Ативирус/файервол для Opencart

[Wild]

Скудно как-то с решениями для безопасности сайта на опенкарт.
На других движках гораздо жирнее с этим вопросом.
Даже бесплатные модули имеют вполне неплохой функционал.
Кто чем защищается?
Я имею в виду не просто переименование логина для админа, переноса админки, подключение капчи и прочие мелкие брызги.
Хочется защиты от SQL инъекций, XSS и LFI атак, брутфорса и т.п.

[chukcha]

А смысл?

Как часто вы подвержены брутфорсу?

SQL инъекции - не пользуйтесь варезом

XSS/CSRF I - не пользуйтесь варезом

RFI/LFI - не пользуйтесь варезом

 

 

 

[Wild]

Да ладно!

Неужели на опенкарт нет попыток инъекций и прочей бодяги?
Даже если код настолько хорошо защищен и нет дырявых модулей и плагинов, то хотелось бы иметь возможность вовремя получать уведомления об этом, блочить на автомате, просто мониторить в конце концов не копаясь гигабайтах текстовых логов в поисках иголки в стогу сена!
Знать кто, откуда, что за атака!

[chukcha]

Вы часто подвержены атакам?

[Wild]

В том то и дело, что хрен его знает на сколько часто это происходит.
Периодически вручную мониторю, вижу что бывает!
По этому и хочется видеть что-то в этом роде.

[Wild]

Как вариант нашел 

Но он не обновлялся уже год.

[chukcha]

А что там обновлять?
Модуль представляет собой отдельный скрипт, практически не зависящий от движка.

[Wild]

Смущает отсутствие активности автора на сайте.
Последние сообщения - январь месяц.
Не хочется заплатить за модуль и получить полное отсутствие поддержки.

[Wild]

К примеру - единственный комментарий к модулю и тот негативный, уже настораживает.
В ветке поддержки тоже тишина.
Как-то ссыкотно 1000 рублей за это отдавать.

 

[Wild]

А еще минусовой рейтинг автора.
По этому и интересуюсь аналогами.
Есть буржуйские, но с месячной подпиской - тоже не вариант.
Вот и удручает скудность решений в данном направлении.

Змінено 25 липня 2017 користувачем Wild

[chukcha]

Автор имеет минусовый рейтинг - да. Но вы бы посмотрели за что он их получал.

 

Я в поддержке писал

есть еще что-то у https://opencartforum.com/profile/27725-halfhope/

 

[Wild]

13 минут назад, chukcha сказал:

есть еще что-то у https://opencartforum.com/profile/27725-halfhope/

В этом случае платить особо незачем.
Для мониторинга файлов проще бесплатный "Санти" поставить.
 

[chukcha]

Это ваши проблемы

[ashap]

3 часа назад, Wild сказал:

Есть буржуйские, но с месячной подпиской - тоже не вариант.

подписка как раз и гарантирует вам обновление и развитие продукта

[Wild]

46 минут назад, ashap сказал:

подписка как раз и гарантирует вам обновление и развитие продукта

 

Ценник у них не для наших клиентов.

[ashap]

1 минуту назад, Wild сказал:

 

Ценник у них не для наших клиентов.

а чего там?

[Wild]

10 часов назад, ashap сказал:

а чего там?

В минимальном наборе в районе 7 - 12 евро в месяц (Astra, SiteGuarding).
Мелкие магазины редко решаться даже на такие расходы.
 

9 минут назад, nikifalex сказал:

да как вы не поймете, что антивирус для опенкарт это как глобус украины, полная чушь и маркетинг.

Антивирус должен быть для хостинга, для сервера, а вы не на том уровне защищаметесь и что не делайте, а всеравно дырявая защита будет, хоть каждый день платить разработчику.

Все что можно было, в движке сделано. Все что осталось - это дыры сторонних модулей, все что за гранью это все проблемы сервера.

Не даст этот модуль 100% защиты, а он дает надежду.

 

Не совсем согласен с вами.
Вы сами озвучили проблему сторонних модулей.
К тому же я не питаю иллюзий о полной непробиваемой защите.
Просто хочется своевременно знать о попытках взлома.
Я привык, когда на других CMS, к примеру, при попытке брутфорса на 5-й попытке IP юзера блочат на час, а при дальнейших потугах перманентно банят (с возможностью настройки таймаутов и параметров блокировки).
При этом я получаю на мыло уведомление об этом.
То же самое, если кто-то пытается мудрить с POST/GET запросами и прочей лабудой.
Просто я привык своевременно узнавать об этом и принимать некие меры.
Мне больше важен МОНИТОРИНГ!

[Wild]

Я не питаю иллюзий на счет универсальной защиты.
Я привык вовремя реагировать на ситуацию.
Когда пытаются ломать сайт - используют разные векторы атаки.
Сообщение хотя бы об одной из них дает время на реакцию и снижает риск взлома.
А у вас, как раз, иллюзия полной непробиваемости.

[Shureg]

2 часа назад, Wild сказал:

Не совсем согласен с вами.
Вы сами озвучили проблему сторонних модулей.
К тому же я не питаю иллюзий о полной непробиваемой защите.
Просто хочется своевременно знать о попытках взлома.
Я привык, когда на других CMS, к примеру, при попытке брутфорса на 5-й попытке IP юзера блочат на час, а при дальнейших потугах перманентно банят (с возможностью настройки таймаутов и параметров блокировки).
При этом я получаю на мыло уведомление об этом.
То же самое, если кто-то пытается мудрить с POST/GET запросами и прочей лабудой.
Просто я привык своевременно узнавать об этом и принимать некие меры.
Мне больше важен МОНИТОРИНГ!

Так настройте мониторинг и пр. на сервере.

nikifalex вам правильно заметил, это уровень привилегий сервера, а не приложения, неважно, опенкарт это, или вордпресс,  или еще какая джумла.

На уровне любого супер-пупер-мегамодуля как раз и можно только иллюзию защиты создавать, не более того. И бабло еще собирать с наивных покупателей

PS: Мне вот интересно, например, как такой модуль будет мне доступ блокировать, если я ваш сайт посканить на файлики надумаю. Колдовскими надписями в админке?

Змінено 26 липня 2017 користувачем Shureg

[Wild]

1 минуту назад, Shureg сказал:

Так настройте мониторинг и пр. на сервере.

nikifalex вам правильно заметил, это уровень привилегий сервера, а не приложения, неважно, опенкарт это, или вордпресс,  или еще какая джумла.

На уровне любого супер-пупер-мегамодуля как раз и можно только иллюзию защиты создавать, не более того. И бабло еще собирать с наивных покупателей

Я с вами согласен, но что делать, если у клиента обычный виртуальный хостинг, а не VDS/VPS любой другой выделенный сервер?
Какой мониторинг там можно настроить?

[Shureg]

8 минут назад, Wild сказал:

Я с вами согласен, но что делать, если у клиента обычный виртуальный хостинг, а не VDS/VPS любой другой выделенный сервер?
Какой мониторинг там можно настроить?

Ничего не делать. Только на бога  хостера уповать, что он адекватный, и хоть какую-то защиту настроил. 

Ну, можно еще двухфакторную авторизацию сделать, права понастроить правильно и т.д Заметьте, модули для этого не нужны.

 

Мониторинг модулем будет видеть только действия через индекс. Шаг вправо-лево  - и он об этом даже не узнает. Полсайта будет шеллов и бэкдоров, а в отчетах модуля - красота и благодать

Змінено 26 липня 2017 користувачем Shureg

[chukcha]

38 минут назад, Shureg сказал:

Мониторинг модулем

Не совсем так

вот как раз DS Firewall работает не через индекс - и это его основная суть.

Но проблема в том, что есть серверные firewall, с постоянными обновлениями, и базами, а есть рукописные, которые даже толком сказать не могут от чего защищают

[Wild]

1 час назад, Shureg сказал:

Ничего не делать. Только на бога  хостера уповать, что он адекватный, и хоть какую-то защиту настроил. 

Ну, можно еще двухфакторную авторизацию сделать, права понастроить правильно и т.д Заметьте, модули для этого не нужны.

 

Мониторинг модулем будет видеть только действия через индекс. Шаг вправо-лево  - и он об этом даже не узнает. Полсайта будет шеллов и бэкдоров, а в отчетах модуля - красота и благодать

Я не хочу уповать на хостера!
Двухфакторная авторизация - это только доступ в админку.
Я хочу иметь систему раннего предупреждения не только о попытках взлома брутфорса, но и других векторов атаки (SQL, POST, LFI и т.д.)!

[Shureg]

10 минут назад, Wild сказал:

Я не хочу уповать на хостера!
....
Я хочу иметь систему раннего предупреждения не только о попытках взлома брутфорса, но и других векторов атаки (SQL, POST, LFI и т.д.)!

Ровно с тем же успехом вы можете хотеть, чтобы какой-нить чудесный модуль превращал  шаред хостинг в vds...А лучше сразу в кластер, чего мелочиться

[Wild]

Меня бы вполне устроил DS Firewall, но смущает отсутствие обновлений и "движений" в топике поддержки.
По этому я и спросил об аналогах.
В других CMS есть альтернативы.

Змінено 26 липня 2017 користувачем Wild