Помощь Уязвимость Opencart

Говоря о уязвимости Опенкарта подразумевается уязвимость самого ядра, а оно что OcStore, что в говноподелке Maxystore, одинаковое.
 
я админку закрываю дополнительным паролем через .htacs. Обычно помагает. Но от всего защититься немозможно
 
Дыры в защите однозначно есть, частеньки попадаются на глаза магазины с залитыми шеллами. Но тут нужно понимать, что всё индивидуально. Установил какой-нибудь сторонний модуль и ты запросто можешь получить уязвимость. :)
Нужно жить сегодняшним днем и не быть параноиком. Взломали? Ищи как и устраняй! Не взломали, живи спокойно и наслаждайся жизнью, ведь вполне возможно, что тебя так никогда и не взломают.
 
несколько магазинов взломали по похожей схеме - каким-то образом заливали скрипт в папку downloads и оттуда ломали всё остальное. Где именно дыра я не искал, но решил данный вопрос несколькими сопсобами:
1. Изменил размещение админки (не /admin а к примеру /adminchik )
2. После установки опенкарта изменил права доступа к папке доунлоадс на 444
3. В асинке появилась ошибка, типа не могу писать в доунлоадс, устранил коментирование кода в котроллере хедер помоему админки.

когда всё выполнил ломалка прекратилась (проверял примерно на 6 сайтах.)
 
А у меня было похлеще.
Создал я тестовый магазин, закинул в него около 100 товаров, на магазине я испытывал всякие модули. Со временем я забил большой такой болт на этот магазин и благополучно забыл про данный магазин. Через какое-то время вспомнил про него, вошел и офигел, кто-то удалил товар полностью)) и на каких-то страницах разместили левые ссылки с анкорами, кто-то поднимал себе таким образом ссылочное))
После этого я на своих рабочих магазинах настроил каждодневный бекап БД и усё)) на этом моя защита закончилась.
С самого начала было сделано:
админка перенесена
логи с ошибками отключены
права на все важные папки сменил
ключ шифрования изменил
капчу на админку повесил
 
можно дополнительно .htaccess -ом доступ открыть на определенные сетки по IP. а остальное блокировать.
 
можно дополнительно .htaccess -ом доступ открыть на определенные сетки по IP. а остальное блокировать.
А как узнать, что блокировать, а что нет?
Так ведь можно и покупателей заблокировать.
Или я что-то недопонял?
 
Назад
Сверху