Cominciamo dal primo: ordine e ordine e ordine... Iniziando col rimuovere le cartelle aggiuntive dal server dopo l'installazione
È importante che dopo aver installato uno Zen Cart fare un po' di pulizia e rimuovere le cartelle (e tutti i file al loro interno) inutili proprio per minimizzare i rischi di SICUREZZA:
- / docs (che indica anche la versione in uso)
- / extras (contiene delle utilità...)
- / zc_install (che sarà stata presumibilmente rinominata...)
- / install.txt (che non ha senso tenere li per nulla)
Mantenere questi file SOLO sul proprio computer, in quanto possono essere utilizzati come riferimenti / documentazione, o usati per aiutare nella risoluzione dei problemi come strumenti diagnostici o per l'aggiornamento / installazione di nuovo in futuro.
Ma queste cartelle / file non devono essere su un server in produzione. Mai!
Inoltre, non avendo intenzione di supportare i prodotti download / scaricabili o product music - multimediali, è possibile rimuovere anche queste cartelle:
- / download
- / media
- / pub
E impostarlo su False per disattivare il messaggio di avviso relativo alla cartella di download ora assente.
In futuro volendo aggiungere prodotti in download allo store o prodotti di tipo music, si dovrà ri-caricare queste cartelle (ed i loro contenuti) e assegnare nuovamente le autorizzazioni appropriate.
MAI LASCIARE NEL SERVER CARTELLE E FILE senza motivo.
Spesso lavoriamo per clienti che hanno nel loro ftp copie vecchie, doppioni, duplicati, deposito moduli morti e abbandonati, zip, template e di tutto un po'... Questo oltre che spreco di spazio e risorse è pericoloso!- Paranoia level -
Sempre e solo via FTP una volta ultimato il processo di set-up dello store sarà possibile cambiare e ridurre i permessi da 777 a 644 delle cartelle (e sotto cartelle con i file presenti in)- / images
- / includes / languages / english / html_includes/
- / includes / languages / italian / html_includes/
Anzi per certi versi un "assoluto di sicurezza" ma è indicato solo a chi effettua rari aggiornamenti e/o modifiche oppure è sveglio e non certo pigro: per ogni modifica da pannello dei testi bisognerà accedere al FTP e cambiare i permessi, quindi quando fatto riportarli e blindare.
Idem per le immagini e le cartelle.
Senza i permessi a 777 non è possibile caricare immagini per categorie, articoli, banner ecc...
Nota a margine: certo è anche vero che il team che lavora quotidianamente in uno store lo tiene controllato e potrebbe non aver bisogno del "livello paranoia", ma è anche vero che di troppa sicurezza e prevenzione non è mai morto nessuno! E l'ultimo alla sera se perde 1 minuto per cambiare i permessi della cartella immagini sicuramente dorme più tranquillo...
Naturalmente quanto sopra è importante non solo per Zen Cart ma per tutti i sistemi CMS / E-commerce che adoperano PHP / SQL e lo sfoglia e carica.... Occhio!
Nessun commento:
Posta un commento