Post by zrxraver » Sat Jan 29, 2011 10:50 pm

Zie 2de post voor laatste updates ed.

OC is niet zo veilig als dat we wel zouden willen, een paar dingen zijn eenvoudig verbeteren:

Altijd direct de map install verwijderen zodra de shop werkt.
Direct de config.php in admin en root op 444 zetten

De map: admin
Nou het begint al bij de naam, die is fout, maak daar een mooie cryptische naam van bv "not4you_min"
Pas daarna de config.php aan en vervang "admin" door "jouw_gekozen_naam"
In tegenstelling tot wat Q in een ander topic beweert, altijd ook een .htpasswd / .htaccess op de "admin"
De kans is klein dat een hacker je admin weet te vinden door de nieuwe naam, en als die gevonden zou zijn houd de .htpasswd hem al op heel hoog niveau tegen.
De kans is dan een stuk kleiner dat ze uberhaupt de admin binnenkomen, als laatste is de inlog er nog als laatste middeltje.
En als je 2 x inloggen ivm met de veiligheid niet prettig vind, adviseer ik om de rest van dit verhaal niet eens meer te lezen.

De map: system
Deze url laat je error log zien :o
http://www.__webshop__/system/logs/error.txt

Deze een soort 404 ???
http://www.__webshop__/system/start_up.php

Dit zou allemaal niet moeten kunnen!! >:D

De map system dichtplakken met een .htaccess

<Files *.*>
Order Deny,Allow
Deny from all
</Files>

Dit beschermt tevens alle sub-mappen (cache met zn 777, log met zn 777 e.a.)
De nutteloze index.html in bv de map logs e.a kan je gelijk verwijderen :D

De map: catalog
Die is wat lastiger omdat daar ook templates en images en jscript zitten, alle andere files mogen nooit gezien kunnen worden
bv
http://www.__webshop__/catalog/controller/account/address.php
geeft :
Fatal error: Class 'Controller' not found in /var/www/vhosts/...........__webshop__/catalog/controller/account/address.php on line 2

Dit kan je voorkomen met een .htaccess in de map catalog

Options +FollowSymlinks
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpeg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.png$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.gif$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.css$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.js$
RewriteRule ^(.+)$ /lozer/ [NC]

Maak een nieuwe map aan in root van je site en noem die, als net genoemd, bv "lozer" ;D
Kies voor "lozer" natuurlijk eigen naam voor die map.
Zet in de map "lozer" een .htacces met daarin :

Deny from all

Wat doet dit nu :
Iemand wil met zn browsert in de map http://www.__webshop__/catalog/controller/account/address.php kijken. Die iemand heeft daar helemaal nix te zoeken dus die krijgt dan de rewriterule voor zn kiezen die hem naar de map "lozer" stuurt, die op zijn beurt netjes antwoord via de .htaccess met

Forbidden
You don't have permission to access /catalog/controller/account/account.php on this server. :crazy:

Die iemand is gelijk klaar met zn acties hierna. De server geeft geen clues meer met zn "Fatal error: Class 'Controller' not found in /var/www/vhosts/.........." :'(

De RewriteCond zal je moeten aanpassen aan je eigen situatie, stel je gebruikt Flash dan moet er een regel bij met .swf, maar dat wijst voor zich.

De map: image
Ook zo'n leuke en die staat met zn submappen ook vaak op 777, kortom potentieel gevaarlijk
Zet hierin een .htaccess met wederom die rewriterules

Options +FollowSymlinks
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpeg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.png$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.gif$
RewriteRule ^(.+)$ /lozer/ [NC]

Zelfde als daarnet, je mag alleen die images met die extensies bekijken maar verder nix.
Dus al zou een hackert het voorelkaar krijgen om wat php script in die mappen te frommelen, hij kan ze niet executeren via een browsert.

De RewriteRule ^(.+)$ /lozer/ [NC] zou je ook naar een nette pagina kunnen laten verwijzen, met "Sorry de door uw gevraagde pagina is helaas niet gevonden enzo"
Zelf vind ik de "Forbidden...." versie wat grappiger, dit gooit gewoon de deur dicht, en geeft geen clues. O0

Het voordeel van het werken met de .htaccess is dat knoei-verzoeken het niet een halen tot aan de shop, apache grijpt daarvoor al in.

Verder moet je bij alle jscript die bij de templates zitten alle demo rommel enzo verwijderen.
Ten overvloedde waarschijnlijk, houd je je public_html schoon !!

Op sommige server hoef je met mappen als logs en images niet met 777 te werken, soms werkt een 733 ook al goed. Moraal vh verhaal, geef zo min mogelijk rechten.

Bovengenoemde maakt OC er natuurlijk niet veiliger op, maar een potentieel kwaadwillend iemand zal het nu wel moeilijker krijgen om binnen te komen.

Rest er nog 1, de validatie in OC van _POST en _GET waarden, hieraan moet echt wat gedaan worden in een volgende versie, met wat er nu in zit wat moet valideren is het niet zo moeilijk om rommel te injecteren.

Nou mijn taak zit erop, als iemand dit wil vertalen en in het engelse forum wilt zetten, be my guest.

post scriptum:

Ik ben een script aan het maken die validatie doet, nog voordat het www verzoek de winkel raakt, welke goeie programmeur wil hieraan meewerken ?
Last edited by i2Paq on Tue Feb 19, 2013 2:43 am, edited 4 times in total.
Reason: Titel aangepast + Sticky

Active Member

Posts

Joined
Fri Oct 30, 2009 5:36 am

Post by i2Paq » Sat Jan 29, 2011 11:20 pm

Datum: 18-02-2013

Ge-update voor OpenCart 1.5.x

Lees de readme aandachtig en heb je vragen, stel ze dan EERST!

Attachments

.zip tbv. OpenCart 1.5.x


Norman in 't Veldt
Moderator OpenCart Forums

_________________ READ and Search BEFORE POSTING _________________

UPGRADE to 2.x: Contemplate before thou begins!

Our FREE search: Find your answer FAST!.

BUGs?: Known BUGS for All OC Versions.

[How to] BTW + Verzend + betaal setup.


User avatar
Global Moderator

Posts

Joined
Mon Nov 09, 2009 7:00 pm
Location - Winkel - The Netherlands

Post by zrxraver » Sat Jan 29, 2011 11:52 pm

Ik d8 dat mn taak er al op zat ... :drunk:

\system
.htaccess

<Files *.*>
Order Deny,Allow
Deny from all
</Files>

---------------------------------------------------

\catalog
.htaccess

Options +FollowSymlinks
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpeg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.png$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.gif$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.css$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.js$
RewriteRule ^(.+)$ /lozer/ [NC]

---------------------------------------------------

\lozer
.htaccess

Deny from all

---------------------------------------------------

\image
.htaccess

Options +FollowSymlinks
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpeg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.png$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.gif$
RewriteRule ^(.+)$ /lozer/ [NC]

---------------------------------------------------

\ADMIN_MET_EEN_NIEUWE_NAAM
.htaccess -> .htpasswd via host panel ?

Active Member

Posts

Joined
Fri Oct 30, 2009 5:36 am

Post by i2Paq » Sun Jan 30, 2011 12:46 am

OK, ik heb het hele verhaal vertaald naar het Engels en geplaatst Hier.

Tevens heb ik de benodigde bestanden aangemaakt in de juiste directory-structuur en deze zitten compleet met Nederlandse en Engelse readme's in bijgevoegde zip.

Doe er uw voordeel mee!

Norman in 't Veldt
Moderator OpenCart Forums

_________________ READ and Search BEFORE POSTING _________________

UPGRADE to 2.x: Contemplate before thou begins!

Our FREE search: Find your answer FAST!.

BUGs?: Known BUGS for All OC Versions.

[How to] BTW + Verzend + betaal setup.


User avatar
Global Moderator

Posts

Joined
Mon Nov 09, 2009 7:00 pm
Location - Winkel - The Netherlands

Post by merchboer » Sun Jan 30, 2011 12:47 am

supertopic, thanks!

I likez teh beerz & foodz.


User avatar
Active Member

Posts

Joined
Fri Jan 14, 2011 4:27 pm
Location - Netherlands

Post by zrxraver » Sun Jan 30, 2011 1:05 am

Dat is netjes gedaan Norman, thnx.

Ik wilde het verhaal niet te lang maken, maar we zouden zelfs nog een stap verder kunnen gaan en de root ook dichttimmeren, aangezien alles door de index.php heen gaat is dat heel simpel ;)

Active Member

Posts

Joined
Fri Oct 30, 2009 5:36 am

Post by i2Paq » Sun Jan 30, 2011 1:41 am

zrxraver wrote:Dat is netjes gedaan Norman, thnx.

Ik wilde het verhaal niet te lang maken, maar we zouden zelfs nog een stap verder kunnen gaan en de root ook dichttimmeren, aangezien alles door de index.php heen gaat is dat heel simpel ;)
Bedankt!

Waarom niet, ik denk dat velen juist met beveiliging problemen hebben en je root meteen dichtspijkeren lijkt me het toefje op het ijs.

Zoals je ziet heb ik "loser" vervangen voor een wat nettere naam, mede omdat niet iedereen gecharmeerd is van "scheldwoorden" ;)

Norman in 't Veldt
Moderator OpenCart Forums

_________________ READ and Search BEFORE POSTING _________________

UPGRADE to 2.x: Contemplate before thou begins!

Our FREE search: Find your answer FAST!.

BUGs?: Known BUGS for All OC Versions.

[How to] BTW + Verzend + betaal setup.


User avatar
Global Moderator

Posts

Joined
Mon Nov 09, 2009 7:00 pm
Location - Winkel - The Netherlands

Post by Gerrit » Sun Jan 30, 2011 4:28 am

Mede door dit heb ik zelf besloten om geen plaatjes meer met de image manager to uploaden maar met ftp.
Ga zeker de security tip gebruiken.
G.

For modelcars cars see my OC 3.0.2.0 shop: http://www.gbcars.nl/
For Wooden Toys see my 2.3.0.2 shop: https://www.dehoutentreinenwinkel.nl/


User avatar
Active Member

Posts

Joined
Fri Nov 27, 2009 9:06 pm

Post by i2Paq » Sun Jan 30, 2011 5:30 am

In het Engelse topic krijg ik het volgende mee, denk dat dit op zich ook wel toepasbaar is, zeker om zo een nog betere beveiliging te bouwen.
JAY6390 wrote:
Last but not least, the use of _POST and _GET should be looked at in future releases as they allow injection of hostile code.
Not actually an issue since all code gets escaped with either type casting or $this->db->escape(), and there's no way of not using them so this point is moot

For the folders, filesmatch is better for the catalog, admin and image folders and means you don't need to add every type of image extension, just stop access to php files, tpl and txt (in case your logs have that extension)

Code: Select all

<FilesMatch "\.(php|tpl|txt)$">
Order Deny,Allow
Deny from all
</FilesMatch>
Stop all access to the system and download folder with

Code: Select all

<Files *.*>
Order Deny,Allow
Deny from all
</Files>
The admin folder name change I agree can be used to help, but again not a necessity since the login is secure, as is the htpasswd addition. That said, I always find it strange people think that a hacker is going to break your password into your admin any quicker than they would a .htpasswd
That might be the case if you have some kind of trigger after so many incorrects that it bans an ip, but you could set up the admin area to do the same thing tbh

The startup.php is indeed an issue but will be solved in the files deny above

Norman in 't Veldt
Moderator OpenCart Forums

_________________ READ and Search BEFORE POSTING _________________

UPGRADE to 2.x: Contemplate before thou begins!

Our FREE search: Find your answer FAST!.

BUGs?: Known BUGS for All OC Versions.

[How to] BTW + Verzend + betaal setup.


User avatar
Global Moderator

Posts

Joined
Mon Nov 09, 2009 7:00 pm
Location - Winkel - The Netherlands

Post by zrxraver » Sun Jan 30, 2011 7:50 am

de FilesMatch zoals voorgesteld werkt niet op elke server, en ik vind het veiliger om het omgekeerde te doen, dus enkel gif jpg js enzo toe te staan, dan alles doorlaten behalve .....(php|tpl|txt) vandaar mijn manier.
Een voorbeeld, een php file hoeft per definitie niet de extensie php te hebben. :-\

De POST en GET validatie met alleen de db->escape is zeker niet afdoende, snap niet hoe je dat kan verdedigen.
En daarbij POST en GET waarden worden ook op heel veel andere manieren in OC gebruikt, en lang niet al die waarden gaan de db in. Dus daar moet nog flink aan gesleuteld worden.

De download folder was ik idd vergeten, die heb ik namelijk niet meer. ::)

De admin beveiligen met alleen de gewone admin login is nooit voldoende. De truc van een htpasswd is dat er helemaal nix van www verzoeken bij de admin komt zolang er geen juiste inlog is gegeven, Er valt dan domweg weinig meer te knoeien. Als je alleen op de admin inlog vertrouwt moet de shop software stand zien te houden. Mijn punt is, laat dat admin dat als 2de ronde doen, en apache de 1ste ronde.
Het voorstel om na X mislukte inlog pogingen de admin te sluiten of ip ban is zeker iets wat erbij zou moeten komen.

Active Member

Posts

Joined
Fri Oct 30, 2009 5:36 am

Post by zrxraver » Sun Jan 30, 2011 10:48 am

Toch nog even geantwoord op het engels talige topic omtrent dit onderwerp. Mijn relaas, jammer dat er zo licht over gedacht word door de "kenners". Die laten teveel over aan het toeval, en hun kennis. 8) Het is maar goed dat hakkers geen nederlands kunnen lezen :laugh:
Ik vind dat beveiligen op server niveau (htaccess) wel degelijk een taak is van degene die het script schrijven, je kan niet van een host verwachten dat hij alle inns en outs kent van elk script wat er bestaat.

Active Member

Posts

Joined
Fri Oct 30, 2009 5:36 am

Post by i2Paq » Sun Jan 30, 2011 6:42 pm

zrxraver wrote:Toch nog even geantwoord op het engels talige topic omtrent dit onderwerp. Mijn relaas, jammer dat er zo licht over gedacht word door de "kenners". Die laten teveel over aan het toeval, en hun kennis. 8) Het is maar goed dat hakkers geen nederlands kunnen lezen :laugh:
Ik vind dat beveiligen op server niveau (htaccess) wel degelijk een taak is van degene die het script schrijven, je kan niet van een host verwachten dat hij alle inns en outs kent van elk script wat er bestaat.
Ik zag het ;)

Jammer inderdaad dat men niet wil inzien dat "wij" moeten zorgen dat gewone gebruikers van OC wienig kaas hebben gegeten van security.

Vraag: enig idee hoe de de beveiliging vanuit de root beter te maken dmv. je .htacces?

Norman in 't Veldt
Moderator OpenCart Forums

_________________ READ and Search BEFORE POSTING _________________

UPGRADE to 2.x: Contemplate before thou begins!

Our FREE search: Find your answer FAST!.

BUGs?: Known BUGS for All OC Versions.

[How to] BTW + Verzend + betaal setup.


User avatar
Global Moderator

Posts

Joined
Mon Nov 09, 2009 7:00 pm
Location - Winkel - The Netherlands

Post by zrxraver » Sun Feb 06, 2011 9:30 am

We zijn nu een week verder, en in het 'nl' topic of 'en' topic word niet gereageerd. Welke conclusie kunnen we daaruit trekken ?
Persoonlijk vind ik dat I2paq een heel sterk punt had met, dat het nu onze zorg is om OC veiliger te maken.

Jammer dat er deze week geen patch is gelanceerd naar aanleiding van mijn voorzet.
Ik zeg niet dat OC onveilig is !!! maar er kunnen dingen verbeterd worden waardoor het nog sterker word.

De meeste gebruikers van OC zullen OC als enige site gebruiken op hun hosting, daarom vind ik juist dat degene die de software ontwikkelt ook moet zorgen dat het zo veilig mogelijk is, omdat zij de inns en outs kennen. Een gemiddelde OC gebruiker is al blij als het 'werkt'.

Neem nou een pakket als Joomla, die beginnen ook al in de htaccess om hakkers te vangen, en in elke php file zie je script met middelen om misbruik te voorkomen, en bij OC ontbreekt dat.

OC leent zich bij uitstek om veiliger te maken, dit in tegenstelling tot OSC, omdat alles via een 'router' door de index.php gaat.
Maar het punt is dat er eerder al validatie moet zijn, en niet door de shop zoals nu.

Active Member

Posts

Joined
Fri Oct 30, 2009 5:36 am

Post by basbytes » Sun Feb 06, 2011 5:30 pm

Even een "bedankt" voor de "goede zorgen" betreffende dit topic.

Ik gebruik(te) al jaren osCommerce, dacht alles onder controle te hebben, maar 2 van mijn sites zijn enkele maanden geleden gehacked ondanks alle voorzorgs maatregelen die ik had ondernomen.
Vandaar dus dat ik nu het met OpenCart gaat proberen :)

Als een "newbie" is alle info over het toepassen van veiligheids maatregen zeer welkom!!

Nogmaals bedankt!

Newbie

Posts

Joined
Sun Feb 06, 2011 3:40 pm

Post by i2Paq » Sun Feb 06, 2011 6:32 pm

Het feit dat jouw sites met osCommerce gehackt zijn kan meerdere oorzaken hebben gehad.
Niet alleen een brakke contributie maar ook een brakke server-security...

Zelf ben ik sinds 1 jan 2011 over van osCommerce naar OpenCart, maar de standaard zaken die "genoeg" zouden moeten zijn heb ik aangevuld met wat zrxRaver heeft aangegeven.

Moet alleen nog even testen wat hij via PM doorgegeven heeft mbt. de .htaccess in mijn root van de store.

Norman in 't Veldt
Moderator OpenCart Forums

_________________ READ and Search BEFORE POSTING _________________

UPGRADE to 2.x: Contemplate before thou begins!

Our FREE search: Find your answer FAST!.

BUGs?: Known BUGS for All OC Versions.

[How to] BTW + Verzend + betaal setup.


User avatar
Global Moderator

Posts

Joined
Mon Nov 09, 2009 7:00 pm
Location - Winkel - The Netherlands

Post by Gerrit » Sun Feb 06, 2011 7:47 pm

We zijn nu een week verder, en in het 'nl' topic of 'en' topic word niet gereageerd. Welke conclusie kunnen we daaruit trekken ?
Zelf ben ik ook door dat de images en cache dir op 777 stonden platgelegd een aantal maanden geleden.
Hierdoor heb ik alles weer op 755 staan en laad images up met FTP. Er is ook melding van gemaakt, niet alleen door mij, maar er is toen ook niets mee gedaan. De makers geven notabene nog steeds aan dat je de mappen op 777 moet zetten.

De htaccess files is een mooi alternatief als je weet op wat voor serveromgeving je site draait. Er zijn nog talloze hosters die de mod-rewrite voor htaccess files niet aan hebben staan. Zelf heb ik nog een prive domein op Windows Server. Tja hoe doe je dat?

Ik denk ook dat het voor de meesten van ons een te technisch iets is en de makers van OC zouden gewoon standaard bij moeten leveren. Desnoods als text files.

Niet iedereen zal zich (willen) verdiepen in batchfiles.

G.

For modelcars cars see my OC 3.0.2.0 shop: http://www.gbcars.nl/
For Wooden Toys see my 2.3.0.2 shop: https://www.dehoutentreinenwinkel.nl/


User avatar
Active Member

Posts

Joined
Fri Nov 27, 2009 9:06 pm

Post by zrxraver » Sun Feb 06, 2011 10:04 pm

100% hacker-proof kan alleen als je de site offline haalt.
Heb je een site online, dan ben je kwetsbaar, hoe goed de site door jou of de hoster ook beschermd is.
En daarbij loopt bescherming van een site altijd achter de feiten aan, hackers liggen altijd voor ???
Wat we wel kunnen doen is alles dichttimmeren met htaccess en voor elke map alleen de dingen toestaan die echt nodig zijn.
B.v.: Een php script met wat voor naam of extensie dan ook ( php, inc ..) die in de map images staat moet niet de mogelijkheid krijgen om te worden aangeroepen via www. Dus uit de map images enkel bestanden toestaan met bv de extensie jpg of png en alle andere botweg weigeren. Zou een kwaadwillende het inderdaad voor elkaar hebben gekregen om script in je map images te krijgen, dan kan dat script niet worden uitgevoerd.

In de map catalog staan een hele zwik php bestanden, maar !!! geen enkel php bestand word direct vanuit de www aangeroepen, alles gaat via de index.php die als 'router' fungeert. Dus ... je kan botweg alle files in de map catalog, behalve wat images en js en css die in de map template zitten, weigeren.

De map system, alles wat daar in staat word nooit direct vanuit www aangeroepen, dus met een htaccess alles weer botweg weigeren.

De admin map, helemaal simpel, htaccess erop en een htpasswd, helemaal niemand op de shopowner na heeft daar wat te zoeken. Dus weigeren.

Active Member

Posts

Joined
Fri Oct 30, 2009 5:36 am

Post by OCyvon2 » Fri Feb 11, 2011 10:09 pm

i2Paq wrote:OK, ik heb het hele verhaal vertaald naar het Engels en geplaatst Hier.

Tevens heb ik de benodigde bestanden aangemaakt in de juiste directory-structuur en deze zitten compleet met Nederlandse en Engelse readme's in bijgevoegde zip.

Doe er uw voordeel mee!

Top ;)

OpenCartstore
Gebruikersgids (admin handleiding)


User avatar
Active Member

Posts

Joined
Sun Jan 31, 2010 8:00 pm
Location - Zaandam, The Netherlands

Post by i2Paq » Thu Mar 03, 2011 2:43 pm

OK, ik heb besloten een pagina aan de documentatie toe te voegen mbt. dit onderwerp.

Alhoewel het aan ierdereen persoonlijk is om er voor te zorgen dat de security van zijn/haar site optimaal is merk ik toch dat een hoop mensen hulp nodig hebben hiermee.

Ik wil een zo strak mogelijke handleiding maken met daarin een zip die in 1x alles regelt behalve aanpassingen aan de .htaccess in de root van OpenCart.

Wel wil ik een werkend voorbeeld van een root .htaccess meegeven.

zrxRaver heeft mij via PM een opzetje hiervoor gestuurd:
probeer zoiets eens uit in de root

Code: Select all

RewriteEngine On
RewriteBase /

RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpg$ [NC]
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpeg$ [NC]
RewriteCond %{REQUEST_FILENAME} !^(.+)\.png$ [NC]
RewriteCond %{REQUEST_FILENAME} !^(.+)\.gif$ [NC]
RewriteCond %{REQUEST_FILENAME} !^(.+)\.css$ [NC]
RewriteCond %{REQUEST_FILENAME} !^(.+)\.js$ [NC]
RewriteCond %{REQUEST_FILENAME} !^(.+)\.html$ [NC]
RewriteCond %{REQUEST_FILENAME} !^(.+)\.shtml$ [NC]
RewriteCond %{REQUEST_FILENAME} !index.php$ [NC]
RewriteRule ^(.+)$ index.php?route=not_found [L,QSA,NC]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)\?*$ index.php?_route_=$1 [L,QSA]
de 2 regels met html en shtml kunnen misschien zelfs eruit, als je geen error pages in je root hebt.

kan zijn dat je index.php bij de url vd admin moet plakken als je een 404 krijgt.
deze htaccess laat alleen de extensies door zoals je ze ziet, en alleen de index.php laat hij door. Dus rete strak.
Mijn idee is dat als een hacker het uberhaupt voor elkaar gekregen hebt om files met php erin op de server te krijgen, dat ze niet uitvoerbaar zijn, vandaar dat ik alleen de index.php doorlaat, en images en css.
Jullie hulp in meedenken en testen hierin is van belang en graag hoor ik van jullie of code tbv. de root .htaccess "werkt".

Norman in 't Veldt
Moderator OpenCart Forums

_________________ READ and Search BEFORE POSTING _________________

UPGRADE to 2.x: Contemplate before thou begins!

Our FREE search: Find your answer FAST!.

BUGs?: Known BUGS for All OC Versions.

[How to] BTW + Verzend + betaal setup.


User avatar
Global Moderator

Posts

Joined
Mon Nov 09, 2009 7:00 pm
Location - Winkel - The Netherlands

Post by Tony Montana » Sat Mar 05, 2011 7:09 am

Hello Forumleden,

Ik ben nieuwe bij opencart en dit topic lijkt me alvast heel zinvol. Ik vroeg me af of ik bovenstaande aanpassingen nog kan nu ik al enkele dingen aangepast heb qua inhoud.

Vind ik al deze tips ook ergens in een overzichtelijke en duidelijke tutorial?

Vriendelijke groeten

Newbie

Posts

Joined
Sat Mar 05, 2011 7:04 am
Who is online

Users browsing this forum: No registered users and 7 guests