Ergebnis 1 bis 1 von 1

Thema: Wichtige Sicherheitsempfehlungen für Zen-Cart

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Jedi-Ritter Avatar von webchills
    Registriert seit
    30.10.2004
    Ort
    Österreich
    Beiträge
    6.100
    Themen
    85
    DANKE
    3
    Erhaltene Danke: 963

    Beitrag Wichtige Sicherheitsempfehlungen für Zen-Cart

    Betreiben Sie Ihren Onlineshop NICHT OHNE SSL!
    Ihre Kunden können erwarten, dass ihre Daten beim Konto erstellen, Login, Daten ändern und im Bestellablauf nicht völlig unverschlüsselt übertragen werden. Empfohlen ist ein "echtes" auf Ihre Domain ausgestelltes SSL Zertifikat, Sie sollten aber mindestens ein von den meisten Providern angebotenes "Shared SSL" verwenden. Nähere Informationen dazu gibt Ihr Provider.
    Auch für Ihre Zen Cart Administration ist SSL eine ganz wesentliche Absicherung.

    Übertragen Sie Daten per FTP nur per SFTP oder FTPS
    Per normalem FTP werden die Daten unverschlüsselt übertragen. Sollte Ihr Provider keine SFTP oder FTPS Übertragung unterstützen, stellt sich die Frage, ob der Provider für Ihren Onlineshop wirklich geeignet ist.

    Nach erfolgreicher Installation des Shops sind folgende Maßnahmen empfohlen, um die Sicherheit des Shops zu erhöhen.

    1. Löschen Sie das Installationsverzeichnis zc_install und andere nicht benötigte Dateien und Ordner

    Der Ordner zc_install wird am Server nicht mehr benötigt und sollte komplett gelöscht werden. Er wurde bereits vom Installationsprogramm auf zc_install_irgendeinelangeziffernzahlenkombination umbenannt. Nicht umbenennen und am Server lassen, sondern komplett löschen!
    Falls Sie auch folgenden Ordner hochgeladen haben, löschen Sie diesen ebenfalls:
    - docs
    Der Ordner docs enthält nur Anleitungen und wird am Server nicht benötigt.
    Löschen Sie auch folgende Datei:
    - install.txt

    Falls Sie in Ihrem Shop keine Downloads oder Musikdateien anbieten werden, können Sie auch die folgenden Ordner löschen:
    - download
    - media
    - pub
    Damit Sie keine Warnmeldung über den fehlenden Downloadordner bekommen, müssen Sie danach in der Administration unter Konfiguration > Attributeinstellungen "Downloads aktivieren" auf false stellen.
    Sollten Sie später einmal Downloads anbieten wollen, müssen Sie diese Ordner wieder hochladen und ihnen die entsprechenden Berechtigungen geben.

    Hinweis:
    In älteren Zen Cart Versionen konnte der Ordner extras gelöscht werden. Seit Zen Cart 1.5.3 deutsch diesen Ordner keinesfalls löschen, da er für die Funktionalität benötigt wird!

    2. Setzen Sie einen Schreibschutz für die beiden configure.php

    Die beiden Zen Cart Konfigurationsdateien sollten nachdem Sie darin alle gewünschten Änderungen vorgenommen haben, nicht mehr am Server änderbar sein.
    Daher müssen sie mit einem Schreibschutz versehen werden. Normalerweise wird das vom Installationsprogramm automatisch gemacht.
    Wenn sich Ihr Shop auf einem Linux-Server befindet, setzen Sie den Schreibschutz mit Ihrem FTP Programm und geben folgenden Dateien den Befehl chmod 444
    includes/configure.php
    DEINADMIN/includes/configure.php


    3. Verwenden Sie als Emailtransportmethode smtpauth oder smtp

    Unter Konfiguration > Emailoptionen können Sie einstellen, wie Ihr Shop Emails versenden soll. Standardmäßig ist hier meist PHP eingestellt, damit der Shop direkt einsatzbereit ist.
    Es ist wesentlich besser, die Emails über einen SMTP Server versenden zu lassen. Zum einen reduziert das die Wahrscheinlichkeit, dass Emails bei Ihren Kunden im Spamordner landen. Zum anderen ist es bei Versand über PHP je nach Serverkonfiguration möglich, dass bei Mails aus dem Adminbereich (z.B. Bestellstatusupdates) der Name Ihres admin Verzeichnisses im Mail auslesbar ist.
    Daher stellen Sie um auf smtpauth und geben weiter unten in der Konfiguration den Namen Ihres SMP Servers und eine gültigen Usernamen/Passwort dazu ein.

    4. Löschen Sie alle nicht benötigten Admin Accounts

    Haben Sie mehrere Administratoren angelegt? Werden wirklich mehrere Admin Accounts verwendet? Sind die zusätzlichen Admin Accounts wirklich nötig? Gibt es noch einen Adminaccount namens Demo?
    Überprüfen Sie, ob mehrere Admins angelegt sind und löschen Sie nicht unbedingt benötigte Administratoren.
    Seit Zen Cart 1.5 finden Sie das unter Admin > Admin Benutzerechte > Adminbenutzer

    5. Verwenden Sie sichere Passwörter

    Das Passwort für Ihren Admin Account sollte mindestens 8 Zeichen lang sein und am besten aus einer Ziffern-, Buchstaben-Kombination bestehen. Verwenden Sie auch Groß- und Kleinschreibung. Verwenden Sie keine "normalen" Wörter, die einen Sinn ergeben.
    In Zen Cart 1.5 und höher werden Sie alle 90 Tage automatisch aufgefordert, Ihr Passwort zu änden.
    Passwortänderung in Zen Cart 1.5 und höher unter Admin > Admin Benutzerrechte > Admin Benutzer > Reset Password
    Diese Passwortempfehlungen gelten genauso für Ihren FTP User oder das Passwort zum Zugang zu phpMyAdmin. Verwenden Sie auch hier sichere Passwörter!

    6. Versehen Sie Ihre define pages mit einem Schreibschutz

    Damit Sie unter Admin > Tools > Seiteneditor Ihre Define Pages online bearbeiten können, mussten Sie diesen Dateien Schreibrechte geben.
    Die Dateien befinden sich im Ordner includes/languages/german/html_includes
    Falls Sie weitere Sprachen einsetzen im entsprechenden Sprachverzeichnis, z.B. includes/languages/english/html_includes
    Wenn Sie mit dem Editieren Ihrer Seiten fertig sind, setzen Sie auf all diese Dateien wieder einen Scheibschutz mit chmod 644.
    Wenn Sie später wieder über den Seiteneditor im Adminbereich Änderungen an diesen Seiten vornhehmen wollen, müssen Sie natürlich wieder per FTP den entsprechenden Dateien Schreibrechte geben (z.B. chmod 666)

    7. Verwenden Sie die mitgelieferten .htaccess und index.html Dateien

    In verschiedenen Verzeichnissen der Zen Cart Installation befinden sich .htaccess Dateien und index.html Dateien.
    Löschen Sie diese Dateien nicht! V.a. die verschiedenen .htaccess Dateien z.B. im admin Verzeichnis oder im includes Verzeichnis sind für die Sicherheit Ihres Shops sehr wichtig!
    Die leeren index.html Dateien dienen dazu, dass beim Aufruf des Verzeichnisses nicht der Inhalt angezeigt wird.
    Noch sicherer ist es, dazu zusätzlich eine .htaccess Datei zu erstellen und sie in Verzeichnisse mit einer index.html zu legen.

    Diese .htaccess könnte folgenden Inhalt haben:

    #.htaccess to prevent unauthorized directory browsing or access to .php files
    IndexIgnore */*

    Order Deny,Allow
    Deny from all


    Manche Provider erlauben das manuelle Erstellen von .htaccess Dateien nicht oder benötigen andere Settings als die in obigem Beispiel.
    Nehmen Sie bei Unklarheiten oder Schwierigkeiten mit Ihrem Provider Kontakt auf, um die besten Einstellungen für Ihr System zu ermitteln.

    8. Schützen Sie das images Verzeichnis

    Während der Zen Cart Installation wurde empfohlen, dem images Verzeichnis Schreibrechte zu geben (chmod 777).
    Das dient dazu, dass Sie in der Lage sind, über das Adminmenü Bilder hochzuladen.
    Wenn Sie Ihren Shop fertig eingerichtet haben, ist es besser, das images Verzeichnis wieder auf chmod 755 zurückzustellen.
    Dadurch haben Hacker nicht die Möglichkeit, zu versuchen, schadhaften Code in Ihr images Verzeichnis einzuschleusen.
    Stellen Sie daher die Rechte des images Verzeichnisses und der Unterordner darin von chmod 777 auf chmod 755.
    Ähnlich wie bei Empfehlung 6 (Versehen Sie Ihre define pages mit einem Schreibschutz) müssen Sie dann später möglicherweise wieder auf 777 stellen, bevor Sie über das Adminmenü weitere Bilder hochladen können.

    Sollte bei Ihrem Provider PHP als CGI-Modul laufen, ist folgende .htaccess Datei für das images Verzeichnis empfehlenswert:

    # Prevent directory viewing and the ability of any scripts to run.
    # No script, be it PHP, PERL or whatever, can normally be executed if ExecCGI is disabled.
    OPTIONS -Indexes -ExecCGI

    9. Hinweise zu Schreibrechten für verschiedene Ordner

    Während der Zen Cart Installation wurde empfohlen, bestimmten weiteren Verzeichnissen Schreibrechte (chmod 777) zu geben.
    Nachdem der Shop fertig eingerichtet ist, sind diese Rechte meist nicht mehr nötig.
    Faustregel: Je weniger chmod 777 desto besser!

    Hier einige Informationen zu diesen Verzeichnissen. Bitte wenden Sie sich bei Unklarheiten an Ihren Provider, nicht alle hier beschriebenen Enpfehlungen sind bei allen Providern so möglich.

    logs
    Dieser Ordner wird seit Zen Cart 1.5.3 deutsch nur für das Schreiben von Errorlogs verwendet (ältere Zen Cart Versionen haben dafür den Ordner cache verwendet).
    Statt diesem Ordner chmod 777 zu geben ist es besser, den Ordner eine Ebene über das public_html/htdocs/www Verzeichnis zu legen.
    Verzeichnisse auf dieser Ebene sind im Browser nicht aufrufbar.
    Wenn Sie das tun, müssen sie auch in beiden configure.php den Pfad zum logs Verzeichnis entsprechend anpassen.

    cache
    Dieser Ordner wird seit Zen Cart 1.5.3 deutsch nur noch für echtes Caching verwendet. Unter cache/images werden die vom Image Handler generierten Bildercaches abgelegt und unter cache/minify werden die komprimierten Stylesheets und Javascripts gecached. Auch RSS Feeds werden falls aktiviert im Ordner cache/rss gecached.
    Dieser Ordner muss daher samt Unterverzeichnissen vom Webserver beschreibbar sein und der Inhalt muss per Browser aufrufbar sein.
    Der Ort dieses Ordners sollte seit Zen Cart 1.5.3 deutsch am besten nicht geändert werden.

    images
    siehe Empfehlungen unter 7.

    includes/languages/german/html_includes
    siehe Empfehlungen unter 6.

    media
    Dieses Verzeichnis muss nur Schreibrechte haben, wenn Mediendateien zum Artikeltyp Musik per Admin hochgeladen werden sollen.
    Wenn Sie in Ihrem Shop nichts Derartiges anbieten, setzen Sie das Verzeichnis auf chmod 755

    pub
    Dieses Verzeichnis wird nur verwendet, wenn Sie in Ihrem Shop Downloads anbieten.
    Wenn Sie in ihrem Shop keine Downloads anbieten, setzen Sie das Verzeichnis auf chmod 755

    DEINADMIN/backups
    Dieses Verzeichnis benötigt chmod 777, falls Sie via Admin Sicherungen Ihrer Datenbank durchführen.
    Wenn Sie das nicht verwenden, setzen Sie das Verzeichnis auf chmod 755

    DEINADMIN/images/graphs
    Dieses Verzeichnis benötigt nur chmod 777, um die Statistiken und Grafiken unter Admin > Tools > Banner Manager aktualisieren zu können.
    Wenn Sie dieses Feature nicht brauchen, setzen Sie das Verzeichnis auf chmod 755

    Generelle Empfehlung für alle übrigen Verzeichnisse und Dateien:
    Verzeichnisse: chmod 755
    Dateien: chmod 644

    10. Drucken Sie nicht die Admin URL mit

    Falls Sie Rechnungen über den Adminbereich ausdrucken ("in Rechnung stellen"), achten Sie darauf, dass im Ausdruck nicht die URL mitgedruckt wird:
    In Firefox:
    Datei > Seite einrichten > Ränder & Kopf- und Fusszeilen
    Stellen Sie in allen Dropdownmenüs auf "leer" oder entfernen Sie zumindest "URL" oder "Titel"
    In Internet Explorer:
    Datei > Seite einrichten
    Entfernen Sie bei Kopfzeile und Fusszeile die Werte Titel und URL

    11. Achten Sie auf Sicherheitswarnungen und Updateankündigungen

    Im Forum "News und Ankündigungen" veröffentlichen wir Hinweise auf Sicherheitslücken, Patches und neue Zen Cart Versionen.
    Schauen Sie regelmäßig vorbei oder lassen Sie sich per Email über Ankündigungen in diesem Forum informieren:
    Forum News und Ankündigungen abonnieren


    12. Was Sie regelmäßig tun sollten

    1. Stellen Sie sicher, dass Sie alle Empfehlungen aus dieser Anleitung beachtet haben.
    2. Machen Sie regelmäßig Sicherungen Ihrer Shopdateien und Ihrer Datenbank. Für die Übertragung per FTP verwenden Sie wenn möglich (und wenn von Ihrem Provider unterstützt) FTP via SSL/TLS
    Für die Datenbanksicherung (z.B. via phpMyAdmin) sollten Sie falls möglich SSL aktiv haben.
    3. Überprüfen Sie regelmäßig die Logfiles am Server auf Seltsamkeiten. Achten Sie dabei auf Seitenaufrufe von URLs, zu denen nirgendwo auf Ihrer Seite gelinkt wird. Und achten Sie auf Links, die nach index.php ein http enthalten.
    4. Überprüfen Sie regelmäßig die Datein am Server. Wurden neue Dateien hinzugefügt? Wurden bestehende Dateien geändert?
    Geändert von webchills (20.06.2015 um 19:37 Uhr)
    !!! kostenloser Support ausschließlich im Forum - Nicht per Email, nicht per Telefon und nicht per PM !!!

  2. Folgender User sagt Danke zu webchills für den nützlichen Beitrag:

    Keine Ahnung (26.01.2013)

Ähnliche Themen

  1. Zen Cart für Bilder-Verkauf? Download nach Bezahlung?
    Von dirkkii im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 2
    Letzter Beitrag: 28.02.2008, 11:50
  2. Copyright © 2007 Zen Cart. Powered by Zen Cart
    Von juergen852 im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 10
    Letzter Beitrag: 07.03.2007, 14:29
  3. Vergebliche Versuche sich ein Bild von Zen Cart zu machen
    Von Subhash im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 6
    Letzter Beitrag: 18.12.2006, 22:17
  4. Zen Cart Beta 1.1.3d deutsch inkl. Patch 2
    Von cyaneo im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 1
    Letzter Beitrag: 21.04.2004, 19:36

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
zen-cart-pro.at
Zen Cart ist eine kostenlose unter der GPL-Lizenz veröffentlichte Open-Source Shopsoftware. Das System wird in den USA entwickelt, die amerikanische Website dazu ist www.zen-cart.com

Die deutsche Zen-Cart Version, um die es hier auf zen-cart-pro.at geht, ist eine Anpassung der amerikanischen Version an die Bedürfnisse von Onlineshopbetreibern im deutschsprachigen Raum.

Die deutsche Zen Cart Version wird von einem Team von Entwicklern in Österreich und Deutschland betreut, weiterentwickelt und supportet und steht kostenlos in unserem Downloadbereich zur Verfügung.

[mehr]
Follow Us
  • zen-cart-pro-at auf Twitter
  • zen-cart-pro-at auf Github
  • zen-cart-pro-at auf SourceForge
Aktuelle Version
Zen Cart 1.5.5 deutsch
Revision 1188 vom 02.12.2016
[Download]