Configurações Prestashop 1.6 (permissões x SEGURANÇA x estabilidade loja)

[analuciasoares]

Oi gente!

(não sou programadora sou design e me atrevo a tentar entender um milímetro de programação, segurança afins)

Nas minhas andanças aqui no fórum encontrei alguns posts com orientações de segurança (em geral), mas nada tão fundo, ou seja um tópico dedicado 100% sobre a segurança da plataforma. Ai pesco aqui, ali e mais a minha experiência :/ Então preciso do pitaco de vocês  Select, Guest, Daniel, Neogest e outros colegas experts que estão há anos por aqui

 

Entendo que, dentre vários itens, a estabilidade e segurança depende das configurações do servidor (qualidade/tipo hospedagem)

Mas tem algo que me preocupa (muito): segurança da loja que em minha opinião (vai além de um https) pois estamos trabalhando com uma plataforma free de código aberto onde "todos" sabem bem sobre a estrutura de pastas, modulos free, por exemplo...

1. Como podemos trabalhar para proteger, melhor, a estrutura?
2. Sugerem módulos que ajudem a aumentar a segurança, sejam eles, pagos ou free?
3. Sobre permissões  -- como vi um post do user Guest* abaixo: 

Todos os outros arquivos e pastas dentro destas pastas/sub-pastas devem ter permissão, incluido .htacces CHMOD 0640 ou 0644. Unica exceção: Os arquivos sitemap.xml e robots.txt no root da loja, estes devem ter permissão 0755 ao mínimo, mas nunca 0777.

Entendi sobre "os níveis de permissões" quanto menor mais seguro, mas aqui tenho uma dúvida: Se aplicarmos CHMOD 640 ou 644 para arquivos e pastas/subpastas os módulos (principais default de instalação e correios, pagamentos) funcionarão a contento (estabilizados)?

 

4. Vi em alguns artigos que a "alta latência" tb pode influenciar a ataques, procede?

 

Meus pitacos para tentar melhorar a segurança e claro muitas foram sugestões dos amigos aqui do fórum:

1.  optei (ainda em teste) por um ambiente Cloud hosting onde eu possa configurar o versão PHP (no meu caso estou testando com a 7 e as configurações recomendadas no 1º post --aqui--- e na documentação oficial

2. as permissões pastas 755 arquivos 644 (mas prevalecem as dúvidas do item 3) :/

3. pretendo investir em algum modulo que aumente a segurança

4. testando recursos para diminuir a latência

5. testando com os "CCC"s para desempenho

5. protocolo TLS/SSL de qualidade - que são importantes nas transferências de dados

Estou no caminho certo??

 

Abraços, não consegui ser sucinta e espero que este post tb ajude mais amigos

Edited February 3, 2017 by analuciasoares (see edit history)

[Daniel - PrestaBR]

Olá, @analuciasoares

 

Bom ver que se preocupa com segurança / performance.

 

A segurança depende tanto do servidor quando do código (PHP, principalmente).

 

Quanto ao código é bom adquirir módulos de fontes confiáveis, e manter a versão (de módulos, do PrestaShop e mesmo do PHP) atualizadas.

Mesmo sem um código malicioso, um módulo ou função pode conter vulnerabilidades que pode ser exploradas por pessoas mal-intencionadas (aconteceu isso há pouco tempo e o PrestaShop teve que atualizar versão e alguns módulos).

 

Quanto ao seu host, as melhores ferramentas de análise são bem complexas, mas existem algumas que você mesmo pode utilizar online:

https://geekflare.com/online-scan-website-security-vulnerabilities/

 

Existem ainda alguns módulos que podem ser instalados no servidor, como ConfigServer, ClamAV, etc...

Se vc utilizar o cPanel ou outro gerenciador do host, pode ser fácil a instalação / utilização.

 

E alguns procedimentos que podem ser feitos no Apache (dependendo do seu conhecimento) para minimizar possíveis falhas de segurança:

https://geekflare.com/apache-web-server-hardening-security/

 

Por fim, pode verificar s recomendações do PCI (https://www.pcisecuritystandards.org/).

Caso você tenha venda direta com cartão de crédito na loja, é altamente recomendado seguir essas regras. 

Na integração direta com a CIELO, por exemplo, é obrigatório.

 

Quanto à performance, caberia um fórum só pra discutir as melhores práticas...

 

Na minha opinião, um bom host é o principal. 

Mas um código PHP ruim (em um módulo, por exemplo) também pode prejudicar bastante a performance da loja, ou mesmo tirar a loja do ar.

Caso isso ocorra, recomendo desinstalar os módulos não-nativos de um por um, para verificar qual causou o problema.

 

Bom trabalho e boa sorte.