Mejora la seguridad de tu tienda OpenCart

Hospedaje Web Personal, Hospedaje Web Premium, Hospedaje web SúperLinux, Opencart, Wordpress 0 Comments

Seguridad para OpenCart

Muchas personas reportan frecuentemente que su tienda OpenCart ha sido comprometida o hackeada. Algunas de las recomendaciones básicas para mejorar la seguridad de tu tienda hecha con OpenCart las encuentras a continuación.

1. Elimina la carpeta de instalación de OpenCart

Esta es una recomendación común a casi todo tipo de script que instalas en tu sitio: elimina la carpeta de instalación una vez que tu sitio está ya instalado y funcionando. OpenCart envía un pequeño mensaje de error que aparece en la sección del administrador si esa carpeta sigue presente. No te arriesgues más, quítalo.

2. Protege los archivos de configuración de OpenCart

El segundo paso consiste en proteger tus archivos de configuración. Estos archivos contienen el detalle de la configuración y estructura de tu sitio. Cambia los permisos en los siguientes archivos a 0444.
config.php
admin/config.php

3. Renombra tu carpeta Admin

OpenCart, muy similarmente a WordPress, tiene una página de entrada por defecto. Cualquier persona familiarizada con el script sabe que así es. WordPress tiene su wp-admin, OpenCart tiene su www.tudominio.com/admin, y todo mundo lo sabe. Es extremadamente fácil cambiar el nombre de esa carpeta y configurar OpenCart para que funcione con el nuevo nombre.

Renombra tu carpeta admin al nombre de tu preferencia, un nombre que no sea fácil de ubicar. Por ejemplo, www.tudominio.com/DUMRR. Luego abre los siguientes archivos:
config.php
admin/config.php
y realiza un «Buscar y Reemplazar» para cambiar todas las ocurrencias de la palabra admin por el nombre que hayas elegido, en este caso DUMRR.

4. Protege con password tu carpeta Admin

Cualquiera sea el nombre que hayas elegido para renombrar tu carpeta admin, asegúrate que proteges la carpeta con password para incrementar la seguridad de la sección del administrador de OpenCart. Eso significará que debes de entrar dos veces (una vez: la seguridad adicional, otra vez: login de OpenCart), pero es una bendición en términos de seguridad ya que no se mostrará nada de esa sección hasta colocar el primer password. El password debe ser una mezcla de números, letras y símbolos.

5. Restringir acceso al área Admin

Puedes crear un archivo .htaccess simple para denegar el acceso a cualquier persona a tu área de admin si no proviene de las IPs autorizadas por ti. Algunos podrán decir que las IPs pueden ser simuladas, lo cual es correcto. Sin embargo, requerirán primero conocer tu dirección IP para intentar simular esa IP, lo cual es un punto a favor de la seguridad de tu sitio web. Es un paso adicional importante en la seguridad de tu tienda en línea.

Copia el código siguiente, y cambia el valor correspondiente a tu IP o IPs autorizadas para ingresar:

# PROHIBIR USUARIO POR IP
<Limit GET POST>
order deny,allow
deny from all
allow from XX.XX.XX.XX
allow from ZZ.ZZ.ZZ.ZZ
</Limit>

Coloca el archivo .htaccess dentro de carpeta de administración de tu tienda para que restrinja el acceso via IP. Si tu IP es dinámica no olvides cambiar ese dato cada vez que reinicies el módem.

6. Restringir el acceso vía FTP

Es fácil contar con un acceso FTP que puedas proporcionar a cualquier persona, diseñador o desarrollador, que ayude en tu sitio. Sin embargo, no olvides eliminar cualquier acceso FTP que no esté en uso regular ya que son una puerta de acceso innecesaria hacia tu sitio. Si tienes una cuenta FTP, pueden restringir el acceso a ella por medio de un archivo .ftaccess

Un archivo .ftaccess funciona casi en la misma manera que un archivo .htaccess. Este archivo define los directorios que estarán visibles a quien se conecte via FTP utilizando su dirección IP. Copia el código que se muestra abajo y guárdalo como .ftaccess. Súbelo al directorio que deseas hacer invisible (no olvides colocar tu IP allí):

DenyAll
Allow XX.XX.XX.XX
Allow ZZ.ZZ.ZZ.ZZ

Al igual que con .htaccess, si tienes IP dinámica no olvides actualizarla si reinicias el módem.

7. Remueve la liga Powered by OpenCart

Al dejar la liga Powered by Opencart, incluso los novicios deseosos de ser hackers sabrán que operas una tienda utilizando este script. Quítala del footer del script.

8. Esconde los errores PHP de Opencart

Es muy útil tener el mensaje de error que envía una página en caso de algún problema, pero dejarlo habilitado es igualmente útil para un hacker. Deshabilita esta opción entrando al área de administración en System -> Settings -> Edit -> Server y cambia la opción Display Errors a «NO».

9. Un buen hospedaje web

Hay varias opciones para alojar una tienda OpenCart. Las opciones van desde hospedaje web compartido, vps, semidedicado o servidores dedicados. Todo dependerá de los requerimientos de espacio y potencia de tu sitio. No olvides que un buen hospedaje web es un punto a favor para la mejor seguridad de tu sitio.

Más información sobre seguridad en Tiendas OpenCart aquí.