Безопасность Opencart

himza

Безопасность Opencart

Тем кто еще не знает, напоминаю, у  нас есть чудесный форум. Где нет всяких алчных упырей, которые на любой вопрос отвечатют гуглите или дайте денег.
А еще, у нас есть сознательные модераторы, которые вместо того чтобы махать банхаммаром и греть свое ЧСВ в лучах славы,  собирают в кучу и систематизируют полезную информацию, как например в сводном посте про переезд на HTTPS.

В свете нынешних событий я предложил собрать в кучу набор правил для настройки пассивной безопасности магазина.

Ниже тезисы из нашего диалога. Я мог еще многое упустить, если  у вас есть умные мысли — дополняйте. Подчеркиваю. Рассматриваем методы, которы не требуют установки сторонних дополнений а осуществляются либо настройкой самого магазина либо дополнительными серверными настройками.

[0:23:03] Chief Yoda: ну нужны кароче
[0:23:07] Chief Yoda: такие тезисы
[0:23:08] Chief Yoda: как
[0:23:16] Chief Yoda: не используйте стандартный префикс
[0:23:21] Chief Yoda: в продакшне отключайте ошибки
[0:23:28] Chief Yoda: не используйте пароли админ админ
[0:23:36] Chief Yoda: раз в три месяца меняйте все пароли
[0:23:47] Chief Yoda: админ mysql ftp
[0:23:51] Chief Yoda: парольте админку
[0:23:55] Chief Yoda: а лучше по ip
[0:24:01] Chief Yoda: делайте бекапы
[0:24:07] Chief Yoda: в хард моде
[0:24:14] Chief Yoda: с сервера надо удалить phpmyadmin
[0:24:26] Chief Yoda: отрубить в контроллере product
[0:24:32] Chief Yoda: метод upload
[0:24:47] Chief Yoda: удалить к монахам станадртный бекапер базы данных
[0:24:51] Chief Yoda: просто выжечь его контроллер
[0:25:03] Chief Yoda: добавить в cache download
[0:25:08] Chief Yoda: и еще там куда рука дотянется
[0:25:12] Chief Yoda: htaccess
[0:25:18] Chief Yoda: которые запрещают выполнение php
[0:25:24] Chief Yoda: удалить из корня весь хлам
[0:25:30] Chief Yoda: а особенно info.php
[0:25:36] Chief Yoda: бекапы баз
[0:25:38] Chief Yoda: и так далее
[0:25:46] Chief Yoda: включить на ukraine
[0:25:50] Chief Yoda: допустим там легко
[0:25:55] Chief Yoda: mod_сесурити
[0:27:13] Chief Yoda: по хорошему надо проверить работу инструкций из статьи в блоге для htaccess убрать там ненуженое
[0:27:18] Chief Yoda: для версий 1.5
[0:27:35] Chief Yoda: пересмотреть папку download и cache на наличие странных файлов
[0:27:43] Chief Yoda: обязом поменять secret
[0:27:48] Chief Yoda: для 1.5 ваще ппц как критично
[0:27:57] mr X: А можно я влезу? Это касательно чего?Только если бить,то не больно)
[0:28:06] Chief Yoda: это кароче как гандон
[0:28:12] Chief Yoda: тока по самые уши
[0:28:23] Chief Yoda: опенкарт сам по себе
[0:28:26] Chief Yoda: непробиваемый
[0:28:33] Chief Yoda: 99% взломов
[0:28:39] Chief Yoda: происходят или изза соседей
[0:28:42] Chief Yoda: или по вине хозяев
[0:28:50] Chief Yoda: соседи — это древний дырявый вордпресс
[0:28:52] Chief Yoda: в одном акке
[0:28:58] Chief Yoda: а взломы..
[0:29:05] Chief Yoda: админка получается брутфорсом
[0:29:08] Chief Yoda: переобором тупо
[0:29:11] mr X: Т.е если голый,то норм..А если навешать говномодулей?
[0:29:12] Chief Yoda: а у половины та
[0:29:14] Chief Yoda: там
[0:29:17] Chief Yoda: admin 1234
[0:29:31] Chief Yoda: не надо никаких модулей
[0:29:38] Chief Yoda: вон сайт крякнули
[0:29:40] Chief Yoda: потому что у нее
[0:29:41] Chief Yoda: лог пасс
[0:29:47] Chief Yoda: сайт сайт были
[0:29:53] Chief Yoda: в админ
[0:30:06] Chief Yoda: ща роботов китайских
[0:30:10] Chief Yoda: которые бесконечно шастают
[0:30:12] Chief Yoda: просто пиздец
[0:30:44] Chief Yoda: опять же в продолжение
[0:30:49] Chief Yoda: не должно быть никаких админеров
[0:30:51] Chief Yoda: в корне
[0:30:53] Chief Yoda: нихрена
[0:30:54] Chief Yoda: лишнего
[0:31:59] Chief Yoda: и ошибки должны быть выключены на всех уровнях
[0:32:03] Chief Yoda: на серверном
[0:32:05] Chief Yoda: в htaccess
[0:32:10] Chief Yoda: и в админке магазина
[0:32:14] Chief Yoda: проводите какие то работы — включили
[0:32:17] Chief Yoda: не проводите выключили

Хуйнаныр(27)Очко(0)

Запостить высер

Стучать мне на мыло
avatar

Сортировать:   Свежие | Тухлые | Хуйнанырные
Артемий
робот-вертер
Артемий
8 месяцев 15 дней назад

Добавил себе в закладки.
Но, бльо, по множеству пунктов придётся гуглить, как это толково настроить и прописать, чтоб все заебато работало.
Пошагового манула не предвидится часом? Или проще и надежнее вам зааутсорсить это дело,?:)
Не, ну лог/пас вида «админ/админ» — это уже свидетельство не серьёзного отношения к проекту.

Вася
робот-вертер
Вася
8 месяцев 15 дней назад

maxim72
робот-вертер
maxim72
8 месяцев 15 дней назад

Очень бы мануал хотелось. Очень прям ждать буду… Надо обезопасить себя и друзей.

StavEXpert
робот-вертер
8 месяцев 15 дней назад

@Yoda, поменяй обои. Не могу сосредоточиться на смысле текста :-) И спасибо огромное за вселенскую мудрость!

Celtik Frost
робот-вертер
Celtik Frost
8 месяцев 14 дней назад

StavEXpert, на вашем сайте тоже сложно сосредоточиться на тексте)

У девушки «лодки» надувные или свои?

StavEXpert
робот-вертер
8 месяцев 14 дней назад

@Celtik Frost, согласен, сложно сосредоточится на том, чего почти нет ;-) Мое дело поддерживать его жизнеспособность, работы там очень много — но бесплатно не вижу смысла делать…

proctoleha
робот-вертер
proctoleha
7 месяцев 28 дней назад
Ахуенный блог!!! В закладки однозначно. По безопасности. В нахау у расписдяефАффтороф этого блога есть очень простая гениальная мысль: ты или бизнес ведешь, или с кодом сношаешься. Так вот: то, что написано выше — это для вторых. Если ты не понимаешь что такое rm -rf / — не лезь ни в какие настройки. По любасу, если ты хочешь обеспечить безопасность — ты должен понимать ВСЁ, что написано. Чтобы хотел добавить, не применительно к opencart, а вообще 1. Запретить ВСЕ точки входа на сайт, кроме явно разрешенных — одна строка в .htaccess 2. Изменить стандартный адрес входа в админку. Opencart одна из… ЧЕТАТЬ ЕСТЧО
wpDiscuz