Willkommen bei Zen Cart™ ...Die Zen Cart™ Software steht Ihnen kostenfrei im Rahmen der GNU General Public License zur Verfügung. Sie können diese Software kostenfrei benutzen, Änderungen vornehmen, etc. Da wir Ihnen diese Software kostenfrei zur Verfügung stellen, würden wir uns Spenden freuen, wann immer Sie eine neue Version herunterladen. Diese Spenden helfen uns, die Kosten für die Wartung, Upgrades, Updates, den kostenlosen Support und die stetige Weiterentwicklung dieser Software für Ihren Online-Shop zu decken. Spenden können hier gemacht werden: Die Zen Cart™ Spenden Seite Wir danken für Ihre Unterstützung. Das Zen Cart™ Team Dieses Programm wird in der Hoffnung vertrieben, dass es nützlich ist, allerdings OHNE IRGENDWELCHE GARANTIEN; ohne sogar die implizierte Garantie der MARKTGÄNGIGKEIT oder der EIGNUNG ZU EINEM BESTIMMTEN ZWECK und wird vertrieben unter der GNU General Public License |
Diese Software ist OSI certified Open Source Software. OSI certified ist ein Zertifikat der Open Source Initiative. |
Sicherheitsempfehlungen für Zen Cart™SCHRITTE ZUR SICHERUNG IHRES SHOPSEs folgt eine Auflistung von verschiedenen Schritten, um Ihren Shop sicherer zu machen: 1. Löschen Sie das /zc_install VerzeichnisSobald die Installation Ihres Shops abgeschlossen ist, löschen sie das Verzeichnis /zc_install von Ihrem Server. 2. Ändern Sie den Namen Ihres "/admin" VerzeichnissesDas Umbenennen des "admin" Verzeichnisses macht es sog. Möchtegern-Hackern deutlich schwerer, in Ihren Adminbereich einzudringen. (Bevor Sie die folgenden Änderungen ausführen, gehen Sie sicher, dass Sie ein aktuelles Backup Ihres Shops besitzen.) A- Öffnen Sie die Datei admin/includes/configure.php mit einem Texteditor a la NOTEPAD++ oder Ultraedit, vom windowseigenen Texteditor raten wir deutlich ab. Ändern Sie in diesem Bereich: define('DIR_WS_ADMIN', '/admin/'); und in diesem Bereich: define('DIR_FS_ADMIN', '/home/mystore.com/www/public/admin/'); B- Suchen Sie per FTP Programm Ihr /admin/ Verzeichnis. C - Um ab sofort in den umbenannten Adminbereich einloggen zu können, müssen Sie die URL an den neuen Namen anpassen. Zum Beispiel statt http://www.example.com/admin/ verwenden Sie nun http://www.example.com/NeW_NamE4u/. D - Sie sollten Ihren Adminbereich durch eine .htaccess Datei schützen (siehe unten) und diese im Verzeichnis /admin/includes platzieren. (Seit Version 1.2.7 ist das bereits in der Standardinstallation enthalten.) 3. Setzen Sie die Datei configure.php files auf Read-OnlyEs ist sehr wichtig, dass Sie die beiden configure.php Dateien per CHMOD auf Read-Only setzen. Die configure.php Dateien finden Sie unter: Oftmals funktioniert das Setzen des CHMODs per FTP nicht. Selbst wenn es so ausschaut, das die Zugriffsrechte (CHMOD) korrekt gesetzt wurden. Sie können das überprüfen, indem Sie Ihren Webshop besuchen. Sollten Sie eine entsprechende Warnmeldung über dem Shop erhalten, dann müssen Sie die Zugriffsrechte über den Webftp Zugriff Ihres Webspace Anbieters erneut setzen. Wenn Sie einen Windows Server benutzen, dann setzen Sie die Berechtigung der Datei einfach auf Read-Only für Jeden und speziell für den IUSR_xxxxx (Internet Guest Account) bei IIS Servern oder den System Account oder apache user bei APACHE Servern. 4. Löschen Sie unbenutze Admin KontenAdminbereich->Tools->Administratoren 5. Admin Passwort SicherheitWir empfehlen dringend, möglichst komplizierte Passwörter zu verwenden, die nicht einfach zu erraten sind. Wir empfehlen Ihnen eine Passwortlänge von mindestens 8 Zeichen. Zusätzlicher Zugangsschutz für den AdminbereichBitte lassen Sie besondere Vorsicht walten, wenn Sie im Adminbereich arbeiten:
6. Versehen Sie Ihre "define pages" mit einem SchreibschutzNachdem Sie das Bearbeiten Ihrer define pages abgeschlossen haben, sollten Sie diese schützen: A. Laden Sie eine Kopie dieser Dateien auf Ihren PC runter. Die Dateien befinden sich im Ordner /includes/languages/german/html_includes. B. Versehen Sie diese Dateien mit CHMOD 644 oder 444 (oder “Read-Only” für Windows Server). Wenn Sie diese Dateien Read-Only machen, haben es Hacker schwerer diese zu verändern (Einschleusen von speziellem Code) und Zugriff auf Ihren Shop zu erlangen. 7. Nutzen .htaccess Dateien zum Schutz gegen unerwünschte SchnüfflerIn vielen Verzeichnissen befinden sich .htaccess Dateien, um User vom Durchschauen der Verzeichnisse Ihres Shops abzuhalten. Einige verbieten sogar den Zugriff auf "jede" .PHP Datei, so können diese PHP Dateien nur von anderen PHP Dateien innnerhalb des Shopssystems angesprochen werden. Dieses erhöht die Sicherheit Ihres Shops. Außerdem sind in verschiedenen Verzeichnissen einige halb-"leere" index.html Dateien. Diese Dateien dienen ebenfalls dem Schutz, falls Ihre FTP Software keine .htaccess Dateien hochlädt oder Ihr Server keine akzeptiert. Diese .html Dateien verhindern nur ein Anschauen der Verzeichnisse im Shop, ein Ausführen von .PHP verhindern sie nicht. Es ist eine gute "Alternative", obwohl die Nutzung von .htaccess Dateien in all diesen Verzeichnissen die wesentlich bessere Wahl ist. Unser Vorschlag für eine .htaccess Datei für Verzeichnisse, in denen schon eine index.html Datei aber noch keine .htaccess Datei vorhanden ist (Der genaue Inhalt der Datei hängt von Ihrer Server Konfiguration ab): #.htaccess to prevent unauthorized file access files Damit die obige Beispieldatei funktioniert, muß Ihr Webhoster entweder 'alle' oder alle von diesen 'Limit Options Indexes' Parametern zulassen. Wenn Ihr Webhoster keine eigene .htaccess Dateien zulässt, können Sie evtl. im Konfigurationsbereich Ihres Webhosters die gewünschten .htaccess Einstellungen setzen. In diesem Fall ist es am Besten, Sie nehmen Kontakt mit Ihrem Webhoster auf und konfigurieren diese Einstellungen mit ihm zusammen. Deaktivieren Sie die Funktion "Gäste dürfen an einen Freund senden"Gehen Sie im Adminbereich auf Konfiguration->E-Mail Optionen und stellen Sie "Gäste dürfen an einen Freund senden" auf 'false'. Dadurch verhindern Sie, dass nicht eingeloggte Besucher unerwünschte Emails über Ihren Server versenden können.Schützen Sie das "images" und andere VerzeichnisseWährend der Installation wurden Sie aufgefordert, das images Verzeichnis auf "beschreibbar" zu setzen, so dass Sie im Adminbereich die Artikel- und Kategoriebilder ohne Hilfe eines FTP Programms hochladen können. Ähnliche Empfehlungen wurden für andere Verzeichnisse und Dateien gemacht.Sollten Sie das images (oder jedes andere) Verzeichnis auf "beschreibbar" lassen, eröffnen Sie jedem Hacker die Möglichkeit, schadhaften Code in Ihren Webshop einzuschleusen. Daher sollten Sie, sobald Ihre Seite vollständing eingerichtet und alle Bilder hochgeladen haben, das Verzeichnis wieder auf "Read-Only" stellen. Ändern Sie den CHMOD von 777 auf 644 für Dateien und 755 für Verzeichnisse. Zugriffsrechte für Dateien/VerzeichnisseFür Linux/Unix Server empfehlen wir folgende Einstellungen:
Auf Windows Server ist es ausreichend, die Zugriffsrechte auf Read-Only zu setzen. Prüfen Sie außerdem, ob der Internet Guest Account ebenfalls nur Read-Only Zugriffsrechte hat. Vorschläge für bestimmte VerzeichnisseDie Verzeichnisse, für die während der Installation die Änderung der Zugriffsrechte auf beschreibbar empfohlen wurde. Wenn Ihr Webhoster .htaccess Dateien unterstützt, dann sollten Sie diese in den folgenden Verzeichnissen einsetzen. (Die in Version 1.3.9 und neuer enthaltenen .htaccess Dateien decken diesen Aspekt in Grundzügen bereits ab.)
Entfernen Sie die URL von den Ausdrucken aus Ihrem BrowserUm die URL aus den Ausdrucken zu entfernen gehen Sie wie folgt vor: Internet Explorer: Firefox: Was Sie regelmäßig prüfen sollten
|