Взлом prestashop

[Vasyl]

а как насчет:
1. поставить пермишины на все файлы 444, а на папки 555 и сменить владельца, что бы апач не смог их изменять. (кроме кешей конечно)
2. позакрывать все левые (которые не нужны апачу для веб доступа) папки в htaccess, в т.ч. и кеши
файл не зальеш, бо прав нет
а если и залил, то хрен вызовешь, потому что доступа к этой папке скорее всего не будет

Не пролучится, для нормальной работы prestashop  нужно открыть
Recursive write permission on ~/config/
Recursive write permission on ~/cache/
Recursive write permission on ~/log/
Recursive write permission on ~/img/
Recursive write permission on ~/mails/
Recursive write permission on ~/modules/
Recursive write permission on ~/override/
Recursive write permission on ~/themes/default/lang/
Recursive write permission on ~/themes/default/pdf/lang/
Recursive write permission on ~/themes/default/cache/
Recursive write permission on ~/translations/
Recursive write permission on ~/upload/
Recursive write permission on ~/download/
Recursive write permission on ~/sitemap.xml

~/config/ - после установки не нужны пермишины
~/cache/ - нужны права на запись, но не нужен веб доступ (возможно могу ошибаться и там лежат кеши js или css, тогда можно запретить веб доступ к файлам .php)
~/log/ - веб доступ не нужен
~/img/ - запретить веб доступ для .php
~/mails/ - запертить веб доступ
~/modules/ - запретить запись, а если уж понадобиться установить модуль какой-то, то открыть.
~/override/ - запретить веб доступ да и запись тоже можно, не так часто что-то оверрайдиться (на многих магазинах - никогда)
~/themes/default/lang/ - запретить веб доступ
~/themes/default/pdf/lang/ - запретить веб доступ
~/themes/default/cache/ - запретить веб доступ (возможно могу ошибаться и там лежат кеши js или css, тогда можно запретить веб доступ к файлам .php)
~/translations/ - запретить веб доступ и запись (если будете что-то переводить, датите запись)
~/upload/ - запретить веб доступ
~/download/ - запретить веб доступ
~/sitemap.xml - не подвержен атаке

не так часто мы ставим модули и переводим уже рабочий магазин, что бы переживать о папках modules, override, lang и т.д.

это обычная практика защиты любого сайта и преста тут не исключение.

[coder]

Все запретить решение не для нормального магазина. Если владелец сайта имеет админа, то можно запретить. Только все на сайте будет делать админ. Не удобно, не каждый захочет нанимать программиста для замены баннера на сайте. Есть  сайты где баннеры меняются каждый день.
Обычная практика разделение прав на уровне веб сервера. Интернет-магазин это вам не блог на wordpresse. Многие обновляются через сторонии сервиса, обновление товаров каждый день и т.д. То что вы пишите запретить не выход.

[Vasyl]

банера меняются?
так оставьте запись, но запретите веб доступ к .php файлам.
пусть туда и положат червя, но как его запустить?

товары обновляются?
мы говорим о папке с картинками?
так оставьте запись, но запретите веб доступ к .php файлам.


не понял что Вы имеете ввиду под: "многие обновляются через сторонние сервисы"


а уж всем .php файлам и шаблонам с цсс и жаваскриптами и подавно запретить запись.

[-SiGi-]

Как это запретить "веб доступ к .php файлам."
Так сайт не откроется, это что прикол? Или только html версию использовать?

[Миколас]

Точно, все дружно добавили в .htaccess в корне сайта

Код: [Выделить]

<FilesMatch ".(htaccess|ini|php|sh)$">
 Order Allow,Deny
 Deny from all
 </FilesMatch>100% защита 

[Vasyl]

Как это запретить "веб доступ к .php файлам."
Так сайт не откроется, это что прикол? Или только html версию использовать?

имеется ввиду запретить веб доступ к .php файлам в тех папках, в которых не лежат php файлы, доступ к которым нужен через веб.

например папки classes, controllers, м т.д.
папки с картинками...

[Vasyl]

Точно, все дружно добавили в .htaccess в корне сайта

Код: [Выделить]

<FilesMatch ".(htaccess|ini|php|sh)$">
 Order Allow,Deny
 Deny from all
 </FilesMatch>100% защита 

не так радикально, но направление правильное

[coder]

банера меняются?
так оставьте запись, но запретите веб доступ к .php файлам.
пусть туда и положат червя, но как его запустить?
...
а уж всем .php файлам и шаблонам с цсс и жаваскриптами и подавно запретить запись.

Сделайте и покажите как сайт работает.
Результат могу сказать сразу. Путь не правльный, работать с таким сайтом невозможно.

[Vasyl]

банера меняются?
так оставьте запись, но запретите веб доступ к .php файлам.
пусть туда и положат червя, но как его запустить?
...
а уж всем .php файлам и шаблонам с цсс и жаваскриптами и подавно запретить запись.

Сделайте и покажите как сайт работает.
Результат могу сказать сразу. Путь не правльный, работать с таким сайтом невозможно.

ну, есть Ваше мнение, есть мое, есть опыт...
может кому-то пригодится

[coder]

Пока только слова. Опыта я не вижу. Вижу только незнание движка, незнание основ рабоы веб сервера. Повтор пути, по  которому развился prestashop от версии 1.6.0 до 1.6.0.5. Там тоже пытались закрывать директории, в том числе и img. На форме есть такие темы, как не возможно добавлять картинки в админке.
Такой совет как "запретить веб доступ к .php файлам " говорит об отсуствие опыта. Посетители обращаются к php файлам, менеджеры магазина также обращаются к эти файлам. Сайт работает на php скриптах. Запрет доступа к php файлам из вне равносилен запрету доступа к сайту. Я бы еще понял совет "обращаться к скриптам только через index.php".
 
Можно только говорить об ограничение доступа к файлам на сервере, так как взлом происходил из-за возможности обращаться к файлам модуля минуя админку. Работа с такими файлам  должна быть разрешена только тем, у кого есть соответствующее разрешение. Все для этого есть в prestashop. Но "опытные" делают модули, меняют базовые классы, контроллеры по своим правилам. В результате только вред, сайты взламывают, они не работают или работают с ошибками.

Ненужно флудить в теме. Если есть реальный опыт, пишите по шагам как и что делали. Проверим работает метод или нет. Если работает, спасибо от сообщества prestashop, многим поможет. Не работает, будем искать другой способ.

Ничего личного, только желание найти рабочий способ защить сайт от взлома.

[Миколас]

Модули, которые нужно проверять, если не используте, удалить:
1. advancedslider
2. columnadverts
3. homepageadvertise
4. homepageadvertise2
5. productpageadverts
6. simpleslideshow
7. videostab

Такая же проблема с темой Warehouse. Разработчик темы выпустил обновление для устранения этой проблемы.

Я так думаю, что дыры в модулях и теме сделали специально, чтобы покупали, а не скачивали. Что-то они быстренько обновление выпустили. Типа того, что если купили, то мы следим и устраняем баги. По взлом самого движка я не слышал, только модули и темы. 

[Adik]

Ничего личного, только желание найти рабочий способ защить сайт от взлома.

Нереально, сайты взамывали и будут взламывать. На shared-хостинге вообще ничего не сделать..

Я бы еще понял совет "обращаться к скриптам только через index.php".

Движок престы так построен. index.php распределаяет запросы, в бекенде и фронтенде все через index.   

Можно только говорить об ограничение доступа к файлам на сервере, так как взлом происходил из-за возможности обращаться к файлам модуля минуя админку. Работа с такими файлам  должна быть разрешена только тем, у кого есть соответствующее разрешение. Все для этого есть в prestashop.

Точно. Проблема в том, что в модулях часто не используют токен безопастности, нет проверки сессии, вобще нет проверки на запуск скрипта.

Я так думаю, что дыры в модулях и теме сделали специально, чтобы покупали, а не скачивали. Что-то они быстренько обновление выпустили. Типа того, что если купили, то мы следим и устраняем баги. По взлом самого движка я не слышал, только модули и темы. 

То что сами сделали скорее всего нет, продаж у темы много, не будут репутацией рисковать.

[Vasyl]

объясняю последний раз, для не опытных.

Зачем Вам веб доступ к PHP файлам в директориях classes, config, controllers и т.д.
дальше думайте сами

[coder]

дальше думайте сами

Хорошей совет. Я и думаю сам. Без таких советов все работает, клиенты не жалуются.
Если не чего сказать, просто не пишите, не засоряйте тему.
Можете что-то сделать, напишите как делаете и что это дает. Не можете, не флудите.

[Vika]

Всем привет,
Опять у меня проблемы. 
Появляются какие-то непонятные файлы. Название набор букв и цифр, вот такие - "a4545665fcs6564ab4f5c7888". На одном форуме мне сказали, что это обновление так ставится. Я их оставила, но пришло письмо хостера, что с сайта идет рассылка спама. Когда мне проверили сайт сказали, что это вирусы так называются и из нужно удалить.
Так кому верить? Обновление или вирус?