Захистіть ваш osCommerce магазин! Центр підтримки TemplateMonster

Питання безпеки завжди було одним із найважливіших для власників інтернет-магазинів. У цій статті ми покажемо деякі способи підвищення безпеки магазину на платформі osCommerce 2.2 та способи захисту відвідувачів магазину.

Сама платформа OsCommerce 2,2 має низку вразливостей. Дуже важливо виправити їх, перш ніж ними скористаються "недоброзичливці". Платформа OsCommerce є продуктом з відкритим вихідним кодом і тисячі розробників наполегливо трудяться, щоб запропонувати Вам доповнення, які допоможуть розширити функціональність Вашого магазину, додаючи нові функції та можливості. Але де гарантії того, що встановлення сторонніх доповнень не підвищить рівень вразливості Вашого магазину?

Почнемо із елементарних речей.

Видалення настановної директорії.

Після встановлення інтернет-магазину osCommerce Ви можете побачити попереджувальні повідомлення у верхній частині сторінки. Одне говорить про необхідність видалення директорії " Install " з міркувань безпеки:

Видаліть інсталяційну директорію: …/install. Це необхідно для забезпечення безпеки.

Тут Ви можете використати 2 варіанти:

  • Видалити директорію "install" з osCommerce папки на Вашому веб-сервері (рекомендується);
  • Перейменувати директорію "install" (наприклад, install_123);

Встановлення прав доступу

Два інші попередження пов'язані з правильними правами доступу CHMOD для конфігураційних файлів. Посібник про те, як вирішити цю проблему можна знайти тут.

Зверніть увагу, що права доступу CHMOD для інших директорій не повинні бути більшими ніж 755. Якщо хостинг-провайдер вимагає використання прав доступу 777 , то час подумати про зміну свого хостингу.

Захист панелі керування

На даний момент можна зробити це двома способами:

  • перейменуйте папкуadmin ;
  • додайте захист. .htaccess file is a configuration file that resides in directory and indicates which users or groups of users може бути доступний access to files contained in that directory. .htaccess is default name for file that is used to indicate who can or cannot access the contents of specific file directory from the Internet or an intranet. .htaccess is configuration file for use on web servers running the Apache Web Server software. Якщо файл .htaccess є placed in directory(. ) " class="glossaryLink " >htaccess в перейменовану папку.

Перейменування папки admin завжди було хорошим запобіжним заходом, проте про це ніколи не повідомлялося під час установки. Після перейменування admin папки каталогу Вам доведеться змінити два рядки у файліпеременовання_admin_папка/includes/configure.php :

Для встановлення пароля на папку admin ви можете використовувати функцію захисту паролем у панелі керування хостингом. Будь ласка, зв'яжіться з вашим хостинг-провайдером для більш детальної інформації.

Видалення Файлового Менеджера

Давно відомо, що файловий менеджер є загрозою для безпеки і має бути вилучений. Використання файлового менеджера для редагування сайту може призвести до пошкодження деяких файлів. Виходячи з цього, користуватися ним не рекомендується, і що гірше, зараз існує дуже неприємний "хак", який використовує файловий менеджер, щоб отримати доступ до Вашого сайту.

Щоб видалити файловий менеджер, виконайте такі дії:

  1. Відкрийте головний каталог файлів osCommerce та видаліть файл"file_manager.php " з директоріїcatalog/admin.
  2. Також відкрийте файл«admin/includes/boxes/tools.php» і видаліть наступний рядок:
  3. Відомо також, що файл"admin/define_language.php" є вразливим до тих самих "хаків", що і файловий менеджер. Рекомендовано видалити файл.

Захист форм

Додаток Security Pro очищає рядок запиту, проте будь-яка форма, яка використовує значення $_POST, залишиться недоторканою. Якщо Ви використовуєте будь-які форми post method, рекомендується зробити наступне на сторінках, що використовують значення змінної $ _POST.

Відкрийте файл, який використовує post method форму та після рядка:

Запобігання хакерським атакам

Додаток Security Pro

Про додаток (інформацію взято з інструкцій до Security Pro)

Security Pro використовує новий код, але концепція залишається незмінною… З встановленим доповненням Security Pro стає неможливо здійснити шкідливий запит через рядок запиту, доки сторінки інтернет-магазину osCommerce завантажують application_top.php.

Додатки XSS. .htaccess file is a configuration file that resides in directory and indicates which users or groups of users може бути доступний access to files contained in that directory. .htaccess is default name for file that is used to indicate who can or cannot access the contents of specific file directory from the Internet or an intranet. .htaccess is configuration file for use on web servers running the Apache Web Server software. When a .htaccess file is placed in a directory(. ) " class="glossaryLink " >htaccess на мій погляд, є марними, тому що вони здійснюють лише мізерну частину того, що робить Security Pro. Єдинекорисне, що я міг побачити, це REQUEST_METHOD та TRACETRACK.

Концепція проста, але ефективна. Це марна трата часу — намагатися створити чорний список величезної кількості векторів хакерів, як намагаються зробити XSS-скрипти. Єдиним виходом є білий список, і те, що Security Pro робить дуже добре.

Процедура встановлення швидка і нескладна, тому Ви не зіткнетеся з будь-якими труднощами.

  1. Завантажте пакет додатків та розархівуйте файли.
  2. Відкрийте завантажений пакет та перейдіть до папки«upload > catalog». Помістіть папку«includes» у кореневу папку osCommerce. Папка містить окремий файл, її переміщення не зашкодить Вашому магазину.
  3. Перейдіть до папкиcatalog/includes і відкрийте файлapplication_top.php.
  4. Використовуючи інструмент пошуку, знайдіть лінію: і додайте наступну частину коду перед зазначеною вище лінією:

От і все. Встановлення завершено.

Як перевірити роботу цього доповнення?

Виконали деякі модифікації у файлі та завантажили додатковий файл на веб-сервер. Напевно, Ви хочете перевірити роботу доповнення. Для перевірки слід відкрити сторінку розширеного пошуку або використати вікно пошуку. У полі введення вставте наступний набір символів:[w](o)%3Cr%3Eki*n^g. Запустіть пошук. По завершенню пошуковий запит має видати слово: "working ".

Контролювання сайту для виявлення несанкціонованих змін

Моніторинг Сайту

Це доповнення буде створювати запис ваших файлів таким чином, що Ви зможете стежити за їх зміною. Якщо будь-які файли були видалені або додані, якщо було змінено розмір, мітку або роздільну здатність файлу, Ви отримаєте повідомлення електронною поштоюпоштою.

Доповнення сумісне з версіями платформи osCommerce 2.2 та 2.3.

  1. Завантажте пакет додатків та розархівуйте файли.
  2. Залежно від версії платформи, відкрийте папкуoscommercce_2.3 абоoscommerce_MS2_or_RC2 і скопіюйте директоріюadmin у кореневий каталог osCommerce. Будуть перезаписані лише файли, пов'язані з цим доповненням.
  3. Відкрийте файлadmin/includes/languages/english.php і додайте наступну частину коду перед закриваючим тегом?> :
  4. Також слід відредагувати файл«admin/includes/filenames.php». Додайте наступну частину коду перед закриваючим тегом?> :
  5. У файлі«admin/includes/column_left.php» потрібно також додати наступну частину коду перед закриваючим тегом?> : для osCommerce 2.2 та для osCommerce 2.3
  6. Відкрийте панель керування osCommerce та перейдіть до менюadmin->Sitemonitor->Configure. Тут можна налаштувати доповнення відповідно до ваших потреб.
  7. Щоб отримати додаткові відомості про налаштування додатка, перевірте файл readme.txt , який знаходиться всередині пакета.

Блокування несанкціонованого доступу з пасткою для IP

Захист сайту за допомогою пастки для IP

Щоб отримати додаткові відомості про налаштування додатка, перевірте файлinstall.txt, який знаходиться всередині пакета.

Захист Htaccess

Захист сайту за допомогою файлу .htaccess

Це доповнення містить скрипти, які допоможуть захистити Ваш сайт використовуючи файл .htaccess file is a configuration file that resides in directory and indicates which users or groups of users can be allowed access to files contained in that directory. .htaccess is theім'я за замовчуванням для файлу, яке використовується для вказівки того, хто може або не може отримати доступ до вмісту певного каталогу файлів з Інтернету або внутрішньої мережі. .htaccess — це файл конфігурації для використання на веб-серверах, на яких працює програмне забезпечення веб-сервера Apache. Коли файл .htaccess розміщено в каталозі (. ) " class="glossaryLink " >Htaccess . Это сбор скриптов для файла . Файл .htaccess – це файл конфігурації, який знаходиться в каталозі та вказує, які користувачі або групи користувачів можуть дозволено доступ до файлів, що містяться в цьому каталозі. .htaccess — це ім’я за замовчуванням для файлу, яке використовується для вказівки того, хто може або не може отримати доступ до вмісту певного каталогу файлів з Інтернету чи внутрішньої мережі. .htaccess — файл конфігурації для використання на веб-серверах, на яких працює програмне забезпечення веб-сервера Apache. Коли файл .htaccess розміщено в каталозі (. ) " class="glossaryLink " >htaccess , які допоможуть захистити вас від зловмисників. Підтримуючи масову атаку, цей файл блокує багато програм-роботів, зокрема бібліотеку libwww-perl, яка буде контролювати весь діапазон частот. Файл . Файл .htaccess — це файл конфігурації, який знаходиться в каталозі та вказує, яким користувачам або групам користувачів можна надати доступ до файлів, що містяться в цьому каталозі. .htaccess — це ім’я за замовчуванням для файлу, яке використовується для вказівки того, хто може чи не може отримати доступ до вмісту певного каталогу файлів з Інтернету чи внутрішньої мережі. .htaccess — це файл конфігурації для використання на веб-серверах, на яких працює програмне забезпечення веб-сервера Apache. Коли файл .htaccess розміщено в каталозі (. ) " class="glossaryLink " >htaccess не може використовуватися на сервері Windows.

  1. Скачайте пакет доповнень і розархівуйте файли.
  2. Відкрийте файлФайл.htaccess — це файл конфігурації, який знаходиться в каталозі та вказує, яким користувачам або групам користувачів можна надати доступ до файлів, що містяться в цьому каталозі. .htaccess — це ім’я за замовчуванням для файлу, яке використовується для вказівки того, хто може чи не може отримати доступ до вмісту певного каталогу файлів з Інтернету чи внутрішньої мережі. .htaccess — це файл конфігурації для використання на веб-серверах, на яких працює програмне забезпечення веб-сервера Apache. Коли файл .htaccess розміщено в каталозі (. ) " class="glossaryLink " >htaccess _protection. HTML — цемова гіпертекстової розмітки. Мова розмітки — це набір тегів розмітки

ДокументиHTML описуються тегамиHTML.

Кожен тегHTML описує різний вміст документа.

HTML — це комп’ютерна мова, призначена для створення веб-сайтів. Потім ці веб-сайти можуть переглядати будь-хто інший, підключений до Інтернету.HTML — це мова, оскільки вона має кодові слова та синтаксис, як і будь-яка інша мова.Як це використовується?HTML складається із серії коротких кодів, введених у текстовий файл за допомогою(. ) " class="glossaryLink " >html у вікні вашого браузера та використовуйте скрипти .htaccess файл — це файл конфігурації, який знаходиться в каталозі та вказує, яким користувачам або групам користувачів можна дозволити доступ до файлів, що містяться в цьому каталозі. вміст певного каталогу файлів з Інтернету або внутрішньої мережі. .htaccess — це файл конфігурації для використання на веб-серверах, на яких працює програмне забезпечення веб-сервера Apache. Коли файл .htaccess розміщується в каталозі (. ) " class= "glossaryLink" >htaccess, їх необхідно додати у файл. Файл .htaccess єконфігураційний файл, який знаходиться в каталозі та вказує, яким користувачам або групам користувачів можна дозволити доступ до файлів, що містяться в цьому каталозі. .htaccess — це ім’я за замовчуванням для файлу, яке використовується для вказівки того, хто може чи не може отримати доступ до вмісту певного каталогу файлів з Інтернету чи внутрішньої мережі. .htaccess — це файл конфігурації для використання на веб-серверах, на яких працює програмне забезпечення веб-сервера Apache. Коли файл .htaccess розміщено в каталозі (. ) " class="glossaryLink " >htaccess, який знаходиться в корневому каталозі osCommerce на Вашому сервері.

Використання скриптів . Файл .htaccess — це файл конфігурації, який знаходиться в каталозі та вказує, яким користувачам або групам користувачів можна надати доступ до файлів, що містяться в цьому каталозі. .htaccess — це ім’я за замовчуванням для файлу, яке використовується для вказівки того, хто може чи не може отримати доступ до вмісту певного каталогу файлів з Інтернету чи внутрішньої мережі. .htaccess — це файл конфігурації для використання на веб-серверах, на яких працює програмне забезпечення веб-сервера Apache. Коли файл .htaccess розміщено в каталозі (. ) " class="glossaryLink " >htaccess вимагає спеціальних навиків, для неимення таких, будь ласка, зробіть резервну копію файлу . Файл .htaccess – це файл конфігурації, який знаходиться в каталозі та вказує, яким користувачам або групам користувачів можна дозволити доступ до файлів, що містяться в цьому каталозі. .htaccess — це ім’я за замовчуванням для файлу, яке використовується для вказівки того, хто може чи не може отримати доступ до вмісту певного каталогу файлів з Інтернету чи intranet. .htaccess — це файл конфігурації для використання на веб-серверах, на яких працює програмне забезпечення веб-сервера Apache. Коли файл .htaccess розміщено в каталозі (. ) " class="glossaryLink " >htaccess перед виконанням будь-якихзмін.