Proteger su tienda osCommerce

La cuestión de seguridad siempre es una de las cosas más importantes para cualquier propietario de una tienda de comercio electrónico. En esta entrada vamos a mostrar algunas maneras de mejorar la seguridad de su tienda de osCommerce 2.2 y aumentar la seguridad de los visitantes de su tienda.

El motor de OsCommerce 2.2 tiene varias vulnerabilidades y es muy importante solucionar estos problemas antes de que ellos no han sido utilizados por algunos hackers. Además, como osCommerce es un producto de código abierto miles de desarrolladores están trabajando mucho para ofrecer algunos addons y contribuciones que pueden ampliar la funcionalidad de su tienda, añadir nuevas funciones y oportunidades. Pero la instalación de cualquier addon/complemento de terceros puede añadir nuevas vulnerabilidades a su tienda…

Vamos a empezar desde las cosas básicas.

Eliminar el directorio de instalación

Al abrir su sitio web instalado de osCommerce primera vez, se puede ver los mensajes de advertencia en la parte superior de la página. Uno de ellos está relacionado con el directorio "install".

Warning: Installation directory exists at: …/install. Please remove this directory for security reasons (Advertencia: El directorio de instalación existe en: … / install. Por favor, elimine este directorio por razones de seguridad).

En este caso Usted tiene dos opciones:

• Eliminar el directorio “install” de la carpeta osCommerce en su servidor (recomendado)
• Cambiar el nombre de la carpeta “install” (por ejemplo,”install1″).

Configurar permisos

Dos otras advertencias están relacionadas con los permisos correctos de CHMOD de los ficheros de configuración. Puede consultar el tutorial detallado para resolver este problema – mensaje de advertencia de permisos

También tenga en cuenta que los permisos CHMOD de otros directorios no deben estar más de 755. Si su proveedor de hosting requiere permisos 777 de carpetas, es el mejor momento de buscar el nuevo proveedor de hosting.

Segura panel de administración

Por el momento, puede hacer dos cosas:

• cambiar el nombre del directorio admin
• añadir la protección de .htaccess en este directorio

Cambio del nombre de directorio de administración es una buena medida, pero nunca fue aconsejada en el procedimiento de instalación. Después de cambiar el nombre del directorio de administración, tendrá que cambiar dos líneas en directorio_admin_con_nuevo_nombre/includes/configure.php:

	define('DIR_WS_ADMIN', '/renamed_admin_directory/');
	define('DIR_FS_ADMIN', '/your/path/to/directory/renamed_admin_directory/');

Para proteger su directorio de administración con contraseña puede utilizar la función de protección por contraseña mediante el panel de control de su web hosting. Por favor, póngase en contacto con su proveedor de alojamiento para obtener más detalles.

Eliminar Administrador/Gestor de ficheros

El gestor de ficheros es un riesgo para la seguridad y debe ser eliminado, si utilizado para la edición de su sitio web este gestor puede dañar sus ficheros, por lo que es una utilidad mala en este caso. También es conocido como una ruta de hacking posible y ahora existe un hack muy desagradable que utiliza gestor de ficheros para obtener acceso a su sitio web.

Para eliminar gestor de ficheros por favor, siga estos pasos:

1. Abra su directorio de instalación de osCommerce y elimine file_manager.php de la carpeta catalog/admin
2. Abra el fichero “admin/includes/boxes/tools.php” y borre la línea:

   			'<a href="' . tep_href_link(FILENAME_FILE_MANAGER) . '" class="menuBoxContentLink">' . BOX_TOOLS_FILE_MANAGER . '</a><br>' .
   		

3. admin/define_language.php es vulnerable a los mismos hacks que el gestor de ficheros, por lo que también debe ser eliminado.

Segurar formularios

Security Pro limpia la cadena de consulta, sin embargo cualquier formulario que utiliza $_POST no es afectado, si Usted tiene cualquier formulario que utiliza el método de entrada, se le recomienda hacer lo siguiente en las páginas que aceptan $_POST vars.

Abra el fichero con el formulario que utiliza el método POST y después:

	require('includes/application_top.php');

agregue lo siguiente:

	// clean posted vars
reset($_POST);
          while (list($key, $value) = each($_POST)) {
                   if (!is_array($_POST[$key])) {
                          $_POST[$key] = preg_replace("/[^ a-zA-Z0-9@%:{}_.-]/i", "", urldecode($_POST[$key]));
                } else { unset($_POST[$key]); } // no arrays expected 
          }

Prevenir ataques de inyección

Security Pro

El objetivo principal de este addon es prevenir cualquier ataque de inyección en su tienda de osCommerce a través de la vulnerabilidad en la cadena de consulta ($_GET/$HTTP_GET_VARS). Es un complemento bueno para osCommerce 2.2 y 2.3.

Acerca de addon (info del manual de addon)

El primero Security Pro fue escrito en marzo de 2008 cuando las tiendas de osCommerce eran hackeadas a través de la cadena de consulta por medio de contribuciones mal codificadas como testimonios. Ahora es todavía necesario para las nuevas versiones 2.3.x de osCommerce. El objetivo de Security Pro no es la codificación de osCommerce que es bueno, su objetivo es miles de contribuciones, que son por lo general mal escritas.

Este el código nuevo, pero el concepto es el mismo. Con Security Pro instalado, es imposible pasar malos caracteres a través de la cadena de consulta, cuando la página carga application_top.php, que hacen todas las páginas de osCommerce.

Las contribuciones XSS .htaccess en mi opinión no valen nada si este está instalado, ya que simplemente replican una pequeña parte de lo que Security Pro hace. La única excepción fue REQUEST_METHOD y TRACE|TRACK.

El concepto es simple pero efectivo. Es una pérdida de tiempo crear la lista negra del gran número de vectores de hacking como los scripts XSS tratan de hacer .. la única solución es lista blanca y esto es lo que Security Pro hace muy bien.

Instalación

El procedimiento de instalación es rápido y sencillo por lo que no debe tener dificultades.

1. Descargue el paquete de addon y extraiga los ficheros
2. Abra el paquete de Security Pro y encuentre el directorio “upload > catalog”. Suba el directorio “includes” a la raíz de osCommerce. La carpeta contiene un fichero nuevo por lo que no hará daño a su tienda.
3. Encuentre la carpeta “catalog/includes” y abra el fichero “application_top.php”
4. Utilice la herramienta Buscar y reemplazar y busque la línea

   			if ($request_type == 'NONSSL') {
   		

   y hayq ue añadir lo siguiente antes de ella:

   				// Security Pro by FWR Media
   				include_once DIR_WS_MODULES . 'fwr_media_security_pro.php';
   				$security_pro = new Fwr_Media_Security_Pro;
   				// If you need to exclude a file from cleansing then you can add it like below
   				//$security_pro->addExclusion( 'some_file.php' );
   				$security_pro->cleanse( $PHP_SELF );
   				// End - Security Pro by FWR Media
   		

Eso es todo. La instalación está completa.

¿Cómo verificar si está funcionando?

Usted ha realizado algunas modificaciones de ficheros y ha subido un nuevo fichero. Estoy seguro de que quiere verificar si el addon está trabajando bien. Para la prueba abra la página de búsqueda avanzada o utilice el cuadro de búsqueda. En el campo de búsqueda pegue el siguiente combinación: [w](o)%3Cr%3Ek|i*n^g. Ejecute la búsqueda y luego la consulta de búsqueda debe mostrar: “working”.

Los cambios no autorizados

Controlar sitio

Esta contribución crea un registro de sus ficheros para que puedan ser verificados más tarde. Si algunos ficheros han sido añadidos o eliminados, o el tamaño, la marca de tiempo o los permisos han sido cambiados, se le notificará por correo electrónico.

Puede utilizar addon para osCommerce 2.2 o 2.3.

Instalación

1. Descargue la contribución y extraiga los ficheros
2. Dependiendo de la versión de osCommerce abra la carpeta oscommercce_2.3 o oscommerce_MS2_o_RC2 y copie y pegue la carpeta admin en la raíz de su osCommerce. Sólo los ficheros de esta contribución serán reemplazados.
3. Abra el fichero admin/includes/languages/english.php y agregue lo siguiente en cualquier lugar antes de la etiqueta del cierre ?>

   			// sitemonitor text in includes/boxes/sitemonitor.php
   			define('BOX_HEADING_SITEMONITOR', 'SiteMonitor');
   			define('BOX_SITEMONITOR_ADMIN', 'Admin');
   			define('BOX_SITEMONITOR_CONFIG_SETUP', 'Configure');
   			define('IMAGE_EXCLUDE', 'Exclude');
   		

4. Abra el fichero admin/includes/filenames.php y agregue lo siguiente en cualquier lugar antes de la etiqueta del cierre ?>

   			define('FILENAME_SITEMONITOR_ADMIN', 'sitemonitor_admin.php');
   			define('FILENAME_SITEMONITOR_CONFIG_SETUP', 'sitemonitor_configure_setup.php');
   			define('FILENAME_SITEMONITOR_CONFIGURE', 'sitemonitor_configure.txt');
   		

5. Abra el fcihero admin/includes/column_left.php y agregue lo siguiente antes de la etiqueta del cierre ?>

   			require(DIR_WS_BOXES . 'sitemonitor.php');
   		

   para osCommerce 2.2 y

   			include(DIR_WS_BOXES . 'sitemonitor.php');
   		

   para osCommerce 2.3
6. Abra el panel de administración de osCommerce y elija admin->Sitemonitor->Configure para configurar el complemento.
   
7. Para encontrar más configuraciones revise el fichero readme.txt del paquete de complemento/addon.

Bloquear intentos de acceso con la trampa de IP

Proteger su sitio con una trampa de IP

La contribución funciona mediante creación de una trampa en una carpeta que sólo los robots, o alguien hurgando en su sitio se encontrarán (los hackers utilizan Robots.txt para tratar de encontrar el fichero confidencial en el servidor), ella redirecciona a una página de mensaje que les dice que están bloqueados, al mismo tiempo escribiendo su número de IP en su fichero. Si intentan regresar, sólo recibirán el mensaje que les dice que están bloqueados.

Instalación

1. Descargue el paquete de addon y extraiga los ficheros
2. Abra el paquete de addon y encuentre la carpeta “catalog”
3. Suba todos ficheros y carpetas al raíz de instalación de osCommerce
4. Abra el fichero “personal/index.php” y reemplace la dirección de correo electrónico de muestra con su propia:

   			$emailad = 'you@yoursite.com';
   		

   hay que colocarla dentro de los apóstrofes .
5. Abra el fichero “includes/application_top.php” y encuentre las líneas:

   			// include the list of project filenames
   			require(DIR_WS_INCLUDES . 'filenames.php');
   		

   después de estas líneas hayq ue añadir:

   			// IP Trap V5
   			include(DIR_WS_INCLUDES . 'secret.php'); 
   		

6. Eso es todo. El complemento está instalado.

Para encontrar más información sobre la configuración de addon por favor marque consulte el fichero “install.txt” del paquete de addon.

Protección de htaccess

Proteger su sitio a través de htaccess

Esta contribución contiene scripts que le ayudan a proteger su sitio a través de su fichero htaccess. Es una colección de scripts .htaccess para ayudarle a protegerse de las sorpresas desagradables. Con una gran cantidad de ataques, este fichero prohíbe un montón de robots malos, libwww-perl, en particular, que tomará todo ancho de banda. No se puede utilizar .htaccess en un servidor de Windows.

1. Descargue el paquete del addon y extraiga los ficheros
2. Abra el fichero htaccess_protection.html en el navegador y utilice los scripts htaccess agregando ellos al ficher .htaccess que se encuentra en la instalación de osCommerce.

Uso de scripts htaccess requiere algunos conocimientos avanzados, por eso si no están familiarizados con ellos por favor asegúrese de hacer copias de seguridad del fichero .htaccess antes de realizar cualquier modificación.