Защита движка и базы интернет-магазина

Цитата ("itspoma"):

Мое мнение - если люди заплатили деньги \ нашли способ получить бд и файлы с вашего сервака, то обфускация кода, это как в придачу будет, легко.

А я вот сомневаюсь, что найдется много желающих разбирать хорошо обсфуцированный код. Может мы про разные вещи просто говорим?

Цитата ("itspoma"):

А зачем бекапы шифровать? Воровать будут актуальные данные на текущее время.

Бэкапы часто защищают хуже и упереть их проще. Иногда вообще никак не защищают. Это ж бэкапы

Itspoma, скажем так в случае интернет магазина актуальность "нужных" данных, таких как например база клиентов, или (если "додумались" до этого) номера кредиток, сохраняется довольно долго.

Цитата ("vovan_f"):

Itspoma, скажем так в случае интернет магазина актуальность "нужных" данных, таких как например база клиентов, или (если "додумались" до этого) номера кредиток, сохраняется довольно долго.

Ты меня не понял.
Под "актуальными данными" я имел в виду != не бекапы, а то что сейчас стоит и используется, то чем, оперирует сайт сейчас.
Бекапы можна сохранять на отдельный сервер.

Решение в лоб:
- включите safe_mode
- запретите запись в папки и создание файлов (картинки храним на отдельном сервере)
- конек к sql разрешите только с localhost
- через mod_rewrite режте запросы, в которых потенциально присутствует атака\инъекция
- вход во все службы (ftp, pop, админка) разрешите только со своего ипа
- все это поставьте на выделений vds\vps и вход на него тоже разрешите только со своего ипа
- бекапы делаем и сохраняем на отдельный сервер или куда по повыше корня

Найдите минус в этом способе

Цитата ("itspoma"):

найдите минус в этом способе

Цитата ("Crist"):

есть доступ у админов и они неблагонадежны

Цитата ("frig"):

Цитата ("itspoma"):

найдите минус в этом способе

Цитата ("Crist"):

есть доступ у админов и они неблагонадежны

Рассматривается ситуация когда ты сам себе админ. Я же написал "свой ип", значит подразумеваю что ты управляешь сервером.

itspoma, т.е. вы пишите о том, как защитить любой сайт от проникновения извне. Тема не об этом.

А может проще сделать себе полный бэкап и сайта и базы и убить его на время? Т.е. физически стереть на сервере скрипты, базу, бэкапы. Рассеются тучи - обратно залить.

Цитата ("itspoma"):

Решение в лоб:
- включите safe_mode
- запретите запись в папки и создание файлов (картинки храним на отдельном сервере)
- конек к sql разрешите только с localhost
- через mod_rewrite режте запросы, в которых потенциально присутствует атака\инъекция
- вход во все службы (ftp, pop, админка) разрешите только со своего ипа
- все это поставьте на выделений vds\vps и вход на него тоже разрешите только со своего ипа
- бекапы делаем и сохраняем на отдельный сервер или куда по повыше корня

Найдите минус в этом способе

самый главный минус:
доступы есть как вариант и у того, кто может захватить сайт. наверняка это какой нить учредитель с которым второй учредитель не поделил бабло.