Virtuemart a legislativa

Koudy
04. led 2019 01:14 #138527
Ahoj
Hodně se tu probírá Virtuemart. Ale jak řešíte hacknutí eshopu. Může se to stát a každý únik osobních dat se musí ze zákona hlásit. Jsou za to dost velké postihy. Jak mohu třeba věřit rozšířením pro platební brány.
Možná mám jen plané obavy.
Koudy

Joomla je jen můj několikaletý koníček.
Několik let využívám předplatné Yootheme, mohu poskytnout informace.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Rudolf
04. led 2019 08:27 #138529
Dobrý den,

aby web nebyl hacknutý, používám pro wordpress a joomla rsfirewall a pak další úpravy na serveru a bezpečnostní opatření (vlastní know-how) :)

Co se týká platební brány, záleží jakou přesně máte, většinou si ukládá do logu informace o objednávce a uživateli = informace které se odesílají a přjímají z platební brány.
Tady stačí řádně upravit kam se informace ukládají a zabezpečit (například pomocí httacess)

Vlastní kód platební brány, pokud je správně napsaný, nedává moc prostor k získání informací. Jednak používáte předem definované API dané platební brány a jednak ten kdo ho programuje nesmí být nemehlo.
Tohle bohužel ale nezjistíte, doporučuji používat osvědčení výrobce.
Co znám, tak i když vím, že například naše platební pluginy (Gopay od EasySoftware, potažmo od Minionu) nabízí několik dalších programátorů na českém písečku (na svých webech) za podstatně levnější cenu, já bych si to od nich nekoupil, protože kvalitních programátorů v čechách (a mluvím o programátorech, kteří se opravdu vyznají v joomla nejenom v php) je na prstech jedné ruky, pár jsem jich osobně vyzkoušel.

Bohužel s kvalitou kódu je to stejné nejenom u platebních bran. Kolikrát jsme koupili rozšíření od jiných výrobců a pak ho celý přeprogramovali, protože tam byly totální a funkční nesmysly.
Bohužel jak jsem říkal, tohle jako běžný uživatel, který jen kupuje rozšíření a instaluje, nepoznáte. A výrobce Vám to z principu neřekne a hlavně nepotvrdí, jedině až mu to dokážete v kódu. Pokud je dobrý, tak to zahrne do dalších upgradů.
Pokud je ješitný, tak to neřeší.

Pokud už Vám někdo hackne web, tož to máte blbé, za to si můžete jako výrobce sám, protože například právě nevěnujete pozornost bezpečnosti a nenainstalujete minimálně aspoň ten firewall.
Nebo jako koncový zákazník Vás o tom neinformuje ten co vyrábí web a nepožaduje další peníze za licenci bezpečnostních opatření a nastavení.
Je to také jedna ze známek toho jestli je výrobce kvalitní nebo ne (těch co skládají a vyrábějí weby je mnoho a ne vždy nejlevnější cena je známkou kvality).
Pokud máte web, který Vám nebude vydělávat je to ale jedno, pokud Vám má dělat bussines a být funkční, zde bych vážil.

Tohle je třeba zákazníkům vysvětlit, že je to nutné a je jedno jaký typ webu má (wordpress, drupal, jooomla nebo cokoli jiného).

Po hacknutí máte několik možností jak takový web odvirovat. Protože se tím živíme asi by nebylo vhodné prozrazovat přesně jaký postup máme, jen mohu říci, že většina rad od hostingu a php programátorů jsou na nic (z vlastní zkušenosti - jen použijí script na vyhledání napadených souborů, ale ten je totálně k ničemu).

Zde je totiž nutné se věnovat i dalším informacím - například jaké doplňky máte na webu a zda již v sobě neobsahují možnost napadení webu == bezpečnostní díru, jak máte nastavený server a další a další.

Osobně když odvirovávám napadený web, provádím asi 45 kontrolních mechanismů a někdy je třeba věnovat tomu i několik až desítek hodin práce.

Resume:

1. Používat Platební brány od osvědčených výrobců (např. Gopay od Easy nebo Minon)
2. Zabezpečit web

MiniJoomla! - www.minijoomla.org - eshop s rozšířením
Virtuemart Mailing Manager - aplikace na správu šablon emailů pro VirtueMart
XML Easy Feeder - aplikace na generování feedů, napojení na ERP pro VirtueMart
PragueClassicconcert - portál pro prodej vstupenek na systému Joomla!
Poděkovali: marvays, Koudy

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.