Post by bastelgarage » Thu Jan 27, 2022 3:14 pm

Da wir sehr dankbar sind für opencart, möchte ich der Community nicht vorenthalten, dass
wir opencart einem professionellen Audit unterzogen haben. (Mehrtägiger Sicherheit Check)

Fazit die Version 3.0.2.0 ist sicher.

Es gibt Plugins die über die Suche oder sonstige Funktionen einen SQL String an die DB senden können (SQL Injektion), wenn man regelmässig die Fehlerlogs von PHP Auswertet sieht man sofort welche dies sind.

Ein guter Tipp ist auch das Verzeichnis "system" und "admin (hab ihr ja sicher schon)" in der robots.txt auszuschliessen, da von den "bösen" meist nach diesen Fehlerhaften Plugins auf der Suchmaschine gesucht wird.

Newbie

Posts

Joined
Sat May 05, 2018 8:38 am

Post by OSWorX » Thu Jan 27, 2022 6:44 pm

bastelgarage wrote:
Thu Jan 27, 2022 3:14 pm
Da wir sehr dankbar sind für opencart, möchte ich der Community nicht vorenthalten, dass
wir opencart einem professionellen Audit unterzogen haben. (Mehrtägiger Sicherheit Check)

Fazit die Version 3.0.2.0 ist sicher.
Zunächst mal vielen Dank für diese Nachricht.

Aber - leider - um es deutlicher zu sagen, in OpenCart gab es mit 1 Ausnahme in einer 1.4.x Version vor vielen Jahren (bedingt durch eine damals verwendete Fremdkomponente zum erstellen von PDF) nie ein Sicherheitsproblem.
Es tauchen zwar immer wieder irgendwelche Meldungen auf dass das eine oder Andere nicht sicher sei, wenn dann aber benötigt es sehr viel Wissen und Aufwand und sehr spezielle Konstellationen um eine Sicherheitslücke zu konstruieren!

Zumal mir selber in all den Jahren nie ein Shop untergekommen ist, der gehackt wurde - und das sind nicht wenige.
Daher ist diese Meldung nur ein sehr kleiner Teil der Tatsache.

Einer der Gründe warum ein OpenCart Shop angreifbar sein könnte, ist WordPress.

Das dann, wenn auf dem gleichen Serverkonto gleichzeitig OpenCart und WordPress betrieben wird.
Und dann ist WordPress das Einfallstor für all die unnötigen Leute die glauben sich wichtig machen zu müssen ..
Denn wird WP nicht wirklich laufend aktualisiert, sind dessen Plugins der Grund war eine Webseite gehackt wird.
Und wenn einmal am Server, dann ist auch OpenCart davon betroffen.

Das betrifft aber auch andere Systeme wenn sie mit OpenCart gleichzeitig am selben Konto betrieben werden und nicht aktualisiert werden.

Ein weiterer Grund könnte sein, dass jemand Erweiterungen und/oder Vorlagen von dubiosen Quellen laded und diese dann installiert.
Dies deshalb, da diese Scripte meistens mit Schadcode versehen wurden - warum sollten sonst kostenpflichtige Erweiterungen plötzlich gratis angeboten werden?
Wer hier also glaubt sich ein paar Euro ersparen zu können, wird sein blaues Wunder erleben!

Noch ein Grund könnte sein, dass einem nicht bekannten "Entwickler" Vollzugriff auf den Shop (Verwaltung und FTP) gewährt wurde.
Das deshalb da es Probleme gab, oder etwas zu installieren, usw.

Leider hat sich in den Jahren imemr wieder herausgestellt, dass diese Leute oftmals etwas installieren das entweder selber unsicher ist, oder aber eine Lücke erstellt.
Abgesehen von den Zugangsdaten welche einfach so weiter gegeben werden!
Hier dürfen nie die eigenen Zugangsdaten geteilt werden.
Immer ein eigenes, neues Konto erstellen (Verwaltung, FTP) welches dann nach Abschluß der Arbeiten vollständig zu löschen ist.
Sehe leider immer wieder bei Neukunden, dass irgendwann in der Vergangenheit etliche Zugangsdaten zwar erstellt, aber nie gelöscht wurden - diese Personen hatten daher nach wie vor Zugriff auf die Daten (und richteten tw. damit Schaden an).

Was jetzt diese Meldung betrifft, wäre es nicht "unfein" mehr zu den Details dieser "SQL Injections" zu erfahren anstatt nur so allgemein darüber zu schreiben.

Full Stack Web Developer :: Dedicated OpenCart Development & Support DACH Region
Contact for Custom Work / Fast Support.


User avatar
Guru Member

Posts

Joined
Mon Jan 11, 2010 10:52 pm
Location - Austria
Who is online

Users browsing this forum: No registered users and 49 guests