Fórum OpenCart Brasil

[rgtobr]

Prezados,

Tenho uma questão: se eu bloquear o acesso ao admin usando o .htaccess, através de IP ou senha, o restante do Opencart irá funcionar normalmente?

Por exemplo: eu não gostaria que qualquer um de qualquer lugar acesse o diretório /admin, portanto, restringindo o acesso a este diretório através do .htaccess, os clientes conseguem utilizar o restante do site normalmente ou pode ser que ocorra alguma falha?

Alguém já fez algum teste?

[Nyux]

se for por IP,vc sabe o ip da pessoa que quer bloquear? isso dá pra fazer no geral, oq vc pode fazer para a pessoa nao acessar o /admin vc pode mudar o diretorio do admin para um outro nome no config.php e no admin/config.php e mudar a pasta 'admin' para sei lá 'administrativo' ou 'adm' ou qqr outro termo.

[rgtobr]

Legal, vou tentar renomear o diretório conforme as instruções, obrigado.

Mas em questão de segurança mesmo, seria interessante restringir o acesso ao diretório Admin mesmo depois de renomeado.

Me preocupo se eu bloquear o acesso através de IP ou senha ao diretório Admin, se o restante do site vai funcionar normalmente para o cliente?

[Renato Frota]

Sim, funcionaria normalmente.

Mas o sistema exige login/senha, porque tanta neura?

Muda o nome do usuário admin para outra coisa. Não sendo admin, não há brute force que dê conta.

[rgtobr]

Digamos que a "neura" é porque o site, depois de pronto, fica online 24h/dia durante meses e meses no mesmo lugar. Sabe-se que gente com más intenções também tem muita paciência. Então quanto mais escondermos onde fica a administração do site, menores serão as chances de termos problemas. Antes prevenir do que remediar.

[denisgomes]

rgtobr, é possível fazer algum tipo de bloqueio por IP sim, mas isso vai causar outro problema pra você: como você (ou o seu cliente, ou qualquer outro) acessaria a área administrativa se os IPs geralmente são dinâmicos, ou seja, o IP da sua conexão sempre será diferente toda vez que você se conectar à internet? Além disso com o bloqueio por IP você não conseguiria acessar a administração da loja a partir de outra máquina numa emergência.

Mudar o nome da pasta /admin é uma boa ideia, apesar de você ter de se lembrar disso na hora de instalar módulos e customizações que façam alterações nela, mas você realmente não tem motivos pra se preocupar: o OpenCart é bem seguro, creio que dificilmente possa ser hackeado. Qualquer pessoa pode ver a página inicial da administração, mas não vai conseguir passar disso se não souber a senha. Além disso se uma pessoa realmente estivesse interessada em hackear a loja, ele não faria isso através da administração e sim diretamente no servidor e/ou banco de dados.

[Renato Frota]

Se prevenir de SQL injection é função de quem desenvolve a loja.

Se prevenir de senhas fáceis é função de quem utiliza a loja.

Muda o nome do diretório e o nome admin. Basta.

Colocar senha de diretório ou bloquear por IP é transtorno, como já disseram.