Astăzi vom lua în considerare o întrebare importantă: cum să vă protejați magazinul de hacking și penetrare?
Deși OpenCart este considerat un sistem de management destul de sigur, acesta are și "meșteri" care pot aduce o zi dezamăgire amară și pierderi proprietarului unui magazin online. De ce să permiteți asta? Să încercăm un pic mai mult pentru a vă proteja magazinul de hacking. Următoarele metode pe care le putem lua pentru securitatea magazinului sunt destul de simple și nu necesită cunoștințe speciale, deci chiar și un începător le poate stăpâni cu OpenCart.
1. Una dintre schimbările globale puse în aplicare pentru a proteja magazinul de pe OpenCart, ascunde panoul de administrare de la ochii curioși. Ce înseamnă acest lucru și cum?
Este foarte simplu să faceți acest lucru:
- Dosarul admin dă un nume nou pe care nimeni nu îl știe;
- Deschideți fișierul config.php din directorul rădăcină al magazinului și în căi în loc de admin specificăm numele noului dosar (modificările se vor face într-un singur mod);
- În mod similar, ajungem și cu fișierul config.php. care se află în administrarea dosarului menționat mai sus - modificăm căile de administrare la noul nostru nume (5 link-uri trebuie schimbate).
2. A doua etapă a protecției este să vă conectați: nu lăsați niciodată login-ul de administrare în panoul de administrare. Nu există nicio conectare mai accesibilă și mai cunoscută decît admin-ul, deci dacă nu am schimba datele de conectare la mai complexe la instalarea OpenCart, atunci nu este prea târziu să o faceți acum. Cea mai ușoară modalitate de a vă schimba datele de conectare este să vă conectați la Admin Panel / System / Users și să setați o nouă autentificare.
3. De asemenea, acționăm cu o parolă - creați-o sau transformați-o într-una complexă și complexă. folosind cel puțin 10 caractere, de preferință un registru diferit și utilizând o funcție specială. caractere de tip $,%, , ^ și așa mai departe.
Schimbăm parola de la același administrator / sistem / utilizatori.
5. Secure fișierele importante: config.php și admin / config.php. Aceste fișiere conțin informații foarte importante: accesul la baza de date. Din acest motiv, trebuie să setați permisiunile corecte pentru aceste fișiere: 0444 (numai pentru citire).
Drepturile la foldere sunt setate fie prin găzduire (cPanel), fie prin clientul ftp, care este de obicei folosit pentru a încărca fișiere pe server.
Navigare după înregistrări
Foarte util, mulțumesc.
Voi adăuga că atunci când schimbați folderul de administrare într-unul nou, trebuie să înlocuiți toate intrările de admin cu altele noi în liniile cu Disallow în fișierul robots.txt.
În caz contrar, administratorul va fi deschis pentru indexarea de către motoarele de căutare.
Da, și apoi de ce schimbați numele dosarului, dacă îl scriem în robots.tht
poate fi mai ușor să setați apoi parola pentru folder folosind găzduirea?
Schimbarea numele directorului administrativ, vom spune acest lucru, specificați robots.txt pentru a schimba numele și că este necesar să se ascundă de la motoarele de căutare nu este un folder numit admin, și dosarul sub numele pe care i-am dat.
În ceea ce privește parola pentru un dosar sau un folder prin găzduire - aceasta este, de asemenea, una dintre opțiuni.
Nu văd niciun motiv pentru a redenumi directorul de administrare - fișierul robots.txt este disponibil pentru oricine dorește să îl vadă. Și să sperăm că cineva se va sparge destul de prost ca să nu se uite la acest dosar probabil că nu ar trebui să fie ...
Puteți ascunde fișierul robots.txt de la străini introducând o comandă prin .htaccess și apoi nimeni nu va ști despre dosarul administrativ.
jul și dacă închideți fișierul robots.txt prin .htaccess, motoarele de căutare vor avea acces la el?
robots.txt ar trebui să fie deschis pentru motoarele de căutare, deci nu ar trebui să fie plasat în htaccess, altfel se va obține efectul invers.
Aici sunt cam la fel. Prin urmare, nu are sens să redenumiți directorul de administrare. Cu excepția cazului în care îl redenumiți și eliminați în general din robots.txt, în speranța că motoarele de căutare nu o vor găsi și nu vor indexa. dar n-aș fi sperat prea mult ...
Deci, în timp ce mi se pare, cel mai bun mijloc de a schimba datele de conectare la stanartnogo admin, pune parola este mai dificil, și, probabil, unele costuri de verificare CAPTCHA pentru a atașa pentru a accesa panoul de administrare la doar forta bruta nu a putut găsi ...
Închideți dosarul cu o parolă prin .htaccess ...
Poate am suficiente cunoștințe care nu sunt încă în zona din dreapta, dar eu nu înțeleg cum este posibil să se închidă robots.txt .htaccess, astfel încât motoarele de căutare să aibă acces la el, și oricine altcineva nu este. Cum va fi determinat fișierul de către botul său de căutare sau Vasya Pupkin? Cel puțin pe internet, nu am găsit soluția potrivită.
Voi fi recunoscător dacă îmi spuneți codul pe care trebuie să îl înregistrați în .htaccess.
P.S. Eu, la toate nu ar fi în măsură să închidă dosarul la .htaccess, deoarece fișierele .txt pe meu Nginx server hosting tratate, nu apache, .htaccess, prin urmare, nu răspunde la închiderea acestor dosare ...
[Fișierele "robots.txt"]
ordinea permite, respinge
nega de la toate
[/ Files]
La site-ul "robots.txt" poate fi orice fișier care trebuie ascuns. Parantezele pătrate se înlocuiesc cu "etichete" obișnuite.
În ceea ce privește serverul nginx, nu înțeleg acest lucru aici. Dar, în mod logic, dacă ai spune că se ocupă de fișiere cu extensia .txt, se referă la un robots.txt, .htaccess și irelevantă pentru această extensie, echipa sa trebuie să se ocupe de server în mod corespunzător. Dar nu voi contesta, pentru că nu am mai întâlnit sau am înțeles acest lucru înainte.
[Fișierele "robots.txt"]
ordinea permite, respinge
nega de la toate
[/ Files]
Și din anumite motive sunt sigur că această comandă va ascunde fișierul robots.txt din roboții de căutare ...
Pentru verificare, vreau să sugerez să ascundeți fișierul dvs. robots.txt. Și imediat, în orice webmaster Yandex verificați fișierul robots.txt.
Eu, din păcate, nu pot verifica acest lucru din motivele descrise de mine ...
Și din anumite motive sunt sigur că această comandă va ascunde fișierul robots.txt din roboții de căutare ...
Poate că aveți dreptate. Voi verifica cu siguranță acest punct.
Eu însumi caut o soluție pentru această problemă, așa că mă interesează răspunsul corect.
O sugestie. Pentru cei care doresc să schimbe numele folderului admin și în același timp să îl ascundă în robots.tht, utilizați regulile de substituire. De exemplu, numele folderului de administrare este schimbat în abracadabraadminchuhpyh, iar roboții sunt setați pe Disallow: / * admin *. și cu Google veți fi toți bine. Cu Yandex va fi necesar să fie de acord separat prin setările de pe metrul Yandex în sine.
și întrebarea despre punctul 5
La mine pe aceste fișiere există 644. a încercat să se schimbe pe 444 și un dosar și comandant total - toate la fel 644.
Bună ziua,
ca și pentru parole diferite pentru poștă și admin, acesta este un fenomen evident (chiar și parolele pentru casetele diferite trebuie să fie diferite, ca să nu mai vorbim de un site comercial). Și poate coincide din cauza prostiei oamenilor - este convenabil pentru ei să folosească o parolă pentru orice poate fi stocat ...
În ceea ce privește drepturile, 644 sunt drepturi potrivite pentru aceste fișiere, deoarece pentru toate atributele de lectură vor fi expuse și numai înregistrarea va fi disponibilă pentru proprietar.
Bună ziua, Yulia
Vă mulțumim pentru un articol interesant și util, acest subiect este, din păcate, mai relevant decât oricând în zilele noastre!
Vă mulțumesc foarte mult pentru articol. )
Personal, am creat un dosar cu un snag în care index.php conectează index.php admin. Dar pentru ca totul să funcționeze, trebuie să corectați codul în fișierul index al administratorului utilizând __DIR__:
// Configurație
if (is_file (__ DIR__ '/config.php').) require_once (__ DIR__ '/config.php'.);
>
Apoi rămâne să refuzați accesul tuturor utilizatorilor neautorizați la dosarul de administrare prin intermediul scriptului.
Există dezavantaje în metodă. La fel ca pe IP - care se poate schimba. În plus, dacă mai multe persoane sunt implicate în gestionarea site-ului, atunci, în general, tin - monitorizează constant IP-ul
Alo
Vă mulțumim pentru articol.
Dar am ajuns la punctul 6, dar site-ul sa oprit deloc ...
Articole similare
Trimiteți-le prietenilor: