Hướng dẫn bảo mật OpenCart

16-December-2016

1. Đổi đường dẫn login admin

Cách đơn giản nhất để tránh bị tấn công vào trang admin chính là đổi đường dẫn http://yourdomain.com/admin sang một đường dẫn khác, ví dụ http://yourdomain.com/adminpagee

B1: Login vào trình quản lý file trên mã nguồn website OpenCart thông qua FTP hoặc trực tiếp trên giao diện cPanel (Nếu bạn chưa biết cách thực hiện có thể click vào nội dung tương ứng để xem hướng dẫn thao tác FTP | File Manager)

B2: Mở thư mục root chứa source website OpenCart, đổi tên thư mục /admin thành tên bất kì mà bạn muốn (ví dụ: admin => vinahost)

B3: Mở tiếp thư mục vinahost (vừa đổi từ admin) => Mở file config.php tại đây.

B4: Bạn download file này về rồi mở bằng một trình soạn thảo cơ bản có hỗ trợ Find & Replace (Notepad ++, Word...)

B5: Hướng dẫn này sẽ thực hiện trên Notepad ++. Đầu tiên bạn ấn CTRL + F, sang mục Replace => Find what: Admin, Replace with: vinahost (hoặc bất kì tên nào, lưu ý tên này phải trùng với tên thư mục đã đổi từ thư mục admin mặc định) => Replace All

B6: Sau khi hoàn tất, bạn thực hiện upload lại file config.php này đè lên file cũ tại /vinahost (đã đổi từ admin).

B7: Thử truy cập lại với đường dẫn http://yourdomain.com/vinahost thay vì http://yourdomain.com/admin

2. Cấm truy cập vào các thư mục quan trọng trên site OpenCart bằng file .htaccess

B1: Login vào trình quản lý file trên mã nguồn website OpenCart thông qua FTP hoặc trực tiếp trên giao diện cPanel (Nếu bạn chưa biết cách thực hiện có thể click vào nội dung tương ứng để xem hướng dẫn thao tác FTP | File Manager)

B2: Ở thư mục root chứa mã nguồn OpenCart, bạn mở thư mục /catalog. Tại đây bạn tạo file .htaccess (hoặc edit nếu có sẵn) và điền nội dung sau vào:

<FilesMatch "\.(php|tpl|txt)$">
Order Deny,Allow
Deny from all
Allow from "your ip address"
</FilesMatch>

Việc này sẽ deny toàn bộ các truy vấn từ IP không phải của bạn đến các file .php, .txt trong đó. Để biết IP của mình, bạn truy cập http://ip.vinahost.vn rồi lấy IP tại đó thay vào "your ip address".

B3: Ở thư mục quản trị trang /admin (hoặc thư mục bất kì đã được đổi tên từ admin), bạn tiếp tục tạo 1 file .htaccess (hoặc edit nếu có sẵn) tại đó và điền nội dung sau vào:

<Files *.*>
Order Deny,Allow
Deny from all
Allow from "your ip address"
</Files>

Việc này sẽ deny toàn bộ truy vấn từ IP của quý khách đến đường dẫn /admin.

3. Kiểm tra phân quyền

B1: Login vào trình quản lý file trên mã nguồn website OpenCart trực tiếp trên giao diện cPanel (Bạn có thể tham khảo hướng dẫn tại: File Manager)

B2: Kiểm tra các file sau, đảm bảo phân quyền của các file này phải là 644 hoặc 444.

  • config.php
  • index.php
  • admin/config.php
  • admin/index.php
  • system/startup.php
Các bạn có thể xem thêm hướng dẫn video:

Chúc các bạn thành công.