Hace tiempo que salió la versión 2.2 de Oscommerce y desde entonces se han encontrado fallas de seguridad, algunas realmente graves que pueden llegar a afectar completamente el hosting donde alojamos nuestros archivos. Aqui hay algunas recomendaciones para prevenir ataques e inyecciones de código malicioso.
A mi me paso con varias tiendas oscommerce, sobre todo las de Milleston 2.2rca, las cuales sufrian frecuentemente de inyecciones de código en mis archivos PHP, JS y HTML e incluso en algunos campos de las bases de datos.
Estas inyecciones incluian codigo malicioso, que redireccionaba a los visitantes de mis tiendas a sitios de hackeo o infectadas con virus autodescargables y cosas asi.
En definitva mis sitio web esra repotado con un sitio peligroso y ahi empezaba el trabajo de depuracion limpieza y recuperacion de la credibilidad, que al final de cuentas es lo mas importante y dificil.
Lo ideal es actualizar la tienda a la versión mas reciente, (actualmente vamos en las 3.0.2) y eso mejoraría muchas cosas, pero hay muchos que como yo no tienen un amplio conocimiento de maquetación con CSS y es una verdadera odisea darle diseño al sitio. O por que tienen cientos de productos publicados y la actualziacion implica mucho tiempo y dinero.
Sea como sea, hay algunos tips, que audarán a que su tienda sea mas segura y le pondrán mas dificultad a los hackers.
1 · Trabaja siempre en un mismo navegador, uno bueno y relativanmente seguro como Chrome o Firefox, No usues IE por que muchas veces trae complementos instalados que te roban informacion desde las cookies y ni el antivirus las detecta.
2 · Por defecto las versiones anteriores a la 2.3 venian con la carpeta de administracion por defecto como "/admin/" aqui es una de las prinicipales desventajas ya que los hackers saben exactamente a donde llegar, por eso debemos cambiar el nombre de esta carpeta, por algo complicado como " 4qU1-n0-3n7r4$ " mas o menos es lo mismo que escribir " Aqui-no-Entras " pero cambiando letras por numero y simbolos, esto le complica muchisimo la vida a los hackers. En el archivo de configuracion ubicado en tu carpeta "admin/includes/configure.php" ya cambiada sería "4qU1-n0-3n7r4$ /includes/configure.php" debes editar las lineas donde aparezca el nombre de la carpeta "admin" por "4qU1-n0-3n7r4$ ". No olvides ponerle permisos (444) a este archivo.
Si quieres más seguridad para esta carpeta, puedes restringir su acceso usando contraseña de servidor con .httacces o con alguna herramienta que tu hosting te ofrezca
3 · Muy importante, No instalar cuanta contribucion encontremos, he visto tiendas que le instalan muchas contribuciones, y peligrosamente las contribuciones, llegan a ser agujeros de seguridad que rara vez se notan. Revisa muy bien que antiguedad tiene la contribucion, cuantos cambios o actualizaciones ha tenido y si ya aparece como estable o si tiene revisiones recientes.
4· Eliminar los archivos "define_language.php" y "file_manager.php" ya que estos dos archivos permiten editar los demas archivos de tu sitio, así que pueden usarlos para inyectar codigo en tu web…
5· Asegura tu carpeta de imagenes "images" agregando un archivo .httacces que no permita ver el contenido de tu carpeta y que no permita que te ingresen archivos de script (php, perl, js, hetml, etc), puedes encontrar un ejemplo de este archivo aqui.
- Comparte este Artículo:
- Share
Muchas gracias Leopoldino, me sirvio mucho tu post ya que venia sufriendo constantemente de ataques a mi web de oscommerce, pero desde que apliqué tus consejos has cesado definitivamente.
Sigue publicando cosas asi que yo seguire visitando tu página.