El Blog de Oscommerce

He publicado en mi blog personal una guía básica para securizar tiendas virtuales Oscomemmerce. Aquí os dejo una copia de la guía para el que quiera consultarla. Mi pequeño regalo de reyes para la comunidad Oscommerce. Espero que os guste

Con las fiestas de navidad no sólo suben las ventas de las tiendas virtuales, también se multiplican los ataques a las mismas. Me han preguntado mucho últimamente sobre cómo proteger una tienda virtual, así que vamos a dar algunas pistas. En este post en concreto nos basaremos en cómo securizar y proteger una tienda virtual Oscommerce, pero muchas de las aplicaciones son extensibles a otros scripts.

1- Versión actualizada y control de plugins, contribuciones y addons instalados.

Es importante estar lo más actualizado posible en la versión de Oscommerce que actualicemos. Actualmente tenemos disponible Oscommerce v2.3.1 pero teniendo la v2.2RC2a es suficiente. Una versión inferior a la v2.2 sería preocupante. Igualmente tenemos que tener cuidado con las contribuciones, plugins y addons que instalamos, ya que pueden tener fallos de seguridad que ni siquiera el mismo creador de la contribución conozca. Ante la duda mejor no instalarla, y si no se tienen conocimientos de programación intentad instalar contribuciones que sean populares (muy utilizadas y testeadas) y revisad en google y foros oficiales si se conoce algún problema en ellas.

2- Corrección de Bugs básicos.

Existen listados de bugs básicos de Oscommerce (la mayoría antiguos) que deben ser corregidos para aumentar la seguridad del mismo. Normalmente no son realmente peligrosos, más bien incómodos de cara al usuario final, pero conviene tenerlos controlados.  En Oscommerce.com tenemos un listado de reportes de bugs, además de los foros oficiales en inglés donde más se tratan estos temas. A día de hoy la versión v2.2RC2a la considero lo suficientemente segura, aunque debemos aplicar el siguiente punto para reforzar su seguridad.

3- Dificultad el acceso al admin.

Para acceder al administrador de Oscommerce por defecto se accede a la carpeta /admin, donde te pedirá usuario y contraseña. Además del sistema de usuarios de Oscommerce deberíamos renombrar la carpeta /admin por otro nombre (y adaptar el correspondiente configure del administrador) y añadir una clave de acceso protegiendo la carpeta vía hosting. Estos sencillos pasos multiplican la seguridad de tu tienda virtual, no los dejes pasar.

4- Eliminar el editor de archivos del administrador de oscommerce.

Si por cualquier motivo acceden a nuestro admin, con el editor de archivos tendrían acceso completo a los archivos de nuestro Oscommerce. Es mejor eliminar directamente el archivo, sin más complicaciones. Los que necesiten modificar archivos deberían usar una cuenta de ftp.

5- Control de acceso al administrador por IP.

Con tu .htaccess puedes limitar el acceso al área de administración a una IP determinada. Si tienes IPs fijas esta medida es realmente efectiva, ya que imposibilita el acceso si no te encuentras físicamente en el equipo con dicha IP de conexión.

6- Denegación de acceso selectiva.

Pequeñas reglas de seguridad, ya sea en tu firewall (el del servidor web) o a través de tu .htaccess, pueden evitar ataques de forma sencilla. Uno de los ataques más básicos y redundantes es la captura de una clave ftp desde el ordenador del usuario. El servidor web está limpio pero el atacante obtiene acceso directamente desde el equipo del administrador de la tienda virtual. Una vez una tienda está en producción se puede bloquear el servicio ftp a dicho dominio hasta que se vuelva a necesitar, pero esta medida es un poco extrema. En principio basta con tener un antivirus actualizado y tener un poco de cabeza usando el pc con el que nos conectamos a nuestra tienda virtual.

7- Backups actualizados.

Y si todo falla, siempre debemos tener backups actualizados de todos los datos de nuestra tienda virtual. Configurad un sistema de backups automatizado y dormiréis más tranquilos.
Espero que esta pequeña guía básica sobre cómo securizar y proteger Oscommerce os sea de utilidad y os ayude a proteger vuestras tiendas virtuales de forma sencilla y efectiva.

Fuente: proteger y securizar una tienda virtual Oscommerce

Una de las ventajas de Oscommerce es que sus requerimientos de hosting son muy bajos. Prácticamente basta con que el servidor web donde queramos instalarlo tenga disponible PHP, APACHE y MYSQL para poder funcionar. Pero como cualquier script, tiene sus pequeñas particularidades que debemos cuidar para evitar problemas:

- Versión de php 5.3.x o superior: una versión superior a la 5.2.x puede darnos problemas de avisos por uso de funciones no estandarizadas (famoso deprecated) y tendremos que modificar nuestro APACHE o la programación de Oscommerce para solucionarlo.

- Versión de mysql 5.x : La versión 5 requería poner un par de “join” y unos paréntesis a un par de querys para hacelas compatibles. Este inconveniente es realmente sencillo de resolver, pero conviene saber que existe.

- Activación de mod_rewrite: este problema es para cualquier script que desee usar apache para generar URLs amigables cara a buscadores. Importante que nuestro hosting lo tenga habilitado.

- Disponibilidad de .htaccess: importante para personalizar nuestras características de APACHE y sacar el máximo rendimiento a nuestro Oscommerce.

- Installatron disponible: para poder instalar oscommerce con 3 clicks directamente desde nuestra cuenta de hosting. Ahorra tiempo y problemas de instalación.

En lineagrafica.es contamos con un servicio de Hosting para Oscommerce que cumple sobradamente con estos requisitos, y el cual os animo a utilizar. Más de 800 tiendas virtuales Oscommerce alojadas en nuestros servidores nos avalan.

En España vamos a sufrir a partir del mes que viene una modificación en el Impuesto sobre el Valor Agregado, más conocido por sus siglas, el I.V.A. “de toda la vida”. Esta modificación obliga a todas las tiendas virtuales a realizar cambios en su configuración para adaptarse a los nuevos valores de este impuesto. Resumiendo un poco el IVA al 16% pasa a ser del 18% y el IVA del 7% pasa a ser del 8%.

En las tiendas virtuales Oscommerce este cambio es muy sencillo, ya que la gestión de Impuestos es bastante cómoda a la hora de ser modificada. Se puede modificar en dos sencillos pasos:

1- Acceder al administrador de nuestra tienda virtual, en Localización -> tipos de impuestos y modificar las descripciones de los impuestos, de tal forma que queden adaptadas a los nuevos valores.

2- Una vez modificadas las descripciones actualizamos los valores de dichos impuestos en Localización -> Impuestos.

Así de sencillo. Es importante realizar este paso el 1 de Julio, ya que los cambios serán efectivos de forma inmediata. Si queréis saber más sobre cómo funcionan los Impuestos en Oscommerce os recomiendo echar un vistazo a los vídeo tutoriales Oscommerce disponibles en mi blog personal.

Parece que poco a poco Oscommerce 3 sigue evolucionando, aunque de forma lenta. Ahora incorpora el uso de namespaces en PHP, lo que simplifica las tareas de programación. Resumiéndolo mucho, con namespaces puedes ahorrarte muchas llamadas a otros archivos con “includes” y “requires”, lo que acelerará los desarrollos sobre Oscommerce.

Falta todavía mucho por recorrer, pero parece que poco a poco nos vamos acercando a la esperada evolución de Oscommerce 3 que tantos esperamos.

Son redundantes las consultas sobre cómo modificar los emails que Oscommerce manda por defecto (en alta de clientes, al realizar un pedido, con el formulario de contacto, etc). Cuando se requiere un tipo de correo más elaborado, con html, archivos adjuntos, etc, me gusta programarlo manualmente usando phpmailer. Sin embargo no todas las tiendas virtuales Oscommerce necesitan tanta elaboración en sus correos, por lo que casi siempre es suficiente con instalar alguna contribución que proporcione un mayor diseño al mismo.

Con la contribución U HTML Emails lograréis un diseño de correo electrónico bastante resultón. Miremos cómo queda un email estandar de Oscommerce:

Y ahora cómo quedaría el mismo email con U HTML Emails:

Como se puede ver el resultado es mucho más vistoso y profesional. Como dato importante, recordad que ciertos webmails tienden a marcar como spam los correos enviados automáticamente sin la cabecera completa, y si además mandamos el email con HTML, todavía más facilidad para que nuestros correos acaben en la carpeta de spam. Es importante avisar al cliente para que la revise por si se da el caso.

Contribución: U HTML Emails