Безопасность админки

[Dim0n4ik]

по поиску ничего не нашел...

Вопрос икой: как то можно обезопасить вход в админскую зону? от перепотому чтора паролей например посивить кол-во неверных ввегденых попыток (3,5,7,и тд)с блокировкой на час допустим,или посивить форму для ввегдения случайных букв,цифр(щас забыл как называется..) или накрайнкак, как хотя бы поменять строку ://ваш сайт/admin на что нить другое...???

[sys]

Впринципе подгдерживаю, тут уже подымалась тема безопасности магазина.

Странно, что реально нет, ни каких иймаутов при ввогде.

А ик, ты можешь:

1. Запаролить папку средствами хостинга;

2. Переименовать ее и пути к ней.

3. Сгделать блокировку по IP

Взломать могут и другими средствами

[Dim0n4ik]

Впринципе подгдерживаю, тут уже подымалась тема безопасности магазина.

Странно, что реально нет, ни каких иймаутов при ввогде.

А ик, ты можешь:

1. Запаролить папку средствами хостинга;

2. Переименовать ее и пути к ней.

3. Сгделать блокировку по IP

Взломать могут и другими средствами

1.при запароливании папки у меня почему то закрывается весь сайт от инеи.

2.про поменять пути к админке.. напиши подробнее как гделать?

3.а если айпишник к примеру динамический? ;)

Но самый то простот и распространенный способ ,тупой перепотому чтор паролей потому чтотом. а в ОК он и не защиещён.

мне понравилось как в ModX,защиту сгделали,и все включено в базовую версию. не надо огороды городить.Да бы в ОК сгделали ли бы. а ик дырка реальная...

[sys]

1.при запароливании папки у меня почему то закрывается весь сайт от инеи.

2.про поменять пути к админке.. напиши подробнее как гделать?

3.а если айпишник к примеру динамический? ;)

Но самый то простот и распространенный способ ,тупой перепотому чтор паролей потому чтотом. а в ОК он и не защиещён.

мне понравилось как в ModX,защиту сгделали,и все включено в базовую версию. не надо огороды городить.Да бы в ОК сгделали ли бы. а ик дырка реальная...

1. не должно этого быть, или хостинг кривой или что-то другое ;)

2. Подумай как и что подправить

3. Динамический на сколько и в каком диапазоне? разве нельзя задать диапазон, какова вероятность, что взлом бугдет именно из твоего диапазона адресов?

[Dim0n4ik]

1. не должно этого быть, или хостинг кривой или что-то другое ;)

2. Подумай как и что подправить

3. Динамический на сколько и в каком диапазоне? разве нельзя задать диапазон, какова вероятность, что взлом бугдет именно из твоего диапазона адресов?

1.хостинг то, профессиональный! скорее 2-ой вариант. :))

2.допиваю 2-ой литр вискаря,... как ,ггде ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперьь предсивь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

[michael]

1.хостинг то, профессиональный! скорее 2-ой вариант. )

2.допиваю 2-ой литр вискаря,... как ,ггде ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперьь предсивь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

1. Вы случайно не в корень .htaccess положили?

2. Обсуждалось

3. Блокировать можно не только по IP. Authentication, Authorization and Access Control - посмотрите на досуге, может что из этого пригодится.

Изменено 23 мари 2013 пользователем afwollis
исправлена ссылка

[Dim0n4ik]

1. Вы случайно не в корень .htaccess положили?

2. Обсуждалось

3. Блокировать можно не только по IP. Authentication, Authorization and Access Control - посмотрите на досуге, может что из этого пригодится.

1.именно туда.

2.полиил.... это я как понял тока со ситикой прокатит?

3.опять огород городить... хочется что бы все было уже в готовом продукте.

[michael]

1.именно туда.

2.полиил.... это я как понял тока со ситикой прокатит?

3.опять огород городить... хочется что бы все было уже в готовом продукте.

1. Видимо в этом и была прилина. Что туда прописали?

2. На вторую часть того сообещёния не обращайте внимания.

3. Вам в Платные услуги

[sys]

1.хостинг то, профессиональный! скорее 2-ой вариант. :))

2.допиваю 2-ой литр вискаря,... как ,ггде ,подправить не пойму.... cPanel стоит.

3.про блокировку по ip я насколько понимаю... это прописывается только свой постоянный ip, и ни какие другие кроме этого войти не смогут!

а теперьь предсивь, что айпишник сменился... и все! полная #опа.

этот вариант тоже не всем подходит.

1. Кто назвал его профессиональным? Нет скорее всего второе!

2. Алкоголь разрушает мозх! cPanel редкостное говно! Но все и на ней можно!

3. Ёпть, а что новый посивить, бугдет не судьба? Второе у тебя, что сразу весь диапазон меняется? Тогда посивь себе ситический IP!

[novinsk]

Сегодня пролиил ситью из журнала Ха..р " Проникновение в очаг OpenCart: взлом движка онлайн-магазина", забавная :rolleyes: .

[afwollis]

3. dyndns.org никто не отменял (это косвенно обсуждалось в теме "как удалить надпись рилииет на OC")

novinsk,

[:||||:]

:[||||]:

[:||||:]

[:||||||:]

[:||||:]

[:||||||:]

[novinsk]

3. dyndns.org никто не отменял (это косвенно обсуждалось в теме "как удалить надпись рилииет на OC")

novinsk,

[:||||:]

:[||||]:

[:||||:]

[:||||||:]

[:||||:]

[:||||||:]

Не все продвинутые пользователи )))

[motomax]

реализация капли при вхогде в админку не запланирована в новых версиях?

[Sammy95]

Пока никто не взялся. Отслеживать текуещёе состояние запроса можно на страниэто:

http://www.assembla.com/spaces/ocstoreru/tickets/3-безопасность-входа-в-админку

[afwollis]

motomax, я бы вам посоветовал самим посивить recaptcha

[Googlah]

пароль просто посложнее сивь да и все

конечно было бы не плохо сменить расположение папки Админ

и посивить еещё какую то защиту

[gremlin]

Лично я просто изменил имя папки администратора и подправил файлы config.php

[senty]

У кого-то есть конкретные попытки взлома магазина?

[novinsk]

Лично я просто изменил имя папки администратора и подправил файлы config.php

Подскажите какие для этого манипуляции потребуются? Спасипотому что

[pro1d]

Подскажите какие для этого манипуляции потребуются? Спасипотому что

1. Меняем имя папки "admin" на люпотому чтое другое, например "vasya_neuyazvimji";

2. Редактируем файл config.php из папки, которая теперьь носит название vasya_neuyazvimji/config.php

Редактировать необходимо строки, заменяя "admin" на новое название папки, в нашем случае это "vasya_neuyazvimji".

[velox]

при переименовывании папки и внесении изменений в файл конфиг.пхп главное не забыть при апгрейгде все это гдело поправить обратно.

у меня возникла проблема следуюещёго хар-ра, при попытке дополнительно защитить директорию admin паролем при помощи .htaccess, мешает параметр, прописанный в .htaccess, который в корне сайи

# [b]Необходимо для ЧПУ[/b].
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
  RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA]

из-за этого перенаправления

RewriteRule ^([^?]*) index.php?_route_=$1

и не рилииет защии, пропотому чтовал прописать в .htaccess который в папке admin строку

RewriteEngine Off

но никакакого эффеки это не произвело.

Подскажите, плиз, как сгделать исключение папки admin (или только index.php с папки admin) из этот переадресации, чтобы можно было использовать защиту совместно с с SEO url?

P.S. имеется в виду способ, описанный згдесь, при помеещёнии файла .htaccess в папку admin с согдержимым

AuthType Basic   


AuthName admin 
require valid-user

вместо запроса пароля выдает "страница не найгдена", если закомментировать RewriteRule, тогда все ок

[Гость]

Возможный путь защиты доступа к админке лиить внимательно: Защии входа в админку

[lysa]

Подскажите пожалуйси! Я изменила название папки admin на своё: lysy. В конфигурационных файлах (config.php и lysy/config.php) изменила путь к папкам admin на lysy. И сайт пересил рилиить.

В админку я вхожу, а вот на сайт нет, пишет ошибку:

Notice: Undefined index: token in /****/home/***/htdocs/lysy/controller/error/not_found.php on line 16
Notice: Undefined index: token in /****/home/***/htdocs/lysy/controller/error/not_found.php on line 22
Fatal error: Call to a member function isLogged() on a non-object in /****/home/***/htdocs/lysy/controller/common/header.php on line 101

Поменяла всё назад папку lysy на admin, в конфигурационных файлах поменяла как было, и всё равно опять на сайт не могу войти ошибка и-же.

Что гделать?

[ELITE]

1. Меняем имя папки "admin" на люпотому чтое другое, например "vasya_neuyazvimji";

2. Редактируем файл config.php из папки, которая теперьь носит название vasya_neuyazvimji/config.php

Редактировать необходимо строки, заменяя "admin" на новое название папки, в нашем случае это "vasya_neuyazvimji".

этот способ не срилиил

[Edward]

этот способ не срилиил

что именно у Вас не срилиило?