days
    <FilesMatch "\.(html|htm|php)$">
        Header set Cache-Control "max-age=7776000, private, must-revalidate"
    </FilesMatch>
# Compatible with old browsers
    <FilesMatch "\.(js|css|gif|png|jpe?g|pdf|xml|oga|ogg|m4a|ogv|mp4|m4v|webm|svg|svgz|eot|ttf|otf|woff|ico|webp|appcache|manifest|htc|crx|oex|xpi|safariextz|vcf)$" >
        Header unset X-UA-Compatible
    </FilesMatch>
</IfModule>

# Кэширование статики указывая Etag и Expires 
FileETag MTime Size
<IfModule mod_expires.c>
    ExpiresActive on
    <filesmatch ".(jpg|jpeg|gif|png|ico|css|js)$">
        ExpiresDefault "access plus 1 year"
    </filesmatch>
    ExpiresDefault "access 7 days"
    ExpiresByType application/javascript "access plus 1 year"
    ExpiresByType text/javascript "access plus 1 year"
    ExpiresByType text/css "access plus 1 year"
    ExpiresByType text/html "access plus 7 day"
    ExpiresByType text/x-javascript "access 1 year"
    ExpiresByType image/gif "access plus 1 year"
    ExpiresByType image/jpeg "access plus 1 year"
    ExpiresByType image/png "access plus 1 year"
    ExpiresByType image/jpg "access plus 1 year"
    ExpiresByType image/x-icon "access 1 year"
    ExpiresByType application/x-shockwave-flash "access 1 year"
</IfModule>

#Правим совместимость сжатия со старыми браузерами
<IfModule mod_setenvif.c>
    BrowserMatch "MSIE" force-no-vary
    BrowserMatch "Mozilla/4.[0-9]{2}" force-no-vary
    BrowserMatch ^Mozilla/4\.0[678] no-gzip
    BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
</IfModule>

#max_execution_time это максимальное время работы скрипта, поставил побольше, чтобы сервер не вырубал работающий скрипт.
php_value max_execution_time 200

### Additional Settings that may need to be enabled for some servers 
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

Змінено 12 липня 2017 користувачем l1key

Вхід

Как обеспечить безопасность и защиту магазина?

Recommended Posts

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Створити обліковий запис

Вхід

Зараз на сторінці 0 користувачів

Покупцям

Розробникам

Корисна інформація

Останні розширення

Important Information