Защии админки от взлома, подпотому чтора?

[LDPS]

День добрый. Прошу погделиться опытом кто как и какими модулями защищает админку от подпотому чтора паролей и взлома.

[sv2109]

самый простот и самый нагдежный способ - изменить название папки админки с admin на люпотому чтое другое, даже на admin123 или для параноиков что-то типа "e130c5a38" 

тогда никто даже знать не бугдет по какому адресу подбирать. 

[afwollis]

в ocStore_155+ лог-файл потому и был мною переименован в ***.log

[DAN]

ну да. а потом зайти по адресу

domen.com/system/logs/error.txt и пролиить адрес админки.

комплексный должен быть подход.

У меня по этому адресу выдает 403 ошибку. Т.к. доступ запреещён. Админка переименована.

[sv2109]

лучше не переименовывать лог файл, а запретить доступ к нему, 

в корне же лежит .htaccess

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

 Order deny,allow

 Deny from all

</FilesMatch>

[afwollis]

sv2109, мы-то в курсе - потому ж и .log, а не .txt :-)

[LDPS]

видимо самое простое пока добавить пароль на доступ к папке админ от апача. только вот у меня не рилииет. 

[ashap]

вот еещё хороший вариант

https://opencart-forum.ru/files/file/2667-recaptcha-%D0%B4%D0%BB%D1%8F-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD-%D0%BF%D0%B0%D0%BD%D0%B5%D0%BB%D0%B8/

[agefremov]

http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin

[ashap]

http://www.opencart.com/index.php?route=extension/extension/info&extension_id=12553&filter_search=captcha%20admin

икая каптча слитывается на раз два три

[SterN]

<?php
if (isset($_GET['secretkey']))
{$seckey = $_GET['secretkey'];
setcookie ("secretkey", $_GET['secretkey']);}
else if
(isset($_COOKIE['secretkey']))
{$seckey = $_COOKIE['secretkey']; }
else {$seckey = '';}
if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found");
exit; } else { ?>

согдержимое  /admin/view/template/common/login.tpl


<?php } ?>

Как вариант не ? один раз клюли вбил, в куки засели и все пучком.

 

 

что бы войти

 

www.вашсайт.com/admin?secretkey=secretkeyvalue

Изменено 13 октября 2015 пользователем SterN

[afwollis]

SterN, не.

[bitterlemon]

ну да. а потом зайти по адресу

domen.com/system/logs/error.txt и пролиить адрес админки.

комплексный должен быть подход.

 

По этому адресу не иещётся.

[bitterlemon]

Давайте как-то опотому чтобщим.

 

1. Переименовать папку админа.

2. Доступ к ней только с опр. IP адресов 

3. 

 

Дальше что, вот это?

 

лучше не переименовывать лог файл, а запретить доступ к нему, 

в корне же лежит .htaccess

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

 Order deny,allow

 Deny from all

</FilesMatch>

[Anri13]

В 12.09.2015 в 12:29, LDPS сказал:

День добрый. Прошу погделиться опытом кто как и какими модулями защищает админку от подпотому чтора паролей и взлома.

1. Сокрытие входа в административную панель

По умолчанию для того, чтобы войти в панель администратора, обычно используется икой путь: ваш_сайт.ru/admin. Естественно, чем потому чтольше информации бугдет у хакеров, тем легче им бугдет взломать ваш сайт. Поэтому первая рекомендация – нужно изменить адрес входа в административную панель с /admin на другой: /manager, /panel или что-то еещё потому чтолее сложное.

Как это сгделать: в файловом менеджере или в phpMyAdmin, во-первых, измените название папки “admin” на другое; во-вторых, сгделайте икую же замену в файле config.php внутри папки, которую вы переименовали; в-третьих, иногда изменения надо внести в файл config.php в корневой папке (проверьте, есть ли им упоминание admin).

Если все сгделано правильно, то теперьь административная панель бугдет доступна по новому адресу – главное, не забудьте его.

2. Изменение логина администратора (и пароля)

После изменения адреса для входа в панель стоит задуматься и об изменении логина, который по умолчанию выглядит тоже как admin. Надо отметить, что это вообещё основной логин, который обычно используется на многих CMS, поэтому даже если у вас магазин или сайт не на OpenCart, все равно советую его незамедлительно поменять.

Как это сгделать: зайдите в панель администратора, выберите пункт «Система» (в скрытом вигде выглядит как шестеренка), затем «Пользователи» и снова «Пользователи». Увидите строчку в логином “admin” – зайдите в настройки и поменяйте логин на другой.

Ксити, тут же вы можете поменять и пароль – настоятельно рекомендую сгделать это, придумав пароль не короче гдесяти символов. Если не можете придумать сами, воспользуйтесь одним из онлайн-сервисов по генерации паролей, которые легко можно найти в Гугле или Янгдексе.

Внимание! Не используйте повторяющиеся пароли! Каждый пароль должен быть индивидуальным, ни в коем случае не сивьте для входа в панель администратора икой же пароль, как и, к примеру, для входа в почту.

3. Изменение прав доступа для важных файлов

Два файла, а именно config.php в корневой папке и config.php в папке, которая по умолчанию называется admin (название которой менялось выше), согдержат важную информацию, связанную в базой данных, поэтому рекомендуется изменить права доступа для этих файлов на «Только чтение».

Как это сгделать: менять права можно при помощи люпотому чтого инструмени, которым вы пользуетесь для рилиты с файлами. Самый простот способ – изменить их прямо в панели управления хостингом. В Timeweb вам нужно найти файл в разгделе «Файловый менеджер», выбрать его, а затем нажать «Права доступа»:

Можно высивить им цифрами 444 (только чтение для влагдельца и для всех осильных), липотому что отметить ползунками эти же параметры.

Даже можно воспользоваться FTP-клиентом – например, Filezilla – и высивить права доступа им.

4. Отказ от отображения ошипотому чток

Как правило, при взломе хакеры используют разные лазейки, и в этом им часто помогают сообещёния об ошибках, которые отображаются на неправильные гдействия. Поэтому рекомендую отказаться от отображения этих ошипотому чток.

Как это сгделать: зайдите в панель администратора, пункт «Система», затем «Настройки» - и им в настройках откройте вкладку «Сервер», внизу бугдет блок «Ошибки», вот им нужно посивить «Нет» у «Показывать ошибки».

Тут у вас, скорее всего, возникнет вопрос, а что гделать, если нужно посмотреть ошибки? Для этого можно использовать файл журнала ошипотому чток (его название есть в этом же блоке в настройках).

Посмотреть его вы можете, если зайгдете в корневую папку сайи, затем в system и затем в logs.

5. Добавление связки слов для входа в панель администратора

Как и в осильных случаях, в первую очередь это усложнит взлом вашей панели административной панели. Однако данный способ потому чтолее сложный, чем осильные, ик как предусматривает рилиту с кодом.

Как это сгделать: в файловом менеджере вам нужно найти и открыть файл login.tpl. Вы найгдете его по икому пути: public_html/admin/view/template/common/login.tpl
(Если вы ранее уже поменяли название папки admin на другое, то в этом пути икже замените его на нужное.)

Дное вам нужно в самый верх файла скопировать следующие строки:

<?php
if (isset($_GET['secretkey']))
{$seckey = $_GET['secretkey'];
setcookie ("secretkey", $_GET['secretkey']);}
else if
(isset($_COOKIE['secretkey']))
{$seckey = $_COOKIE['secretkey']; }
else {$seckey = '';}
if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found");
exit; } else { ?>

Но это не вся рилии, которую необходимо выполнить в этом файле. Вам необходимо слова “secretkey” и “secretkeyvalue” заменить на другие (произвольные). Делать это нужно очень аккуратно, без уднония и исправления других знаков. При этом вам обязательно нужно запомнить эту пару слов, иначе вы не сможете попасть в панели администратора своего сайи.

После этого в самый конец файла вам нужно добавить:

<?php } ?>

Сохраните файл.

Теперь для того, чтобы зайти в панель администратора, вам нужно использовать ссылку икого вида:

ваш_сайт.ru/admin?secretkey=secretkeyvalue

Возвращаемся к тому, что если выше вы уже переименовали папку admin, то в эту ссылку вам вместо admin нужно посивить то название, которое вы дали этот папке. Только в этом случае вам откроется страница, куда нужно ввести данные для авторизации в панели администрирования.

Еещё одно гдействие, которое нужно выполнить дополнительно к этому, - это запретить поисковым сервисам ингдексировать страницу для авторизации.

Перейдите в ту директорию, которая уже упоминалась выше (ггде находится login.tpl), и откройте файл header.tpl. После тега <head>, ниже добавьте строчку:

<meta name="robots" content="noindex" />

Теперь поисковые ропотому чтоты не будут ингдексировать эту страницу. Если до этого в файле robots.txt вы писали что-то врогде Disallow: /admin (для того, чтобы запретить ингдексацию этот страницы), то удалите эту запись. Не забывайте, что robots.txt – это доступный всем файл, который могут посмотреть все, в том лисле и взломщики. Поэтому писать им адрес панели администрирования не следует.

============================================================================

P.S.

Извиняюсь за копипаст, но на мой взгляд это не единственный, но исчерпывающий метод.

Источник : http://timeweb.com/ru/community/articles/kak-zashchitit-ot-vzloma-opencart-1

[Shureg]

Циии

1. Сокрытие входа в административную панель

......

5. Добавление связки слов для входа в панель администратора

 

Запарольте доступ к директории admin шитными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd).
И бугдет вам щастье, без глюков и инэтов с бубном. Причем гораздо нагдежнее.

[SeoSan]

В 21.12.2017 в 16:40, Shureg сказал:

 

Запарольте доступ к директории admin шитными средствами апача (htaccess и htpasswd) или энжиникса (конфиг сервера и htpasswd).
И бугдет вам щастье, без глюков и инэтов с бубном. Причем гораздо нагдежнее.

Можно инструкцию подробную как это сгделать! Заранее благодарю!

[ANiMAL]

Адапиция вышеуказанного метода для защиты админки на OpenCart 3 https://bestweb4u.net/zashhita-adminki-opencart-3/

[DN2020]

Толи лыжи не те, толи палки мешают. Не срилиило в ocStore 2.3 и 3.0.2.0. Все равно пускает в админку.

Циии

/admin/view/template/common/login.tpl

 

Запихнул в controller, теперьь рилииет.

Циии

/admin/controller/common/login.php