Защитете своя osCommerce магазин! Помощен център на TemplateMonster

Въпросът за сигурността винаги е бил един от най-важните за собствениците на онлайн магазини. В тази статия ще ви покажем някои начини за подобряване на сигурността на магазина на платформата osCommerce 2.2 и как да защитите посетителите на магазина.

Самата платформа OsCommerce 2.2 има редица уязвимости. Много е важно да ги поправите, преди "недоброжелателите" да се възползват от тях. Платформата OsCommerce е продукт с отворен код и хиляди разработчици работят усилено, за да ви предоставят добавки, които ще ви помогнат да разширите функционалността на вашия магазин чрез добавяне на нови функции и функции. Но къде е гаранцията, че инсталирането на добавки на трети страни няма да увеличи нивото на уязвимости на вашия магазин?

Да започнем с елементарни неща.

Премахване на инсталационната директория.

След като инсталирате онлайн магазина на osCommerce, може да видите предупредителни съобщения в горната част на страницата. Един от тях казва да премахнете директорията "Инсталиране" от съображения за сигурност:

Изтрийте инсталационната директория: .../install. Това е необходимо за сигурност.

Тук можете да използвате 2 опции:

  • Премахнете директорията "install" от папката osCommerce на вашия уеб сървър (препоръчително);
  • Преименуване на директория "install" (например install_123);

Задаване на разрешения

Другите две предупреждения са свързани с правилните CHMOD разрешения за конфигурационни файлове. Ръководство за това как да разрешите този проблем можете да намерите тук.

Обърнете внимание, че CHMOD разрешенията за други директории не трябва да са по-големи от 755. Ако вашият хостинг доставчик изисква да използвате 777 разрешения, тогава е време да обмислите промяна на вашия хостинг.

Защита на контролния панел

В момента е възможно това да стане по два начина:

  • преименуване на папкаadmin ;
  • добавете защита. .htaccess файлът е конфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от Интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера Apache Web Server. Когато .htaccess файл е поставен в директория(. ) " class="glossaryLink " >htaccess към преименуваната папка.

Преименуването на администраторската папка винаги е било добра предпазна мярка, но това никога не е докладвано по време на инсталацията. След като преименувате папката на администраторската директория, ще трябва да промените два реда във файлаrename_admin_folder/includes/configure.php :

За да зададете парола за администраторската папка, можете да използвате функцията за защита с парола в контролния панел на вашия хостинг. Моля, свържете се с вашия хостинг доставчик за повече подробности.

Премахване на файловия мениджър

Отдавна е известно, че файловият мениджър е риск за сигурността и трябва да бъде премахнат. Използването на файлов мениджър за редактиране на сайт може да повреди някои файлове. Въз основа на това използването му не се препоръчва и което е по-лошо, сега има много неприятен „хак“, който файловият мениджър използва, за да получи достъп до вашия сайт.

За да премахнете файловия мениджър, изпълнете следните стъпки:

  1. Отворете главната файлова директория на osCommerce и изтрийте файла"file_manager.php " от директорияcatalog/admin.
  2. Отворете също файла"admin/includes/boxes/tools.php" и премахнете следния ред:
  3. Файлът"admin/define_language.php" също е известен като уязвим към същите "хакове" като файловия мениджър. Силно препоръчително е да изтриете файла.

Защита на формуляра

Добавката Security Pro изчиства низа на заявката, но всеки формуляр, който използва стойността $_POST, ще остане недокоснат. Ако използвате някой от методите за публикуване на формуляра, препоръчително е да направите следното на страници, които използват стойността на променливата $_POST.

Отворете файла, който използва формуляра на метода post и след реда:

Предотвратяване на хакерски атаки

Добавка Security Pro

Относно добавката (информацията е взета от инструкциите за Security Pro)

Security Pro използва нов код, но концепцията остава същата... С инсталираната добавка Security Pro става невъзможно да се направи злонамерена заявка чрез низа на заявката, докато страниците на уеб магазина на osCommerce зареждат application_top.php.

XSS добавки. .htaccess файлът е конфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от Интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера Apache Web Server. Когато файл .htaccess е поставен в директория(. ) " class="glossaryLink " >htaccess са безполезни според мен, тъй като правят само малка част от това, което прави Security Pro.полезно нещо, което можах да видя, е REQUEST_METHOD и TRACETRACK.

Концепцията е проста, но ефективна. Загуба на време е да се опитвате да поставите в черния списък огромно количество хакерски вектори, както се опитват да направят XSS скриптовете. Единственият изход е белият списък и това е нещо, което Security Pro прави много добре.

Процедурата по инсталиране е бърза и лесна, така че няма да срещнете никакви затруднения.

  1. Изтеглете пакета с добавки и разархивирайте файловете.
  2. Отворете изтегления пакет и отидете до папката"качване > каталог». Поставете папката"includes" в основната папка на osCommerce. Папката съдържа отделен файл, преместването му няма да навреди на вашия магазин.
  3. Отидете до папката"catalog/includes" и отворете файла"application_top.php".
  4. Използвайте инструмента за търсене, за да намерите реда: и добавете следната част от кода преди горния ред:

Това е всичко. Инсталацията е завършена.

Как да проверите работата на тази добавка?

Направихте някои промени във файла и качихте допълнителен файл на уеб сървъра. Със сигурност искате да проверите работата на добавката. За да проверите, отворете страницата за разширено търсене или използвайте полето за търсене. Вмъкнете следния набор от знаци в полето за въвеждане:[w](o)%3Cr%3Eki*n^g. Започнете търсене. Когато бъде завършена, заявката за търсене трябва да върне думата: "работи ".

Наблюдение на сайта за откриване на неоторизирани промени

Мониторинг на сайта

Тази добавка ще създаде запис на вашите файлове по такъв начин, че да можете да следвате всичките им промени. Ако има изтрити или добавени файлове, ако размерът, етикетът или разрешението на файла са променени, ще получите известие по имейл.поща.

Добавката е съвместима с osCommerce платформа версии 2.2 и 2.3.

  1. Изтеглете пакета с добавки и разархивирайте файловете.
  2. В зависимост от версията на платформата, отворете папкатаoscommercce_2.3 илиoscommerce_MS2_or_RC2 и копирайте директориятаadmin в основната директория на osCommerce. Само тези файлове, свързани с тази добавка, ще бъдат презаписани.
  3. Отворете файлаadmin/includes/languages/english.php и добавете следния код преди затварящия таг?> :
  4. Трябва също да редактирате файла"admin/includes/filenames.php". Добавете следната част от кода преди затварящия таг?> :
  5. Във файла"admin/includes/column_left.php" трябва също да добавите следния код преди затварящия таг?> : за osCommerce 2.2 и за osCommerce 2.3
  6. Отворете таблото за управление на osCommerce и отидете в менютоadmin->Sitemonitor->Configure. Тук можете да персонализирате добавката според вашите нужди.
  7. За повече информация относно персонализирането на добавката вижте файла readme.txt, намиращ се в пакета.

Блокиране на фалшифициране с IP Trap

Защита на сайт с IP trap

За повече информация относно персонализирането на добавката вижте файлаinstall.txt, който е в пакета.

Htaccess защита

Защита на сайт с .htaccess файл

Тази добавка съдържа скриптове, за да ви помогне да защитите вашия сайт с помощта на файла .htaccess, който е конфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess еиме по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера Apache Web Server. Когато файл .htaccess е поставен в директория(. ) " class="glossaryLink " >Htaccess . Это сбор скриптов для файла . .htaccess файлът е конфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера на уеб сървъра Apache. Когато файл .htaccess е поставен в директория(. ) " class="glossaryLink " >htaccess , които помагат да ви защитят от злоумышленници. Поддържайки масови атаки, този файл блокира много програмни роботи, по-специално библиотеката libwww-perl, която ще контролира целия честотен диапазон. файл . .htaccess файлът е конфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от Интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера Apache Web Server. Когато файл .htaccess е поставен в директория(. ) " class="glossaryLink " >htaccess не може да бъде използван на сървъра на Windows.

  1. Изтеглете пакета допълнения и разархивирайте файловете.
  2. Открийте файлаФайлът.htaccess е конфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от Интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера Apache Web Server. Когато файл .htaccess е поставен в директория(. ) " class="glossaryLink " >htaccess _protection. HTML еЕзик за маркиране на хипертекст. Езикът за маркиране е набор от тагове за маркиране

HTML документите се описват сHTML тагове.

Всеки тагHTML описва различно съдържание на документа.

HTML е компютърен език, създаден да позволява създаване на уебсайтове. След това тези уебсайтове могат да бъдат разглеждани от всеки друг, свързан с интернет.HTML е език, тъй като има кодови думи и синтаксис като всеки друг език.Как се използва?HTML се състои от поредица от кратки кодове, въведени в текстов файл от(. ) " class="glossaryLink " >html в окне на вашия браузър и използвайте скрипты .htaccess файлът е конфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера на уеб сървъра Apache. Когато файл .htaccess е поставени в директория(. ) " class="glossaryLink " >htaccess , ако е необходимо да ги добавите във файла. .htaccess файлът еконфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от Интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера Apache Web Server. Когато .htaccess файл е поставен в директория(. ) " class="glossaryLink " >htaccess, който се намира в корневия каталог osCommerce на Вашия сървър.

Използване на скриптове . .htaccess файлът е конфигурационен файл, който се намира в директория и показва на кои потребители или групи от потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва, за да посочи кой може или не може да получи достъп до съдържанието на конкретна файлова директория от Интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера Apache Web Server. Когато файл .htaccess е поставен в директория(. ) " class="glossaryLink " >htaccess изисква специални навици, за неимение на такива, моля, направете резервното копие на файла . .htaccess файлът е конфигурационен файл, който се намира в директория и показва на кои потребители или групи потребители може да бъде разрешен достъп до файловете, съдържащи се в тази директория. .htaccess е името по подразбиране за файл, който се използва за указване които могат или не могат да имат достъп до съдържанието на конкретна файлова директория от интернет или интранет. .htaccess е конфигурационен файл за използване на уеб сървъри, изпълняващи софтуера на уеб сървъра Apache. Когато файл .htaccess е поставен в директория(. ) " class="glossaryLink " >htaccess перед выполнением любыхпромени.