Dicas de segurança no OpenCart – Como proteger arquivos de template e xmls vqmod

  • Hoje, conversando com o Wenderson (um dos leitores de nosso blog) sobre um problema especifico de uma alteração, ele acabou me passando um link direto do arquivo “http://www.nomedaloja.com.br/catalog/view/theme/NOME DO TEMPLATE DELE/template/payment/bank_transfer.tpl” e quando cliquei, vi  todo o código do template, inclusive a parte de PHP. Então pensei: “Opa, isso aí ta errado!”. Porque com este endereço qualquer pessoa que conhece a estrutura do OpenCart (ou qualquer um que baixe a loja original) saberá o nome dos arquivos e poderá entrar direto pelo navegador e copia-lo sem problema.

    Faça o teste. Digite: http://www.seudominio.com.br/catalog/view/theme/nome_de_seu_template/template/payment/bank_transfer.tpl

    Se aparecerem os códigos, recomendo que siga esse tutorial. Mas se aparecer “A página não pode ser exibida”, não precisa (mas certifique-se de que digitou o endereço corretamente).

    Para resolver isso vou demonstrar usando o FileZilla, que uso com bastante frequência.

    Baixando o FileZilla:

    Baixe o FileZilla acessando aqui.

    Entrando em seu site com o FileZilla:

    Ao abrir o FileZilla clique em “Arquivo > Gerenciador de Sites”, como na imagem abaixo:

    Agora clique no botão “Novo Site”, e depois digite um nome para ele na parte acima:

    Na parte direita coloque o dominio de sua loja deixando na frente o “ftp.” em vez do “www”. Na opção “tipo de logon” selecione “Normal”. Pegue o usuário FTP de sua loja e coloque a senha dele. Em algumas hospedagens a senha do FTP é a mesma do painel da hospedagem, mas o FTP pode ter uma senha específica se preferir. Logo após clique em “conectar”:

    A parte direita são os arquivos de sua hospedagem, e a esquerda são os arquivos de seu computador. Você vai mexer só na parte direita nesse tutorial:

     

    Alterando permissões:

    Agora, entre em “catalog/view/theme/nome_de_seu_template/” do lado direito do FileZilla correspondente ao seu servidor. Agora verá 3 pastas:

     

    Clique com botão direito do mouse em cima da pasta “template” e selecione a opção “Permissões do arquivo…”:

    Na tela que vai aparecer você precisa deixa no campo “Valor numérico” o número “640″. Logo abaixo, marque a opção “Incluir subpastas” e tambem a opção “Aplicar a todos os arquivos e pastas”:

    Após fazer isso, tente acessar a mesma URL que comentei no início. Aparecerá algo “Informação de pagina não encontrada”. Agora só o código PHP de sua loja acessa essas paginas. Você pode mudar a permissão de todos os arquivos da pasta “template” de outras formas e por outros programas, mas é importante que deixe a permissão “640″ em todos eles.

    Se você usa o vQmod é importante fazer isso também na pasta vqmod/xml:

    Agora, se alguém tentar acessar algum arquivo XML ou algum “.tpl”, não vai conseguir. Faça o teste acesse http://www.seudominio.com.br/vqmod/xml/nome_de_algum_xml.xml e se aparecer algo é porque as permissões não estão certas. Deixar esses códigos à vista pode ser prejudicial. Nem todo mundo vai acertar o nome dos XMLS, mas nunca se sabe.

    Forte abraço!

     



    Related Posts Plugin for WordPress, Blogger...




    janeiro 23rd, 2012 | Jeann | 1 Comentário | Tags:, , ,

1 Comentario

  • Gabriel Martins 01.23.2012

    Muito bom, bem interessante, porém e testei aqui antes de fazer essas alterações e apareceu “Página não encontrada”, mas mesmo assim modifiquei. Afinal, segurança nunca é demais xD
    Abraço!

Comente aqui

* Nome, Email e comentário são obrigatórios