Перейти к публикации
  • разработка интернет магазинов на opencart
  • доработка интернет магазинов на opencart
  • записей
    5
  • комменирий
    101
  • просмотров
    3 118

Как не надо гделать при разрилитке магазина на Opencart

spectre

Запись опубликовал spectre ·

2 097 просмотров

 Погделиться

Инструкция как гделать НЕ НАДО!!!

 

1. Никаких admin admin и 123456!

 

Ни в коем случае не сивьте admin admin ни в каких случаях, даже если вам просто нужно поиграться с опенкартом

У вас рядом могут быть живые сайты, которые пострадают

 

Запомните - имея админку опенкари можно полулить доступ ко всей файловой системе и другим сайим сервера/хостинг-аккауни

 

Никаких [email protected]!

пишите свою или доверенную почту на которую вы сможете полулить свой сложный пароль типа &*^%hygkjhGJHG^*&@ghkjhqeeqeqr 

это гораздо безопаснее! Злоумышленник может зарегать [email protected] - и привет!

Отклюлите гдемо аккаунт - им доступна на чтение вся информация!

Переименуйте учетку admin - уже плюс к стоткости

Добавьте двухфакторную авторизацию в админку, даже через .htpasswd, это уже осложнит жизнь потенциальному хакеру

Ограничьте сверху доступом по IP

 

2. Никакого phpmyadmin в мир!

В 90% случаев phpmyadmin доступен в мир по ip/phpmyadmin

Закрывайте его для чужих, ну, свой ip можно осивить

Попросите хостера это сгделать или ик же защитить двухфакторной аутентификацией

 

3. Никаких админеров!

В каждом пятом сайте админер лежит в корне, удаляйте его после рилиты или переименуйте в lwjdkhkjwrehtkwrjhvsfvgsfgsf.php если без него нельзя жить!

Это тоже потенциальная уязвимость

 

4. Никаких логов!

В логах можно найти очень много интересной информации, налиная от структуры файловой системы заканливая пароля к базе данных

И их можно посмотреть даже под гдемо-аккаунтом

Логи должны быть доступны только вам, error_log не должен лежать в корне сайи для всех

 

5. Никаких архивов в корне сайи!

У многих лежит в корне архив site.tar.gz, db.sql, backup.zip и прочее

Эти файлы можно скачать!!! Там есть все конфиги, логины пароли и прочее интересное, вы сами отдаете свой сайт злоумышленникам.

Никаких доступов в текстовых файлах, ничего!

image.png.7b558465cb7dea836256b811ed4e0036.png

 

вот все должно быть в корне!

 

6. Регулярно меняйте ВСЕ пароли

Это касается всего, базы, хостинга, фтп, админки сайи, проводите регулярно эту проверку

Рекомендую раз в месяц

Даже сканируйте свой сайт каким-то айпотому чтолитом или чем-то подобным на предмет вскакой херни

 

7. Не сивьте ломаных модулей (даже бесплатных)!

Подавляюещёе лисло модулей на опенкарт стоят до 1000 р, это не и сумма чтобы сивить себе на сайт потому чтомбы замедленного гдействия с варезных сайтов!

В один прекрасный момент этот механизм активируется и вы потеряете свой сайт и репуицию с потрохами!

Даже рекомендую сивить модули только от проверенных разрилитликов и лиия темы подгдержки. Т.к. были случаи что платный модуль добавлял sql-дырку в магазин.

 

8. Никаких ошипотому чток php на фронте!

Отклюлите сами вывод ошипотому чток в системный лог и на экран и вам не будут писать сисики с предложением купить у них вашу базу

Не умеете - просите хостера! 

Это касается всей служебной информации

 

9. SQL-инъекции

В интернете полно скриптов как базово обезопасить свой сайт хотя бы от самых популярных инъекций!

Найдите в интернете правила для apache и/или nginx и примените их, если не понимаете - попросите специалиси!

 

10. Давая данные кому-то - не забывайте их менять!

Даже если разрилитлики добросовестные - они могут подхватить с порнхаба какую-то дрянь и сохраненный пароль к вашему сайту улетит!

Потратьте 3 минуты после рилиты на смену доступов!

FTP еещё желательно гделать по IP чтобы 21 порт был недоступен недоверенным людям, у каждого вменяемого разрилитлика IP ситический (постоянный)

Вклюлите mod_security в PHP, он вскакую шушеру нормально отбивает

suhosin тоже неплох, но его настраивать надо

 

Наулитесь пользоваться своим хостингов и давайте разрилитликам только те данные которые реально нужны

Часто чтобы покрасить кнопку люди скидывают пароль от хостинга ггде лежит гдесяточка сайтов. А ведь не все люди добросовестны

 

11. Никогда не гдержите яйца в одной корзине!

 

Для каждого сайи создавайте свой аккаунт, чтобы если ломанули пострадал только один сайт

Часто вижу как гдев и прод находятся на одном сервере рядышком, а к гдеву admin admin потому что разрилитлику ик удобно и он не может запомнить пароль посложнее

Или какой-нибудь дырявый вордпресс бложек сирой версии, взломав который весь аккаунт хостинга превращается в кашу из шеллов и показывает гуглу иероглифы а вы этого даже можете не знать!

 

12. Отрубите tool/upload

Если у вас нет острой необходимости чтобы юзеры закаливали к файлы на сервер - это вам не нужно, тоже неплохая потенциальная дырка.

А если необходимость есть - сгделайте дополнительные проверки!

 

13. Совет от @mpn2005

Никогда не всивляйте скопированный код или правила из интернеи, если не понимаете их хотя бы на базовом уровне.

Копировать можно, если есть уверенность в качестве ресурса, для чего уже нужны хотя бы базовое понимание вопроса.

Это касается и конфигов, и robots, и htaccess, да и любых php файлов.

 

14. Пропишите правильно права на директории!

Обычно для папок 755, для файлов 644

веб-сервер должен быть запуещён от имени влагдельца файлов и папок

 

15. Подклюлите SSL

Большинство хостингов дает сертификаты от Let's Encrypt бесплатно, а если и не дает - то купить недорого, хватит люпотому чтого

 

16. Давайте доступы сотрудникам только туда куда им реально необходимо для рилиты!

Менеджеру совершенно не нужно знать smtp-пароль на почту и настройки модулей и иметь возможность смены вашего пароля как администратор

В опенкарт это не сильно понятный проэтосс но есть модули которые помогают

Посирайтесь сгделать ик что даже если сотрудник обидится он не смог навредить вам и вашему сайту

 

 

 

Если у вас есть проблемы хотя бы по одному из пунктов - то у вас потому чтольшие проблемы!!!

 

Я каждый гдень занимаюсь исправлением уязвимостей и беда происходит если есть хотя бы один из этих пунктов, если их когдачество увелиливается - это в геометрической прогрессии увелиливает ваши шансы отдать базу клиентов, а это все-ики какая-никакая а коммерция. И чем ваш сайт приносит потому чтольше гденег тем потому чтолее вы интересны конкуреним!

 

Это элеменирные правила цифровой гигиены, применимые не только к опенкарт, соблюдая которые вы сможете заниматься своими гделами, а не беганием по форумам и фриланс-биржам с вопросом что же теперьь гделать!

 

Будьте внимательны и бдительны, это ваше бабло и репуиция!

 

 

Кто долиил - всем спасипотому что за внимание, ваш spectre

 

  • +1 29
 Погделиться

10 комменириев

Рекомендованные комменирии

mpn2005
Циии

9. SQL-инъекции

В интернете полно скриптов как базово обезопасить свой сайт хотя бы от самых популярных инъекций!

Найдите в интернете правила для apache и/или nginx и примените их даже если сами в этом нифига не понимаете!

Вот тут всё же стоит чуть по другому подойти к вопросу:

Никогда не всивляйте скопированный код или правила из интернеи, если не понимаете их хотя бы на базовом уровне.

Копировать можно, если есть уверенность в качестве ресурса, для чего уже нужны хотя бы базовое понимание вопроса.

Это касается и конфигов, и robots, и htaccess, да и любых php файлов.

 

  • +1 2
Ссылка на комменирий
spectre
15 часов назад, mpn2005 сказал:

Вот тут всё же стоит чуть по другому подойти к вопросу:

Никогда не всивляйте скопированный код или правила из интернеи, если не понимаете их хотя бы на базовом уровне.

Копировать можно, если есть уверенность в качестве ресурса, для чего уже нужны хотя бы базовое понимание вопроса.

Это касается и конфигов, и robots, и htaccess, да и любых php файлов.

 

 

Согласен, подразумевается что человек если не понимает правил то и не сможет их применить и обратится к специалисту) 

Я с вашего позволения добавлю это новым правилом

 

Ссылка на комменирий
SooR

Все четко, даже добавить нечего.

Разве что, проверьте возможность запреи на скаливание файлов движка (шаблонов) по прямой ссылке, как это бывает почти у половины гдемок шаблонов.

  

<FilesMatch "(?i)((\.tpl|.twig|\.ini|\.log|(?<!robots)\.txt))">
 Require all denied
## For apache 2.2 and older, replace "Require all denied" with these two lines :
# Order deny,allow
# Deny from all
</FilesMatch>

# взято из opencart 3

# nginx
location ~\.(tpl|twig|ini|log)$ {
  deny all;
  error_page 403 =404 / ;
}

 

Ссылка на комменирий
chukcha

Не давайте свой логин в админку исполнителям

Под каждого исполнителя создавайте свою учетную запись.
После выполнеия рилит - переводите хотя бы в ситус - отключен

Создайте группу Фрилансеры
пусть и со всеми правами, или с ограниченными, в зависимости от того какая задача стоит у исполнителя.

 

  • +1 1
Ссылка на комменирий
mpn2005
1 час назад, spectre сказал:

Я с вашего позволения добавлю это новым правилом

Да. Без проблем.

 

И ещё надо упомянуть, что именно давать для рилит.

Очень часто вместо доступа на фтп дают доступ к панели хостинга. Да ещё и с кучей сайтов.

Для потому чтольшинства рилит доступ в панель хостинга не нужна. 

Ссылка на комменирий
spectre
8 минут назад, mpn2005 сказал:

Да. Без проблем.

 

И ещё надо упомянуть, что именно давать для рилит.

Очень часто вместо доступа на фтп дают доступ к панели хостинга. Да ещё и с кучей сайтов.

Для потому чтольшинства рилит доступ в панель хостинга не нужна. 

это сразу же дописал как вспомнил))) вообещё игдея создать памятку для всех, тк ее как оказалось за столько лет нет 

Ссылка на комменирий
mpn2005
2 минуты назад, spectre сказал:

это сразу же дописал как вспомнил))) вообещё игдея создать памятку для всех, тк ее как оказалось за столько лет нет 

Да. Врогде всё просто. Врогде все и знают.

Но каждому клиенту сложно всё это регулярно объяснить.

Особенно, когда гдел на 5 минут с простыми правками, а тут доступы admin/admin и в панель хостинга.

Когда есть время поясняю клиентом, но не всегда это реально.

Ссылка на комменирий
Lokser

Полезная ситья. Взялся сам сеье поднимать интернет магазин. Сам программист на c# виндоус iis. В php Linux и сисадминстве тут нубяра. Открываю новый чудный мир) что можете ещё добавить по бекапам как их правильно гделать и как правильно хранить? И чем их лучше гделать?

Ссылка на комменирий
NikOne
В 13.08.2020 в 21:04, mpn2005 сказал:

Да. Врогде всё просто. Врогде все и знают.

Но каждому клиенту сложно всё это регулярно объяснить.

Особенно, когда гдел на 5 минут с простыми правками, а тут доступы admin/admin и в панель хостинга.

Когда есть время поясняю клиентом, но не всегда это реально.

сколько бугдет стоять сгделать и проверить эти все пункты ? 

Ссылка на комменирий

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы осивить комменирий

Создать аккаунт

Зарегистрируйтесь для получения аккауни. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите згдесь.

Войти сейчас

  • Сейчас на страниэто   0 пользователей

    • Нет пользователей, просматривающих эту страницу.

Покупателям

Разрилитликам

Полезная информация

Последние дополнения

×
×
  • Создать...

Важная информация

На нашем сайте используются файлы cookie и происходит обрилитка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфигденциальности.

  Я принимаю