Настройки безопасности
- Параметры безопасности
- Настройка SSL
- Защита сайта от клонирования
- Подтверждение телефона
- Сменить пароль аккаунта
- Замена пароля FTP
- Замена пароля PHP
- Смена владельца сайта
- Удаление сайта
- Лог действий
Параметры безопасности
Количество одновременных входов
Данная опция позволит организовать одновременную работу над сайтом нескольким администраторам.
Если количество находящихся в панели управления человек превысит допустимое значение, то участник, вошедший первым, будет отключен.
Всего в панели управления могут находиться от 1 до 4 человек одновременно.
Тайм-аут сессии
Если в течение данного интервала времени администратор не выполняет никаких действий в панели управления, доступ к ней будет прерван с ошибкой «Период сессии истек». После чего потребуется выполнить вход заново.
Допустимые значение интервала: 1, 3, 6 и 18 часов.
Cookies SameSite
Атрибут при должной настройке позволяет защитить от возможных атак путем использования сторонних cookie-файлов. Также правильные настройки данного атрибута позволяют запретить отслеживания при помощи Cookie.
Отметим, что данный пункт лучше не переводить в любой из режимов кроме off так как может случиться так, что у вас обновятся куки или вы их очистите, после чего вы в панель управления не сможете войти без запроса в техподдержку, чтобы вам отключили данную опцию.
Уровень безопасности сессии по IP-адресу
Настройка позволяет задать степень фиксации IP-адреса в течение одной сессии.
- Средний (фиксация сети класса C). Включен по умолчанию и подходит в большинстве случаев.
- Низкий (фиксация сети класса B). Может использоваться в случаях, когда работа в панели управления прерывается оповещением об изменившемся IP-адресе.
- Отсутствует (без фиксации). Используется, если степень фиксации класса B не помогла избежать оповещения об изменившемся IP-адресе.
- Высокий (фиксировать IP точно). Обеспечивает наивысший уровень безопасности. Используется только при наличии статического IP-адреса. Уточните эту возможность у своего интернет-провайдера.
Вход в панель только с указанных IP-адресов и подсетей
С помощью данной опции, вы имеете возможность настроить IP-адреса, с которых возможен вход в панель управления. Учтите, что, указав в настройках IP-адреса, вы можете потерять доступ к панели управления, если ваши новые IP-адреса не попадут в указанный список.
То есть, если у вас используется динамический айпи, который постоянно обновляется при каждом новом подключении к сети интернет, лучше эту опцию не подключать и айпи не добавлять.
Настройка SSL
На данной странице вы имеете возможность подключить SSL сертификат к своему сайту. О преимуществах работы сайта по защищенному протоколу передачи данных HTTPS, вы можете прочесть в материале - Зачем нужны SSL-сертификаты.
Подключить HTTPS
Активация данной опции переведет сайт на работу по HTTPS протоколу. После активации опции сайт станет доступным по защищённому протоколу в течение 15 минут.
Важно, если на ваше сайте прикреплен свой домен подобно sitename.ru, вам нужно будет покупать сертификат.
Отключить автоматическое перенаправление на HTTPS
Позволяет отключить редирект для ссылок вашего сайта с HTTP на HTTPS, используйте очень осторожно так как можно расклеить зеркала сайта.
Запретить HTTP для подключаемых ресурсов
Подключение данной опции не даст возможность делиться на сайте ссылками на http сайты или добавлять изображения, которые доступны по http протоколу.
Защита сайта от клонирования
Блокировка обращений с IP-адресов
Данная страница предназначена для блокировки активности пользователей. В качестве критерия указываются IP-адреса и их диапазоны.
Так, пользователь, IP-адрес которого указан в настройках, сможет посещать страницы сайта, однако при попытке оставить комментарий увидит сообщение: «Доступ запрещен, ваш IP-адрес заблокирован» .
Блокировка определённых стран
Данная опция позволяет запретить доступ к сайту для определенных стран. Перечислите через запятую двухбуквенные коды стран, которым необходимо заблокировать доступ. Например: DE,US,UA,RU и доступ к сайту с этой страны будет закрыт.
Пропускать ботов поисковых систем из заблокированных стран
Будьте внимательны, злоумышленники могут подделать HTTP_USER_AGENT и маскироваться под бота одной из поисковых систем.
Так же отметим, если вы например заблокировали доступ к сайту для страны RU, соответственно роботы поисковой системы Яндекс не будут иметь доступ к сайту, важно эту опцию держать включенной.
Перенаправление посетителей с чужих доменов с помощью Javascript
Подключение опции "Разрешить перенаправление", поможет уберечь аккаунты пользователей сайта, пытающихся по ошибке авторизировться на клонах вашего сайта, работающих на проксирующих доменах злоумышленников.
Топ IP-адресов
В данном списке вы имеете возможность просматривать и анализировать список наиболее часто обращающихся к вашему сайту IP-адресов. То есть, на этой странице будут по датам отображаться списки айпи которые максимально часто посещают ваш сайт.
Вы имеете возможность любой подозрительный айпи сразу же заблокировать, главное, чтобы вы понимали, что это за айпи и опасен ли он, и лишь после уже принимать решение о блокировке.
Активировать логирование IP-адресов
Данная опция позволяет именно активировать опция логирования IP, если она отключена, айпи не будут логироваться и вы не сможете просматривать и анализировать список наиболее часто обращающихся к вашему сайту IP-адресов.
Не логировать запросы к ПУ
Данная опция позволит избавиться от лишнего логирования айпи при запросах авторизации на странице панели управления сайтом /admin.
Не логировать администраторов
Данная опция позволит отключить логирование айпи адресов администраторов сайта.
Не логировать ботов поисковых систем
Данная опция позволит отключить логирование посещений вашего сайта ботами поисковых систем.
Важно, чтобы эта опция была отключена так как иногда боты поисковых систем слишком активны и защита от клонирования может заблокировать доступ к сайту по айпи для ботов. В результате ваш сайт перестанет индексироваться и в вебмастере поисковой системы, вам сообщат, что доступ к вашему сайту невозможен.
Подтвердить телефон
На этой странице вы можете подтвердить номер телефона, если не сделали это при регистрации и создании сайта.
Чтобы изменить номер привязанного телефона, отправьте запрос в техническую поддержку.
Сменить пароль аккаунта
Данная страница позволяет изменить пароль для входа в панель управления сайтом. Обращаем внимание, что пароль должен быть достаточно сложный, чтобы его нельзя было угадать методом подбора. Никогда не сообщайте пароль от панели управления третьим лицам.
Способ авторизации
Глобальный пароль
Глобальный пароль для панели управления вашего uID-аккаунта, это "Пароль администратора", который у вас назначен в рамках UID аккаунта, он используется один на все сайты, которые вы создали в аккаунте.
Используется этот пароль именно для:
- Доступа в панель управления Вашего сайта по адресу: /admin.
- Позволяет изменять ключевые настройки аккаунта.
- Требуется при изменении паролей в вашем UID аккаунте.
Отдельный пароль
Выбрав данную опцию, вы можете задать отдельный пароль для конкретного сайта, после вы сможете на странице: /admin входить по отдельному паролю.
Так же отметим, если вы установили отдельный пароль на конкретном сайте, перейдите по адресу: /admin/456 после чего вы сможете напомнить забытый вами пароль.
Текущий пароль панели управления
Если вы изменяете пароль к панели управления сайтом на отдельный, для подтверждения нужно ввести текущий "Пароль администратора", чтобы подтвердить изменение пароля.
Замена пароля (FTP)
FTP нужен для быстрой и удобной загрузки большого количества файлов на сервер. Для подключения по FTP используйте специальные программы (например: Filezilla, CuteFTP, FTP Commander, FTP Navigator и т.д.). Использовать для этих целей браузер нельзя! Если вам необходимо загрузить небольшое число файлов, используйте для этого «Файловый менеджер».
Для смены или создания пароля потребуется ввести ответ на секретный вопрос.
Замена пароля (PHP FTP)
В данном разделе задается пароль доступа к серверу PHP. Загрузка и обновление PHP-скриптов осуществляется по протоколу FTP. Для подключения по FTP используйте специальные программы, FTP-клиенты (например: CuteFTP, FTP Commander, FTP Navigator и т.д.). PHP-скрипты необходимо загружать в папку /scripts, файлы скриптов должны иметь расширение .php.
Для смены или создания пароля потребуется ввести ответ на секретный вопрос.
Смена владельца сайта
Эта страница позволяет сменить владельца сайта. После выполнения процедуры новый владелец сможет поменять пароль для входа. Также в настройках сайта изменится ответ на секретный вопрос.
Удаление сайта
Для вашей безопасности, чтобы удалить сайт, потребуется ввести пароль от панели управления и ответ на секретный вопрос.
Лог действий
Лог действий хорошо помогает, когда требуется разобраться, что явилось причиной каких-либо изменений в работе сайта.
Контент и настройки - a.log
Позволяет отследить, как, кем и когда добавлялись материалы на сайт. Здесь же хранится информация об изменениях в товарах и заказах интернет-магазина (changing order setting), а также история редактирования страниц сайта и экспорта.
В дополнение, если в настройках модуля пользователи подключить пункт - "Записывать в лог действий авторизацию пользователей на сайте", в логах в разделе "Контент и настройки", вы будете наблюдать следующие логи:
то есть, по сути мы получаем полное логирование входа пользователей (авторизации) на сайте и их выход с сайта.
Безопасность - s.log
Лог безопасности отображает информацию о входах в панель управления сайтом и других операциях, напрямую связанных с обеспечением безопасности вашего сайта.
Платежные системы - p.log
В данном логе вы сможете увидеть историю операций с платежными системами в вашем интернет-магазине. Так же сможете увидеть лог действий по оплатах тарифа на сайте или отключении подписки на автоматический платеж.
Импорт YML - y.log
В этом логе содержится информация об импорте товаров из файлов YML.