0
media

Protegendo sua loja OpenCart

Versão do OpenCart utilizada neste tutorial:

OpenCart 2.0.3.1 ou superior

Requisitos para este tutorial:

Conhecimentos na utilização de cliente FTP.
Conhecimentos na edição de arquivos .htaccess.

Introdução:

Este guia lhe orientará sobre rotinas de segurança para sua loja.

Vamos lá!

1º Cuide da segurança básica da área de administração do OpenCart:

– NUNCA utilize usuários de acesso a administração da loja como:
admin, administrador, administrator, webmaster, master, mestre, teste, nome ou e-mail da loja, etc.

– NUNCA utilize senhas de acesso a administração da loja como:
123, 123mudar, senha, mudar, 1234, 12345, 123456, 321, 852, abc, abc123, nome da loja, etc.

NUNCA utilize o mesmo e-mail da loja como o e-mail vinculado ao cadastro de usuários com permissões de administração da loja, tenha sempre um e-mail para cada usuário e outros para os serviços da loja.

Em resumo, sempre utilize nomes de usuários não comuns e que podem ser compostos por letras, números, traços e pontos, assim como senhas compostas por letras, números e símbolos.

Lembre-se que há exploits para bruteforce que possuem listas dos nomes/senhas mais utilizados em administrações de lojas online e outros sistemas, logo todo cuidado é pouco.

2º Bloqueie a listagem de arquivos em suas pastas:

Alguns servidores de hospedagem permitem que o conteúdo de pastas seja listado, exibindo os arquivos existentes dentro da pasta, caso alguém acesse-a diretamente via navegador. Isso é uma falha de segurança, pois expõe os seus arquivos para todo mundo, e pode ser usado para coletar dados para um ataque.

Para impedir que os arquivos de suas pastas sejam listados, modifique o nome do arquivo .htaccess.txt para .htaccess , este arquivo vem dentro da pasta upload junto com os arquivos e pasta do OpenCart.

3º Proteja seu arquivo de configuração:

Em alguns raros casos, falhas nos servidores de hospedagem permite que os arquivos .php não sejam interpretados corretamente, expondo assim todo o conteúdo de seu arquivo config.php, que guarda informações de acesso ao seu banco de dados como o nome do banco, usuário e senha de acesso, para evitar que isso aconteça, inclua no final do arquivo .htaccess a linha abaixo:

<FilesMatch ^config.php$>
  Deny from all
</FilesMatch>
4º Cuidado com as extensões, modificações e temas que serão instalados em sua loja:
Sua loja pode ter falhas de segurança por causa de extensões, modificações e temas mau desenvolvidos ou piratas!
O OpenCart é um sistema muito seguro e com desenvolvimento acelerado, o que significa que em um curto espaço de tempo, sempre são lançadas novas versões com correções e melhorias. Porém, “você pode está dormindo com o inimigo” ao instalar extensões, modificações ou temas mau desenvolvidos ou piratas, por isso, não sai instalando em sua loja tudo que baixar, sempre teste antes em uma loja de teste, isso mesmo, sempre tenha uma loja para testes, e preferencialmente verifique se existem relatos de problemas com a extensão, modificação ou tema.

5º Criptografe os dados trocados entre a loja e o cliente:
Em resumo, tenha um certificado de segurança para conexão https instalado e configurado em sua loja, pois nenhum cliente confiará em sua loja se você não investe no mínimo de segurança para a troca dos dados entre cliente e loja.
O OpenCart já tem suporte nativo ao uso de SSL, basta que você solicite orientação ao suporte de sua hospedagem sobre como adquirir e instalar o certificado de segurança, e depois leia o tutorial abaixo para habilitar no OpenCart o SSL:

http://www.opencartbrasil.com.br/tutoriais/habilitando-conexao-https-opencart

6º Utilize sempre a última versão do OpenCart:

Muitos proprietários de lojas resistem a atualizações de suas lojas por medo de incompatibilidade com extensões ou problemas em seus temas (templates), porém, deve-se levar em consideração que a cada atualização existem melhorias e correções de segurança.

O ideal é sempre atualizar a sua loja assim que sair uma nova versão, pois quando a nova versão é lançada, todos os bugs (incluindo os de segurança), se tornam públicos.

O mesmo faça com suas extensões, modificações e temas, evitando assim abrir uma porta secundária para entrada de ataques na sua loja.

7º Mantenha-se atualizado:

As informações aqui citadas, são apenas medidas preventivas de nível básico, toda loja deve ter o suporte de profissionais qualificados e essencialmente uma hospedagem de qualidade. Se você tem dúvidas sobre a qualidade de sua hospedagem, pesquise sobre ela no Google, e se você for o profissional que irá cuidar da loja, assine os canais das redes sociais do OpenCart Brasil e esteja atento a qualquer notificação de problemas ou atualizações.

Dúvidas:

Caso ainda tenha dúvidas, pesquise no fórum OpenCart Brasil.