OpenCart не несет ответственности за безопасность Вашего сайта, поэтому Вы должны обеспечить уровень безопасности Вашего сервера. Следующие предложения направлены на повышение безопасности Вашего магазина OpenCart.
Эти дополнительные шаги могут быть предприняты сразу после установки OpenCart на Ваш сервер; или всякий раз, когда Вы храните становится активным. Смотрите Установка для получения дополнительной информации о том, как установить Ваш магазин OpenCart.
Удаление установочной папки рекомендуется OpenCart сразу после установки. OpenCart предупредит вас в панели администрирования, если папка установки не удалена.
Каталог администратора - это место, где у Вас есть доступ к администрированию Вашего магазина. Люди, имеющие доступ к администрации Вашего магазина, получат доступ к редактированию ваших продуктов, информации о клиентах, настройкам магазина и более ценной информации. Поэтому очень важно, чтобы администратору было сложно найти логин и получить к нему доступ.
Переименование каталога администратора в нечто, не связанное с администратором, необходимо для предотвращения обнаружения его нежелательными глазами. Вы можете получить доступ к своей учетной записи администратора, введя местоположение вашего магазина, а затем путь к администратору. Например, если папка администратора была изменена на "cookiemonster", вход администратора будет на "www.yourstore.com/cookiemonster". Вам также необходимо обновить файл admin/config.php (или, в примере, файл cookiemonster/config.php), заменив экземпляры «admin» новым именем, например, «cookiemonster». Обратите внимание, что это может осложнить жизнь, например, если Вы решите установить vQmod.
Файлы .htaccess и .htpasswd в папке администратора не позволят хакерам получить доступ к Вашему магазину, даже если они обнаружат местоположение входа администратора. Используя .htaccess, Вы можете запретить всем IP-адресам просматривать Ваш магазин, кроме IP-адреса администратора. .Htpasswd в папке администратора потребует дополнительный пароль для доступа разрешенного администратора к этому каталогу.
Каталог может быть защищен традиционным файлом .htaccess. Использование сопоставления файлов может быть полезно для защиты важных типов файлов для Вашего магазина, таких как .php и .txt, а не всех из них. Следующий код можно использовать для .htaccess в папке Вашего каталога:
<FilesMatch "\.(php|twig|txt)$">
Order Deny,Allow
Deny from all
Allow from "your ip address"
</FilesMatch>
Это запретит доступ ко всем файлам .twig, .php и .txt.
Системная папка содержит два файла, которые необходимо защитить: logs/error.txt и start_up.php. При необходимости файл logs/error.txt можно переименовать.
.Htaccess будет защищать эти файлы и вложенные папки системы от доступа кого-либо, кроме назначенного администратора. Для этого вставьте следующий код в Ваш .htaccess:
<Files *.*>
Order Deny,Allow
Deny from all
Allow from "your ip address"
</Files>
Следующие файлы должны быть установлены на 644 или 444, чтобы никто другой не мог писать в них: