Данные юзеров на сайте

Версия MODX: Все

Недавно интересоваться e-mail маркетингом, и узнал что есть такие программы которые вытаскивают из базы данных данные пользователей, а точнее их e-mail-лы
Есть сайты которые защищены от этого а есть нет.

У меня магазин работает на shopkeeper, по мимо телефонов и емейлов клиенты вводят данные о своем месте проживании и т.д

Вопрос
Могу ли я быть спокойным что данные моих клиентов находятся в безопасности?
Могут ли конкуренты вытащить данные моих пользователей через какие то программы?
И какие есть методы защиты от подобных действий?

можно использовать https в корзине shopkeeper ??

Версия платформы MODX Revolution 2.3.5-pl (traditional)

Теги:
защита

Роман
22.01.16 в 14:01

Комментарии (6)

Павел Романов 22.01.2016 14:27 #

Тут вопрос общей безопасности.
Все данные о заказах хранятся в базе как и все остальное.
Если у злоумышленника есть доступ к примеру, по FTP, то есть и доступ ко всей базе, поскольку реквизиты прописаны в конфигурационном файле и тут ничего уже не спасет ).
Каких-либо значимых дыр в MODX, насколько я знаю, с версии 2.2.8 не выявлялось. Если и были, то они довольно оперативно латаются в новых релизах.
С Evolution старых версий более печальная ситуация, но речь не о нем.

А вообще есть три хороших правила:
• Использовать версию advansed, где можно менять директории админки и коннекторов по умолчанию.
• Менять префикс таблиц с умолчального modx_.
• Вынести ядро за пределы корневой директории сайта (например, за пределы public_html)

Ну и общие правила сетевой гигиены типа периодической смены паролей, проверки на вирусы локальных машин и т. д.

Комментарий был изменён 22.01.2016 в 14:27
Роман 22.01.2016 14:52 #

А чем вообще эти версии отличаются ?? advansed и т.д
1. Павел Романов 22.01.2016 16:53 #
  
  В advansed при установке можно переименовать системные директории.
  В traditional нельзя — админка будет в manager, коннекторы — в connectors.
  Вот тут подробнее: modx.com/download/distribution/revolution-2.4.2-pl-standard
  Комментарий был изменён 22.01.2016 в 16:55
  1. Роман 22.01.2016 16:59 #
    
    Странно, а я изменил адрес админки подредактировав некоторые файлы
    1. Игорь Сухинин 22.01.2016 22:18 #
      
      На самом деле ничего странного. Обе эти версии MODX — суть одно и то же. Просто advanced позволяет в некотором смысле удобнее это сделать, более нагляднее что ли, используя инсталлятор. Но если Вы умеете работать с конфигурационными файлами и понимаете, что и зачем правите, то разницы нет.
Игорь Сухинин 22.01.2016 22:29 #

>> Могу ли я быть спокойным что данные моих клиентов находятся в безопасности?
Скорее да, чем нет. Но, как правильно указал Павел, если пароли перехвачены злоумышленниками — увы, ничего не спасет. Кстати, по этой причине крайне желательно использовать защищенное соединение при подключении к серверу по FTP: sFTP, SSH и т.д.

>> Могут ли конкуренты вытащить данные моих пользователей через какие то программы?
Нет, не могут… Ну если только это не программы какого-то специалиста по сетевой безопасности :) Иными словами, если Вашим сайтом заинтересовались серьезные хакеры. Но тогда попытки взлома будут производиться по разным каналам — начиная от поиска брешей в MODX (которых на данный момент вроде нет) и заканчивая уровнем попыток взлома ОС сервера. Но это очень маловероятный сценарий :)

Тем не менее, надо признать, что при наличии физического доступа к серверу у Вашего провайдера — его сотрудники в теории могут слить базу и Вы даже этого не заметите. Если есть сомнения и необходимость, запускайте собственный сервер и несите его в серьезный дата-центр с жесткими политиками физического доступа.

>> можно использовать https в корзине shopkeeper ??
Да, можно. Не вижу причин НЕ использовать защищенное соединение, если Вы можете его включить.

P.S.: Все вышесказанное Павлом имеет смысл. Добавлю разве что — не забывайте обновлять MODX до последних версий.

Для добавления комментариев вы должны авторизоваться или зарегистрироваться.