Безопасность и Защита для OpenCart

Расширенное управление правами пользователей админки Users Permissions Plus или просто UPP.
    На написание данного модуля сподвигло  постоянная «головная боль» на поддерживаемых проектах. Какие права у менеджеров? Какие у кладовщиков? Какие у контентщиков? Кто видит все заказы? Кто что то не видит? Кто имеет права удалять заказы, а кто нет?  Кто мог удалить карточку товара, а кто не мог?  
    Штатные инструменты OpenCart мягко говоря «не удобны», т.к. это тупое перечисление контроллеров, идущее «портянкой» в которой может потеряться и опытный пользователь магазина. Особое «ФИ» вызывает невозможность  «на лету» проверить за что отвечает тот или иной контроллер с «фендепеперным» названием.
    Каждые такие «непонятки» убивают массу времени на изучение того, у кого же какие права? Кто в какой группе, и что может та или иная группа. Как правило каждая такая необходимость = изучение всего как в первый раз.  
    И вот, посчитав сколько времени убивается, на эти «бестолковые, раздражающие, но необходимые в любом проекте», действия созрела идея данного модуля.

И так основные преимущества модуля:
- Наглядная инфографика прав доступа каждого пользователя;
- Возможность наглядного сравнения прав, и эффект «выскакивания» при несоответствиях;
- Клонирование прав того или иного пользователя;
- Импорт\Экспорт прав с любых существующих проектов (в рамках модуля);
- Разные варианты сортировок;
- Возможность кастомной сортировки списка, методом «Drag-and-drop»;
- Быстрый, прямой доступ к странице контроллера в новой вкладке (если не понятно за что он отвечает);
- Возможность собственного названия для контроллеров + предустановки наиболее популярных названий на русском;
- Быстрая логинизация под выбранным пользователем (в 1 клик) для проверки корректности работы;
- Запрет исполняемых методов (к примеру удаление, редактирование, изменение);
- Изменение статуса пользователя в 1 клик (вкл\выкл);
- Возможность создания типовых шаблонов под разные задачи;
- Комментарии к контроллерам;
- Имя активного пользователя в шапке сайта для OC 2.x (дабы не запутаться под каким аккаунтом выполнен вход);
- Система динамичных подсказок (разберется даже далекий от кода пользователь);
- Не заменяет системных файлов,  установленные права сохраняются даже после удаления модуля;
- AJAX обработка изменений...

    Тестировалось на OpenCart 2.3.x и OpenCart 3.x, но должно работать и на других.
Так же, хочу обратить внимание, что данный модуль, будет конфликтовать с "Запрет действий пользователей админки" от SlavaSoft. Поэтому, если Вы его используете, перед установкой UPP, "запрет действий" стоит удалить.
 
Какие файлы качать после покупки:
Узнайте версию своей CMS и PHP, файлы в названии имеют соответствующие версии. Например, если у Вас установлены OcStore 3.0.3.7 и PHP 7.1, скачайте:
ReadMe_oc3x.zip - документация к модулю, в ней подробно описан процесс установки; upp1.0.1_oc_3.0.3_php_7.1.ocmod.zip - сам модуль. Для PHP версий 7.2 и выше, нужен файл "upp_oc_3.0.3_v_1.0.0_php_7.2.ocmod.zip".
Так же, для безошибочной установки, советую скачать и установить модификатор "Local Copy".
 
Демо:
Ссылка: клик;
Логин: upp-demo;
Пароль: demo;
P.S.: Страницу модуля можно найти в левом меню: "система→пользователи→пользователи".
P.P.S.: В демо некоторые функции модуля отключены (из соображений безопасности).
 
Важно!
    После того, как файлы были загружены на сервер, сначала активируйте модуль в меню "дополнения->модули", и только после этого, обновите кэш модификаторов OCMOD. Иначе, установка будет выполнена некорректно.
Рекомендации после установки модуля:
     После установки модуля, настоятельно рекомендую, создать нового пользователя, выбрать его и администратора, после в редакторе прав создать шаблоны администратора и «нулевой» шаблон (у нового пользователя пустые права), для их использования в будущем. Для лучшей сохранности шаблонов, лучше всего экспортировать их к себе на компьютер.
     Про создание шаблонов, можете узнать из документации.
 

FlareGuard — это инструмент для защиты вашего интернет-магазина на OpenCart от DDoS-атак и вредоносных ботов. Он контролирует поток трафика, блокирует подозрительную активность и автоматически реагирует на аномальное поведение. Гибкие настройки позволяют установить порог запросов, включить режим "Я под атакой" и активировать проверку через Cloudflare Turnstile и HTTP‑флуда для повышения безопасности.
Модуль упрощает управление списками блокировок и белыми списками IP, автоматически фиксируя подозрительные адреса при превышении лимита запросов. Встроенный логгер сохраняет информацию о действиях на сайте, что помогает отслеживать и предотвращать атаки. FlareGuard повышает надежность работы сайта, снижает нагрузку на сервер и обеспечивает защиту в реальном времени.
 
DEMO АДМИНКИ demo/demo DEMO

Основные возможности:
Защита от DDoS-атак с настраиваемым порогом запросов: позволяет задать максимальное количество запросов с одного IP в минуту, предотвращая перегрузку сервера. Режим "Я под атакой": при активации требует от всех пользователей, кроме тех, кто в белом списке, пройти проверку капчей, снижая риск автоматических атак. Интеграция с Cloudflare Turnstile: использует капчу для дополнительной проверки пользователей, обеспечивая защиту от ботов. Автоматическая блокировка IP при превышении порога запросов: при обнаружении подозрительной активности IP-адрес автоматически добавляется в черный список. Гибкое управление белым и черным списками IP: позволяет вручную добавлять или удалять IP-адреса из списков, обеспечивая точечный контроль доступа. Ведение журнала действий: сохраняет информацию о всех действиях на сайте, что помогает в анализе трафика и выявлении потенциальных угроз. Автоматическая адаптация к аномальной активности: анализирует поведение посетителей и повышает требования проверки капчей при обнаружении аномалий. Защита от HTTP-флуда: отслеживает и ограничивает чрезмерное количество HTTP-запросов с одного IP-адреса, предотвращая перегрузку сервера и обеспечивая стабильную работу сайта. Порог быстрого всплеска (10 секунд): условие проверяет, если с момента первого запроса прошло не более 10 секунд и количество запросов превышает 50, то IP немедленно блокируется.   
Важно: FlareGuard не является панацеей от всех видов атак. Для обеспечения полной безопасности необходимо подходить к защите комплексно: защищать сервер, закрывать неиспользуемые порты и применять другие меры безопасности.
 
Подключение:
Войдите в панель управления Cloudflare и выберите свою учетную запись. Перейдите в раздел Turnstile. Нажмите Add widget и заполните поля с именем сайта и доменом вашего веб-сайта. Выберите режим работы виджета и, при необходимости, включите поддержку предварительной проверки (pre-clearance). Скопируйте сгенерированные sitekey и secret key.  
Перед установкой рекомендуется сделать резервную копию файла index.php.

Модуль двухфакторной аутентификации помогает защитить клиентские аккаунты. Он отправляет код на email, который нужно ввести после логина и пароля. Это снижает риск взлома, и повышает доверие клиентов.

Модуль не требует сложной настройки, работает автоматически и упрощает вход. Подходит для сайтов, где важна защита данных.

Основные характеристики:
Дополнительная защита аккаунта Простой и понятный интерфейс Отправка кода на email Редактируемый шаблон письма Легкая интеграция с системой Поддержка нескольких языков Возможность запомнить устройство
 

Модуль Google reCAPTCHA Pro для OpenCart — это удобный инструмент для защиты сайта от спама и ботов. Он поддерживает две версии: reCAPTCHA v2, где пользователю предлагается задание (например, выбор картинок), и reCAPTCHA v3, которая работает незаметно в фоновом режиме, анализируя действия посетителей. Модуль защищает ключевые формы сайта, такие как регистрация, вход и оформление заказов, от автоматических атак.
 
Позиционирование капчи
Одной из полезных функций модуля является возможность выбора позиции капчи на странице. Вы можете разместить её слева или справа, чтобы она гармонично вписывалась в дизайн сайта и не мешала пользователям. Это особенно важно для удобства посетителей и сохранения эстетичного вида страниц.

Основные возможности
Поддержка reCAPTCHA v2 и v3. Настройка показа капчи: для всех пользователей или только для гостей. Для v3 — настройка порога проверки (чем выше порог, тем строже фильтрация). Возможность исключить доверенные IP-адреса из проверки. Отложенная загрузка скрипта, чтобы не замедлять работу сайта. Подключение к стандартным формам OpenCart (регистрация, заказы и т.д.). Выбор позиции капчи: слева или справа.  
Как использовать
Настройка модуля проста: выбираете версию капчи (v2 или v3), указываете, кому её показывать (всем или только гостям), подключаете к нужным формам. Для v3 можно задать порог проверки, а также добавить доверенные IP в исключения. Позиционирование капчи настраивается в пару кликов, что позволяет адаптировать её под ваш дизайн.

Cloudflare Turnstile CAPTCHA для OpenCart — модуль, который добавляет кастомную CAPTCHA на сайт для защиты от ботов. В отличие от стандартных решений, он удобен для пользователей и легко настраивается.

Особенности:
Гибкое расположение — слева, по центру или справа.
Выбор темы — светлая или тёмная.
Настройка отображения — для всех или только для гостей.
Отложенная загрузка — отложенная загрузка скрипта CAPTCHA для повышения производительности.
Белый список IP — при заполнении поля CAPTCHA не отображается как на клиентской части, так и при валидации.
Фоновый режим — CAPTCHA работает в фоновом режиме.  
ДЕМО АДМИНКИ
СТРАНИЦАТОВАРОВ (ОТЗЫВЫ)
КОНТАКТЫ
РЕГИСТРАЦИЯ

Основные возможности:
Предустановленные причины блокировки Полный список заблокированных с поиском Привязка блокровки к заказу и к менеджеру Поиск по телефону и по эмайлу Вывод всех совпадений Не заменяетизменяет системные файлы DEMO
OC 2.x:  ocmod.uk.to/ocs2/admin/
OC 3.x:  ocmod.uk.to/ocs3/admin/

Логин: demo
Пароль: demo

Дополнения -> Модули -> Черный список

Установка
Установить файл blacklist.ocmod.zip через встроенный установщик дополнений
  Очистить кеш модификаторов (Для OC 3.x - очистить кеш шаблонов) Перейти в Дополнения -> Модули, установить модуль.

Описание
Модуль отслеживает новые, измененные и удаленные файлы сайта и указанных директорий сервера. Автоматическое сканирование (cron) позволит автоматизировать проверки и уведомить администратора по email в случае каких-либо изменений в файлах.
 
Не требует наличия сторонних библиотек. Не создает копии файлов.
Возможности
Модуль дает возможность:
отслеживать новые, измененные, удаленные файлы сайта;
настроить расширения сканируемых файлов (по умолчанию - исполняемые файлы систем, базирующихся на ядре Linux);
добавлять дополнительные, доступные для чтения, директории сервера для мониторинга;
исключать директории и файлы из мониторинга по маске;
просматривать содержимое файлов с подсветкой синтаксиса, без возможности редактирования;
запускать автоматическое сканирование, используя планировщик cron (wget/curl/cli), с последующим уведомлением администратора по email при наличии изменений;
есть возможность добавить приятный виджет на главную страницу административной панели для просмотра последнего сканирования, а также для ручного запуска нового.
Совместимость
OpenCart / OcStore 1.5, 2.x, 3.x, 4.x версий.
Зависимости
Для версии 1.5, для добавления виджета на главную, используется vqmod.
Для версий с 2.0 по 2.2, включительно, для добавления виджета на главную используется ocmod.
Демо
Админка
https://fs-monitor.shth.me/admin/ (авто вход)
Установка
Установите модуль через стандартный раздел установки дополнений.
Установите модуль в разделе модулей и перейдите в модуль :) Этот шаг запустит первичное сканирование.
Для вывода виджета перейдите в раздел "Модули > Панель управления", выберите FSMonitor. В настройках укажите ширину 12 и порядок сортировки 0. Это выведет модуль во всю ширину в самом верху.
Для версий младше 2.3 виджет выводится с помощью vqmod / ocmod.
Руководство
Для включения автоматического сканирования с помощью cron перейдите в раздел настроек модуля и скопируйте один из трех вариантов кода для запуска сканирования (wget/curl/cli). Вставьте этот код в планировщике, в панели управления хостингом и запустите задачу для проверки работоспособности.
Модуль не сильно нагружает сервер, так что проверки можно проводить несколько раз в день.
Переименовать сканирование можно на странице просмотра, нажав на название сканирования.
Если возникнут любые вопросы, пишите в тему поддержки или личные сообщения.
Лицензия
Модуль имеет автоматическую активацию. При покупке указывайте домен / тестовый домен.
Лицензия распространяется на один магазин / мультимагазин.
Описание файлов и контрольные суммы
fs_monitor_v1.2.1_oc_v1.5.zip для версий 1.5 d36d3cb06789ee828aafc6571dc0c233 
fs_monitor_v1.2.1_oc_v2.x.ocmod.zip для версий 2.x, младше 2.3 bca71980810c648358b4db26add86956 
fs_monitor_v1.2.1_oc_v2.3.ocmod.zip для версий 2.3 1cc63372e024318d846feae16b82b7b0 
fs_monitor_v1.2.1_oc_v3.x.ocmod.zip для версий 3.x c1501008b3bb42a7987650bc8fc39a35 
fs_monitor.ocmod.zip для версий 4.x b75729c0c5e58ec76b08dea1f2c79123 
Смотрите также
Базовая HTTP авторизация - защита админки авторизацией на уровне сервера.
Менеджер административного меню - модуль позволяет управлять главным меню и добавляет возможность создавать свое верхнее меню.
[PMP] Products module pack - модуль для вывода товаров. Более 43 вариантов выборок товаров.
Другие модули и услуги с тегом "Безопасность".
Лог изменений
 
 
 

Модуль скоро будет меняться, и скорее всего может стать платным.
 
zip архив для установки через админку, ocmod.xml можно просто в папку system закинуть
В итоге в настройках вот такое появится

 
вводите свой секретный ключ и запоминаете его, при желании можно поменять сам GET параметр. В итоге ссылка для входа в админку будет
admin/index.php?route=common/login&setlogin=ваш ключ или
ваш сайт/admin?setlogin=ваш ключ  

Ссылка на источник.
     Заказываете уникальные тексты? (или уникализируете существующие) Дорожите информацией на сайте? Делаете оригинальные фото? Тогда этот небольшой модуль то, что Вам нужно. 
     Решение данной проблемы, казалось бы, простое - добавить в конце каждого текста гиперссылку на источник данных. Но проблема данного способа в том, что поисковые машины очень отрицательно реагируют на наличие в информации сайта ссылки на самого себя. (Одна из дороботок OpenCart-а заключается в том, чтобы научить хлебные крошки не ссылаться на страницу, где они показываются). Так же сам текст может быть скопирован не полностью, из-за чего добавление гиперссылки внизу просто теряет смысл.
    Второе (наиболее популярное) решение данной проблемы - это отключение меню на правой кнопке мыши. Это решение не без недостатков, лично я, сразу же закрываю подобные сайты, испытывая при этом какое-то ущемление, это в "свободной-то" сети Интернет. 
     Данный модуль третье и на мой взгляд, наиболее правильное решение размещения ссылки на первоисточник. И так, его работа основана на JavaScript, который отслеживает событие браузера копирования текста. И производит модификацию буфера обмена пользователя, добавляя заданный в админке модуля произвольный текст, поддерживающий использование переменных для гиперссылок (к примеру ссылка на страницу где было произведено копирование или же на основной домен).
Особенности модуля:
Гибкость. Можно самому задать шаблон текста, модифицирующий буфер обмена, в меню настройки модуля, а так же назначить длину строки, после которой, копирайт будет вставляться; Универсальность. Работает с любыми шаблонами (кроме китайских "поделок" :D ); Нет перелинковки. Модуль встраивает ссылку не в HTML, а непосредственно в буфер обмена; Простота. Имеет предустановленную настройку; Открытость. Модуль не закодирован;  
Системные требования:
PHP 5.6+; SSL/TLS сертификат (сайт должен работать на https).  
Любое усовершенствование алгоритма модификации буфера обмена, можем обсудить в личке, для персональных, оригинальных решений. 
Допил на версии 1.5 и 2.1, в случае востребованности модуля.

Описание
Yandex SmartCaptcha позволяет определить, кем является пользователь системы: человеком или компьютером. Необходим для верификации запросов в формах магазина и блокировки нежелательной активности. Сервис для верификации запросов поможет определить обращения пользователей и заблокирует роботов.
Пользователям не придется размечать картинки:
в большинстве случаев им достаточно кликнуть «Я не робот».
 
GitHub: https://github.com/mpn2005/opencart3-yandex-smart-captcha

Описание
Модуль реализует управление базовой HTTP авторизацией для административного раздела сайта. HTTP авторизация это встроенная в сервер система контроля доступа. Она поможет защитить административную панель от перебора паролей и все файлы в ней от излишнего любопытства. Этот модуль представлен как альтернатива ручному внедрению HTTP авторизации.
Преимущества
На надо каждый раз править .htpasswd для добавления пользователя или смены пароля.
Автоматическое шифрование паролей.
Не удаляет Ваш код из admin/.htaccess, а аккуратно переписывает свой блок.
Возможности
Модуль позволит:
Создавать неограниченное кол-во пользователей для авторизации без предварительного шифрования пароля с помощью сторонних сервисов.
Задавать список исключений в виде файлов и папок. Можно использовать маски.
Не хранит пароли в открытом виде. Использует одностороннее шифрование APR MD5.
Совместимость 
OpenCart / ocStore 2.3, 3.x, 4.x.
Сервер Apache.
Демо
Админка 
HTTP авторизация - логин admin пароль admin 
https://basic-auth.shth.me/admin/ (авто вход)
На демо сайте есть верхнее меню для быстрой навигации. Для проверки наличия или отсутствия HTTP авторизации у ссылок-исключений используйте режим инкогнито [Ctrl+Shift+N].
Установка
Установите расширение через стандартный раздел установки дополнений.
Перейдите в раздел модулей и установите модуль "Базовая HTTP авторизация".
Руководство
Для включения авторизации введите желаемые имя пользователя и пароль, разделенные двоеточием. Нажмите "Сохранить". Авторизация включится сразу же, так что не забывайте пароль.
После сохранения пароль больше не будет нигде отображаться в открытом виде.
Чтобы добавить нового пользователя просто введите логин:пароль, каждый на новой строке и нажмите сохранить.
Рекомендую нигде не использовать стандартные логины, такие как admin, придумайте любой-другой.
Если возникнут любые вопросы, пишите в тему поддержки или личные сообщения.
Лицензия
Модуль не использует активацию.
Лицензия распространяется на владельца и его сайты.
Описание файлов и контрольные суммы
basic_auth_v1.0_oc_v2.3.ocmod.zip для версий 2.3 d9a27178f067a09944ae883587cf4c1a
basic_auth_v1.0_oc_v3.x.ocmod.zip для версий 3.x e23f3a73e7b4202c705fbd235dd657d6
basic_auth.ocmod.zip для версий 4.x 85deeb7a22832dc155287ccdb5c2efaa
Смотрите также
Мониторинг файловой системы - модуль отслеживает новые, измененные и удаленные файлы сайта.
Связанные HTML блоки - модуль позволяет создавать неограниченное количество HTML блоков (HTML контент) и привязывать их к категориям / товарам / производителям.
Менеджер административного меню - модуль позволяет управлять главным меню и добавляет возможность создавать свое верхнее меню.
Другие модули и услуги с тегом "Безопасность".
Лог изменений
 

Удобное и простое решение \ модификатор для назначения прав пользователей OpenCart3, 2 колонки + перевод.
Синхронизированный скроллинг двух колонок.
Если вам не хватает какого то перевода в списке прав пользователей, то идем в папку admin/language/ru-ru и по указанному в списке доступов пути где нужен перевод, ищем файл в папке admin/language/ru-ru/... и в найденном файле в верхней строке "heading_title" делаем перевод.
Если файл отсутствует, то создаем новый файл с нужным именем и расширением *.php и вставляем свой перевод. 
Пример: 
-В списке доступов прав имеется путь -  catalog/attribute : Атрибуты
-Перевод находится в файле - admin/language/ru-ru/catalog/attribute.php
В самом верху:
<?php
// Heading
$_['heading_title']          = 'Атрибуты';  (Это и есть строка с переводом)
Аналогичным образом можете создать любой файл с нужным переводом, по указанному пути в списке прав пользователей, со строками:
<?php
$_['heading_title']          = 'Тут перевод\название ';  
И данное название будет отображаться в списке при назначении прав пользователей в ОпенКарт3, модификатор сам выведет перевод в список.

 

Чищу сайты и сервера от вредоносного кода. Предпочитаемые движки - opencart/laravel/wordpress. Очень большой опыт работы. За 8 лет работы я очистил несколько сотен серверов и сайтов.  Есть скидки на большое кол-во сайтов (от двух). Есть период автоматического наблюдения за файлами сайта после очистки. Гарантия на очистку - 1 год. Поэтому в моих же интересах - вылечить ваш сайт раз и навсегда. По окончании работ - подробный отчет с рекомендациями.  
Пред покупкой необходима консультация.
 
Другие модули и услуги с тегом "Безопасность".

Если вы столкнулись (скорее всего столкнулись, возможно еще не обращали внимание на папки) с наличием непонятных файлов (которые вы не загружали типа kartinka.php.jpg.f55555e6a9fef23ea5d1f5ba65c4d5b86) в папках /system/storage/upload (магазины 2.1, 2.2, 2.3, 3.x) или /download (магазины 1.5, 2.0), то данное дополнение поможет избавиться от данной проблемы, которая может привести к загрузке файлов с вредоносным кодом или переполнению свободного места
 
Внимание! Использование данного дополнения актуально только в случае не использования прикрепления файлов через опции или оформление заказа (либо модулей которые используют стандартную функцию загрузки файлов на сервер из коробки магазина)