现在的时间是 2024-03-29 21:46

News Global announcements

Site map of Zen Cart 中文 » 版面 : Zen Cart 中文

开源网店系统|免费网上商店|购物车程序

重要通知: 关于POODLE漏洞和付款安全

由于POODLE漏洞, 一些支付处理商已经开始停止使用SSLv3.0, 这有可能导致收款出现问题:

现象:
付款过程中客户有可能看到这样的错误信息:
"An error occurred when we tried to contact the payment processor. Please try again, select an alternate payment method, or contact the store owner for assistance. () - (35) error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number"

背景:
在过去几年 告诉PHP弃用缺省的SSLv2通信是很重要的, 于是我们指定了SSLv3, 但现在SSLv3已经被 TLS 1.0 1.1 和 1.2所超越, 现在较新版本的PHP和libcurl只要没有指定SSL的版本 他们能够自动协议使用最优的SSL版本, 所以对于POODLE漏洞最好的办法就是修改ZENCART的代码 不指定SSL版本, 让PHP和libcurl自动协商.

受影响的版本:
v1.3.8a - 只有linkpoint_api module受影响
v1.3.9 - 以下所有文件受影响
v1.5.0-v1.5.3 - 以下所有文件受影响

受影响的文件:
/includes/modules/payment/paypal/paypal_curl.php 约58行
/includes/modules/payment/authorizenet_aim.php 约600行
/includes/modules/payment/authorizenet_echeck.php 约589行
/includes/modules/payment/paypaldp.php 约2342行 (有些版本有此文件, 有些没有, ...


ZEN CART安全建店的步骤 (2009.12.18 更新)

强烈建议所有Zen Cart用户再次阅读本贴,保证网店的安全。

下面是强化Zen Cart网店安全的几个步骤:

1. 删除以下几个目录和文件

安装完成后,请从服务器上删除以下目录和文件:
- /docs
- /extras
- /zc_install
- /install.txt (这是文件)

如果你用的是v1.3.8的版本,请更新 /editor/.htaccess 文件 (见本帖附件,下载后改名为 .htaccess ,文件名前面有个点)

另外,如果你的网店不是卖可下载类的产品,请同时删除以下文件和目录:
- /download
- /media
- /pub

不要只是改名目录,万一别人知道了目录名,就不安全。

如果删除了 download 目录,商店设置-属性设置-允许下载,设置为:false

2. 设置configure.php文件为只读

将两个configure.php文件用CHMOD(设置权限)命令改为只读很重要。

通常就是设置为"644",有时是"444"。

如果无法通过FTP程序修改,可以用主机商提供的文件管理工具来修改。

如果您用的是Windows服务器,只要将文件设置为"所有人" "只读",如果是在IIS下,是IUSR_xxxxx 用户,或者"System"帐号,在Apache下,是"apache user"帐号。

3. 改名"/admin"目录

修改"admin"目录名,用一个很难猜测到的名字。

下面的修改仅适用v1.5以下版本,v1.5及以上版本不再需要手工修改这些配置文件

A- 用文本编辑器,例如记事本,打开文件admin/includes/configure.php。

将所有出现/admin/的地方改成自己的管理目录名。
注意名字里的大写ADMIN不要修改

需要修改的部分:
define('DIR_WS_ADMIN', '/admin/');
define('DIR_WS_CATALOG', '/');
define('DIR_WS_HTTPS_ADMIN', '/admin/');
define('DIR_WS_HTTPS_CATALOG', '/');

需要修改的部分:
define('DIR_FS_ADMIN', '/home/mystore.com/www/public/admin/');
define('DIR_FS_CATALOG', '/home/mystore.com/www/public/');

B- 找到Zen Cart的/admin/目录,

将该目录名按照admin/includes/configure.php中的定义作相应修改。

4. 删除不用的管理员帐号

管理页面->工具->管理设置

在管理页面下,打开工具菜单,选择管理设置
- 检查所有没有使用的管理员帐号并删除。特别注意是否有"Demo"帐号。

5. ...


 

登录


统计信息

帖子总数:111768 • 主题总数:69295 • 注册用户总数:23542