Ръководство за защита от хакерски атаки в OpenCart Част II

Средно ниво на защита

Настройка на права на файлове

Правилното задаване на права на важните файлове също ще допринесе за защитата на сайта Ви. Препоръчва се използването на 644 или 444 стойности за защита на файловете от зловреден код. 644 осигурява достъп до четене и писане на файлове, докато 444 разрешава само четене.

Препоръчително е да използвате стойност 444 за достъп до следните файлове:

  • config.php
  • index.php
  • admin/config.php
  • admin/index.php
  • system/startup.php

Бъдете внимателни при инсталирането на допълнителни модули (разширения)

Много собственици на OpenCart магазини инсталират модули, позволяващи допълнителни функции. Някои такива модули (особено безплатните) не са разработени правилно и представляват заплаха, други могат да са инжектирани със зловреден код. Затова е добре да внимавате при инсталирането на допълнителни разширения с неясен произход, както и такива, свалени от торенти и форуми.

Високо ниво на защита

Деактивиране на опасни PHP функции

PHP (Hypertext Preprocessor) е сървърно ориентиран програмен език, използван в бекенд програмирането. Ако не е конфигуриран правилно, PHP на Вашия сървър може да срине целия сървър.

php.ini има настройка, позната като disable_functions, която позволява да се деактивират определени функции на езика с цел сигурност.

Това може да стане като използвате:

disable_functions = “show_source, system, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen, eval”


Важно е да се отбележи, че някои рискови функции като „eval“, „shell_exec“ се използват от разработчиците като легитимни функции и трябва внимателно да се прецени дали да бъдат изключени.


Избягвайте използването на инструменти като Adminer, File Manager, Unzipper

Въпреки че се използват от някои програмисти, тези приложения се смятат за рискови. Желателно е след използването им да бъдат премахнати.

Използвайте Защитна стена за Вашия магазин (Web Application Firewall)

WAF работи като стандартна защитна стена в интернет, която филтрира трафика към сайта Ви по определени критерии. По този начин се предпазва Вашият онлайн магазин от различни типове атаки като Cross Site Scripting(XSS), SQL Injection, File Injection, Server-side attacks и др.

Премахване на зловреден код

Един от най-простите механизми за премахване на зловреден код, инжектиран в сайта Ви, е да се направи цялостен анализ на файловете на сървъра, сканиране и отстраняване на кода. Вижте още информация за премахването на зловреден код от OpenCart.