Содержание
Необходимо принять меры безопасности OpenCart сразу после установки OpenCart
Хорошее начало — половина дела. Но когда дело доходит до безопасности, иногда вообще нет начала. Сколько раз случалось, что вы устанавливали OpenCart и сразу начинали загружать свои товары. Все время! Первое, что необходимо сделать после установки вашего нового магазина, это убедиться, что вы позаботились об основных мерах безопасности OpenCart. Мы видели, как владельцы OpenCart обращались к нам после взлома, и когда наша команда анализирует взломы, мы понимаем, что причинами были несколько основных недостатков, о которых можно было позаботиться в первый же день. Итак, мы составили базовый список проверок безопасности OpenCart, о которых вы должны позаботиться сразу после установки OpenCart.
Меры безопасности OpenCart сразу после установки OpenCart
- Удалить каталог установки: Каталог установки, обычно присутствующий в ‘ public_html/upload/install ’, должен быть удален.
Этот каталог содержит важную информацию о структуре базы данных, структуре mvc и других важных деталях, которые не нужны после установки. - Очистить демо-данные: Только что установленный магазин OpenCart содержит много демо-данных, которые следует удалить. Демонстрационные изображения могут быть удалены с ‘ загрузка/изображение/кэш/каталог/демонстрация/ ‘&’ /загрузка/изображение/оплата/panasia/bank-images/ ‘.
Этот каталог содержит важную информацию о структуре базы данных, структуре mvc и других важных деталях, которые не нужны после установки.
Необходимо изменить URL-адрес /admin на что-то, что невозможно угадать. Вы можете увидеть подробные инструкции по изменению URL-адреса администратора здесь. Если вы используете версию OpenCart 1.5.x, убедитесь, что номер вашей версии не отображается в нижнем колонтитуле панели администратора.Теперь, когда основы безопасности OpenCart затронуты, вы должны перейти к обеспечению дополнительных проверок. Полный контрольный список для таких проверок можно найти на странице Ultimate OpenCart Security Checklist, загрузите его и начните следить!
Шикхил Шарма
Шикхил Шарма является основателем и генеральным директором Astra Security.
Занимаясь кибербезопасностью уже более шести лет, его видение состоит в том, чтобы сделать кибербезопасность делом пяти минут. Шихил играет на грани между безопасностью и маркетингом. Когда Шихил не думает о том, как сделать Astra супер простой, он может наслаждаться альтернативным роком или игрой в футбол.
Astra Security была награждена на Глобальной конференции по кибербезопасности премьер-министром Индии г-ном Нарендрой Моди. Президент Франции г-н Франсуа Олланд также наградил Astra в рамках программы La French Tech. Astra Security также является компанией NASSCOM Emerge 50.
Статьи по теме
Как установить OpenCart на Ubuntu 22.04 LTS
В этом руководстве мы покажем вам, как установить OpenCart на Ubuntu 22.04 LTS. Для тех из вас, кто не знал, OpenCart — это решение для электронной коммерции на основе PHP с открытым исходным кодом. Он предлагает множество плагинов, которые помогут вам расширить функциональность платформы и включают в себя такие функции, как управление пользователями, функциональность нескольких магазинов, партнерские программы, скидки, несколько платежных шлюзов, обзоры продуктов и многое другое.
В этой статье предполагается, что у вас есть хотя бы базовые знания о Linux, вы знаете, как использовать оболочку, и, самое главное, вы размещаете свой сайт на собственном VPS. Установка довольно проста и предполагает, что вы работаете с учетной записью root, в противном случае вам может потребоваться добавить « sudo » к командам, чтобы получить привилегии root. Я покажу вам пошаговую установку бесплатной платформы электронной коммерции с открытым исходным кодом OpenCart на Ubuntu 22.04 (Jammy Jellyfish). Вы можете следовать тем же инструкциям для Ubuntu 22.04 и любого другого дистрибутива на основе Debian, такого как Linux Mint, Elementary OS, Pop!_OS и других.
Предварительные условия
- Сервер с одной из следующих операционных систем: Ubuntu 22.04, 20.04 и любой другой дистрибутив на основе Debian, например Linux Mint.
- Во избежание возможных проблем рекомендуется использовать новую установку ОС.
- SSH-доступ к серверу (или просто откройте терминал, если вы находитесь на рабочем столе).
- Пользователь sudo без полномочий root
Шаг 1. Сначала убедитесь, что все ваши системные пакеты обновлены, выполнив следующие команды apt в терминале.
судо подходящее обновление sudo apt upgrade
Шаг 2. Установка стека LAMP в Ubuntu 22.04.
Перед началом работы с этим учебным пособием на вашем сервере должен быть установлен сервер LAMP. Если у вас не установлен стек LAMP, вы можете следовать нашему руководству здесь.
Шаг 3. Установка OpenCart на Ubuntu 22.04.
По умолчанию OpenCart недоступен в базовом репозитории Ubuntu 22.04. Теперь выполните следующую команду ниже, чтобы загрузить последнюю версию OpenCart из репозитория Git, используя следующую команду:
wget https://github.
com/opencart/opencart/releases/download/4.0.0.0/opencart-4.0.0.0 .zip После завершения загрузки. Нам нужно разархивировать это в каталог /var/www/html/opencart/ :
unzip opencart-4.0.0.0.zip -d /var/www/html/opencart/
Затем скопируйте файлы конфигурации OpenCart:
sudo cp /var/www/html/opencart/upload/{config-dist. php,config.php}
sudo cp /var/www/html/opencart/upload/admin/{config-dist.php,config.php} Нам нужно изменить права доступа к некоторым папкам:
sudo chown -R www-data:www-data /var/www/html/opencart/
Шаг 4. Настройка OpenCart для OpenCart.
По умолчанию защита MariaDB не защищена. Вы можете защитить MariaDB, используя скрипт mysql_secure_installation . вы должны внимательно прочитать и ниже каждый шаг, который установит пароль root, удалит анонимных пользователей, запретит удаленный вход в систему root и удалит тестовую базу данных и доступ к защищенной базе данных MariaDB:
mysql_secure_installation
Настройте это следующим образом:
- Установить root пароль? [Да/нет] г - Удалить анонимных пользователей? [Да/нет] г - Запретить удаленный вход в систему root? [Да/нет] г - Удалить тестовую базу данных и доступ к ней? [Да/нет] г - Перезагрузить таблицы привилегий сейчас? [Д/Н] у
Далее нам нужно будет войти в консоль MariaDB и создать базу данных для OpenCart.
Выполните следующую команду:
mysql -u root -p
Вам будет предложено ввести пароль, поэтому введите пароль root для MariaDB и нажмите Enter. После входа на сервер базы данных вам необходимо создать базу данных для установки OpenCart:
MariaDB [(нет)]> CREATE DATABASE opencart; MariaDB [(нет)]> СОЗДАЙТЕ ПОЛЬЗОВАТЕЛЯ 'opencart'@'localhost', ИДЕНТИФИЦИРОВАННОГО 'Вашим надежным паролем'; MariaDB [(нет)]> ПРЕДОСТАВИТЬ ВСЕ ПРИВИЛЕГИИ НА opencart. * TO 'opencart'@'localhost'; MariaDB [(нет)]> FLUSH PRIVILEGES; MariaDB [(нет)]> выход;
Шаг 5. Настройте виртуальный хост Apache для OpenCart.
Теперь мы создаем виртуальный хост Apache для OpenCart:
nano /etc/apache2/sites-available/opencart.conf
Добавьте следующий файл:
Администратор сервера admin@ваш-домен.com DocumentRoot /var/www/html/opencart/upload/ Имя сервера your-domain.com Псевдоним сервера www.ваш-домен.com Журнал ошибок ${APACHE_LOG_DIR}/error.
log
CustomLog ${APACHE_LOG_DIR}/access.log вместе
<Каталог /var/www/html/opencart/upload/>
Параметры
Разрешить переопределить все
Требовать все предоставленные
Сохраните и закройте файл, затем перезапустите веб-сервер Apache, чтобы изменения вступили в силу:
sudo a2ensite opencart.conf sudo a2enmod переписать sudo a2enmod ssl переписать sudo systemctl перезапустить apache2
Шаг 6. Защитите OpenCart с помощью Let’s Encrypt.
Прежде всего, вам необходимо установить Certbot, чтобы получить сертификат SSL с помощью Let’s Encrypt:
sudo apt install certbot python3-certbot-apache
Затем получите сертификат SSL с помощью Let’s Encrypt, выполнив следующие действия:
sudo certbot --apache
Вам нужно будет следовать интерактивной подсказке и установить сертификат. Поскольку у меня два домена, я установлю SSL-сертификаты для обоих доменов:
Сохранение журнала отладки в /var/log/letsencrypt/letsencrypt.
log
Введите адрес электронной почты (используется для срочных обновлений и уведомлений о безопасности)
(Введите 'c' для отмены): 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Д) да / (Н) о: Н
Аккаунт зарегистрирован.
Для каких имен вы хотите активировать HTTPS?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: ваш-домен.com
2: www.ваш-домен.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Выберите соответствующие числа, разделенные запятыми и/или пробелами, или оставьте ввод
пусто, чтобы выбрать все отображаемые параметры (введите 'c' для отмены): 1,2
Запрос сертификата для your-domain.com и www.ваш-домен.com
Сертификат успешно получен.
Сертификат сохраняется по адресу: /etc/letsencrypt/live/your-domain.com/fullchain.pem.
Ключ сохраняется по адресу: /etc/letsencrypt/live/your-domain.com/privkey.pem.
Срок действия этого сертификата истекает 16 декабря 2022 г.
Эти файлы будут обновлены при обновлении сертификата.
Certbot настроил запланированную задачу для автоматического обновления этого сертификата в фоновом режиме.
Развертывание сертификата
Сертификат для domain.com успешно развернут в /etc/apache2/sites-available/www.your-domain.com-le-ssl.conf
Сертификат для www.domain.com успешно развернут в /etc/apache2/sites-available/www.your-domain.com-le-ssl.conf
Поздравляем! Вы успешно включили HTTPS на https://domain.com и https://www.your-domain.com.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Если вам нравится Certbot, рассмотрите возможность поддержки нашей работы:
* Пожертвование в пользу ISRG / Let's Encrypt: https://letsencrypt.org/donate
* Пожертвование в EFF: https://eff.org/donate-le
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Шаг 7. Настройте автоматическое продление SSL.
Срок действия сертификатов Let’s Encrypt составляет 90 дней, и настоятельно рекомендуется обновить сертификаты до истечения срока их действия. Вы можете протестировать автоматическое продление сертификатов, выполнив следующую команду:
sudo certbot renew --dry-run
Шаг 8.