Nov 19 2010

Evitar problemas de seguridad en tiendas online oscommerce

Category: Internet,tiendas online - oscommerce,Tiendas virtualesAnibal @ 7:54 pm

Este articulo esta encaminado a los ultimos ataques que han recibido amigos que tenian montadas sus tiendas online con oscommerce. Hoy en dia los hackers son muy ingeniosos y a veces es muy dificil detectar que archivos han sido modificados o que otros han subido para manipular la tienda online.

Lo primero que hay que hacer cuando se tiene una tienda online, es realizar copias de seguridad, pero no siempre esto es suficiente, hay que hacer por donde para mantener segura la tienda online. En el caso de una tieda oscommerce hay que tener la carpeta admin bien protegida por htacess y no solo por la contraseña de administracion en base de datos. Tambien los archivos configure.php deben tener permidos 644 para que no puedan ser maipulados.

A pesar de tener todo bien protegido, los hackers se cuelan, normalmente suben archivos a la carpeta images y al root. Por eso mismo hay que revisar esta carpeta images por si hay archivos php del tipo google1ebxxxx.php o m1.php o cualquier otro nombre raro que se inventen.

Ante la duda, lo suyo es descargar una copia en una carpeta nueva de nuestro ordenador, pasarle el antivirus, pero no siempre se detecta a no ser que esos archivos tengan un trojano.

Podemos buscar en los archivos de nuestro oscommerce las siguientes cadenas que usan los hackers para manipular nuestras tiendas: base64_decode, passthru, shell_exec, fopen, chmod, touch, etc sobre todo hacer hincapie en la primera y ultima mencionada. si encontrais archivos, compararlos con un oscommerce limpio y vereis que esos archivos no existen (sobre todo si estan ubicados en la carpeta images). Los archivos extraños borrarlos obviamente.

Consejos:
* cambiar el nombre de la carpeta admin por otro nombre menos familiar y tentador a los hackers.
* poner proteccion contraseña htaccess a la carpeta de administracion
* poner un archivo index.php vacio en la carpeta images
* revisar nuestro htacces y protegerlo asi mismo
* desactivar file_manager.php y sobre todo no usarlo por su peligrosidad, para subir archivos mejor usar ftp

Una herramienta online valida para saber si nuestra web esta con problemas, es usar http://www.unmaskparasites.com/security-report/?page=www.tiendas-virtuales-online.es
Si os encontrais con este problema y no sabeis como abordarlo, siempre podeis buscar una empresa experta en tiendas online o tiendas oscommerce, que por poco dinero salvaran vuestro negocio.

Tags: , , , , , , , , , , , , ,

Sep 18 2010

Cuidado con las plantillas de templatemonster algunos ficheros pueden contener exploits

Category: Diseño,Internet,Servidores,tiendas online - oscommerce,Tiendas virtualesAnibal @ 10:49 am

No hace mucho tiempo compre una plantilla oscommerce en Templatemonster con la idea de aprender como funciona este cms y adaptarlo segun necesidades.

Ya lo tenia instalado en una cuenta de hosting compartida, y a los 2 o 3 meses recibo un aviso del soporte tecnico de la empresa que gestiona los servidores. Me daban 24 horas para solucionar la situacion o sino me eliminaban la cuenta de hosting.

La web con oscommerce no la tenia en produccion sino de pruebas, para apreder un poco mas su filosofia, sobre todo para aplicar nuevos diseños a este tipo de tienda online gratuita.

El mensaje que recibi literalmente era:

Problema: Nuestros servidores han detectado y puesto en cuarentena algunos archivos que contenian exploits en su cuenta de hosting.

List Of Exploited Files:
==============================================================================================
{HEX}base64.inject.unclassed.7 : /home/dominio/public_html/admin/includes/header.php => /usr/local/maldetect/quarantine/header.php.1621
{HEX}base64.inject.unclassed.7 : /home/dominio/public_html/includes/header.php => /usr/local/maldetect/quarantine/header.php.1285
{HEX}php.cmdshell.cih.128 : /home/dominio/public_html/google2eb585db633e.php => /usr/local/maldetect/quarantine/google2eb585db633e.php.31324
==============================================================================================

Los ficheros has sido puestos en cuarentena……

Con esta historia quiero contaros que a veces lo que creemos que es barato como comprar una template luego nos puede salir caro, perdiendo el coste de la compra de la plantilla pero tambien que nos suspendan nuestra cuenta de hosting, aparte de la mala inagen que podamos dar a nuestros clientes o perjudicar a estos sin saberlo.

Lo mejor es contratar a una empresa especializada en el diseño de tiendas virtuales para que nos haga todo lo necesario para tener una tienda online en condiciones que nos de problemas ni dolores de cabeza, asi que antes de comprar una template habria que plantearse si es conveniente, porque al final tendremos que recurrir a una empresa de diseño de tiendas virtuales que nos arregle el problema, y seguro que nos costara un ojo de la cara, pues no es lo mismo empezar un proyecto de cero donde todo esta controlado, que partir de una plantilla oscommerce sin actualizar o con agujeros de seguridad.

Tags: , , , , , , , , , ,

« Previous Page