Tăng cường bảo mật cho opencart

Vì lý do là mã nguồn mở nên opencart không thực sự bảo mật ( bạn có thể biết được cấu trúc các thư mục và file trong host ), khiến cho trang web dễ bị tấn công. Một vài bước sau đây sẽ giúp bạn tăng cường bảo mật cho opencart hơn.


1. Các bước cần thiết để làm sau khi cài đặt

- Xóa ngay lập tức thư mục /install/
- Chmod file config.php trong thư mục root và thư mục /admin/ thành  444

2. Tạo trang báo lỗi 404 hợp lý
 

Tạo một tập tin có tên 404.html trong thư mục gốc (đây là thư mục gốc của cửa hàng OpenCart của bạn). Bạn có thể đặt bất cứ điều gì trong tập tin. Tập tin này giúp cho việc điều hướng truy cập tốt hơn.

 

3. Bảo mật cho thư mục /admin/

 

- Để che dấu thư mục /admin/ hãy đổi lại tên khác ví dụ /hihihi/. Sau đó và file  /admin/config.php để sửa /admin/ thành /hihihi/ như sau:

define(‘HTTP_SERVER’, ‘http://www.yourdomain.com/admin/’); thành

define(‘HTTP_SERVER’, ‘http://www.yourdomain.com/hihihi/’);

 - Đặt mật khẩu bảo vệ thư mục /admin/ của bạn với htpasswd. Nếu bạn đang ở trên cPanel web hosting, sau đó bạn có thể làm điều này một cách dễ dàng với mật khẩu bảo vệ thư mục đặc trưng. Phương pháp này sẽ yêu cầu bạn phải đăng nhập hai lần, nhưng nó cũng có giá trị nó.

4. Bảo mật cho thư mục /system/

 

Ở đây chứa các file mở rộng của hệ thống. Do đó, bất cứ ai cũng có thể xem và tải về các file như file báo lỗi http://www.yourdomain.com/system/logs/error.log. Bạn phải bảo vệ các tập tin này, nên tạo ra một  file .htaccess với nội dung sau:

 

<Files *.*>
Order Deny,Allow
Deny from all
</Files>  

Sau đó copy file .htaccess này vào 2 thư mục : 

/system/

/system/logs/

5. Bảo mật cho thư mục /catalog/

Thư mục này chứa các file ảnh, javascript và template. Để ngăn chặn các truy cập không cần thiết nên tạo một file .htaccess đặt trong /catalog/ có nội dung sau:
Options +FollowSymlinks
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpeg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.png$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.gif$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.css$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.js$
RewriteRule ^(.+)$ /404.html [NC]  

6. Bảo mật thư mục /images/

Tạo thêm file .htaccess trong /images/ với nội dung sao

Options +FollowSymlinks
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.jpeg$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.png$
RewriteCond %{REQUEST_FILENAME} !^(.+)\.gif$
RewriteRule ^(.+)$ /404.html [NC]

Nếu trang web sử dụng thêm các file dạng .swf hay .flv thì bạn nên dòng RewriteCond tương tự trên vào file .htaccess trong /catalog/ và /images/