Tag Archives: seguridad

oscommerce 2.2 cambios mínimos de seguridad.

HRtuWeb No Comments

Hay algunos  bugs en  oscommerce 2.2 que pueden afectar gravemente a la seguridad de nuestra tienda online. Modificando la url del admin se pueden ver las cuentas de correo de los usuarios registrados. Y usando el filemanager  pueden escribir en nuestros archivos.

Con un par de cosas paramos en seco estos ataques.

Renombrar la carpeta admin por algo como Fd43ad y ocultarlo a los buscadores y robots con ROBOTS.TXT, para  que los bots no lo encuentre.

Para que la página puede seguir encontrando la carpeta hay que cambiar en el Fd43ad/includes/configure.php

 define('DIR_WS_ADMIN', '/tienda/catalog/Fd43ad/');
 define('DIR_FS_ADMIN', '/web/htdocs/www.lalala.com/home/tienda/catalog/Fd43ad/');

Puede que en vuestro caso solo salga /tienda/, o las rutas cambien algo ya que depende del hospedaje y donde lo tengas instalado, pero lo que importa es quitar admin y poner otro nombre diferente como en el ejemplo Fd43ad.

Borrar el archivo catalog/admin/filemanager.php  y  su mención en admin/includes/boxes/tools.php borrando la linea ‘<a href=”‘ . tep_href_link(FILENAME_FILE_MANAGER) . ‘” class=”menuBoxContentLink”>’ . BOX_TOOLS_FILE_MANAGER . ‘</a><br>’ .

Borrar el archivo el admin/define_language.php y  la linea que le menciona en admin/includes/boxes/tools.php

Las carpetas  tienen que ser con permisos 755 y los archivos 644 aunque puede variar según que hosting tengamos. Los archivos de Fd43ad/includes/configure.php e includes/configure.php como mucho 444 o 400.

Hay otras maneras que se metan, pero instalando http://addons.oscommerce.com/info/5752 y http://addons.oscommerce.com/info/6044 tenemos el 95% hecho.