Знания

Безопасность Shop-Script

В последнее время участились случаи взлома сайтов, на которых стоит скрипт интернет-магазина Shop-Script и Shop-Script Premium. Попробуем частично решить проблему, то есть если Вас пытяются взломать через web-интерфейс браузера. Здесь имеется ввиду то, что злоумышленнику не известны пароли на доступы FTP, SSH … etc

Итак, приступим. 1). Предположим злоумышленник каким-то образом (SQL-injection, XSS-атака, социальная инженерия…) заполучил Ваш пароль администратора от магазина. Он заходит в админку и получает контроль над всем магазином, а ещё чего — может залить шелл, ну и соответственно попортить нам с Вами весь бизнес. Что мы делаем ? Защищаем админку ещё одним паролем ( сложным наподобие p4s5#0rPD.  Как ? Очень просто.
Нужно создать .htaccess с таким содержимым

AuthUserFile /full_path_to/.htpasswd
AuthType Basic
AuthName “not hack”

<Files “admin.php”>
Require valid-user
</Files>

Файл .htpasswd с паролями создается утилитой htpasswd.exe. Если у Вас на машине установлен WEB-сервер Apache, то данная утилита находится в директории с установленным Apache-ем в подкаталоге bin. Если у Вас не установлен Apache, то утилиту htpasswd.exe можете скачать по ссылке: http://www.softtime.ru/files/htpasswd.zip. Как пользоваться данной утилитой описывать не буду — для того, чтобы посмотреть ключи и параметры работы утилиты просто введите htpasswd.exe /? Вам будет выдано описание интерфейса. Чтобы пользователи не могли прочитать файл с паролями добавляем в .htaccess такой кусочек кода :

<Files .htpasswd>
deny from all
</Files>

2). Вроде бы админку защитили. Рассмотрим вариант когда злоумышленник попал-таки в админку, и хочет залить шелл. Сделать это он может найдя директорию на запись или воспользовавшись расширением FCKeditor — именно через него в последнее время больше всего взламвают сайты. Попробуем обезопаситься. В каждую директорию FCKeditor надо добавить .htaccess , с кодом

deny from all

Либо если у вас есть дирекотрия с картинками и права на неё 777 , можно создать файл .htaccess следующего содержания :

RemoveHandler .php .phtml .php3 .php4 .php5
AddType application/x-httpd-php-source .php .phtml .php3 .php4 .php5

Действие директив .htaccess будет распространяться на содержимое директории, в которой он расположен, рекурсивно, то есть и на все поддиректории также (если это не переопределено).

Это касается и папки с FCKeditor, для пущей безопасности рекомендую в FCKeditor снести полностью папку filemanager — ибо беспокойств она вызывает обычно очень много (загрузка файлов, уязвимости), а пользы от неё маловато.

Качественные VPS для размещения Ваших проектов.
За сим откланиваюсь. Ваш Сыктывкарский бомж.