Categories

基本安全措施

雖然 OpenCart 已經有了某程度上的程式保護,但使用者也有責任去提高自我系統保護義識,下列建議可以提高 OpenCart 商店的安全性。

OpenCart 安裝到伺服器後可以立即執行這些額外步驟。有關如何安裝 OpenCart 商店,請參閱安裝


刪除安裝資料夾

完成整個安裝流程後,強力建議立即通過 FTP 或 cPanel 刪除 install 資料夾。以防止他人惡意行為去破壞您的系統。


保護資料夾

Admin - 管理者資料夾

管理者資料夾是您管理整個商店系統的地方。有權訪問商店的管理人員可以登入進行編輯產品、客戶信息、商店設置以及更多資訊。因此,如果較難找到登入管理者平台的頁面是比較安全。

重新命名管理者資料夾

將管理者資料夾重命名後,可以減低無關人士發現到登入後台的路徑,從而減低了被他人入侵的風險。一旦重新命名後,登入的路徑也會隨之而改變,相對 admin/config.php 內的設定也要即時作出修改,否則就無法登入管理者介面。

假設,把管理者資料夾由 admin 改為 cookiemonster,現在的管理者登入路徑就會變成 "www.yourstore.com/cookiemonster"。接著就是開啟 cookiemonster/config.php 文件,將內裡的 admin 改為 cookiemonster 後便儲存。請注意!如果改動後在安裝 OCmod 或 vQmod 時會有很大的影響,所以重新命名後如要使用任何插件,請先與開發者聯系及查詢。

.htaccess 及 .htpasswd

管理者資料夾中的 .htaccess 和.htpasswd 將可以防止駭客訪問您的商店,即使他們發現了管理員登錄位置。使用 .htaccess,除了管理員的IP地址外,可以拒絕其他IP地址查看您的商店。>管理者資料夾中的 .htpasswd 將需要額外的密碼才能允許管理員訪問此目錄下的內容。

Catalog - 目錄資料夾

該資料夾可以被 .htaccess 保護,又或者指定的檔案類型例如 .php 及 .txt 受到保謢,而不是全部。以下代碼可用於目錄文件夾中的.htaccess:

<FilesMatch "\.(php|twig|txt)$">
Order Deny,Allow
Deny from all
Allow from "your ip address"
</FilesMatch>

這將拒絕所有 .twig、.php 及 .txt 文件的訪問。

System - 系統資料夾

系統資料夾包含兩個需要保護的文件:logs / error.txt 及 start_up.php。 如有必要,logs / error.txt 可以重新命名。

.Htaccess

.htaccess 將用於保護系統的文件和資料夾,以防非管理員訪問。為此,請將以下代碼插入到 .htaccess 中:

<Files *.*>
Order Deny,Allow
Deny from all
Allow from "your ip address"
</Files>

文件權限

以下文件需要設置為 644 或 444 以防止他人入侵它們導致資料流失:

  • config.php
  • index.php
  • admin/config.php
  • admin/index.php
  • system/startup.php