Jump to content
Sign in to follow this  
Wild

Ативирус/файервол для Opencart

Recommended Posts

Скудно как-то с решениями для безопасности сайта на опенкарт.
На других движках гораздо жирнее с этим вопросом.
Даже бесплатные модули имеют вполне неплохой функционал.
Кто чем защищается?
Я имею в виду не просто переименование логина для админа, переноса админки, подключение капчи и прочие мелкие брызги.
Хочется защиты от SQL инъекций, XSS и LFI атак, брутфорса и т.п.

Share this post


Link to post
Share on other sites

другие движки дырявые, поэтому и защищаются

  • +1 1

Share this post


Link to post
Share on other sites

А смысл?

Как часто вы подвержены брутфорсу?

SQL инъекции - не пользуйтесь варезом

XSS/CSRF I - не пользуйтесь варезом

RFI/LFI - не пользуйтесь варезом

 

 

 

Share this post


Link to post
Share on other sites

Да ладно!

Неужели на опенкарт нет попыток инъекций и прочей бодяги?
Даже если код настолько хорошо защищен и нет дырявых модулей и плагинов, то хотелось бы иметь возможность вовремя получать уведомления об этом, блочить на автомате, просто мониторить в конце концов не копаясь гигабайтах текстовых логов в поисках иголки в стогу сена!
Знать кто, откуда, что за атака!

Share this post


Link to post
Share on other sites

Вы часто подвержены атакам?

Share this post


Link to post
Share on other sites

В том то и дело, что хрен его знает на сколько часто это происходит.
Периодически вручную мониторю, вижу что бывает!
По этому и хочется видеть что-то в этом роде.

Share this post


Link to post
Share on other sites

Как вариант нашел 

Но он не обновлялся уже год.

Share this post


Link to post
Share on other sites

А что там обновлять?
Модуль представляет собой отдельный скрипт, практически не зависящий от движка.

Share this post


Link to post
Share on other sites

Смущает отсутствие активности автора на сайте.
Последние сообщения - январь месяц.
Не хочется заплатить за модуль и получить полное отсутствие поддержки.

Share this post


Link to post
Share on other sites

К примеру - единственный комментарий к модулю и тот негативный, уже настораживает.
В ветке поддержки тоже тишина.
Как-то ссыкотно 1000 рублей за это отдавать.

 

Share this post


Link to post
Share on other sites
13 минут назад, Wild сказал:

1000 рублей

 

вся суть темы в этой цифре

Share this post


Link to post
Share on other sites

А еще минусовой рейтинг автора.
По этому и интересуюсь аналогами.
Есть буржуйские, но с месячной подпиской - тоже не вариант.
Вот и удручает скудность решений в данном направлении.

Edited by Wild

Share this post


Link to post
Share on other sites

Автор имеет минусовый рейтинг - да. Но вы бы посмотрели за что он их получал.

 

Я в поддержке писал

есть еще что-то у https://opencartforum.com/profile/27725-halfhope/

 

Share this post


Link to post
Share on other sites
13 минут назад, chukcha сказал:

есть еще что-то у https://opencartforum.com/profile/27725-halfhope/


В этом случае платить особо незачем.
Для мониторинга файлов проще бесплатный "Санти" поставить.
 

Share this post


Link to post
Share on other sites

Это ваши проблемы

  • +1 1

Share this post


Link to post
Share on other sites
3 часа назад, Wild сказал:

Есть буржуйские, но с месячной подпиской - тоже не вариант.

подписка как раз и гарантирует вам обновление и развитие продукта

Share this post


Link to post
Share on other sites
46 минут назад, ashap сказал:

подписка как раз и гарантирует вам обновление и развитие продукта

 

Ценник у них не для наших клиентов.

Share this post


Link to post
Share on other sites
1 минуту назад, Wild сказал:

 

Ценник у них не для наших клиентов.

а чего там?

Share this post


Link to post
Share on other sites

да как вы не поймете, что антивирус для опенкарт это как глобус украины, полная чушь и маркетинг.

Антивирус должен быть для хостинга, для сервера, а вы не на том уровне защищаметесь и что не делайте, а всеравно дырявая защита будет, хоть каждый день платить разработчику.

Все что можно было, в движке сделано. Все что осталось - это дыры сторонних модулей, все что за гранью это все проблемы сервера.

Не даст этот модуль 100% защиты, а он дает надежду.

Share this post


Link to post
Share on other sites
10 часов назад, ashap сказал:

а чего там?


В минимальном наборе в районе 7 - 12 евро в месяц (Astra, SiteGuarding).
Мелкие магазины редко решаться даже на такие расходы.
 

9 минут назад, nikifalex сказал:

да как вы не поймете, что антивирус для опенкарт это как глобус украины, полная чушь и маркетинг.

Антивирус должен быть для хостинга, для сервера, а вы не на том уровне защищаметесь и что не делайте, а всеравно дырявая защита будет, хоть каждый день платить разработчику.

Все что можно было, в движке сделано. Все что осталось - это дыры сторонних модулей, все что за гранью это все проблемы сервера.

Не даст этот модуль 100% защиты, а он дает надежду.

 

Не совсем согласен с вами.
Вы сами озвучили проблему сторонних модулей.
К тому же я не питаю иллюзий о полной непробиваемой защите.
Просто хочется своевременно знать о попытках взлома.
Я привык, когда на других CMS, к примеру, при попытке брутфорса на 5-й попытке IP юзера блочат на час, а при дальнейших потугах перманентно банят (с возможностью настройки таймаутов и параметров блокировки).
При этом я получаю на мыло уведомление об этом.
То же самое, если кто-то пытается мудрить с POST/GET запросами и прочей лабудой.
Просто я привык своевременно узнавать об этом и принимать некие меры.
Мне больше важен МОНИТОРИНГ!

Share this post


Link to post
Share on other sites
35 минут назад, Wild сказал:

Мне больше важен МОНИТОРИНГ!

 

Посмотрите правде в глаза и переформулируйте "Мне важна иллюзия, что все под защитой" просто для самоуспокоения.

  • +1 1

Share this post


Link to post
Share on other sites

Я не питаю иллюзий на счет универсальной защиты.
Я привык вовремя реагировать на ситуацию.
Когда пытаются ломать сайт - используют разные векторы атаки.
Сообщение хотя бы об одной из них дает время на реакцию и снижает риск взлома.
А у вас, как раз, иллюзия полной непробиваемости.

Share this post


Link to post
Share on other sites
2 часа назад, Wild сказал:

Не совсем согласен с вами.
Вы сами озвучили проблему сторонних модулей.
К тому же я не питаю иллюзий о полной непробиваемой защите.
Просто хочется своевременно знать о попытках взлома.
Я привык, когда на других CMS, к примеру, при попытке брутфорса на 5-й попытке IP юзера блочат на час, а при дальнейших потугах перманентно банят (с возможностью настройки таймаутов и параметров блокировки).
При этом я получаю на мыло уведомление об этом.
То же самое, если кто-то пытается мудрить с POST/GET запросами и прочей лабудой.
Просто я привык своевременно узнавать об этом и принимать некие меры.
Мне больше важен МОНИТОРИНГ!

Так настройте мониторинг и пр. на сервере.

nikifalex вам правильно заметил, это уровень привилегий сервера, а не приложения, неважно, опенкарт это, или вордпресс,  или еще какая джумла.

На уровне любого супер-пупер-мегамодуля как раз и можно только иллюзию защиты создавать, не более того. И бабло еще собирать с наивных покупателей B)

PS: Мне вот интересно, например, как такой модуль будет мне доступ блокировать, если я ваш сайт посканить на файлики надумаю. Колдовскими надписями в админке?

Edited by Shureg

Share this post


Link to post
Share on other sites
1 минуту назад, Shureg сказал:

Так настройте мониторинг и пр. на сервере.

nikifalex вам правильно заметил, это уровень привилегий сервера, а не приложения, неважно, опенкарт это, или вордпресс,  или еще какая джумла.

На уровне любого супер-пупер-мегамодуля как раз и можно только иллюзию защиты создавать, не более того. И бабло еще собирать с наивных покупателей B)

Я с вами согласен, но что делать, если у клиента обычный виртуальный хостинг, а не VDS/VPS любой другой выделенный сервер?
Какой мониторинг там можно настроить?

Share this post


Link to post
Share on other sites
8 минут назад, Wild сказал:

Я с вами согласен, но что делать, если у клиента обычный виртуальный хостинг, а не VDS/VPS любой другой выделенный сервер?
Какой мониторинг там можно настроить?

Ничего не делать. Только на бога  хостера уповать, что он адекватный, и хоть какую-то защиту настроил. 

Ну, можно еще двухфакторную авторизацию сделать, права понастроить правильно и т.д Заметьте, модули для этого не нужны.

 

Мониторинг модулем будет видеть только действия через индекс. Шаг вправо-лево  - и он об этом даже не узнает. Полсайта будет шеллов и бэкдоров, а в отчетах модуля - красота и благодать :D

Edited by Shureg

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.