Методы Обеспечения Безопасности
OpenCart не несет ответственности за безопасность вашего сайта, поэтому вы сами должны позаботиться и обеспечить уровень безопасности вашего сайта и сервера. Следующие рекомендации направлены на повышение безопасности вашего интернет магазина на платформе OpenCart.
Эти дополнительные шаги могут быть предприняты сразу же после установки OpenCart на сервер. Дополнительную информацию об установке магазина OpenCart смотрите в разделе Установка.
Удаление папки установки - install
Удаление папки установки рекомендуется OpenCart сразу после установки. Система OpenCart предупредит вас в административной панели, если папка установки не будет удалена.
Защита директории
Папка admin
Папка admin - это место, откуда у вас есть доступ к администрированию вашего магазина. Люди, имеющие доступ к административной части вашего магазина, будут иметь доступ к редактированию ваших товаров, информации о клиентах, настройкам магазина и более ценной информации. Поэтому очень важно, чтобы логин администратора было трудно найти и сложно получить к нему доступ.
Переименование папки admin
Переименование папки admin на что-то, не связанное с администратором, необходимо для предотвращения обнаружения его местоположения злоумышленниками. Вы можете получить доступ к учетной записи администратора, введя местоположение вашего магазина, а затем путь к администратору. Например, если папка администратора была изменена на "cookiemonster", вход администратора будет находиться в "www.yourstore.com/cookiemonster". Вам также нужно будет обновить admin/config.php файл (или например файл, cookiemonster/config.php), заменив имя папки "admin" на новое имя, например,"cookiemonster". Обратите внимание, что это может усложнить работу с магазином в будущем, например, если вы решите установить какие либо расширения. Поэтому советуем вам использовать готовые расширения для безопасности, где это всё уже заранее предусмотрено.
.htaccess и .htpasswd
Файл .htaccess и файл .htpasswd в папке admin не позволят хакерам получить доступ к вашему магазину, даже если они обнаружат расположение входа администратора. С помощью файла .htaccess, вы можете запретить просмотр вашего магазина со всех IP-адресов, кроме IP-адреса администратора. Для .htpasswd в папке admin потребуется дополнительный пароль для доступа разрешенного администратора к этому каталогу.
Папка catalog
Папку catalog можно защитить с файлом .htaccess. Использование сопоставления файлов может быть полезно для защиты важных типов файлов для вашего магазина, таких как .php и .txt, а не всех из них. Для этого можно использовать следующий код .htaccess в папке catalog::
<Files *.*> Order Deny,Allow Deny from all Allow from "your ip address" </Files>
Это запретит доступ ко всем .twig, .php, и .txt файлам.
Папка system
Папка system содержит два файла, которые необходимо защитить: logs/error.txt и start_up.php. При необходимости logs/error.txt можно переименовать.
.htaccess
.htaccess будет защищать файлы и подпапки System от доступа кого-либо, кроме назначенного администратора. Для этого, вставьте код ниже в свой .htaccess:
<Files *.*> Order Deny,Allow Deny from all Allow from "your ip address" </Files>
Права доступа к файлам
Права доступа 644 или 444 должны быть установлены для следующих файлов, чтобы предотвратить запись в них другими пользователями:
- config.php
- index.php
- admin/config.php
- admin/index.php
- system/startup.php