Сьогодні ми розглянемо важливе питання: як захистити свій магазин від злому і проникнення?
Хоча OpenCart вважається досить захищеною системою управління, а й на неї знаходяться «умільці», які можуть одного разу принести гірке розчарування і збитки власнику інтернет-магазину. Так навіщо це допускати? Спробуємо ще трохи захистити свій магазин від злому. Наступні методи, які ми можемо зробити для безпеки магазину, досить прості і не вимагає ніяких особливих знань, так що з ними впорається навіть початківець освоювати OpenCart.
1. Одне з глобальних змін, що здійснюються для захисту магазину на OpenCart, є приховування адмін-панелі від сторонніх очей. Що це означає і як це зробити?
Зробити це досить просто:
- Папці admin даємо нове, нікому не відома назва;
- Відкриваємо файл config.php в кореневій папці магазину і в шляхах замість admin вказуємо назву нашої нової папки (зміни будуть внесені за все в один шлях);
- Аналогічно робимо з файлом config.php. який знаходиться у вищезгаданій папці admin - міняємо в шляхах admin на наше нову назву (5 посилань потребують змін).
2. Другий крок захисту полягає в логіні: ніколи не залишаємо для входу в адмін-панель такий логін, як admin. Немає більш доступного і загальновідомого логіна ніж admin, так що якщо при установці OpenCart, ми не змінили логін на більш складний, то це не пізно зробити зараз. Найпростіший спосіб змінити логін - це зайти в Aдмін-панель / Система / Користувачі і задати новий логін.
3. Також чинимо і з паролем - створюємо або змінюємо на складний і складний. використовуючи не менше 10 знаків, бажано різного регістра і з використанням спец. символів типу $,%, , ^ І т.д.
Зміну пароля здійснюємо все з тієї ж адмінки / Система / Користувачі.
5. убезпечити важливі файли: config.php і admin / config.php. Ці файли містять в собі дуже важливу інформацію: доступ до БД. З цієї причини слід встановити правильні права доступу до цих файлів: 0444 (тільки читання).
Права на папки встановлюємо або через хостинг (cPanel) / або через ftp-клієнт, який зазвичай використовуємо для завантаження файлів на сервер.
Навігація по публікаціям
Дуже корисний матеріал, спасибі.
Додам, що при зміні папки admin на нову, треба у файлі robots.txt також замінити всі входження admin на нові в рядках з Disallow.
Інакше админка стане відкрита для індексації пошуковими системами.
да, а навіщо тоді міняти назву папки, якщо ми її пишемо в роботс.тхт
може простіше тоді встановити пароль на папку засобами хостингу?
Змінивши назву адміністративної папки, ми, так би мовити, вказуємо robots.txt про зміну назви і про те, що тепер необхідно приховувати від пошукових серверів не папку з назвою admin, а папку під тією назвою, яку ми їй дали.
Що стосується пароля на папку або папки через хостинг - це теж один з варіантів.
не бачу сенсу перейменовувати папку admin - файл robots.txt доступний для будь-якого, хто захоче його подивитися. І сподіватися що хтось збереться зламувати досить тупий щоб не глянути на цей файлик мабуть не варто ...
Файл robots.txt можна приховати від сторонніх, задавши команду через .htaccess, і тоді про адміністративну папці нікому відомо не буде.
jul а якщо закрити файл robots.txt через .htaccess, пошуковики до нього матимуть доступ?
robots.txt повинен бути відкритий для пошукових систем, так що його в htaccess розміщувати не слід, а то вийде зворотний ефект.
Ось і я про те. Тому сенсу перейменовувати папку admin немає. Хіба що перейменувати її і прибрати взагалі з robots.txt, в надії що пошукачі не знайдуть її самі і не проїндексируют. але я б на це не сильно сподівався ...
Так що поки, як мені здається, кращий засіб міняти логін зі станартного admin, ставити пароль складніше, і, напевно, капчу якусь варто приробити для входу в адмінку щоб просто перебором не могли підібрати ...
Ну закрити папку паролем через .htaccess ...
Може у мене недостатньо поки знань в потрібній області, але я не розумію, як можна в .htaccess закрити robots.txt так, щоб пошуковики до нього мали доступ, а всі інші ні. Як файл буде визначати, запитує його бот пошукової системи, або Вася Пупкін? Принаймні в інеті я не знайшов потрібного рішення.
Буду вдячний, якщо Ви підкажете код, який потрібно для цього прописати в .htaccess.
P.S. Я у себе все-одно не зможу закрити цей файл в .htaccess, так як файли з розширенням .txt на моєму хостингу обробляються сервером nginx, а не apache, тому .htaccess не реагує на закриття цих файлів ...
[Files «robots.txt»]
order allow, deny
deny from all
[/ Files]
На місці «robots.txt» може бути будь-який файл, який необхідно приховати. Квадратні дужки змінити на звичайні «теговксіе».
А що стосується сервера nginx, то ось в цьому я не розбираюся. Але, за логікою, якщо Ви говорите, що він обробляє файли з розширенням .txt, то це відноситься до robots.txt, а оскільки .htaccess не має ніякого відношення до цього розширення, то його команди сервер повинен обробляти адекватно. Але стверджувати не буду, так як з цим не стикалася і не розбиралася раніше.
[Files «robots.txt»]
order allow, deny
deny from all
[/ Files]
А я чомусь впевнений що ця команда приховає файл robots.txt і від пошукових роботів ...
Для перевірки хочу запропонувати Вам приховати свій файл robots.txt. І відразу в якомусь яндекс вебмайстрів перевірити ваш robots.txt.
Я, на жаль, це перевірити не зможу по описаним мною причин ...
А я чомусь впевнений що ця команда приховає файл robots.txt і від пошукових роботів ...
Можливо ви маєте рацію. Обов'язково перевірю цей момент.
Сама шукаю рішення для цього питання, так що в правильному відповіді зацікавлена.
Підказка. Для тих хто хоче змінити назву папки адмін і при цьому приховати її в роботс.тхт скористайтеся правилами підстановки. Приклад назву папки адмін міняємо на абракадабраадмінчухпих а в Роботс прописуємо Disallow: / * адмін *. і з гуглом у вас все буде ок. З яндексом потрібно буде домовитися окремо через налаштування на самій яндекс-метриці.
і питання про п. 5
У мене на ці файли варто 644. намагався міняти на 444 і файлзіллой і тотал командер - все одно 644.
Доброго дня,
що стосується різних паролів до пошти і адмінки, то це само собою зрозуміле явище (навіть паролі до різних скриньках повинні бути різними, не кажучи вже про комерційний сайті). А збігатися він може через дурниці людей - зручно їм користуватися одним паролем до всього, що тільки можна запароліть ...
Відносно прав, то 644 цілком підходящі права для цих файлів, так як для всіх будуть виставлені атрибути читання і тільки для власника буде доступна ще і запис.
Привіт Юля
Дякую за цікаву і корисну статтю, така тема на жаль як ніколи актуальна в наш час!
Спасибо большое за статтю. )
Особисто я зробив папку обманку, в якій index.php підключає index.php адмінки. Але щоб все працювало, необхідно в індексному файлі адмінки підкоригувати код з використанням __DIR__:
// Configuration
if (is_file (__ DIR__. '/config.php')) require_once (__ DIR__. '/config.php');
>
А потім залишається заборонити доступ для всіх незалогінненних користувачів до папки admin через скрипт.
У методі є недоліки. Так само як і по IP - який може змінюватися. До того ж, якщо кілька людей займаються управлінням сайту, то взагалі жесть - постійно стежити за IP
Добрий день.
Дякую за статтю.
Але дійшов до 6-го пункту, а сайт перестав перебувати взагалі ...