Помимо необходимости использовать надежный хостинг, необходимо позаботиться хотя бы о самых базовых методах защиты магазина на Opencart. В этой статье я расскажу о них. Проделать это будет несложно даже тому владельцу магазина, который не считает себя специалистом. Главное, что это будут очень важные шаги по улучшению безопасности магазина и помогут избежать самых распространенных методов взлома.

1) Замените ссылку на административную часть вашего магазина

По умолчанию такой ссылкой является URL вида www.адрес-вашего-магазина.com/admin. Пытаясь попасть в административную часть сайта путем подбора пароля, злоумышленник будет искать форму входа именно по этому адресу.

Самый важный шаг к защите магазина — смена этого адреса. Для этого, во-первых, меняем название папки /admin в корневой папке вашего сайта. Во-вторых, в файле config.php, который находится в этой папке (бывшей /admin), меняем соответствующим образом все пути — то есть вместо /admin пишем /новое-название-папки.

Совет: постарайтесь не использовать другие очевидные названия для это папки (типа /manager, /superadmin, /myshop), а выбирайте что-то оригинальное, например, случайный набор латинских букв.

2) Не оставляйте логин по умолчанию для входа в административную часть магазина

admin — не только название папки, но и логин для входа. Оставляя эти значения по умолчанию, вы помогаете злоумышленнику, ведь вместо трех неизвестных (логин, пароль, ссылка на вход) ему остается только одно, пускай и самое сложное. Выберите необычный логин при установке магазина на хостинг либо смените его через административную часть: /Система/Пользователи

Не забывайте быть оригинальным при выборе логина — это не должен быть ваш год рождения, адрес почты или просто слово login. Пользуйтесь генераторами случайных слов.

3) Пароль

Многие пользователи испытывают трудности придумывая сложный пароль. Специально для них есть генератор сложных паролей. Его настройки по умолчанию достаточны для создания серьезного пароля. Воспользуйтесь этим или подобным сервисом.

4) Адрес электронной почты администратора

Каким бы сложным не был ваш пароль и оригинальной ссылка на вход — злоумышленник сможет получить эту информацию, взломав ваш почтовый ящик.

Но для этого он должен как минимум знать, какой адрес принадлежит администратору. Не используйте один и тот же адрес электронной почты для администрирования и для связи с клиентами. В идеале, заведите отдельный email для административных нужд и никому о нем не рассказывайте.

5) Доступ к файлам config.php

Два самых важных файла вашего магазина — это config.php и /admin/config.php (или как теперь называется ваша административная папка). Они содержат информацию о доступе к базе данных, а значит следует максимально ограничить доступ к этим файлам.

Установите права 0444 для обоих файлов config.php. Сделать это можно через файловый менеджер в панели управления хостингом или через ftp-клиент.

6) Выключить отображение php-ошибок

Все ошибки скрипта Opencart, отображающиеся на сайте, — это лишний источник информации для злоумышленника. Они могут сообщить не только о том, что на сайте есть уязвимость, но и указать где именно. Кроме того, отображение ошибок не придает вашему сайту эстетики и посетители магазина уж очно этого не оценят.

Зайдите в административной части сайта в настройки /Система/Настройки/Сервер, найдите параметр «Показывать ошибки»и отметьте чекбокс «Нет».

Если же вам понадобится посмотреть ошибки — просто найдите их в логах сайта, расположенному в папке /system/logs.


Еще раз повторю — всё, что здесь описано не более, чем базовая защита. Она не поможет вам избежать серьезных хакерских атак, но обезопасит от 99% начинающих хакеров, пробующих свои силы ради развлечения и не претендующих на лавры серьезных взломщиков.