Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Ативирус/файервол для Opencart


Wild

Recommended Posts

Скудно как-то с решениями для безопасности сайта на опенкарт.
На других движках гораздо жирнее с этим вопросом.
Даже бесплатные модули имеют вполне неплохой функционал.
Кто чем защищается?
Я имею в виду не просто переименование логина для админа, переноса админки, подключение капчи и прочие мелкие брызги.
Хочется защиты от SQL инъекций, XSS и LFI атак, брутфорса и т.п.

Надіслати
Поділитися на інших сайтах

А смысл?

Как часто вы подвержены брутфорсу?

SQL инъекции - не пользуйтесь варезом

XSS/CSRF I - не пользуйтесь варезом

RFI/LFI - не пользуйтесь варезом

 

 

 

Надіслати
Поділитися на інших сайтах

Да ладно!

Неужели на опенкарт нет попыток инъекций и прочей бодяги?
Даже если код настолько хорошо защищен и нет дырявых модулей и плагинов, то хотелось бы иметь возможность вовремя получать уведомления об этом, блочить на автомате, просто мониторить в конце концов не копаясь гигабайтах текстовых логов в поисках иголки в стогу сена!
Знать кто, откуда, что за атака!

Надіслати
Поділитися на інших сайтах

В том то и дело, что хрен его знает на сколько часто это происходит.
Периодически вручную мониторю, вижу что бывает!
По этому и хочется видеть что-то в этом роде.

Надіслати
Поділитися на інших сайтах

А что там обновлять?
Модуль представляет собой отдельный скрипт, практически не зависящий от движка.

Надіслати
Поділитися на інших сайтах

Смущает отсутствие активности автора на сайте.
Последние сообщения - январь месяц.
Не хочется заплатить за модуль и получить полное отсутствие поддержки.

Надіслати
Поділитися на інших сайтах

К примеру - единственный комментарий к модулю и тот негативный, уже настораживает.
В ветке поддержки тоже тишина.
Как-то ссыкотно 1000 рублей за это отдавать.

 

Надіслати
Поділитися на інших сайтах

А еще минусовой рейтинг автора.
По этому и интересуюсь аналогами.
Есть буржуйские, но с месячной подпиской - тоже не вариант.
Вот и удручает скудность решений в данном направлении.

Змінено користувачем Wild
Надіслати
Поділитися на інших сайтах

Автор имеет минусовый рейтинг - да. Но вы бы посмотрели за что он их получал.

 

Я в поддержке писал

есть еще что-то у https://opencartforum.com/profile/27725-halfhope/

 

Надіслати
Поділитися на інших сайтах

13 минут назад, chukcha сказал:

есть еще что-то у https://opencartforum.com/profile/27725-halfhope/


В этом случае платить особо незачем.
Для мониторинга файлов проще бесплатный "Санти" поставить.
 

Надіслати
Поділитися на інших сайтах

3 часа назад, Wild сказал:

Есть буржуйские, но с месячной подпиской - тоже не вариант.

подписка как раз и гарантирует вам обновление и развитие продукта

Надіслати
Поділитися на інших сайтах

10 часов назад, ashap сказал:

а чего там?


В минимальном наборе в районе 7 - 12 евро в месяц (Astra, SiteGuarding).
Мелкие магазины редко решаться даже на такие расходы.
 

9 минут назад, nikifalex сказал:

да как вы не поймете, что антивирус для опенкарт это как глобус украины, полная чушь и маркетинг.

Антивирус должен быть для хостинга, для сервера, а вы не на том уровне защищаметесь и что не делайте, а всеравно дырявая защита будет, хоть каждый день платить разработчику.

Все что можно было, в движке сделано. Все что осталось - это дыры сторонних модулей, все что за гранью это все проблемы сервера.

Не даст этот модуль 100% защиты, а он дает надежду.

 

Не совсем согласен с вами.
Вы сами озвучили проблему сторонних модулей.
К тому же я не питаю иллюзий о полной непробиваемой защите.
Просто хочется своевременно знать о попытках взлома.
Я привык, когда на других CMS, к примеру, при попытке брутфорса на 5-й попытке IP юзера блочат на час, а при дальнейших потугах перманентно банят (с возможностью настройки таймаутов и параметров блокировки).
При этом я получаю на мыло уведомление об этом.
То же самое, если кто-то пытается мудрить с POST/GET запросами и прочей лабудой.
Просто я привык своевременно узнавать об этом и принимать некие меры.
Мне больше важен МОНИТОРИНГ!

Надіслати
Поділитися на інших сайтах

Я не питаю иллюзий на счет универсальной защиты.
Я привык вовремя реагировать на ситуацию.
Когда пытаются ломать сайт - используют разные векторы атаки.
Сообщение хотя бы об одной из них дает время на реакцию и снижает риск взлома.
А у вас, как раз, иллюзия полной непробиваемости.

Надіслати
Поділитися на інших сайтах

2 часа назад, Wild сказал:

Не совсем согласен с вами.
Вы сами озвучили проблему сторонних модулей.
К тому же я не питаю иллюзий о полной непробиваемой защите.
Просто хочется своевременно знать о попытках взлома.
Я привык, когда на других CMS, к примеру, при попытке брутфорса на 5-й попытке IP юзера блочат на час, а при дальнейших потугах перманентно банят (с возможностью настройки таймаутов и параметров блокировки).
При этом я получаю на мыло уведомление об этом.
То же самое, если кто-то пытается мудрить с POST/GET запросами и прочей лабудой.
Просто я привык своевременно узнавать об этом и принимать некие меры.
Мне больше важен МОНИТОРИНГ!

Так настройте мониторинг и пр. на сервере.

nikifalex вам правильно заметил, это уровень привилегий сервера, а не приложения, неважно, опенкарт это, или вордпресс,  или еще какая джумла.

На уровне любого супер-пупер-мегамодуля как раз и можно только иллюзию защиты создавать, не более того. И бабло еще собирать с наивных покупателей B)

PS: Мне вот интересно, например, как такой модуль будет мне доступ блокировать, если я ваш сайт посканить на файлики надумаю. Колдовскими надписями в админке?

Змінено користувачем Shureg
Надіслати
Поділитися на інших сайтах


1 минуту назад, Shureg сказал:

Так настройте мониторинг и пр. на сервере.

nikifalex вам правильно заметил, это уровень привилегий сервера, а не приложения, неважно, опенкарт это, или вордпресс,  или еще какая джумла.

На уровне любого супер-пупер-мегамодуля как раз и можно только иллюзию защиты создавать, не более того. И бабло еще собирать с наивных покупателей B)

Я с вами согласен, но что делать, если у клиента обычный виртуальный хостинг, а не VDS/VPS любой другой выделенный сервер?
Какой мониторинг там можно настроить?

Надіслати
Поділитися на інших сайтах

8 минут назад, Wild сказал:

Я с вами согласен, но что делать, если у клиента обычный виртуальный хостинг, а не VDS/VPS любой другой выделенный сервер?
Какой мониторинг там можно настроить?

Ничего не делать. Только на бога  хостера уповать, что он адекватный, и хоть какую-то защиту настроил. 

Ну, можно еще двухфакторную авторизацию сделать, права понастроить правильно и т.д Заметьте, модули для этого не нужны.

 

Мониторинг модулем будет видеть только действия через индекс. Шаг вправо-лево  - и он об этом даже не узнает. Полсайта будет шеллов и бэкдоров, а в отчетах модуля - красота и благодать :D

Змінено користувачем Shureg
Надіслати
Поділитися на інших сайтах


38 минут назад, Shureg сказал:

Мониторинг модулем

Не совсем так

вот как раз DS Firewall работает не через индекс - и это его основная суть.

Но проблема в том, что есть серверные firewall, с постоянными обновлениями, и базами, а есть рукописные, которые даже толком сказать не могут от чего защищают

Надіслати
Поділитися на інших сайтах

1 час назад, Shureg сказал:

Ничего не делать. Только на бога  хостера уповать, что он адекватный, и хоть какую-то защиту настроил. 

Ну, можно еще двухфакторную авторизацию сделать, права понастроить правильно и т.д Заметьте, модули для этого не нужны.

 

Мониторинг модулем будет видеть только действия через индекс. Шаг вправо-лево  - и он об этом даже не узнает. Полсайта будет шеллов и бэкдоров, а в отчетах модуля - красота и благодать :D

Я не хочу уповать на хостера!
Двухфакторная авторизация - это только доступ в админку.
Я хочу иметь систему раннего предупреждения не только о попытках взлома брутфорса, но и других векторов атаки (SQL, POST, LFI и т.д.)!

Надіслати
Поділитися на інших сайтах

10 минут назад, Wild сказал:

Я не хочу уповать на хостера!
....
Я хочу иметь систему раннего предупреждения не только о попытках взлома брутфорса, но и других векторов атаки (SQL, POST, LFI и т.д.)!

Ровно с тем же успехом вы можете хотеть, чтобы какой-нить чудесный модуль превращал  шаред хостинг в vds...А лучше сразу в кластер, чего мелочиться :D

  • +1 1
Надіслати
Поділитися на інших сайтах


Меня бы вполне устроил DS Firewall, но смущает отсутствие обновлений и "движений" в топике поддержки.
По этому я и спросил об аналогах.
В других CMS есть альтернативы.

Змінено користувачем Wild
Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.