¡Bienvenido a nuestra sección de preguntas y respuestas!

Aquí podrás realizar preguntas y recibir respuestas útiles de otros miembros de la comunidad.

¡Anímate a participar!


(Resuelto) - permisos carpetas prestashop

0 votos

Buenos días,

Os escribo porque he montado una tienda Prestashop en mi servidor y tengo un par de cuestiones técnicas para aclarar.

La primera es que se recomienda que todas las carpetas de la tienda tengan permisos 755, pero si lo pongo así hay bastantes cosas del panel de administración que no funcionan, como retocar las traducciones, subir imágenes de los productos, etc, y me he visto obligado a dar permisos 777 a varias carpetas para que el backoffice funcione correctamente. Al parecer esto es una cuestión del servidor y me gustaría saber qué tengo que hacer en el servidor para que el email que utilizo como usuario para acceder al backoffice, que es el superadministrador de la tienda on-line, pueda gestionar la tienda aunque las carpetas tengan todas permiso 755 en lugar de 777. Tener permisos 777 en algunas carpetas es una brecha de seguridad y no puedo dejarlo así.

La otra pregunta es que necesito saber si get_file_contents y cURL están activados en vuestros servidores VPS.

propuesto por goodwave (360 puntos) 30 Abr, 2015 en Seguridad

1 Respuesta

+1 voto
 
Mejor respuesta

Hola goodwave!

Tal y como comentas, establecer permisos 777 es un problema de seguridad que por desgracia muchos CMS lo requieren en algunos directorios.

La manera más sencilla de mitigar este problema si es necesario si o si establecer permisos 777 para su funcionamiento es configurar htaccess en dichos directorios limitando en gran medida lo que se puede hacer en ese directorio.

Unas de las reglas que puedes especificar ( hay muchas, puedes buscar en google ) son las siguientes:

AddType text/plain .pl
AddType text/plain .cgi
AddType text/plain .php

Estas tres líneas evitan que archivos con las extensiones .pl, .cgi y .php sean ejecutadas y simplemente se vean como texto en el navegador. Esto ayuda a que no se ejecuten scripts potencialmente peligrosos desde tu servidor.

<Files ~ "^.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>

Esto evita que el archivo htaccess sea visto/cargado de manera externa, asegurando el archivo. También debes tener en cuenta que el htaccess nunca debe tener ni el usuario, ni el grupo de Apache ( normalmente www-data ) o permisos 777, ya que permitiría que lo modificaran, anulando su protección.

Como verás, mantener y proteger un CMS es bastante complicado, sobretodo con directorios 777, por ello debes mantener al mínimo el número de directorios/archivos con permisos totales y siempre protegidos/vigilados al máximo.

Sobre el otro tipo de cuestiones, por favor especifícalas en otro post para mantener ordenada la sección :).

respondido por adau (29,590 puntos) 30 Abr, 2015
seleccionado por erojas 30 Abr, 2015
Hola Adau,

Entonces si creo un .htaccess para esas carpetas que tienen permiso 777 cuyo contenido exacto sea el de debajo, tal como lo muestro, estaría protegido de invasores ¿verdad? Entiendo que debería vigilar regularmente esas carpetas por si algún hacker sube algo, ya que el hecho que se les impida ejecutarlo no significa que no lo vayan a intentar.

Un saludo :-)

AddType text/plain .pl
AddType text/plain .cgi
AddType text/plain .php

<Files ~ "^.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
No estarías 100% protegido pero ya se reduce el porcentaje considerablemente y efectivamente, se debería revisar con regularidad.

Preguntas relacionadas

0 votos
1 respuesta 137 vistas
propuesto por jolual (1,180 puntos) 2 Oct, 2014 en Prestashop
0 votos
2 respuestas 327 vistas
propuesto por felixgm (750 puntos) 15 Ene, 2014 en Prestashop
0 votos
1 respuesta 1,127 vistas
propuesto por felixgm (750 puntos) 14 Ene, 2014 en Prestashop
0 votos
1 respuesta 1,031 vistas
0 votos
1 respuesta 654 vistas
...