Защита OpenCart

Защита OpenCart

security

 

 

 

 

 

 

Рано или поздно в голову начинает приходить мысль что пришла пора защитить свой магазин и лучше если эта мысль пришла раньше чем у  Вас появились "дображелатели".

Стандартно Административная панель в OpenCart находится по адресу site.com/admin и это не секрет для злоумышленников.

Первым делом что мы сделаем это изменим адрес Административной части нашего магазина для этого нам потребуется выполнить несколько действий:

1. Переименовываем site.com/admin к примеру в site.com/superadmin

После данной манипуляции с папкой наша административная панель перестанет работать и чтобы возобновить ее работу нам нужно подправить site.com/superadmin/config.php а именно изменить ссылки с site.com/admin на site.com/superadmin а так же все пути изменить с admin на superadmin. Это и будет вторым действием.

2. Правим site.com/superadmin/config.php

Если Вы используете vQmod то Вам необходимо изменить во всех файлах site.com/vqmod/xml/*.xml так же как мы это делали в config.php меняем все пути к файлам с admin на superadmin собственно это и есть третье завершающее действие.

3. Правим файлы vQumod site.com/vqmod/xml/*.xml

После проделанных манипуляций Вашим "доброжелателям" будет гораздо сложнее найти административную панель магазина и приступить к взлому. Но мы не будем на этом останавливаться и добавим дополнительную защиту посредствам htpasswd

Защита административной части магазина по средствам .htpasswd
htpasswd

 

 

 

 

Первым делом нам необходимо создать .htpasswd обратите внимание впереди стоит точка. После того как мы создали пустой фаил нам необходимо зашифровать наш будущий пароль для этого можно воспользоваться онлайн генератором и полученый шифрованный пароль помещаем в наш .htpasswd

Вместо admin можете использовать своё имя пользователя.

Теперь необходимо создать .htaccess обратите внимания точка стоит не просто так, и в нем мы укажем путь к нашему файлу .htpasswd

Теперь записываем оба файла в нашу новую папку администратора site.com/superadmin и при переходе в Административную часть вашего магазина вы увидите приглашение ввести пользователя и пароль для доступа.

После проделанных манипуляций можно немного расслабиться и подшутить над нашими "доброжелателями" распаковав этот архив в корень своего магазина site.com. В итоге при переходе по адресу site.com/admin Вы увидите следующее http://opencart.in.ua/admin/ попробуйте авторизоваться с любым паролем :-)

Вот и все теперь можно спать спокойно.

Хуйнаныр(3)Очко(0)

Запостить высер

Стучать мне на мыло
avatar

Сортировать:   Свежие | Тухлые | Хуйнанырные
Андрей
робот-вертер
Андрей
3 лет 6 месяцев назад

Спасибо что потратили немного время на моя просьбу, статья очень полезная)

27
робот-вертер
3 лет 6 месяцев назад

Нужно попробовать

Андрей
робот-вертер
Андрей
3 лет 6 месяцев назад

Пробовал, все получилось! Спасибо

Серегй
робот-вертер
Серегй
3 лет 6 месяцев назад

Очень полезеная доработка ! А могут ли возникнуть конфликты с какими нибудь модулями или другими допилами ?

Владимир
робот-вертер
3 лет 6 месяцев назад

Спасибо за статью, первая часть получилась, а со второй не могу справиться (Защита административной части магазина по средствам .htpasswd) выкидывает ошибку и все.

Андрей
робот-вертер
Андрей
3 лет 6 месяцев назад

С этой частью: Защита административной части магазина по средствам .htpasswd не получается, все сделал как написано

Антон
робот-вертер
3 лет 5 месяцев назад

Полезно и доходчиво. Хороший урок.

Павел
робот-вертер
3 лет 4 месяцев назад

вообщем то ломают не так..
разные версии опенкарта страдают дырками в js скриптах и плагинах
так например в 1.5.3 можно было через обращение напрямую к загрузчику картинок загрузить php скрипт на хостинг и слить базу. также частенько есть дырки в всяких дополнениях

Black Overlord
Magistr 80 level
3 лет 4 месяцев назад

В свежих версиях из коробки все закрыто, и старый добрый брутфорс никто не отменял. Однажды наш конкуренты заказали масс взлом наших аккаунтов. Взломать не взломали, а вот трафика нагнали брутфорсом мама не горюй, три дня сайты ели ползали.

ogomor
робот-вертер
3 лет 3 месяцев назад

«Защита административной части магазина по средствам .htpasswd»
Сделал всё как указано, в итоге получаю это…

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, ****** and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.

10 раз перепроверил, перепробовал…

Djav
робот-вертер
Djav
3 лет 2 месяцев назад

Автор топика забыл упомянуть, что защита паролем директории посредством auth basic будет работать если ваш php запущен как модуль апача, у тех у кого 500 ошибка, значит что php запущен как cgi.

maxbrown
робот-вертер
maxbrown
3 лет 1 месяц назад

А если данная ошибка появляется на сервере. Как запустить рнр как модуль апача?

Евгений
робот-вертер
3 лет 1 месяц назад

У меня в vQumodе нет ни одного упоминания об admine. так что заменять там походу нечего

maxbrown
робот-вертер
maxbrown
3 лет 1 месяц назад

Статья полезнейшая!!! Огромное спасибо автору! Все сделал все работает.

halfhope
робот-вертер
3 лет 28 дней назад

День добрый.
Чтобы каждый раз не переименовывать «admin/» на «superadmin/» в *.xml файлах vqmod можно добавить в файл «vqmod/pathReplaces.php» код:
[code]
$replaces[] = array(‘~^admin\b~’, ‘superadmin’);
[/code]

Потап
робот-вертер
Потап
1 год 11 месяцев назад

а можно по подробнее, в файле там закоментирована эта строка, когда раскоментирую то пишет что синтаксическая ошибка.

Алексей
робот-вертер
Алексей
3 лет 10 дней назад

переносил недавно сайт с другого хостинга, он на ос коммерц, так вот там были эти два файлика и они дежали не в корне а с папкой www перенес сайт. а эти файлы посчитао лишними, никак не зайти в админку) не восстанвавливается пароль и не помогает замена хеша в бд. ))) случайно наткнулся на эту статью, что посоветуете запихнуть туда эти файлики? счас и попробуем)

DrinkPozitive
робот-вертер
DrinkPozitive
2 лет 11 месяцев назад

Все сделал правильно, все прописал, хостеру написал, переделал, теперь можно защищать средствами auth basic

«Для защиты Вы можете использовать .HTACCESS И .HTPASSWD»

И в итоге все равно пишет «Запрашиваемая страница не доступна»

Кто-то может подсказать в чем дело?

Спасибо!

DrinkPozitive
робот-вертер
DrinkPozitive
2 лет 11 месяцев назад

Путь с конфига админки брал, пробовал и прямой http://….

AuthType Basic
AuthName «Private zone. Only for administrator!»
AuthUserFile /home/site/public_html/admin/.htpasswd
require valid-user

Косяк где то в этом файле раз не находит путь, но вроде прописал все норм……

Вячеслав
робот-вертер
Вячеслав
2 лет 7 месяцев назад

Предлагаю свой доработанный вариант картинки 404 :
http://pixs.ru/showimage/404jpg_5730984_15594811.jpg

Евгений
робот-вертер
2 лет 11 дней назад

Классно! Особенно в конце. :) Обязательно использую

Вадим
робот-вертер
Вадим
9 месяцев 24 дней назад

Спасибо, полезная статья, но с .htpasswd получилось на половину. Окно с вводом логина и пароля появляется, но при вводе правильного логина и пароля окно пишет что логин и пароль не правильные.

Александр
робот-вертер
Александр
6 месяцев 29 дней назад

«Правим файлы vQumod site.com/vqmod/xml/*.xml» извиняюсь за глупый вопрос, а где эти файлы хранятся?

WarStyle
Уважаемый человек
6 месяцев 29 дней назад

На фтп в корне лежит папка vqmod, в ней папка xml

kwakin
робот-вертер
kwakin
2 месяцев 27 дней назад

а для версии opencart 2
инструкцию не напишите ???

Yoda
Magistr 80 level
2 месяцев 24 дней назад

Тема как бы достаточно баовая и не полная. Гуглите по форумам и блогу, на сегодня этой инфы намного больше.

Дмитрий2.0
робот-вертер
1 месяц 14 дней назад

а за урок спасибо два пункта встали как надо. низкий поклон

Дмитрий2.0
робот-вертер
1 месяц 14 дней назад

может действительно, для двойки что то по другому? у меня то же на хтасес этот в новой админке ошибку 500 выдает. путь и так и сяк подставлял, не помогает

wpDiscuz