增加OpenCart安全性的11個技巧
OpenCart是一個開放源代碼的電子商務CMS,歷史中第一次公開釋出是1999年5月11日。但去到在2010年代初,其受歡迎程度才有顯著增長。最新趨勢表明,儘管它尚未在電子商務行業中佔據相當大的份額,但它無疑是當今市場上熱門的電子商務平台之一。 OpenCart的核心軟件在2019年僅發現了2-3個中等關鍵漏洞,與其他平台相比,這個數字相當不錯。 但是,擁有安全的核心軟件並不意味著您可以確保OpenCart商店免受攻擊。在現今的網絡世界中,所有平台只要擁有並儲存客戶敏感信息就有機會受到某種程度上的攻擊。 在此《 增加OpenCart安全性的11個技巧》中,我們將提供11種增加安全性的技巧作。 目錄: 刪除install文件夾 小心第三方插件 遵循電子商務最佳安全設定法 重新命名admin文件夾 設置安全檔案權限 防火牆 獲得安全的寄存服務 使用最新版本的OpenCart 為您的管理面板啟用SSL 使用人機驗證reCAPTCHA 定期掃描惡意軟件和安全評估 刪除install文件夾 安裝完成後立即刪除”install”文件夾或目錄。如果黑客可以訪問install文件夾,則可以重新啟動安裝文件夾並覆蓋您的網站。安裝並設置商店後,install文件夾將毫無用處。通常的做法是刪除不需要的或未使用的文件夾,以降低利用風險。 為了刪除安裝文件夾有2種方法:1. 請打開您的FTP客戶端 → public_html → 找到install文件夾並將其刪除。 2. 登陸cPanel → 檔案管理員 → public_html → 找到install文件夾並將其刪除。 注意第三方插件 第三方插件永遠是將網站暴露在危險中的主要成因而臭名昭著,OpenCart亦不例外。OpenCart的第三方插件並沒有受到嚴格審查。因此,當您使用OpenCart插件時,您只能依賴外掛開發人員,這是一個十分危險的情況。插件漏洞是黑客能夠打開通往後台並感染它們的最常見原因之一。 黑客通常會對開源插件進行更改,以便利用安裝它們的網站。這就是為什麼您應該盡量只安裝來自受信任的高評級供應商產品的原因。另外,請保持所有擴展的更新,並刪除不使用的插件。您還需要定期掃描所有插件中是否存在漏洞或受感染的代碼。 遵循電子商務最佳安全設定法 無論是否使用OpenCart,都應遵循標準的電子商務安全法例子。OpenCart可以參考以下方法: 1. 複雜的密碼 暴力攻擊是最有效及常見的手法,意思是透過點擊和嘗試密碼方法來破解用戶密碼。如果您設置的密碼複雜且不常見,那麼暴力攻擊成功的可能性將大大降低。 我們建議最理想的密碼至少應為 15 ~ 20個字符且包含大小寫英文、數字及符號。可以透過我們EBuildHost的小工具 隨機密碼產生器 去產生一個隨機密碼,記得把密碼存放到安全的裝置。 2. 多重要素驗證 (2FA) 通過2FA,即使黑客已經獲得了您的登錄資料,也可以阻止黑客登錄您的帳戶。填寫密碼後,需要透過2FA密碼才能登陸,掃瞄2FA QRcode後將其登陸到您的手機中,每次登陸時需要到相關手機中查看密碼。 黑客破解您的密碼並同時訪問您的手機的可能性很小。 3. 限制登錄嘗試次數 […]
WooCommerce vs Magento vs PrestaShop vs OpenCart 熱門eCommerce CMS大比較
隨著時代變遷好多店鋪都開始轉型為線上商店,但市場有大量不同的eCommerce CMS到底應該如何選擇好呢? 今次我們來比較下WooCommerce、Magento、PrestaShop、OpenCart這四款比較熱門的自架eCommerce CMS。 WooCommerce 介紹 Magento 介紹 PrestaShop 介紹 OpenCart 介紹 對新手的友好程度 模板及設計 SEO 產品客制化 安全性 優點和缺點 結論 WooCommerce 介紹 WooCommerce是屬於WordPress的開源電子商務插件。對於渴望基於WordPress部落格或網站建立線上商店的店鋪而言,這是一個很好的工具。設置完成後,它可以讓您出售從虛擬產品,訂閱服務,等的各種商品。 Magento 介紹 Magento是流行的開源電子商務平台之一。這是因為它為開發線上商店提供了最高級別的控制和靈活性。它可以幫助您解決折扣,定期付款等問題。該平台還具有高度可擴展性,可幫助您立即習慣該平台。 PrestaShop 介紹 PrestaShop在此類開源電子商務平台中是一個相當新的平台。它算是比較易於使用,不需要全面的Web開發專業知識。其精美的界面使您可以有效地處理報告,產品管理,商店管理等。 OpenCart 介紹 OpenCart是一個輕量級的電子商務平台,可以輕鬆地根據您的業務需求進行設定。它可用於從一個管理面板管理無限的類別,產品,付款方式等。 對新手的友好程度 (1分最低 – 5分最高) WooCommerce : 👍👍👍👍👍 Magento : 👍👍👍PrestaShop : 👍👍👍👍👍OpenCart : 👍👍👍👍 WooCommerce – 可以稱讚它是一個高度友好的平台,因為它只是一個WordPress的插件。它亦具有簡單而直接的精靈,僅需五個步驟即可完成每個關鍵要素。 Magento – Magento1.0算是比較辛苦去熟用的工具,隨著2.0的發佈,該平台變得容易使用。為了最大限度地利用它,最好花一些時間來學習它的基礎知識,這使其比WooCommerce更加難使用。 PrestaShop – 由可定制的前台和十分容易使用的後台組成。這些功能使平台非常人性化。此外,它提供了數十個附加模塊來改善其內部功能。加上時尚的界面,可以快速訪問所有商店績效設置和信息。 OpenCart […]
黑客常用的WordPress漏洞
我們上一篇文章 您絕對需要知道的加強WordPress網站安全性11種方法 提供了11種方法去加強您的WordPress網站安全性,今次我們來談討比較常見的WordPress漏洞及應對方案! 1. SQL資料隱碼攻擊 (SQL injection) 通過將惡意代碼注入易受攻擊的SQL請求中來執行SQL資料隱碼攻擊。黑客透過在網站發送到數據庫的消息中添加特製的請求。 成功的攻擊將會修改數據庫的查詢,以便它將返回攻擊者所需的信息,而不是網站期望的信息。依情況將會返回管理員的帳戶及密碼給黑客。 SQL資料隱碼攻擊不僅是偷偷摸摸的,而且如果黑客設法將其註入您的站點也可能非常危險。通常,這些注入是通過您用於從站點訪問者收集信息的Web表單進行的。 如果您沒有對Web表單上的所有字段提交必要的約束,則黑客將能夠插入代碼,這些代碼反過來又使他們能夠入侵您的數據庫並竊取任何可用的機密信息。 為了保護您的網站免受這些攻擊,您要做的就是永久使用參數化查詢。您的網站將具有特定的參數,以防止黑客訪問您的數據並輸入其惡意代碼。 2. 跨網站指令碼 (Cross-site scripting) 跨網站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。 XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript,但實際上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到更高的權限(如執行一些操作)、私密網頁內容、對談和cookie等各種內容。 為防止XSS攻擊,請確保訪問者沒有特權(或機會)在您網站的任何位置插入JavaScript或腳本標籤。 3. 暴力破解 暴力破解是一種利用嘗試和錯誤嘗試進入網站,是最常見的黑客手段。黑客使用自動化軟件將大量請求發送到目標。對於每個請求,該軟件都會嘗試猜測獲得訪問權限所需的信息,例如密碼或PIN碼。這些工具將能夠使用不同的IP地址和位置來偽裝,從而使目標系統難以識別和阻止這些可疑活動。 如果並沒有任何會員系統的WordPress網站最理想的做法就是開啟 2FA (Two-factor Authentication) 功能。 但一產需要會員系統的網站怎麼辦,為免令用戶體驗降低可以參考: 每三個月至少更改一次密碼並且密碼使用隨機密碼產生器去隨機產生16位包含英文大小寫、數字及符號的密碼 (記得存放到安全的位置)密碼產生器可以使用EBuildHost的 隨機密碼產生器 結論: 以上3款是比較常見的漏洞及修補方法,除了上面的當然還有其他的漏洞,雖然WordPress開發團隊不斷更新及修補漏洞,但總會有一些漏網之魚的來不及修補,所以使用者都需要注意網路安全。 如果你喜歡這篇文章,請記得分享給你的好友,或是用電子郵件訂閱本網站,有新教學文章發佈時,我們會在第一時間通知你,也別忘了到我們的粉絲專頁幫我們點個讚。
您絕對需要知道的加強WordPress網站安全性11種方法。
眾所周知,WordPress是各地黑客最喜歡的產品,因為即使您並沒有任何相關網站知識,你都能夠建立一個網站或部落格出來,如果您不想網站被黑客做壞壞的事情,立即參考以下的11種方法重新設定您的WordPress網站吧!! 1. 使用複雜安全性高的密碼 不要再用純英文,純數字的密碼!!最好是用隨機密碼產生器去產生一個密碼存放到安全的地方,如果不想用密碼產生器?那請按這個格式去建立密碼吧!*(8至14位字元、包含大小寫英文、數字及符號)*如果想更加安全?可以使用我們EBuildHost的小工具 隨機密碼產生器 去隨機生成密碼吧 2. 更改WordPress的後台登陸URL 大部份的WordPress網站都使用預設的登陸網址從而大大增加網站被撞密碼的機會。馬上更改做自定義的URL吧! 可以透過 Lockdown WP Admin 插件更改。 3. 減少使用常見的管理員帳戶及管理員權限 還在使用admin、root、user、cs、域名這樣的管理員帳戶?我們建議馬上到網站後台裹「帳號」立即新增一個新的「管理員」權限帳號,再把原本的管理員帳號刪掉。 以及請勿使用後台管理員做文章作者,因為只要作者鏈接被發現就能夠繞過網站後台直接登陸,輕則幫您刪刪文章,重則整個網站掛掉也是有可能的,建議將文章寫手獨立一個帳戶及權限調整做【作者】 4. 盡量保持WordPress、主題、插件都在最新版本 當然全部保持最新版本於安全性來看是最好的,但為什麼要說盡量?因為我們都知道更新了的話有可能插件A與插件B或主題產生相容性問題,養成一個習慣!做任何更新時先確定網站有備份再做任何改動吧! 5. 不要用來歷不明的插件或主題 有時候您可能會看到有一些原本需要付款的主題或插件,現在於不明來歷的網站可以免費下載,這麼好的東西我要立即下載!!!!NO!千萬不要這樣做,因為你不知道你所下載的東西是否安全,盡量選擇公信力高的網站去下載或購買吧,絕對會相對安全很多。 6. 安裝reCaptcha插件 我們推薦這個 reCaptcha 插件,這個插件免費功能已經支援很廣能夠支援到: 注冊頁面 登陸 重設密碼 文章留言 聯絡表格 評價 自定義表格 亦能夠自行選擇用Google reCaptcha那一個版本,我們比較建議是使用v3。 7. 安裝安全防禦插件 我們建議使用 wordfence ,它的免費版功能已經很廣足夠保護好您的網站。 Wordfence包括專為保護WordPress而構建的端點防火牆和惡意軟件掃描程序。Wordfence的威脅防禦源使用最新的防火牆規則,惡意軟件簽名和惡意IP地址為已被登陸到Wordfence數目庫中及以確保您的網站安全可以通過2FA和一整套附加功能去保障您的網站,Wordfence算是最全面的WordPress安全解決方案。 8. 安裝限制登陸次數插件 為免被暴力攻擊請安裝一些能夠限制登陸錯誤次數的插件,我們推薦 Loginizer 這款”免費”插件是一款防止黑客暴力破解密碼的插件,它能夠在對方 IP 嘗試登陸錯誤一定的次數時限制該IP位置登陸,可以有效地改善被暴力破壞密碼的情況。 雖然Wordfence也有類似的功能,但專業版的Loginizer亦具有Wordfence沒有的功能: 禁用XML-RPC 重命名XML-RPC 防止Pingback […]
收到Composer detected issues in your platform該怎麼辦?
有時候我們的WordPress網站會突然有一天無法正常顯示網站只顯示出 主要原因就是因為您的WP或插件自動升級了而你的PHP版本不支援,那應該怎麼辦呢? 其實好簡單就可以完成修復。 方案1:聯絡主機供應商協助升級PHP版本 這個方案是最簡單直接的,如果主機供應商無法協助就可以參考方案2 方案2:登陸cPanel自行修改PHP版本 (只限供應商提供了cPanel的情況) 登陸了cPanel後於Software 進入MultiPHP Manager 進入後就會見呢這個畫面我們來講解一下1跟2吧1. 是系統為每個網站預設的PHP版本2. 是你的網站現時正在使用的PHP版本 至於如何去更改呢,只需要選擇您的域名(3)之後就去(4)的位置選擇您想要的PHP 版本 Apply之後就可以去再次檢查網站是否能夠正常開啟呢。 如果這兩個方案都無法解決您的問題,歡迎直接聯絡我們EBuildHost專員協助您 😉😉
Nginx 設定 http 自動導向 https
如何透過Nginx實行 http自動導向https? 十分簡單,以下方法就是自動將前往 http 的訪客自動導向到 https 頁面。 先決條件 運行Nginx的Linux伺服器 具備sudo權限的用戶 SSH登錄 我們假設網站的域名為ebuildhost.com,將所有 http 的連線自動導向到 https頁面。 要強制HTTP到HTTPS重定向,您需要編輯Nginx配置文件。 在大多數情況下,您可以在/etc/nginx/sites-available/目錄中找到該文件。如果未找到,請在以下位置搜索:/etc/nginx/nginx.conf,/usr/local/nginx/conf或/usr/local/etc/nginx。 **將conf檔案位置替換為您的conf檔案的實際位置和名稱。 使用nano進行編輯後,插入下面的代碼之一。 完成編輯後,保存文件並退出。之後,使用以下命令重新啟動Nginx服務: 結論 現在您知道如何在Nginx中將http自動導向到https。通過編輯conf檔案,您可以將流量從特定目標發送到其他站點。這有助於您安全地管理對網站的更改,而不會影響用戶體驗。😜😜