Jump to content
analuciasoares

Configurações Prestashop 1.6 (permissões x SEGURANÇA x estabilidade loja)

Recommended Posts

Oi gente!

(não sou programadora sou design e me atrevo a tentar entender um milímetro de programação, segurança afins) :D

Nas minhas andanças aqui no fórum encontrei alguns posts com orientações de segurança (em geral), mas nada tão fundo, ou seja um tópico dedicado 100% sobre a segurança da plataforma. Ai pesco aqui, ali e mais a minha experiência :/ Então preciso do pitaco de vocês  Select, Guest, Daniel, Neogest e outros colegas experts que estão há anos por aqui :D

 

Entendo que, dentre vários itens, a estabilidade e segurança depende das configurações do servidor (qualidade/tipo hospedagem)

Mas tem algo que me preocupa (muito): segurança da loja que em minha opinião (vai além de um https) pois estamos trabalhando com uma plataforma free de código aberto onde "todos" sabem bem sobre a estrutura de pastas, modulos free, por exemplo...

  1. Como podemos trabalhar para proteger, melhor, a estrutura?
  2. Sugerem módulos que ajudem a aumentar a segurança, sejam eles, pagos ou free?
  3. Sobre permissões  -- como vi um post do user Guest* abaixo: 
Todos os outros arquivos e pastas dentro destas pastas/sub-pastas devem ter permissão, incluido .htacces CHMOD 0640 ou 0644. Unica exceção: Os arquivos sitemap.xml e robots.txt no root da loja, estes devem ter permissão 0755 ao mínimo, mas nunca 0777.

Entendi sobre "os níveis de permissões" quanto menor mais seguro, mas aqui tenho uma dúvida: Se aplicarmos CHMOD 640 ou 644 para arquivos e pastas/subpastas os módulos (principais default de instalação e correios, pagamentos) funcionarão a contento (estabilizados)?

 

4. Vi em alguns artigos que a "alta latência" tb pode influenciar a ataques, procede?

 

Meus pitacos para tentar melhorar a segurança e claro muitas foram sugestões dos amigos aqui do fórum:

1.  optei (ainda em teste) por um ambiente Cloud hosting onde eu possa configurar o versão PHP (no meu caso estou testando com a 7 e as configurações recomendadas no 1º post --aqui--- e na documentação oficial

2. as permissões pastas 755 arquivos 644 (mas prevalecem as dúvidas do item 3) :/

3. pretendo investir em algum modulo que aumente a segurança

4. testando recursos para diminuir a latência

5. testando com os "CCC"s para desempenho

5. protocolo TLS/SSL de qualidade - que são importantes nas transferências de dados

Estou no caminho certo??

 

Abraços, não consegui ser sucinta e espero que este post tb ajude mais amigos :D

Edited by analuciasoares (see edit history)

Share this post


Link to post
Share on other sites

Olá, @analuciasoares

 

Bom ver que se preocupa com segurança / performance.

 

A segurança depende tanto do servidor quando do código (PHP, principalmente).

 

Quanto ao código é bom adquirir módulos de fontes confiáveis, e manter a versão (de módulos, do PrestaShop e mesmo do PHP) atualizadas.

Mesmo sem um código malicioso, um módulo ou função pode conter vulnerabilidades que pode ser exploradas por pessoas mal-intencionadas (aconteceu isso há pouco tempo e o PrestaShop teve que atualizar versão e alguns módulos).

 

Quanto ao seu host, as melhores ferramentas de análise são bem complexas, mas existem algumas que você mesmo pode utilizar online:

https://geekflare.com/online-scan-website-security-vulnerabilities/

 

Existem ainda alguns módulos que podem ser instalados no servidor, como ConfigServer, ClamAV, etc...

Se vc utilizar o cPanel ou outro gerenciador do host, pode ser fácil a instalação / utilização.

 

E alguns procedimentos que podem ser feitos no Apache (dependendo do seu conhecimento) para minimizar possíveis falhas de segurança:

https://geekflare.com/apache-web-server-hardening-security/

 

Por fim, pode verificar s recomendações do PCI (https://www.pcisecuritystandards.org/).

Caso você tenha venda direta com cartão de crédito na loja, é altamente recomendado seguir essas regras. 

Na integração direta com a CIELO, por exemplo, é obrigatório.

 

Quanto à performance, caberia um fórum só pra discutir as melhores práticas...

 

Na minha opinião, um bom host é o principal. 

Mas um código PHP ruim (em um módulo, por exemplo) também pode prejudicar bastante a performance da loja, ou mesmo tirar a loja do ar.

Caso isso ocorra, recomendo desinstalar os módulos não-nativos de um por um, para verificar qual causou o problema.

 

Bom trabalho e boa sorte.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More