Nach erfolgreicher Installation des Shops sind folgende Maßnahmen empfohlen, um die Sicherheit des Shops zu erhöhen. Ganz wesentlich dabei ist die Umbennung des admin Verzeichnisses:

1. Löschen Sie das Installationsverzeichnis zc_install und andere nicht benötigte Dateien und Ordner

Der Ordner zc_install wird am Server nicht mehr benötigt und sollte komplett gelöscht werden. Nicht umbenennen und am Server lassen, sondern komplett löschen!
Falls Sie auch folgende Ordner hochgeladen haben, löschen Sie diese ebenfalls:
- docs
- extras
Der Ordner docs enthält nur Anleitungen und wird am Server nicht benötigt. Der Ordner extras enthält einige Diagnosedateien, die ebenfalls für den Shopbetrieb nicht notwendig sind. Das Verbleiben dieser Dateien am Server stellt ein Sicherheitsrisiko dar.
Ausnahme:
Manche Module legen Dateien im Ordner extras ab, z.B. das Modul von sofortüberweisung.de.
Löschen Sie also nur die Dateien im Ordner extras, die mit test gekennzeichnet sind.
Löschen Sie auch folgende Datei:
- install.txt

Falls Sie in Ihrem Shop keine Downloads oder Musikdateien anbieten werden, können Sie auch die folgenden Ordner löschen:
- download
- media
- pub
Damit Sie keine Warnmeldung über den fehlenden Downloadordner bekommen, müssen Sie danach in der Administration unter Konfiguration > Attributeinstellungen "Downloads aktivieren" auf false stellen.
Sollten Sie später einmal Downloads anbieten wollen, müssen Sie diese Ordner wieder hochladen und ihnen die entsprechenden Berechtigungen geben.


2. Benennen Sie das Adminverzeichnis um

Um Hackern die Arbeit zu erschweren ist es ratsam, das /admin Verzeichnis umzubenennen. Wer die Administrationsadresse Ihres Shops nicht kennt, kann auch gar nicht erst versuchen verschiedenen User/Passwortkombinationen auszuprobieren. Außerdem schützen Sie sich so gegen Angriffe, die versuchen, schädlichen Code in Ihren Shop einzuspielen. Solche Angriffe zielen in der Regel auf das /admin Verzeichnis und funktionieren nur, wenn dieses Verzeichnis auch admin heißt.
Aktuelles Beispiel:
Zen-Cart Sicherheitswarnung und Patch vom 19.06.2009

Bevor Sie die folgenden Änderungen durchführen, machen Sie unbedingt eine Sicherung Ihrer Datenbank und sichern Sie alle Dateien Ihres Shops auf die lokale Festplatte.

Öffnen Sie dann die Datei admin/includes/configure.php mit einem Texteditor.
Unter einem Texteditor ist ein wirklicher guter Texteditor zu verstehen, der mit utf-8 Dateien umgehen kann. Also keinesfalls z.B. Microsoft Word.
Empfehlenswerte Editoren sind:
Notepad++
oder
UltraEdit

Sie müssen folgende Einträge anpassen:

define('DIR_WS_ADMIN', '/admin/');
define('DIR_WS_HTTPS_ADMIN', '/admin/');
define('DIR_FS_ADMIN', '/home/mystore.com/www/public/admin/');

Ändern Sie nun admin auf einen Namen Ihrer Wahl, in diesem Beispiel verwenden wir tq67pvxa. Dieser Name ist natürlich nur beispielhaft, bitte verwenden Sie einen anderen Namen!

define('DIR_WS_ADMIN', '/tq67pvxa/');
define('DIR_WS_HTTPS_ADMIN', '/tq67pvxa/');
define('DIR_FS_ADMIN', '/home/mystore.com/www/public/tq67pvxa/');

Speichern Sie die Datei ab und ersetzen Ihre admin/includes/configure.php am Server damit. Achten Sie darauf, dass die bestehende Datei am Server auch wirklich überschrieben wird. Die configure.php hat normalerweise chmod 444, kann also nicht überschrieben werden. Ändern Sie vorher die Dateirechte der Datei auf chmod 777 (oder 666), dann überschreiben sie sie per FTP mit der geänderten. Setzen Sie die Rechte danach wieder auf chmod 444.

Am Server benennen Sie nun den Ordner admin in tq67pvxa um.

Ab sofort finden Sie dann die Administration Ihres Shops nicht mehr auf
www.meinshop.de/shop/admin
sondern auf:
www.meinshop.de/shop/tq67pvxa


3. Setzen Sie einen Schreibschutz für die beiden configure.php

Die beiden Zen-Cart Konfigurationsdateien sollten nachdem Sie darin alle gewünschten Änderungen vorgenommen haben, nicht mehr am Server änderbar sein.
Daher müssen sie mit einem Schreibschutz versehen werden.
Wenn sich Ihr Shop auf einem Linux-Server befindet, setzen Sie den Schreibschutz mit Ihrem FTP Programm und geben folgenden Dateien den Befehl chmod 444
includes/configure.php
admin/includes/configure.php


4. Löschen Sie alle nicht benötigten Admin Accounts

Haben Sie mehrere Administratoren angelegt? Werden wirklich mehrere Admin Accounts verwendet? Sind die zusätzlichen Admin Accounts wirklich nötig? Gibt es noch einen Adminaccount namens Demo?
Überprüfen Sie unter Admin > Tools > Administratoren, ob mehrere Admins angelegt sind und löschen Sie nicht unbedingt benötigte Administratoren.


5. Verwenden Sie sichere Passwörter

Das Passwort für Ihren Admin Account sollte mindestens 8 Zeichen lang sein und am besten aus einer Ziffern-, Buchstaben-Kombination bestehen. Verwenden Sie auch Groß- und Kleinschreibung. Verwenden Sie keine "normalen" Wörter, die einen Sinn ergeben.
Das Adminpasswort können Sie unter Admin > Tools > Administratoren mit dem Button "Reset Password" ändern.
Diese Passwortempfehlungen gelten genauso für Ihren FTP User oder das Passwort zum Zugang zu phpMyAdmin. Verwenden Sie auch hier sichere Passwörter!


6. Versehen Sie Ihre define pages mit einem Schreibschutz

Damit Sie unter Admin > Tools > Seiteneditor Ihre Define Pages online bearbeiten können, mussten Sie diesen Dateien Schreibrechte geben.
Die Dateien befinden sich im Ordner includes/languages/german/html_includes
Falls Sie weitere Sprachen einsetzen im entsprechenden Sprachverzeichnis, z.B. includes/languages/english/html_includes
Wenn Sie mit dem Editieren Ihrer Seiten fertig sind, setzen Sie auf all diese Dateien wieder einen Scheibschutz mit chmod 644.
Wenn Sie später wieder über den Seiteneditor im Adminbereich Änderungen an diesen Seiten vornhehmen wollen, müssen Sie natürlich wieder per FTP den entsprechenden Dateien Schreibrechte geben (z.B. chmod 666)


7. Verwenden Sie die mitgelieferten .htaccess und index.html Dateien

In verschiedenen Verzeichnissen der Zen-Cart Installation befinden sich .htaccess Dateien und index.html Dateien.
Löschen Sie diese Dateien nicht! V.a. die verschiedenen .htaccess Dateien z.B. im admin Verzeichnis oder im includes Verzeichnis sind für die Sicherheit Ihres Shops sehr wichtig!
Die leeren index.html Dateien dienen dazu, dass beim Aufruf des Verzeichnisses nicht der Inhalt angezeigt wird.
Noch sicherer ist es, dazu zusätzlich eine .htaccess Datei zu erstellen und sie in Verzeichnisse mit einer index.html zu legen.

Diese .htaccess könnte folgenden Inhalt haben:

#.htaccess to prevent unauthorized directory browsing or access to .php files
IndexIgnore */*
<Files *.php>
Order Deny,Allow
Deny from all
</Files>

Manche Provider erlauben das manuelle Erstellen von .htaccess Dateien nicht oder benötigen andere Settings als die in obigem Beispiel.
Nehmen Sie bei Unklarheiten oder Schwierigkeiten mit Ihrem Provider Kontakt auf, um die besten Einstellungen für Ihr System zu ermitteln.


8. Deaktivieren Sie die Weiterempfehlen Funktion für Gäste

Admin > Konfiguration > Emailoptionen
Stellen Sie "Gäste dürfen an einen Freund senden" auf false.
Dadurch verhindern Sie, dass nicht eingeloggte Besucher unerwünschte Emails über Ihren Server versenden können.


9. Schützen Sie das images Verzeichnis

Während der Zen-Cart Installation wurde empfohlen, dem images Verzeichnis Schreibrechte zu geben (chmod 777).
Das dient dazu, dass Sie in der Lage sind, über das Adminmenü Bilder hochzuladen.
Wenn Sie Ihren Shop fertig eingerichtet haben, ist es besser, das images Verzeichnis wieder auf chmod 755 zurückzustellen.
Dadurch haben Hacker nicht die Möglichkeit, zu versuchen, schadhaften Code in Ihr images Verzeichnis einzuschleusen.
Stellen Sie daher die Rechte des images Verzeichnisses und der Unterordner darin von chmod 777 auf chmod 755.
Ähnlich wie bei Empfehlung 6 (Versehen Sie Ihre define pages mit einem Schreibschutz) müssen Sie dann später möglicherweise wieder auf 777 stellen, bevor Sie über das Adminmenü weitere Bilder hochladen können.

Sollte bei Ihrem Provider PHP als CGI-Modul laufen, ist folgende .htaccess Datei für das images Verzeichnis empfehlenswert:

# Prevent directory viewing and the ability of any scripts to run.
# No script, be it PHP, PERL or whatever, can normally be executed if ExecCGI is disabled.
OPTIONS -Indexes -ExecCGI


10. Hinweise zu Schreibrechten für verschiedene Ordner

Während der Zen-Cart Installation wurde empfohlen, bestimmten weiteren Verzeichnissen Schreibrechte (chmod 777) zu geben.
Nachdem der Shop fertig eingerichtet ist, sind diese Rechte meist nicht mehr nötig.
Faustregel: Je weniger chmod 777 desto besser!

Hier einige Informationen zu diesen Verzeichnissen. Bitte wenden Sie sich bei Unklarheiten an Ihren Provider, nicht alle hier beschriebenen Enpfehlungen sind bei allen Providern so möglich.

cache
Statt diesem Ordner chmod 777 zu geben ist es besser, den Ordner eine Ebene über das public_html/htdocs/www Verzeichnis zu legen.
Verzeichnisse auf dieser Ebene sind im Browser nicht aufrufbar.
Wenn Sie das tun, müssen sie auch in beiden configure.php den Pfad zum cache Verzeichnis entsprechend anpassen.
Und Sie müssen es auch in der Datenbank ändern: Admin > Konfiguration > Sitzungen/Sessions > Verzeichnis für Sitzungen

images
siehe Empfehlungen unter 8.

includes/languages/german/html_includes
siehe Empfehlungen unter 6.

media
Dieses Verzeichnis muss nur Schreibrechte haben, wenn Mediendateien zum Artikeltyp Musik per Admin hochgeladen werden sollen.
Wenn Sie in Ihrem Shop nichts Derartiges anbieten, setzen Sie das Verzeichnis auf chmod 755
ested read-write for the sake of being able to upload music-product media files via the admin. Could be done by FTP as an alternative.

pub
Dieses Verzeichnis wird nur verwendet, wenn Sie in Ihrem Shop Downloads anbieten.
Wenn Sie in ihrem Shop keine Downloads anbieten, setzen Sie das Verzeichnis auf chmod 755

admin/backups
Dieses Verzeichnis benötigt chmod 777, falls Sie via Admin Sicherungen Ihrer Datenbank durchführen.
Wenn Sie das nicht verwenden, setzen Sie das Verzeichnis auf chmod 755

admin/images/graphs
Dieses Verzeichnis benötigt nur chmod 777, um die Statistiken und Grafiken unter Admin > Tools > Banner Manager aktualisieren zu können.
Wenn Sie dieses Feature nicht brauchen, setzen Sie das Verzeichnis auf chmod 755

Generelle Empfehlung für alle übrigen Verzeichnisse und Dateien:
Verzeichnisse: chmod 755
Dateien: chmod 644


11. Drucken Sie nicht die Admin URL mit

Falls Sie Rechnungen über den Adminbereich ausdrucken ("in Rechnung stellen"), achten Sie darauf, dass im Ausdruck nicht die URL mitgedruckt wird:
In Firefox:
Datei > Seite einrichten > Ränder & Kopf- und Fusszeilen
Stellen Sie in allen Dropdownmenüs auf "leer" oder entfernen Sie zumindest "URL" oder "Titel"
In Internet Explorer:
Datei > Seite einrichten
Entfernen Sie bei Kopfzeile und Fusszeile die Werte Titel und URL


12. Achten Sie auf Sicherheitswarnungen und Updateankündigungen

Im Forum "News und Ankündigungen" veröffentlichen wir Hinweise auf Sicherheitslücken, Patches und neue Zen-Cart Versionen.
Schauen Sie regelmäßig vorbei oder lassen Sie sich per Email über Ankündigungen in diesem Forum informieren:
Forum News und Ankündigungen abonnieren


13. Was Sie regelmäßig tun sollten

1. Stellen Sie sicher, dass Sie alle Empfehlungen aus dieser Anleitung beachtet haben.
2. Machen Sie regelmäßig Sicherungen Ihrer Shopdateien und Ihrer Datenbank. Für die Übertragung per FTP verwenden Sie wenn möglich (und wenn von Ihrem Provider unterstützt) FTP via SSL/TLS
Für die Datenbanksicherung (z.B. via phpMyAdmin) sollten Sie falls möglich SSL aktiv haben.
3. Überprüfen Sie regelmäßig die Logfiles am Server auf Seltsamkeiten. Achten Sie dabei auf Seitenaufrufe von URLs, zu denen nirgendwo auf Ihrer Seite gelinkt wird. Und achten Sie auf Links, die nach index.php ein http enthalten.
4. Überprüfen Sie regelmäßig die Datein am Server. Wurden neue Dateien hinzugefügt? Wurden bestehende Dateien geändert?


Dieser Beitrag ist eine deutsche Übersetzung der Important Site Security Recommendations aus der Wiki von zen-cart.com:
http://www.zen-cart.com/wiki/index.p...ecommendations