Willkommen bei Zen Cart™ ...


Die Zen Cart™ Software steht Ihnen kostenfrei im Rahmen der GNU General Public License zur Verfügung. Sie können diese Software kostenfrei benutzen, Änderungen vornehmen, etc.

Da wir Ihnen diese Software kostenfrei zur Verfügung stellen, würden wir uns Spenden freuen, wann immer Sie eine neue Version herunterladen. Diese Spenden helfen uns, die Kosten für die Wartung, Upgrades, Updates, den kostenlosen Support und die stetige Weiterentwicklung dieser Software für Ihren Online-Shop zu decken.

Spenden können hier gemacht werden: Die Zen Cart™ Spenden Seite

Wir danken für Ihre Unterstützung.
Das Zen Cart™ Team

Zen Cart™ ist abgeleitet von: Copyright 2003 osCommerce
Dieses Programm wird in der Hoffnung vertrieben, dass es nützlich ist, allerdings OHNE IRGENDWELCHE GARANTIEN;
ohne sogar die implizierte Garantie der MARKTGÄNGIGKEIT oder der EIGNUNG ZU EINEM BESTIMMTEN ZWECK
und wird vertrieben unter der GNU General Public License


Diese Software ist OSI certified Open Source Software.
OSI certified ist ein Zertifikat der Open Source Initiative.

Sicherheitsempfehlungen für Zen Cart™

SCHRITTE ZUR SICHERUNG IHRES SHOPS

Es folgt eine Auflistung von verschiedenen Schritten, um Ihren Shop sicherer zu machen:

1. Löschen Sie das /zc_install Verzeichnis

Sobald die Installation Ihres Shops abgeschlossen ist, löschen sie das Verzeichnis /zc_install von Ihrem Server.
Benennen Sie das Verzeichnis nicht einfach nur um, dieses macht Ihren Shop angreifbar, wenn jemand das umbenannte Verzeichnis findet.

2. Ändern Sie den Namen Ihres "/admin" Verzeichnisses

Das Umbenennen des "admin" Verzeichnisses macht es sog. Möchtegern-Hackern deutlich schwerer, in Ihren Adminbereich einzudringen.

(Bevor Sie die folgenden Änderungen ausführen, gehen Sie sicher, dass Sie ein aktuelles Backup Ihres Shops besitzen.)

A- Öffnen Sie die Datei admin/includes/configure.php mit einem Texteditor a la NOTEPAD++ oder Ultraedit, vom windowseigenen Texteditor raten wir deutlich ab.
Ändern Sie alle Einträge von /admin/ in den von Ihnen gewünschten Namen ab.

Ändern Sie in diesem Bereich:

define('DIR_WS_ADMIN', '/admin/');
define('DIR_WS_CATALOG', '/');
define('DIR_WS_HTTPS_ADMIN', '/admin/');
define('DIR_WS_HTTPS_CATALOG', '/');

und in diesem Bereich:

define('DIR_FS_ADMIN', '/home/mystore.com/www/public/admin/');
define('DIR_FS_CATALOG', '/home/mystore.com/www/public/');

B- Suchen Sie per FTP Programm Ihr /admin/ Verzeichnis.
Ändern Sie den gewünschten Namen um, dieser muss mit den eben gemachten Änderungen übereinstimmen.

C - Um ab sofort in den umbenannten Adminbereich einloggen zu können, müssen Sie die URL an den neuen Namen anpassen. Zum Beispiel statt http://www.example.com/admin/ verwenden Sie nun http://www.example.com/NeW_NamE4u/.

D - Sie sollten Ihren Adminbereich durch eine .htaccess Datei schützen (siehe unten) und diese im Verzeichnis /admin/includes platzieren. (Seit Version 1.2.7 ist das bereits in der Standardinstallation enthalten.)

3. Setzen Sie die Datei configure.php files auf Read-Only

Es ist sehr wichtig, dass Sie die beiden configure.php Dateien per CHMOD auf Read-Only setzen.
Normalerweise bedeutet diese, dass der CHMOD der Dateien auf "644" gesetzt werden muss. In seltenen Fällen müssen Sie die Dateien auf CHMOD "444" setzen.

Die configure.php Dateien finden Sie unter:
/<YourStoresFolder>/includes/configure.php
/<YourStoresFolder>/admin/includes/configure.php

Oftmals funktioniert das Setzen des CHMODs per FTP nicht. Selbst wenn es so ausschaut, das die Zugriffsrechte (CHMOD) korrekt gesetzt wurden. Sie können das überprüfen, indem Sie Ihren Webshop besuchen. Sollten Sie eine entsprechende Warnmeldung über dem Shop erhalten, dann müssen Sie die Zugriffsrechte über den Webftp Zugriff Ihres Webspace Anbieters erneut setzen.

Wenn Sie einen Windows Server benutzen, dann setzen Sie die Berechtigung der Datei einfach auf Read-Only für Jeden und speziell für den IUSR_xxxxx (Internet Guest Account) bei IIS Servern oder den System Account oder apache user bei APACHE Servern.

4. Löschen Sie unbenutze Admin Konten

Adminbereich->Tools->Administratoren
Öffnen Sie in Ihrem Adminbereich das Tools Menü und wählen dann Administratoren
- Schauen Sie nach unbenutzen oder nicht mehr benutzen Admin Konten und löschen Sie diese. Entfernen Sie ebenfalls das "Demo" Konto, wenn vorhanden.

5. Admin Passwort Sicherheit

Wir empfehlen dringend, möglichst komplizierte Passwörter zu verwenden, die nicht einfach zu erraten sind.

Sie können Ihr Passwort ändern unter Tools->Admininistratoren. Klicken Sie auf Ihr Admin Konto und dann auf den Button "Reset PWD" oder klicken Sie auf das Icon, das wie ein Recycling Symbol aussieht.

Wir empfehlen Ihnen eine Passwortlänge von mindestens 8 Zeichen.
Die Verwendung von Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen machen die Passwörter sicher und wird daher ausdrücklich empfohlen.

Zusätzlicher Zugangsschutz für den Adminbereich

Bitte lassen Sie besondere Vorsicht walten, wenn Sie im Adminbereich arbeiten:

  • Nutzen Sie nur einen Browser Tab, um auf Ihren Adminbereich zuzugreifen
  • Besuchen Sie keine anderen Seiten, wenn Sie sich gerade in Ihrem Adminbereich befinden, selbst wenn Sie die neue Seite in einem seperaten Tab besuchen
  • Loggen Sie sich stets aus

6. Versehen Sie Ihre "define pages" mit einem Schreibschutz

Nachdem Sie das Bearbeiten Ihrer define pages abgeschlossen haben, sollten Sie diese schützen:

A. Laden Sie eine Kopie dieser Dateien auf Ihren PC runter. Die Dateien befinden sich im Ordner /includes/languages/german/html_includes.

B. Versehen Sie diese Dateien mit CHMOD 644 oder 444 (oder “Read-Only” für Windows Server).
/includes/languages/german/html_includes – und alle Unterverzeichnisse und Dateien darin
(Hinweis: Bei "einigen" Anbietern müssen Sie CHMOD 645 oder 555 setzen, damit der Inhalt der Dateien im Shop korrekt angezeigt wird)

Wenn Sie diese Dateien Read-Only machen, haben es Hacker schwerer diese zu verändern (Einschleusen von speziellem Code) und Zugriff auf Ihren Shop zu erlangen.

Wichtig: Natürlich müssen Sie die entsprechende Datei wieder auf "beschreibbar" setzen, wenn Sie diese verändern wollen.

7. Nutzen .htaccess Dateien zum Schutz gegen unerwünschte Schnüffler

In vielen Verzeichnissen befinden sich .htaccess Dateien, um User vom Durchschauen der Verzeichnisse Ihres Shops abzuhalten. Einige verbieten sogar den Zugriff auf "jede" .PHP Datei, so können diese PHP Dateien nur von anderen PHP Dateien innnerhalb des Shopssystems angesprochen werden. Dieses erhöht die Sicherheit Ihres Shops.
Wenn Sie diese Dateien löschen, öffnen Sie unerwünschten Schnüfflern die Tür zu Ihrem Shop.

Außerdem sind in verschiedenen Verzeichnissen einige halb-"leere" index.html Dateien. Diese Dateien dienen ebenfalls dem Schutz, falls Ihre FTP Software keine .htaccess Dateien hochlädt oder Ihr Server keine akzeptiert. Diese .html Dateien verhindern nur ein Anschauen der Verzeichnisse im Shop, ein Ausführen von .PHP verhindern sie nicht. Es ist eine gute "Alternative", obwohl die Nutzung von .htaccess Dateien in all diesen Verzeichnissen die wesentlich bessere Wahl ist.

Unser Vorschlag für eine .htaccess Datei für Verzeichnisse, in denen schon eine index.html Datei aber noch keine .htaccess Datei vorhanden ist (Der genaue Inhalt der Datei hängt von Ihrer Server Konfiguration ab):

#.htaccess to prevent unauthorized file access files
   OPTIONS -Indexes -ExecCGI
   IndexIgnore */*
   ### This part says to deny access to EVERYTHING. Afterwards, you'll allow access to JUST the permitted items. See next FilesMatch section.
   <FilesMatch .*>
    Order Deny,Allow
    Deny from all
   </FilesMatch>
   ### NOTE: Add only appropriate PERMITTED filetypes to this list, depending on which folder you're protecting:
   <FilesMatch .*\.(js|css|jpg|gif|png|swf)>
    Order Deny,Allow
    Allow from all
   </FilesMatch>

Damit die obige Beispieldatei funktioniert, muß Ihr Webhoster entweder 'alle' oder alle von diesen 'Limit Options Indexes' Parametern zulassen.
Einige Webhoster lassen keine Zugriff auf die OPTIONS Funktion zu, in dem Fall müssen Sie die entsprechende löschen oder am Anfang der Zeile ein # setzen.

Wenn Ihr Webhoster keine eigene .htaccess Dateien zulässt, können Sie evtl. im Konfigurationsbereich Ihres Webhosters die gewünschten .htaccess Einstellungen setzen.

In diesem Fall ist es am Besten, Sie nehmen Kontakt mit Ihrem Webhoster auf und konfigurieren diese Einstellungen mit ihm zusammen.

Deaktivieren Sie die Funktion "Gäste dürfen an einen Freund senden"

Gehen Sie im Adminbereich auf Konfiguration->E-Mail Optionen und stellen Sie "Gäste dürfen an einen Freund senden" auf 'false'. Dadurch verhindern Sie, dass nicht eingeloggte Besucher unerwünschte Emails über Ihren Server versenden können.

Schützen Sie das "images" und andere Verzeichnisse

Während der Installation wurden Sie aufgefordert, das images Verzeichnis auf "beschreibbar" zu setzen, so dass Sie im Adminbereich die Artikel- und Kategoriebilder ohne Hilfe eines FTP Programms hochladen können. Ähnliche Empfehlungen wurden für andere Verzeichnisse und Dateien gemacht.

Sollten Sie das images (oder jedes andere) Verzeichnis auf "beschreibbar" lassen, eröffnen Sie jedem Hacker die Möglichkeit, schadhaften Code in Ihren Webshop einzuschleusen.

Daher sollten Sie, sobald Ihre Seite vollständing eingerichtet und alle Bilder hochgeladen haben, das Verzeichnis wieder auf "Read-Only" stellen. Ändern Sie den CHMOD von 777 auf 644 für Dateien und 755 für Verzeichnisse.

Zugriffsrechte für Dateien/Verzeichnisse

Für Linux/Unix Server empfehlen wir folgende Einstellungen:

  • Verzeichnisse: 755
  • Dateien: 644

Auf Windows Server ist es ausreichend, die Zugriffsrechte auf Read-Only zu setzen. Prüfen Sie außerdem, ob der Internet Guest Account ebenfalls nur Read-Only Zugriffsrechte hat.

Vorschläge für bestimmte Verzeichnisse

Die Verzeichnisse, für die während der Installation die Änderung der Zugriffsrechte auf beschreibbar empfohlen wurde. Wenn Ihr Webhoster .htaccess Dateien unterstützt, dann sollten Sie diese in den folgenden Verzeichnissen einsetzen. (Die in Version 1.3.9 und neuer enthaltenen .htaccess Dateien decken diesen Aspekt in Grundzügen bereits ab.)

  • /cache
    Dieses Verzeichnis wird für die Speicherung der User Sessions benutzt. Der beste Schuts für dieses Verzeichnis ist es, das Verzeichnis eine Ebene über das public_html oder htdocs oder www Verzeichnis zu legen. Dadurch ist es nicht per Browser erreichbar. (Benötigt Änderungen in der DIR_FS_SQL_CACHE Einstellung in den configure.php Dateien sowie die Anpassung des Pfades im Adminbereich unter Konfiguration > Sitzungen/Sessions > Verzeichnis für Sitzungen.)
  • /images
    Siehe oben
  • /includes/languages/english/html_includes
    Siehe unter Punkt 6
  • /media
    Dieses Verzeichnis muss nur Schreibrechte haben, wenn Mediendateien zum Artikeltyp Musik per Admin hochgeladen werden sollen. Wenn Sie in Ihrem Shop nichts Derartiges anbieten, setzen Sie das Verzeichnis auf chmod 755
  • /pub
    Dieses Verzeichnis wird nur verwendet, wenn Sie in Ihrem Shop Downloads anbieten. Wenn Sie in ihrem Shop keine Downloads anbieten, setzen Sie das Verzeichnis auf chmod 755
  • /admin/backups
    Dieses Verzeichnis benötigt chmod 777, falls Sie via Admin Sicherungen Ihrer Datenbank durchführen. Wenn Sie das nicht verwenden, setzen Sie das Verzeichnis auf chmod 755
  • /admin/images/graphs
    Dieses Verzeichnis benötigt nur chmod 777, um die Statistiken und Grafiken unter Tools->Banner Manager aktualisieren zu können. Wenn Sie dieses Feature nicht brauchen, setzen Sie das Verzeichnis auf chmod 755

Entfernen Sie die URL von den Ausdrucken aus Ihrem Browser

Um die URL aus den Ausdrucken zu entfernen gehen Sie wie folgt vor:

Internet Explorer:
o Klicken Sie auf Datei und dann auf Seite einrichten
o Entfernen Sie die Einträge unter Kopf- und Fußzeile.

Firefox:
o Klicken Sie auf Datei und dann auf Seite einrichten
o Klicken Sie dann auf den Tab "Ränder & Kopf-/Fußzeilen". Entfernen Sie dort die Einträge Titel und URL.

Was Sie regelmäßig prüfen sollten

  1. Stellen Sie sicher, dass Sie alle Sicherheitsvorkehrungen aus diesem Dokument durchgeführt haben.
  2. Erstellen Sie regelmäßig Backups Ihres Shops und Ihrer Datenbank und heben Sie sie sicher auf.
  3. Überprüfen Sie Ihre Serverlogs regelmäßig auf verdächtige oder merkwürdige Aktivitäten.
    • Achten Sie auf Links, die auf eine Seite verweisen, die nicht Inhalt Ihres Shops ist.
    • Achten Sie auf Links, die ein http nach der index.php haben.
  4. Prüfen Sie Ihre Dateien regelmäßig, um sicher zu gehen, dass keine Dateien hinzugefügt oder verändert wurden.
  5. Fragen Sie Ihren Webhoster nach dessen Sicherheitsvorkehrungen, damit Ihr Webspace sicher ist und nicht von außerhalb und/oder anderen Websiten auf Ihrem Server angegriffen oder beschädigt werden kann.
  6. Wenn es Ihre Branche verlangt oder Sie zusätzliche Sicherheit haben wollen, dann investieren Sie etwas Geld in einen Experten für Websicherheit


Copyright 2010 Zen Cart