增加OpenCart安全性的11個技巧

OpenCart是一個開放源代碼的電子商務CMS,歷史中第一次公開釋出是1999年5月11日。但去到在2010年代初,其受歡迎程度才有顯著增長。最新趨勢表明,儘管它尚未在電子商務行業中佔據相當大的份額,但它無疑是當今市場上熱門的電子商務平台之一。

OpenCart的核心軟件在2019年僅發現了2-3個中等關鍵漏洞,與其他平台相比,這個數字相當不錯。

但是,擁有安全的核心軟件並不意味著您可以確保OpenCart商店免受攻擊。在現今的網絡世界中,所有平台只要擁有並儲存客戶敏感信息就有機會受到某種程度上的攻擊。

在此《 增加OpenCart安全性的11個技巧》中,我們將提供11種增加安全性的技巧作。

目錄

刪除install文件夾

安裝完成後立即刪除”install”文件夾或目錄。如果黑客可以訪問install文件夾,則可以重新啟動安裝文件夾並覆蓋您的網站。安裝並設置商店後,install文件夾將毫無用處。通常的做法是刪除不需要的或未使用的文件夾,以降低利用風險。

為了刪除安裝文件夾有2種方法:
1. 請打開您的FTP客戶端 → public_html → 找到install文件夾並將其刪除。

2. 登陸cPanel → 檔案管理員 → public_html → 找到install文件夾並將其刪除。

注意第三方插件

第三方插件永遠是將網站暴露在危險中的主要成因而臭名昭著,OpenCart亦不例外。OpenCart的第三方插件並沒有受到嚴格審查。因此,當您使用OpenCart插件時,您只能依賴外掛開發人員,這是一個十分危險的情況。插件漏洞是黑客能夠打開通往後台並感染它們的最常見原因之一。

黑客通常會對開源插件進行更改,以便利用安裝它們的網站。這就是為什麼您應該盡量只安裝來自受信任的高評級供應商產品的原因。另外,請保持所有擴展的更新,並刪除不使用的插件。您還需要定期掃描所有插件中是否存在漏洞或受感染的代碼。

遵循電子商務最佳安全設定法

無論是否使用OpenCart,都應遵循標準的電子商務安全法例子。OpenCart可以參考以下方法:

1. 複雜的密碼

暴力攻擊是最有效及常見的手法,意思是透過點擊和嘗試密碼方法來破解用戶密碼。如果您設置的密碼複雜且不常見,那麼暴力攻擊成功的可能性將大大降低。

我們建議最理想的密碼至少應為 15 ~ 20個字符且包含大小寫英文、數字及符號。可以透過我們EBuildHost的小工具 隨機密碼產生器 去產生一個隨機密碼,記得把密碼存放到安全的裝置。

2. 多重要素驗證 (2FA)

通過2FA,即使黑客已經獲得了您的登錄資料,也可以阻止黑客登錄您的帳戶。填寫密碼後,需要透過2FA密碼才能登陸,掃瞄2FA QRcode後將其登陸到您的手機中,每次登陸時需要到相關手機中查看密碼。

黑客破解您的密碼並同時訪問您的手機的可能性很小。

3. 限制登錄嘗試次數

如果將登錄嘗試限制到您的網站,則暴力攻擊將無法輕鬆或快速地破解您的密碼。黑客用盡您設置的嘗試限制後,可以暫時或永久暫停該用戶。您還可以阻止具有惡意意圖的用戶帳戶的IP地址。

您可以為此下載Webkul的 Opencart Excessive Attempt Lock 插件。

4. 定期備份

如果要對商店進行任何修改,我們總是建議對其進行備份。這是因為如果出現任何問題,您總是可以返回到商店的正常設定。

從安全角度來看,如果黑客滲透到您的網站並刪除數據或感染病毒,您亦可以輕鬆地返回商店的先前設置,而不必從頭開始。請記住,您應該存儲站點的多個備份,最好是存放在不同位置。如果不幸地您的伺服器被黑客入侵,那麼至少您的備份將不會受到威脅。

5. SSL認證

每當我們訪問網站並對其採取行動時,就會進行信息交換。具有基本黑客知識的任何人都可以偵聽此交流並竊取重要信息。

SSL(https)對客戶端電腦和網站之間發生的通信進行加密。這意味著,正在交換的數據對於任何試圖監視數據傳輸的第三方都變得不可讀。如今,除了安全問題,所有網站都必須獲得SSL證書,否則搜索引擎排名會對其進行懲罰。

重新命名admin文件夾

使用一些獨特的名稱重命名admin文件夾可以保護其免受黑客或爬蟲的攻擊,尤其是在您的網站上查找“ admin”文件夾時。修改文件夾的名稱後,您將必須使用新路徑來訪問管理儀表板。為此,通過將“ admin”實例替換為您選擇的新名稱來更新admin / config.php文件。

完成此操作後,您的管理員帳戶URL將由默認的www.domain.com/admin更改為www.domain.com/examplename

亦建議通過對admin文件夾使用.htaccess文件來添加另一層保護,以便您可以阻止未經授權的流量訪問您的網站。通過這種方法,您只能授予管理員特有的IP位置訪問。

設置安全檔案權限

設置安全檔案權限將幫助您管理和控制誰在商店中執行操作。在OpenCart中,存在三種訪問權限:

  • 讀取:僅允許用戶查看文件的位置
  • 寫入:用戶可以在其中修改文件
  • 執行:允許用戶將文件作為程序運行或執行

OpenCart的用戶分為三種類型:

  • 用戶
  • 群組 (網站管理成員)
  • 世界 (訪客)

為了最大程度地減少黑客注入惡意軟件或覆蓋文件的可能性,您應該分配444或644權限。444僅允許讀取或查看文件,而644允許用戶選擇寫入文件。

如果您不希望服務器上的任何用戶讀取或寫入某些文件,則應將其權限設置為端口400或440。

防火牆

網站發佈後,各種流量(無論好壞)都可以訪問該網站。防火牆是位於您的網站網絡和Internet之間的堅固保護層。它監視並掃描定向到您的網站服務器的所有請求,並過濾出具有惡意意圖的請求。

防火牆遵循某些內置協議來查找網絡攻擊或不良行為者的明顯跡象。他們可以阻止流量,進一步挑戰服務器請求以確認其真實性,並識別應用程序中可能被黑客濫用的漏洞。

獲得安全的寄存服務

您商店的目錄,重要文件,網站數據等都存儲在網頁伺服器上。大多數攻擊將針對您網站的伺服器,因此確保它的安全性是當務之急。好的寄存服務供應商理應能夠提供以下服務:

  • 主動監控和預防流量中的可疑活動
  • 能夠檢查並修補安全漏洞
  • 持續提供最新版本的伺服器軟體
  • 隔離受感染檔案並防止傳播病毒
  • 能有效地處理大規模的 DDOS 攻擊

此外以及上面所提及到的防火牆我們EBuildHost都能夠為客戶免費提供相關服務。

使用最新版本的OpenCart

使用最新版本的核心是最最最根本的要求,使用舊版本的話只是坐下來等待被黑客入侵。犯罪者經常在平台的源代碼中尋找漏洞,以同時針對多個網站。發行新版本後立即更新OpenCart網站是您可以採取的最基本,最有效的步驟,以保護您的商店。

為您的管理後台啟用SSL

在OpenCart中,預設情況下不會加密來自管理後台的通信。因此,除了為您的網站購買SSL之外,您還必須為管理面板手動啟用SSL。這將確保與管理面板之間傳輸的數據將保持安全。

為此,請單擊您的OpenCart商店的“Setting”,然後到Server。選擇“Use SSL”選項並保存更改。

使用人機驗證reCAPTCHA

OpenCart安全性

有時,黑客會透過SQL注入方式,竊取重要信息,例如電子郵件ID,用戶名,產品信息,價格等。reCAPTCHA將會向用戶提出針對人類的難題或問題來挑戰用戶。機器人將無法通過驗證碼或reCAPTCHA測驗。您可以將Google的reCAPTCHA擴展名添加到OpenCart商店中。

定期掃描惡意軟件和安全評估

OpenCart安全性需要不間斷的掃描和監視,因此任何可疑的活動都不會引起您的注意。定期進行安全評估將在您的網站中查找任何現有或潛在的代碼漏洞和注入。此外,您將獲得網站安全狀態的概述。

為避免進一步的安全問題,建議從OpenCart平臺本身的插件中進行選擇。您可以在OpenCart的擴展商店中找到許多安全掃描器擴展。

結論

線上商店老闆需要保持警惕,每天24小時不間斷地進行操作,並認真遵循所有安全最佳方案。如果您有跟踪最新的漏洞並且在您的OpenCart系統上修復,那您的商店很有可能永遠保持安全。

如果你喜歡這篇文章,請記得分享給你的好友,或是用電子郵件訂閱本網站,有新教學文章發佈時,我們會在第一時間通知你,也別忘了到我們的粉絲專頁幫我們點個讚。

分享此文章到

更多有趣文章