Ръководство за защита от хакерски атаки в OpenCart. Част I

OpenCart е лесна за управление платформа с отворен код, подходяща за разработка на уеб сайтове в сферата на онлайн търговията. Платформата е лесна за работа и не изисква почти никакви умения по програмиране. Поради факта, че платформата е с отворен код и е безплатна, тя често се оказва мишена на хакерски атаки. Сигурността на онлайн магазините, създадени с OpenCart, е от първостепенна важност. Към нас се обръщат много клиенти с молба за помощ, след като OpenCart магазините им са били засегнати от хакерски атаки и заразяване със зловреден код. В това ръководство ще намерите нужната информация за поддържане на висока защита на Вашия онлайн магазин стъпка по стъпка. Ако все пак изпитвате затруднения и имате нужда от помощ, може да се свържете с нас.

Базово ниво на защита на OpenCart

Съветите, които попадат в графата „базови“, са прости, но в никакъв случай не трябва да бъдат пренебрегвани. Следвайте указанията стъпка по стъпка, за да защитите максимално своя онлайн магазин.

Премахване на папка „Install“

Изтриването на папка „Install“ е препоръчително възможно най-скоро след инсталиране на OpenCart, поради високата опасност от хакерски атаки. OpenCart ще Ви уведоми веднага след инсталацията му или след като се логнете в административния панел, ако инсталационната папка не е премахната. 

Как да изтриете папка „Install“ стъпка по стъпка:

1. Логнете се на хостинг сървъра си през FTP клиент.

2. Отворете основната папка на хостинга Ви (обикновено се намира в папките  /public_html или /var/www/html).

3. Изтрийте папка „Install“, като кликнете с десен бутон на мишката върху папката и от менюто изберете „Delete“.

Защита на папка “Admin”

В папката „Admin“ се намира контролният панел за администрация на сайта. Всеки, който има достъп до тази папка и успее да се логне в системата, може да променя и краде информация от Вашия онлайн магазин. Поради тази причина е от изключителна важност да подсигурите папка „Admin“, за да се ограничи достъпът на неоторизирани лица.

Преименуване на папката

По-долу сме описали как да защитите папката “Admin” като я преименувате:

1. Влезте в хостинг акаунта си през cPanel или FTP.

2. Намерете папката „Admin“ (обикновено се намира в “/public_html” или “/var/www/html”).

3. Кликнете с десния бутон на мишката върху папката и изберете опция „Rename“.

4. Въведете ново име на папката. Използвайте сложно или рядко употребявано име, което не е свързано с бизнеса Ви (например: “neshtosi3209”).

5. Редактирайте /admin/config.php и заменете всички имена, съдържащи думата „admin“, с новото име на папката Ви.

<?php
// HTTP
define('HTTP_SERVER', 'https://vashiat-domein.com/neshtosi3209/');
define('HTTP_CATALOG', 'https://vashiat-domein.com/');

// HTTPS
define('HTTPS_SERVER', 'https://vashiat-domein.com/neshtosi3209/');
define('HTTPS_CATALOG', 'https://vashiat-domein.com.com/');

// DIR
define('DIR_APPLICATION', '/home/vashiat-domein.com/public_html/neshtosi3209/');

Допълнителна опция за още по-сигурна защита

Добавяне на „.htaccess“ и „.htpasswd“

Нужно е да се вземат допълнителни мерки за защита, в случай че хакерът все пак намери Вашата „Admin“ папка. Използването на .htaccess файл позволява блокиране на определени ресурси. С други думи може да конфигурирате .htaccess файла така, че електронният магазин да е достъпен само и единствено през статични IP адреси, за които Вие разрешите.

Добавяне на .htaccess файл стъпка по стъпка:

1. Влезте в хостинг акаунта си чрез FTP.

2. Отворете папката, която искате да защитите (в нашия случай това е “Admin”) .

3. Вътре в папката създайте .htaccess файл и въведете следния код в него:

<Files *.*>
Order Deny,Allow
Deny from all
Allow from <vashiqt ip>
</Files>

Важно е да се отбележи, че тези промени по подразбиране се прилагат във всички поддиректории на „Admin“.

Използването на .htpasswd файл подсигурява допълнителна защита на Вашия онлайн магазин чрез ауторизация и изискване на парола за достъп до директорията. Можете да генерирате .htpasswd чрез някой онлайн htpasswd generator.

Подсигуряване на папка „Catalog”

Може да защитите папката с помощта на .htaccess файл, по сходен на горепосочения начин. Възможно е да забраните достъпа до определени разширения на файлове (например .php и .txt.), но трябва да внимавате, за да не нарушите нормалната работа на сайта. По-долу може да видите примерен код за  .htaccess в папка „Catalog“:

<Files "\.(php|twig|txt)$">
Order Deny,Allow
Deny from all
Allow from <vashiqt ip>
</Files>

Важно е да се отбележи, че след създаването на .htaccess файл в папка „Catalog“, всички файлове с разширение .twig, .php и .txt ще имат ограничен достъп.

Защита на папка „System“

Препоръчително е да защитите startup.php в папка „System“. Създавайки .htaccess файл за папка „System”, админът осигурява протекция на папката от неоторизиран достъп. За тази цел въведете следния код във Вашия .htaccess в папка „System“:

<Files “\.(php| txt)$”>
Order Deny,Allow
Deny from all
Allow from <vashiqt ip>
</Files>

Защита на файлове с Error логове

Може да проверите папките на хостинг сървъра Ви за това къде се генерират логовете с грешки и да ги защитите по подобен начин. Тези логове понякога съдържат важна информация за функционирането на сървъра, с която хакерите могат да злоупотребят. Такава информация е например паролата за базата Ви данни.