OpenCart е лесна за управление платформа с отворен код, подходяща за разработка на уеб сайтове в сферата на онлайн търговията. Платформата е лесна за работа и не изисква почти никакви умения по програмиране. Поради факта, че платформата е с отворен код и е безплатна, тя често се оказва мишена на хакерски атаки. Сигурността на онлайн магазините, създадени с OpenCart, е от първостепенна важност. Към нас се обръщат много клиенти с молба за помощ, след като OpenCart магазините им са били засегнати от хакерски атаки и заразяване със зловреден код. В това ръководство ще намерите нужната информация за поддържане на висока защита на Вашия онлайн магазин стъпка по стъпка. Ако все пак изпитвате затруднения и имате нужда от помощ, може да се свържете с нас.
Базово ниво на защита на OpenCart
Съветите, които попадат в графата „базови“, са прости, но в никакъв случай не трябва да бъдат пренебрегвани. Следвайте указанията стъпка по стъпка, за да защитите максимално своя онлайн магазин.
Премахване на папка „Install“
Изтриването на папка „Install“ е препоръчително възможно най-скоро след инсталиране на OpenCart, поради високата опасност от хакерски атаки. OpenCart ще Ви уведоми веднага след инсталацията му или след като се логнете в административния панел, ако инсталационната папка не е премахната.
Как да изтриете папка „Install“ стъпка по стъпка:
1. Логнете се на хостинг сървъра си през FTP клиент.
2. Отворете основната папка на хостинга Ви (обикновено се намира в папките /public_html или /var/www/html).
3. Изтрийте папка „Install“, като кликнете с десен бутон на мишката върху папката и от менюто изберете „Delete“.
Защита на папка “Admin”
В папката „Admin“ се намира контролният панел за администрация на сайта. Всеки, който има достъп до тази папка и успее да се логне в системата, може да променя и краде информация от Вашия онлайн магазин. Поради тази причина е от изключителна важност да подсигурите папка „Admin“, за да се ограничи достъпът на неоторизирани лица.
Преименуване на папката
По-долу сме описали как да защитите папката “Admin” като я преименувате:
1. Влезте в хостинг акаунта си през cPanel или FTP.
2. Намерете папката „Admin“ (обикновено се намира в “/public_html” или “/var/www/html”).
3. Кликнете с десния бутон на мишката върху папката и изберете опция „Rename“.
4. Въведете ново име на папката. Използвайте сложно или рядко употребявано име, което не е свързано с бизнеса Ви (например: “neshtosi3209”).
5. Редактирайте /admin/config.php и заменете всички имена, съдържащи думата „admin“, с новото име на папката Ви.
<?php
// HTTP
define('HTTP_SERVER', 'https://vashiat-domein.com/neshtosi3209/');
define('HTTP_CATALOG', 'https://vashiat-domein.com/');
// HTTPS
define('HTTPS_SERVER', 'https://vashiat-domein.com/neshtosi3209/');
define('HTTPS_CATALOG', 'https://vashiat-domein.com.com/');
// DIR
define('DIR_APPLICATION', '/home/vashiat-domein.com/public_html/neshtosi3209/');
Допълнителна опция за още по-сигурна защита
Добавяне на „.htaccess“ и „.htpasswd“
Нужно е да се вземат допълнителни мерки за защита, в случай че хакерът все пак намери Вашата „Admin“ папка. Използването на .htaccess файл позволява блокиране на определени ресурси. С други думи може да конфигурирате .htaccess файла така, че електронният магазин да е достъпен само и единствено през статични IP адреси, за които Вие разрешите.
Добавяне на .htaccess файл стъпка по стъпка:
1. Влезте в хостинг акаунта си чрез FTP.
2. Отворете папката, която искате да защитите (в нашия случай това е “Admin”) .
3. Вътре в папката създайте .htaccess файл и въведете следния код в него:
<Files *.*>
Order Deny,Allow
Deny from all
Allow from <vashiqt ip>
</Files>
Важно е да се отбележи, че тези промени по подразбиране се прилагат във всички поддиректории на „Admin“.
Използването на .htpasswd файл подсигурява допълнителна защита на Вашия онлайн магазин чрез ауторизация и изискване на парола за достъп до директорията. Можете да генерирате .htpasswd чрез някой онлайн htpasswd generator.
Подсигуряване на папка „Catalog”
Може да защитите папката с помощта на .htaccess файл, по сходен на горепосочения начин. Възможно е да забраните достъпа до определени разширения на файлове (например .php и .txt.), но трябва да внимавате, за да не нарушите нормалната работа на сайта. По-долу може да видите примерен код за .htaccess в папка „Catalog“:
<Files "\.(php|twig|txt)$">
Order Deny,Allow
Deny from all
Allow from <vashiqt ip>
</Files>
Важно е да се отбележи, че след създаването на .htaccess файл в папка „Catalog“, всички файлове с разширение .twig, .php и .txt ще имат ограничен достъп.
Защита на папка „System“
Препоръчително е да защитите startup.php в папка „System“. Създавайки .htaccess файл за папка „System”, админът осигурява протекция на папката от неоторизиран достъп. За тази цел въведете следния код във Вашия .htaccess в папка „System“:
<Files “\.(php| txt)$”>
Order Deny,Allow
Deny from all
Allow from <vashiqt ip>
</Files>
Защита на файлове с Error логове
Може да проверите папките на хостинг сървъра Ви за това къде се генерират логовете с грешки и да ги защитите по подобен начин. Тези логове понякога съдържат важна информация за функционирането на сървъра, с която хакерите могат да злоупотребят. Такава информация е например паролата за базата Ви данни.