Перейти к содержанию
Wild

Ативирус/файервол для Opencart

Рекомендуемые сообщения

Скудно как-то с решениями для безопасности сайта на опенкарт.
На других движках гораздо жирнее с этим вопросом.
Даже бесплатные модули имеют вполне неплохой функционал.
Кто чем защищается?
Я имею в виду не просто переименование логина для админа, переноса админки, подключение капчи и прочие мелкие брызги.
Хочется защиты от SQL инъекций, XSS и LFI атак, брутфорса и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

другие движки дырявые, поэтому и защищаются

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А смысл?

Как часто вы подвержены брутфорсу?

SQL инъекции - не пользуйтесь варезом

XSS/CSRF I - не пользуйтесь варезом

RFI/LFI - не пользуйтесь варезом

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да ладно!

Неужели на опенкарт нет попыток инъекций и прочей бодяги?
Даже если код настолько хорошо защищен и нет дырявых модулей и плагинов, то хотелось бы иметь возможность вовремя получать уведомления об этом, блочить на автомате, просто мониторить в конце концов не копаясь гигабайтах текстовых логов в поисках иголки в стогу сена!
Знать кто, откуда, что за атака!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вы часто подвержены атакам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В том то и дело, что хрен его знает на сколько часто это происходит.
Периодически вручную мониторю, вижу что бывает!
По этому и хочется видеть что-то в этом роде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как вариант нашел 

Но он не обновлялся уже год.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А что там обновлять?
Модуль представляет собой отдельный скрипт, практически не зависящий от движка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Смущает отсутствие активности автора на сайте.
Последние сообщения - январь месяц.
Не хочется заплатить за модуль и получить полное отсутствие поддержки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

К примеру - единственный комментарий к модулю и тот негативный, уже настораживает.
В ветке поддержки тоже тишина.
Как-то ссыкотно 1000 рублей за это отдавать.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, Wild сказал:

1000 рублей

 

вся суть темы в этой цифре

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А еще минусовой рейтинг автора.
По этому и интересуюсь аналогами.
Есть буржуйские, но с месячной подпиской - тоже не вариант.
Вот и удручает скудность решений в данном направлении.

Изменено пользователем Wild

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Автор имеет минусовый рейтинг - да. Но вы бы посмотрели за что он их получал.

 

Я в поддержке писал

есть еще что-то у https://opencartforum.com/profile/27725-halfhope/

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, chukcha сказал:

есть еще что-то у https://opencartforum.com/profile/27725-halfhope/


В этом случае платить особо незачем.
Для мониторинга файлов проще бесплатный "Санти" поставить.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это ваши проблемы

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Wild сказал:

Есть буржуйские, но с месячной подпиской - тоже не вариант.

подписка как раз и гарантирует вам обновление и развитие продукта

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
46 минут назад, ashap сказал:

подписка как раз и гарантирует вам обновление и развитие продукта

 

Ценник у них не для наших клиентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Wild сказал:

 

Ценник у них не для наших клиентов.

а чего там?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да как вы не поймете, что антивирус для опенкарт это как глобус украины, полная чушь и маркетинг.

Антивирус должен быть для хостинга, для сервера, а вы не на том уровне защищаметесь и что не делайте, а всеравно дырявая защита будет, хоть каждый день платить разработчику.

Все что можно было, в движке сделано. Все что осталось - это дыры сторонних модулей, все что за гранью это все проблемы сервера.

Не даст этот модуль 100% защиты, а он дает надежду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, ashap сказал:

а чего там?


В минимальном наборе в районе 7 - 12 евро в месяц (Astra, SiteGuarding).
Мелкие магазины редко решаться даже на такие расходы.
 

9 минут назад, nikifalex сказал:

да как вы не поймете, что антивирус для опенкарт это как глобус украины, полная чушь и маркетинг.

Антивирус должен быть для хостинга, для сервера, а вы не на том уровне защищаметесь и что не делайте, а всеравно дырявая защита будет, хоть каждый день платить разработчику.

Все что можно было, в движке сделано. Все что осталось - это дыры сторонних модулей, все что за гранью это все проблемы сервера.

Не даст этот модуль 100% защиты, а он дает надежду.

 

Не совсем согласен с вами.
Вы сами озвучили проблему сторонних модулей.
К тому же я не питаю иллюзий о полной непробиваемой защите.
Просто хочется своевременно знать о попытках взлома.
Я привык, когда на других CMS, к примеру, при попытке брутфорса на 5-й попытке IP юзера блочат на час, а при дальнейших потугах перманентно банят (с возможностью настройки таймаутов и параметров блокировки).
При этом я получаю на мыло уведомление об этом.
То же самое, если кто-то пытается мудрить с POST/GET запросами и прочей лабудой.
Просто я привык своевременно узнавать об этом и принимать некие меры.
Мне больше важен МОНИТОРИНГ!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
35 минут назад, Wild сказал:

Мне больше важен МОНИТОРИНГ!

 

Посмотрите правде в глаза и переформулируйте "Мне важна иллюзия, что все под защитой" просто для самоуспокоения.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я не питаю иллюзий на счет универсальной защиты.
Я привык вовремя реагировать на ситуацию.
Когда пытаются ломать сайт - используют разные векторы атаки.
Сообщение хотя бы об одной из них дает время на реакцию и снижает риск взлома.
А у вас, как раз, иллюзия полной непробиваемости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Wild сказал:

Не совсем согласен с вами.
Вы сами озвучили проблему сторонних модулей.
К тому же я не питаю иллюзий о полной непробиваемой защите.
Просто хочется своевременно знать о попытках взлома.
Я привык, когда на других CMS, к примеру, при попытке брутфорса на 5-й попытке IP юзера блочат на час, а при дальнейших потугах перманентно банят (с возможностью настройки таймаутов и параметров блокировки).
При этом я получаю на мыло уведомление об этом.
То же самое, если кто-то пытается мудрить с POST/GET запросами и прочей лабудой.
Просто я привык своевременно узнавать об этом и принимать некие меры.
Мне больше важен МОНИТОРИНГ!

Так настройте мониторинг и пр. на сервере.

nikifalex вам правильно заметил, это уровень привилегий сервера, а не приложения, неважно, опенкарт это, или вордпресс,  или еще какая джумла.

На уровне любого супер-пупер-мегамодуля как раз и можно только иллюзию защиты создавать, не более того. И бабло еще собирать с наивных покупателей B)

PS: Мне вот интересно, например, как такой модуль будет мне доступ блокировать, если я ваш сайт посканить на файлики надумаю. Колдовскими надписями в админке?

Изменено пользователем Shureg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Shureg сказал:

Так настройте мониторинг и пр. на сервере.

nikifalex вам правильно заметил, это уровень привилегий сервера, а не приложения, неважно, опенкарт это, или вордпресс,  или еще какая джумла.

На уровне любого супер-пупер-мегамодуля как раз и можно только иллюзию защиты создавать, не более того. И бабло еще собирать с наивных покупателей B)

Я с вами согласен, но что делать, если у клиента обычный виртуальный хостинг, а не VDS/VPS любой другой выделенный сервер?
Какой мониторинг там можно настроить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, Wild сказал:

Я с вами согласен, но что делать, если у клиента обычный виртуальный хостинг, а не VDS/VPS любой другой выделенный сервер?
Какой мониторинг там можно настроить?

Ничего не делать. Только на бога  хостера уповать, что он адекватный, и хоть какую-то защиту настроил. 

Ну, можно еще двухфакторную авторизацию сделать, права понастроить правильно и т.д Заметьте, модули для этого не нужны.

 

Мониторинг модулем будет видеть только действия через индекс. Шаг вправо-лево  - и он об этом даже не узнает. Полсайта будет шеллов и бэкдоров, а в отчетах модуля - красота и благодать :D

Изменено пользователем Shureg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.