El Blog de Oscommerce » Seguridad

Guía básica para securizar nuestras tiendas virtuales Oscommerce

Jose Criado — Wed, 05 Jan 2011 08:35:56 +0000

He publicado en mi blog personal una guía básica para securizar tiendas virtuales Oscomemmerce. Aquí os dejo una copia de la guía para el que quiera consultarla. Mi pequeño regalo de reyes para la comunidad Oscommerce. Espero que os guste

Con las fiestas de navidad no sólo suben las ventas de las tiendas virtuales, también se multiplican los ataques a las mismas. Me han preguntado mucho últimamente sobre cómo proteger una tienda virtual, así que vamos a dar algunas pistas. En este post en concreto nos basaremos en cómo securizar y proteger una tienda virtual Oscommerce, pero muchas de las aplicaciones son extensibles a otros scripts.

1- Versión actualizada y control de plugins, contribuciones y addons instalados.

Es importante estar lo más actualizado posible en la versión de Oscommerce que actualicemos. Actualmente tenemos disponible Oscommerce v2.3.1 pero teniendo la v2.2RC2a es suficiente. Una versión inferior a la v2.2 sería preocupante. Igualmente tenemos que tener cuidado con las contribuciones, plugins y addons que instalamos, ya que pueden tener fallos de seguridad que ni siquiera el mismo creador de la contribución conozca. Ante la duda mejor no instalarla, y si no se tienen conocimientos de programación intentad instalar contribuciones que sean populares (muy utilizadas y testeadas) y revisad en google y foros oficiales si se conoce algún problema en ellas.

2- Corrección de Bugs básicos.

Existen listados de bugs básicos de Oscommerce (la mayoría antiguos) que deben ser corregidos para aumentar la seguridad del mismo. Normalmente no son realmente peligrosos, más bien incómodos de cara al usuario final, pero conviene tenerlos controlados. En Oscommerce.com tenemos un listado de reportes de bugs, además de los foros oficiales en inglés donde más se tratan estos temas. A día de hoy la versión v2.2RC2a la considero lo suficientemente segura, aunque debemos aplicar el siguiente punto para reforzar su seguridad.

3- Dificultad el acceso al admin.

Para acceder al administrador de Oscommerce por defecto se accede a la carpeta /admin, donde te pedirá usuario y contraseña. Además del sistema de usuarios de Oscommerce deberíamos renombrar la carpeta /admin por otro nombre (y adaptar el correspondiente configure del administrador) y añadir una clave de acceso protegiendo la carpeta vía hosting. Estos sencillos pasos multiplican la seguridad de tu tienda virtual, no los dejes pasar.

4- Eliminar el editor de archivos del administrador de oscommerce.

Si por cualquier motivo acceden a nuestro admin, con el editor de archivos tendrían acceso completo a los archivos de nuestro Oscommerce. Es mejor eliminar directamente el archivo, sin más complicaciones. Los que necesiten modificar archivos deberían usar una cuenta de ftp.

5- Control de acceso al administrador por IP.

Con tu .htaccess puedes limitar el acceso al área de administración a una IP determinada. Si tienes IPs fijas esta medida es realmente efectiva, ya que imposibilita el acceso si no te encuentras físicamente en el equipo con dicha IP de conexión.

6- Denegación de acceso selectiva.

Pequeñas reglas de seguridad, ya sea en tu firewall (el del servidor web) o a través de tu .htaccess, pueden evitar ataques de forma sencilla. Uno de los ataques más básicos y redundantes es la captura de una clave ftp desde el ordenador del usuario. El servidor web está limpio pero el atacante obtiene acceso directamente desde el equipo del administrador de la tienda virtual. Una vez una tienda está en producción se puede bloquear el servicio ftp a dicho dominio hasta que se vuelva a necesitar, pero esta medida es un poco extrema. En principio basta con tener un antivirus actualizado y tener un poco de cabeza usando el pc con el que nos conectamos a nuestra tienda virtual.

7- Backups actualizados.

Y si todo falla, siempre debemos tener backups actualizados de todos los datos de nuestra tienda virtual. Configurad un sistema de backups automatizado y dormiréis más tranquilos.
Espero que esta pequeña guía básica sobre cómo securizar y proteger Oscommerce os sea de utilidad y os ayude a proteger vuestras tiendas virtuales de forma sencilla y efectiva.

Fuente: proteger y securizar una tienda virtual Oscommerce

Compártelo:

Crear backups automáticos en Oscommerce

Jose Criado — Fri, 07 May 2010 06:59:05 +0000

Con esta contribución podréis programar backups automáticos que se realizarán desde el admin de vuestro Oscommerce sin interrumpir vuestro trabajo normal con el panel de administración. Sólo hay que tener en cuenta que hay que utilizar Cron job (en linux) para utilizar la contribución a su máximo rendimiento. Muy recomendable para los fanáticos de los backups

Descargar Contribución AutoBackup Database in Admin

Compártelo:

Tags: backup automático oscommerce, contribucion oscommerce backup automático, Contribuciones de Oscommerce, descargar contribución autobackup database in admin, oscommerce

Consejos básicos de seguridad en Oscommerce 2

Jose Criado — Thu, 30 Jul 2009 06:46:57 +0000

Mi amigo Jordi Oller me recuerda que en su blog (recomiendo leerlo) tiene un post sobre seguridad en Oscommerce que resulta muy adecuado como segundo nivel de protección, aunque ahora sí que empezamos a meternos más en temas técnicos de programación. Aquí os dejo el post completo y el link al original.

Volviendo un poco a la seriedad y siendo hoy el Día internacional de la seguridad, me estaba planteando en crear una pequeña primera Guia de Seguridad para tiendas online, que básicamente se podría portar a casi cualquier aplicación PHP.

Principales archivos a modificar:

php.ini (Configuración general del PHP, si phpsuexec activado, tendremos que editarlo en la carpeta de la aplicación que vayamos a programar)

httpd.conf (configuración del apache)

.htaccess (sobreescribir las directivas del php.ini si nos lo permiten y no está activado phpsuexec)

Para tener una primera vision de la configuración general, y valorar si tenemos puntos comprometidos, deberemos crear un archivo php con el siguiente código y visitarlo con nuestro navegador:

() ?>

Pasos a seguir:

1) No mostrar errores a nuestros intrusos, para ello definiremos en el .htaccess

[sourcecode=php]
php_flag display_errors Off
php_flag log_errors On
php_value error_log “Ruta completa al fichero de log”
[/sourcecode]

- Que no se muestren los errores en pantalla, y cambiarlo a que se guarden en la maquina en un fichero local solo accesible para el webmaster.

2) El famoso Register globals que por defecto ahora viene desactivado. En las tiendas oscommerce a partir de la RC1 ya no hace falta tenerla activada (en MS2 y anteriores si), por lo que ya no tendremos ese problema de configuración. Tenerlo activo no es un problema de seguridad en sí, si el código está bien implementado, pero si por defecto ya viene desactivado, estamos obligados a no jugar con “fuego” al poder pasar parámetros por GET y POST dentro de las variables globales de nuestra aplicación. Para desactivar esta directiva:

[sourcecode=php]
php_flag register_globals Off
[/sourcecode]

3) Usar SAFE_MODE o no… en mi opinión solo és útil para servidores compartidos, donde hay varios usuarios, y así evitar que unos accedan o incluyan los ficheros de los otros. El único y gran problema es que al tenerlo activo, tendremos incompatibilidades con otros módulos y funcionalidades. Habría que valorar si es realmente necesario tenerlo activo en nuestro servidor.

4) Doble protección de nuestros ficheros de administración. Por ejemplo… toda la carpeta administrador o backend de la aplicación implementar protección mediante formulario de login, y además añadir protección mediante apache desde nuestro panel de control de hosting o a mano.

5) Denegar el acceso a nuestros directorios y ficheros de configuración o “sensibles” con la siguiente instrucción en el .htaccess (dentro del directorio donde se encuentran los archivos a proteger)

Proteger ficheros php:

[sourcecode=php]

Order Deny,Allow
Deny from all

[/sourcecode]

Proteger todos los ficheros del directorio que se especifique:

[sourcecode=php]

Order Allow,Deny

[/sourcecode]

6) Sistemas de pago. El más sensible sin duda es la tarjeta de crédito. Los más seguros son los que usan webservices, y sin salir de la web, pero a día de hoy solo es viable con BBVA y algún otro banco. Mi recomendación es usar el sistema TPV de servired, que podremos encontrar en casi todas las cajas y caixas (La caixa, Caixa catalunya, Caja madrid, etc) que através de una firma Sha1 completa ampliada y una clave personal se transmite la información de forma “segura” entre la página del banco (quien se encargará por nosotros de recoger los datos de la tarjeta y comprobar su veracidad) y nuestra tienda, que será la que reciba la confirmación y autorización del pago.

Compártelo:

Tags: oscommerce, oscommerce seguridad, seguridad oscommerce

Consejos básicos de seguridad en Oscommerce 1

Jose Criado — Tue, 28 Jul 2009 06:36:08 +0000

Como cualquier tipo de software, Oscommerce es susceptible de sufrir ataques aprovechando vulnerabilidades en su programación. Para intentar evitar en la medida de lo posible este tipo de problemas voy a daros una serie de consejos sencillos para aumentar la seguridad de vuestra tienda virtual Oscommerce.

1 – Abrir un navegador para trabajar exclusivamente con el administrador de Oscommerce.

Así evitaremos cualquier tipo de intento de captura de sesión o de inyección de código. No uses pestañas ni guardes la sesión cuando cierres el navegador.

2 – Proteger el directorio admin con un password a nivel de servidor.

Así tendremos que loguearnos tanto a nivel de servidor como a nivel de Oscommerce, con lo que aumentaremos la seguridad.

3 – Revisar cada contribución que instalemos.

Cualquier contribución puede tener vulnerabilidades y dejar puertas abiertas, centraos en usar las más conocidas y testeadas, y ante la duda no instalarla.

4 – Instalar la contribución Virtual Keybooard tanto en parte pública como en el login de administración de Oscommerce. Evitaremos posibles keyloggers.

Con estos 4 sencillos consejos lograremos aumentar sensiblemente la seguridad de nuestra tienda virtual Oscommerce.

Compártelo:

Tags: oscommerce, oscommerce seguridad, seguridad oscommerce

Agregar un teclado virtual en Oscommerce

Jose Criado — Fri, 10 Apr 2009 13:30:33 +0000

La seguridad es un tema de vital importancia cuando hablamos de tiendas virtuales. Oscommerce, aunque con una programación que comienza a quedarse algo desfasada, siempre ha destacado por su seguridad. Es posiblemente uno de los scripts Open Source con menos bugs de seguridad, y la enorme comunidad de la que dispone siempre los ha parcheado rápidamente. Pero nunca está de más mejorar en lo posible la seguridad de nuestras tiendas virtuales Oscommerce.

Para ello vamos a explicar cómo agregar un teclado virtual en Oscommerce. De esta manera, cuando un cliente quiera loguearse tendrá la opción de escribir la contraseña utilizando su teclado o mediante el ratón utilizando un teclado virtual en pantalla. Esta medida de seguridad fue adoptada hace ya algunos años por muchas webs, sobre todo por las webs de entidades bancarias. El objetivo es evitar que ordenadores infectados con keyloggers (programitas que graban todas las pulsaciones de un teclado y luego mandan los datos al atacante) obtuvieran las claves de acceso a dichas webs, ya que al no usar el teclado físico para introducir la contraseña no registrarían nunca dicha clave de acceso.

A principios de este año subí a la web oficial de Oscommerce una contribución a la que llamé virtual keyboard, que permite en 3 sencillos pasos agregar un teclado virtual en el campo password de la pantalla de login de Oscommerce. El proceso de instalación dura menos de un minuto, y os permitirá también poner un teclado virtual en cualquier campo de un formulario de Oscommerce que necesitéis. El teclado virtual es configurable según el idioma, y se le puede cambiar el aspecto mediante estilos.

Contribuciones:

- virtual keyboard.

Compártelo:

Tags: Contribuciones de Oscommerce, contribuciones oscommerce seguridad, oscommerce teclado virtual