Hacking password OsCommerce 2.2 RC1

[pecorazza]

Ciao a tutti

Vi sottopongo un problema fastidioso verificato già due volte tra agosto ed oggi su un sito OsCommerce
In pratica per due volte è stata "indovinata" la password di admin.

La prima volta l'hacker ha cambiato la password e creato altri account di amministratore per poi aggiungere una frase sulla homepage del sito. Ho risolto modificando la pass via Mysql con uno script ed è finita li

La seconda invece, l'hacker oltre ad aver aggiunto altri account ha cambiato i dati del link su Paypal redirezionando i pagamenti sul proprio profilo.

Mi chiedo dunque, secondo voi, c'è un problema di sicurezza su questa versione? Soluzioni?

Grazie

[hsg26]

beh, si problemi ce ne sono. Pensa che dopo quella sono uscite: RC2, RC2a, e ora a breve esce la 2.3 final.

in molte discussioni, anche recentemente in questo forum, è stata indicata una discussione sul forum di oscommerce.com ...questa discussione propone molte contribution per rendere più sicuro osc.

Inoltre se inizi dal 2008 e vai su http://github.com/osCommerce/oscommerce2/commits/master troverai le varie aggiunte/modifiche alla rc2a per portarla verso la 2.3 ...di queste modifiche, decine sono quelle legate alla sicurezza.

Inoltre, credo sia il caso che cambi le password anche per accedere al db e all'ftp. Senza dimenticare che è molto opportuno rinominare la cartella admin e mettergli una protezione htaccess.

[pecorazza]

Grazie mille per le dritte
Come consigli tu, ho messo a punto l'htaccess in admin e ho cambiato tutte le pass possibili.
Vediamo se così ci va meglio

[hsg26]

Grazie mille per le dritte
Come consigli tu, ho messo a punto l'htaccess in admin e ho cambiato tutte le pass possibili.
Vediamo se così ci va meglio

restano però le altre falle... chiudile! Usa una rc2a e applica le modifiche dal 2008 in poi, così avrai una base abb. sicura.