Средно ниво на защита
Настройка на права на файлове
Правилното задаване на права на важните файлове също ще допринесе за защитата на сайта Ви. Препоръчва се използването на 644 или 444 стойности за защита на файловете от зловреден код. 644 осигурява достъп до четене и писане на файлове, докато 444 разрешава само четене.
Препоръчително е да използвате стойност 444 за достъп до следните файлове:
- config.php
- index.php
- admin/config.php
- admin/index.php
- system/startup.php
Бъдете внимателни при инсталирането на допълнителни модули (разширения)
Много собственици на OpenCart магазини инсталират модули, позволяващи допълнителни функции. Някои такива модули (особено безплатните) не са разработени правилно и представляват заплаха, други могат да са инжектирани със зловреден код. Затова е добре да внимавате при инсталирането на допълнителни разширения с неясен произход, както и такива, свалени от торенти и форуми.
Високо ниво на защита
Деактивиране на опасни PHP функции
PHP (Hypertext Preprocessor) е сървърно ориентиран програмен език, използван в бекенд програмирането. Ако не е конфигуриран правилно, PHP на Вашия сървър може да срине целия сървър.
php.ini има настройка, позната като disable_functions, която позволява да се деактивират определени функции на езика с цел сигурност.
Това може да стане като използвате:
disable_functions = “show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen, eval”
Важно е да се отбележи, че някои рискови функции като „eval“, „shell_exec“ се използват от разработчиците като легитимни функции и трябва внимателно да се прецени дали да бъдат изключени.
Избягвайте използването на инструменти като Adminer, File Manager, Unzipper
Въпреки че се използват от някои програмисти, тези приложения се смятат за рискови. Желателно е след използването им да бъдат премахнати.
Използвайте Защитна стена за Вашия магазин (Web Application Firewall)
WAF работи като стандартна защитна стена в интернет, която филтрира трафика към сайта Ви по определени критерии. По този начин се предпазва Вашият онлайн магазин от различни типове атаки като Cross Site Scripting(XSS), SQL Injection, File Injection, Server-side attacks и др.
Премахване на зловреден код
Един от най-простите механизми за премахване на зловреден код, инжектиран в сайта Ви, е да се направи цялостен анализ на файловете на сървъра, сканиране и отстраняване на кода. Вижте още информация за премахването на зловреден код от OpenCart.