ShopMaster's Blog о вэб-шопах

iPad + вебмастер = поддержка клиентов 24/7

2010-08-08T09:06:08-04:00

Представьте такую картину: вечер пятницы, дача, шашлык. И вдруг поступает заказ на аренду Интерет-магазина. Нужно настроить хостинг, установить скрипты, настроить магазин. Что ответить клиенту? Очевидно, что он попал, и ждать ему до понедельника. Но есть способ лучше. Достаем iPad , и начинаем колдовать. Во-первых, хостинг. Любой хостинг сегодня, будь то Ваш собственный сервер, или арендованный, снабжен той или иной контроль-панелью: cPanel , DirectAdmin , WHCM ... Следовательно, к нему можно достучаться через браузер. Обычно я стал бы настраивать хостинг в чем-нибудь вроде " Оперы ". Но не на iPad . На iPad "Опера" пока существует в айфоновской конфигурации, то есть очень маленькая; двукратное увеличение не спасает ее от того, чтобы оставаться телефонным приложением. Стандартный браузер " Сафари " тоже не очень подходит - для него есть хак, позволяющий реализовать мультиоконность (а она, поверьте, понадобится), но работает эта функция в " Сафари " криво. Так что пока я лично остановился на браузере A1 Perfect Web Browser 1.0 : работает шустро и корректно, несколько окон поддерживает без проблем, серверным ПО распознается как браузер мобильного устройства, но всю информацию выдает на экран правильно. Итак, получив заказ от клиента, захожу в контроль-панель сервера. В моем случае это cPanel . Панель понимает, что я зашел с мобильного устройства, и выдает урезанную версию, вполне достаточную для нормальной работы. Выполняем настройку хостинга (заводим новый домен, организуем файловую систему, и пр.), и переходим к установке магазина. Для этого распаковываем на сервере архив со скриптами Интернет-магазина (в моем случае это была последняя версия Интернет-магазина PrestaShop 1.3.1 Shopmaster Edition 1.1 ), и запускаем инсталяцию. Вот здесь и пригодится мультиоконность браузера - операционная система iPad немногозадачная, и не позволяет свободно переключаться между открытыми приложениями. Если вы постоянно работаете с одним скриптом Интернет-магазина , то, вероятно, хорошо знаете, какие права на какие папки необходимо установить. Однако, и в этом случае не помешает открыть контроль-панель сервера в одном окне, а инстяляцию магазина - в другом: инсталятор сразу покажет вам, на какие файлы и папки требуется исправить права доступа. В данном случае я устанавливал свою сборку PrestaShop последней версии 1.3.1 , и, естественно, столкнулся с тем, что, среди прочего, мне потребовалось поменять права доступа на все папки с многочисленными модулями магазина. (Аналогичным образом происходит установка и настройка движков других Интернет-магазинов и CMS , которые у меня арендуют клиенты - Interspire Shopping Cart , ECShop , Viart , Joomla + VirtueMart , Website Publisher , и др.; подробнее об этом - на сайте www.eShopMaster.ru .) Ситуация осложнялась тем, что, распознав браузер мобильного устройства, cPanel для работы с файлами выдала панель в так называемом "лигаси" режиме, то есть пришлось все нужные папки и файлы проходить индивидуально, и индивидуально назначать им права доступа. С учетом того, что в каталоге модулей права на папки должны быть назначены рекурсивно, то есть на подпапки тоже, то мы видим море тупой механичсекой работы. Открою секрет - на папки модулей PrestaShop не обязательно устанавливать рекурсивные права ; можно установить правильные права только на папки самого верхнего уровня , магазин при этом установится корректно, а все права вы сможете подправить потом, в более спокойной обстановке. Но все равно работы немало. Однако, ради того, чтобы быстро и качественно обслужить клиента, можно постараться. В целом, вся операция по смене прав и инсталяции магазина заняла у меня минут 40. Думаю, при повторении этого опыта, время сократится. С учетом того, что на обновление ДНС требуется 3-4 часа , и только после этого магазин вашего клиента станет видимым в сети, у вас еще остается некоторый запас времени на подготовительные работы. После выставления нужных прав на папки, процедура установки проходит быстро и без проблем. По завершении идем опять в окно с открытой си-панелью, удаляем папку install , и переименовываем административный каталог . Теперь входим в панель управления магазином через Веб-интерфейс , и осуществляем первоначальную настройку магазина . Все, работа выполнена. Я считаю, что эксперимент прошел успешно. Я смог установить и настроить магазин с iPad , а клиент получил то, что хотел, и ему не пришлось ждать 2-3 дня, пока я доберусь до стационарного компьютера, и настрою все в спокойной обстановке. Сейчас он уже осваивается в административном разделе своего новенького магазина, и консультируется по конкретным интерсующим его вопросам. Таким образом, я считаю, что применение таких устройств как iPad позволяет бесперебойно обрабатывать поступающие заказы и обслуживать клиентов вне зависимости о того, где вы сейчас находитесь, и чем заняты. Для этого на iPad есть все необходимое программное обеспечение: - многооконный Веб-браузер; - отличный клиент для работы с электронной почтой: простой, функциональный, однако превосходящий по параметрам стандартный мэйл стационарного эпла; - мультисистемный информационный менеджер для общения в аське, msn, и в других системах; - скайп; - реальное время непрерывной работы без подзарядки - 8 часов. Появляются и более серьезные приложения, например, уже можно с iPad работать и по SSH при помощи программы iSSH . Ложка дегтя - отсутствие многозадачности в операционной системе iPad . "Яблоки" обещают портировать многозадачную iOS 4.0 на iPad осенью, представляя это как революционный шаг в области телефонных операционных систем. Не знаю, что заставляет их лукавить - мой телефон на Windiows CE уже 10 лет, как это может совершено запросто, жаль экранчик у него маленький,- но пока приходится с этим мириться. В качестве альтернативы , можно заказать себе аналогичный iPad планшет с Windows 7 ; по деньгам он стоит столько же , а что весит один килограмм вместо 300 грамм, так это можно пережить. При этом на нем установлены полнофункциональная "Винда" и жесткий диск на полторы сотни гигабайт. Жаль, что зеленый таможенный коридор он не проходит, и нужно либо переплачивать втридорога за таможню, либо искать, кто привезет с Запада. Я лично пока остановился на iPad , и нисколько об этом не жалею. Приглашают вас как всегда оставлять свои комментарии, мнения и вопросы в Блоге Шопстера http://shopmaster.blogmasters.ru , или присылать на адрес электронной почты shopmasterr@list.ru ; писем я получаю много, но обязательно вам отвечу и помогу чем смогу. За сим позвольте откланяться, Ваш Шопмастер P.S. Кстати, этот пост тоже набран на iPad в лесу, в тени большого дерева! :)

Когда торгуют посетители

2010-07-18T08:18:20-04:00

Магазины, в которых товары на продажу выставляют авторизованные пользователи сайта, относятся к категории так называемых " моллов " (от английского " mall "). Я уже рассматривал этот класс Интернет-магазинов в статьях " Магазины с возможностью добавления товаров пользователями - Часть I " и " Магазины с возможностью добавления товаров пользователями - Часть II ". Наиболее сильными игроками здесь являются: - Interspire Shopping Cart - ECMall - Viart Shopping Cart Однако повсюду на просторах СНГ нашей душе тесно в жестких рамках, и хочется чего-то большего, чудного, и необычного. И в связи с темой продажи товаров пользователями сайтов, меня часто спрашивают, какие еще могут быть способы такой торговли. И вы знаете, они таки существуют! И я могу предложить вам по крайней мере 3 варианта . Первый - аукционная торговля. Все знают, как устроен и работает e-bay . Немного меньше - " Молоток ". Такого рода торговлю можно организовать при помощи специальных скриптов аукционов . Наиболее известный и широко распространенный скрипт аукциона - PHP Pro Bid . Не буду дальше обсуждать аукционы , на мой взгляд принципы их работы и так понятны, и при желании вы сами можете нагуглить сколько угодно информации на этот счет. Второй вариант - доски платных объявлений Второй вариант - то, что на Западе называется " classifieds ", то есть разделы частных объявлений в прессе. В Интернете существует специальное программное обеспечение для обслуживания таких досок частных объявлений. Оно отличается от обычных досок объявлений, или форумов, наличием специальных функций , связанных, например, со сроками публикации объявлений. Систему частных платных объявлений можно подкрепить той или иной торговой системой , например, как в следующем варианте, тогда подающие объявления смогут одновременно заводить товарные предложения в единый каталог , и публиковать линки на эти товарные позиции, например, в виде текстовых ссылок или кнопок "купить" в тексте своих объявлений. Однако, ничто не помешает пользователям публиковать такие линки на другие торговые системы, что для вас, как владельца такого ресурса, будет означать потерю прибыли, если оплата за покупку идет вам, и вы перечисляете продавцам заработанные деньги, минус процент. Поэтому очевидно, что если вы хотите делать бизнес на досках частных объявлений , то целесообразно брать плату за публикации объявлений с желающих их разместить, в противовес получению оплаты непосредственно за товары или услуги. Третий вариант - на основе любых html страниц и cms систем И, наконец, третий, и самый экзотический вариант - совместное использование торговой системы , например OrderMaster , c каким-либо блоговым движом , в котором материалы могут публиковать посетители, например широко известный и используемый для публикации ссылок на файлообменники DLE . Суть данной системы заключается в том, что в торговой системе OrderMaster , занимающейся оформлением заказов и приемом платежей многими способами, включая виртуальные деньги , термииналы мгновенной оплаты , и т.д. и т.п., ведется каталог продаваемых товаров и предоставляемых услуг. Но система OrderMaster специально разработана так, чтобы "не светиться" непосредственно до момента оформления заказа. Поэтому для работы ей нужна какая-то "морда", или франт-энд, по-русски - витрина. В качестве такой витрины может выступать DLE , или другой блоговый движок , в котором разрешена публикация статей посетителями. Основная идея здесь состоит в том, что у владельца сайта нет своего товара на продажу, и он дает возможность торговать на своей площадке посетителям. Посетители публикуют в DLE обычные статьи со своими торговыми предложениями, давая ссылки на покупку посредством системы OrderMaster , которая и обрабатывает заказы покупателей. Бизнес-процессы, связанные с работой такого сайта, необходимо тщательно продумать, поскольку существует вероятность публикации ссылок на внешние торговые системы, и таким образом увод клиентов с сайта. Также, вероятно, потребуется доработка и настройка системы OrderMaster , поскольку нет уверенности, что она потянет такую задачу "в лоб". В частности, вам потребуется ввести все предлагаемые вашими продавцами товары в единый каталог, а публиковать на сайте они будут ссылки партнерской программы этого каталога, в которой - в данном случае - вам, очевидно, нужно будет установить обратное процентное соотношение выплат. Например, 15% остается в системе, а продавцам по партнерским ссылкам выплачивается 85%. Также, ничто не мешает использовать в качестве торговой системы какой-либо магазин , располагающий функциями продажи товаров посетителями, которые были описаны в статьях " Магазины с возможностью добавления товаров пользователями - Часть I " и " Магазины с возможностью добавления товаров пользователями - Часть II " Бога Шопмастера http://shopmaster.blogmasters.ru . При этом встает резонный вопрос, зачем городить огород с дополнениями в виде различных DLE , коль скоро все равно используется программное обеспечение Интернет-магазина . Однако, как я уже сказал в начале, часто нам хочется странного, и этот материал подготовлен именно по таким запросам читателей блога Шопмастера http://shopmaster.blogmasters.ru Надеюсь, что как минимум он даст пищу для размышлений, и позволит тщательнее продумать выбор программного обеспечения для Интернет-магазина части будущих шопмастеров. Последний из рассмотренных здесь вариантов обычно удобно применять не для продажи товаров многими продавцами - посетителями сайта, а для продажи собственных информационных продуктов . Для их продвижения обычно составляют большие одностраничные описания, размещая в разных местах текста кнопки "Купить" . В этом случае cms , или магазин вообще отсутствуют на сайте, и имнно здесь потенциал таких систем как OrderMaster раскрывается в полную силу ( описание система OrderMaster находится по этой ссылке , а купить ее можно, перейдя по этой ссылке .) Как всегда, оставляйте свои комментарии, мысли, советы и соображения в блоге Шопмастера http://shopmaster.blogmasters.ru , или присылайте на адрес электронной почты shopmaster@list.ru Удачной вам торговли! Шопмастер

Еще раз о безопасности административного интерфейса Interspire Shopping Cart

2010-07-01T07:09:12-04:00

Еще раз о безопасности административного интерфейса Interspire Shopping Cart Статья о блокировке несанкционированного доступа в административный раздел Интернет-магазина была уже написана и опубликована в Блоге Шопмастера http://shopmaster.blogmasters.ru ( см. статью "Наглухо закрываем доступ к админке в Interspire Shopping Cart" ), когда в процессе обуждения вопросов безопасности Интернет-магазинов с практикующими серыми и черными хакерами была выработана еще одна концепция взлома административного доступа в Интернет-магазин, работающий на базе Interspire Shopping Cart . Такое проникновение становится возможным из-за излишней интеллигентности и вежливости системы. Заключается оно во взломе почтового ящика администратора Интернет-магазина, и проникновении в магазин, воспользовавшись паролем доступа, отправленным системой на авторизованный почтовый ящик администратора. Для этого во-первых, необходимо узнать, на какой адрес электронной почты отправляются уведомления администратору Интернет-магазина, и во-вторых, взломать этот ящик, и узнать новый пароль. Для того, чтобы узнать, на какой адрес электронной почты администратор Интернет-магазина получает уведомления, на входе в административную панель Interspire Shopping Cart , вместо ввода логина и пароля, жмем на линк " Забыли пароль? " Система отвечает на это генерацией нового пароля , линка на подтверждение нового пароля, и отправкой линка на адрес электронной почты администратора . При этом в панели входа в административный раздел магазина выдается сообщение о проделанных действиях, и о том, что письмо отправлено на адрес электронной почты, например vasya@pumpkin.ru . После этого злоумышленнику остается перейти на почтовый сервер, указанный в адресе после "собаки", и приступить ко взлому почтового ящика , чтобы воспользоваться отправленной туда информацией. При этом взлом почтового ящика можно заказать в Интернете за 5 долларов, либо ломать его самому . Взлом почтового ящика на популярных сервисах типа "мэил.ру", как известно, не составляет труда. На эту тему существуют даже видеоуроки с подробными инструкциями. Для устранения описанной уязвимости достаточно просто отменить вывод адреса электронной почты в уведомлении на входе в административную панель. Для этого откройте в текстовом редакторе файл с языковыми перменными /language/ru/admin/common.ini и найдите строку с переменной “ ConfirmPassEmailSent ” (она приведена в файле без кавычек, и находится в разделе [Forgot Password] . Я не привожу здесь номер строки, поскольку в моем варианте локализации он может отличаться от вашего). В этой строке, в тексте, который выводится в сообщении, удалите переменную " %s ". То есть текст, к примеру, звучащий как " Пожалуйста, проверьте входящие сообщения в своем почтовом ящике %s. ", замените на " Пожалуйста, проверьте входящие сообщения в своем почтовом ящике. ". (Предполагается, что администратор магазина и так прекрасно знает, на какой адрес электронной почты ему будет отправлено уведомление.) У вас этот текст будет, вероятно, другим: здесь для примера использована русская локализация Интернет-магазина Interspire Shopping Cart v5.5.4 от Шопмастера . К слову сказать, в доступной по этой ссылке Русской локализации Интернет-магазина Inetrspire Shopping Cart v5.5.4 от Шопмастера версии 1.2 данное исправление уже внесено. Очевидно, что разработчики старались сделать свой магазин наиболее удобным и дружественным к пользователям , потому и возникли такие непредвиденные нюансы, влияющие на общую безопасность системы. Кстати, если вы пытаетесь войти в административный раздел вашего магазина, работающего на Interspire Shopping Cart , и вместо входа получаете сообщение о неверно введенном пароле, то это, скорее всего, свидетельствует, что какой-то злоумышленник проник в ваш магазин указанным здесь способом. В заключение стоит упомянуть, что выполнение мероприятий по усилению безопасности Интернет-магазина, описанных в статье "Наглухо закрываем доступ к админке в Interspire Shopping Cart" , закрывает и эту уязвимость. Настоятельно рекомендую всем шопмастерам выполнить рекомендации, приведенные в обеих статьях. Как всегда, вопросы, советы и комментарии оставляйте в Блоге Шопмастера http://shopmaster.blogmasters.ru , или присылайте на адрес электронной почты shopmaster@list.ru Желаю всем высокого уровня продаж. Шопмастер

Блог Шопмастера на Яндексе

2010-06-04T09:33:25-04:00

Друзья, теперь вы можете читать и комментировать мои записи и на Я.ру — S hopmaster Shopmaster !

Наглухо закрываем доступ к админке в Interspire Shopping Cart

2010-05-31T11:56:19-04:00

Админки магазинов открыты для нессанкционированого доступа Практически во всех современных интернет-магазинах существует возможность неавторизованного входа в административную панель управления. В этом посте я расскажу, как наглухо закрыть такой доступ в Интернет-магазине, работающем на движке Interspire Shopping Cart . Однко, это вовсе не значит, что ISC такой дырявый, и его надо избегать. Вовсе нет, такая же картина наблюдается и в других магазинах. Так, китайцы недавно обнаружили, что в магазинах, которые они продают уже лет пять, и на которых работают сотни тысяч реальных китайских интернет-шопов, открыты для тех, кто знает, как войти. То же относится и к подавляющему большинству других магазинов. Связано это не с какими-то конкретными дырами, а, скорее, с психологией, с тем, как работают мозги у программистов. Не буду описывать, как именно осуществляется проникновение, дабы не возбуждать нездоровый ажотаж многочисленной орды пионЭров, и не провоцировать ненужную суету вокруг действующих Интернет-магазинов. Давайте лучше на примере Interspire Shopping Cart посмотрим, чем грозит проникновение в магазин злоумышленника, и зачем оно кому-то вообще может быть нужно. Зачем проникать в чужой магазин Ну, во-первых, незаконно проникший в панель управления магазином злоумышленник получает доступ ко всей информации, доступной администратору магазина. Звучит ужасающе, но на деле, мне кажется, ничего особо страшного. В случае с Interspire Shopping Cart первое, что может интересовать интрудера - системная информация: пути на сервере, название и доступ к базе данных, и тому подобное. Да, он получает эту информацию, если включен ее вывод администратору. Но реально использовать ее практически невозможно. При правильной настройке сервера, логин/пароль на доступ к базе данных работают только непосредственно на том сервере, где установлен магазин (то есть на localhost ), и удаленно достучаться к базе не получится. Информация о путях на сервере может быть использована для получения доступа к файлам, но опять же при правильной настройке сервера (в частности, имеется в виду невозможность доступа к папкам через соседей, имеющих сайты на том же хостинге) использовать полученную информацию не удастся. Что же остается? Цифровые товары А остается тоже не мало. Остается доступ к товарам. Если магазин продает цифровые товары, то можно их все умыкнуть (например, чтобы выложить на файлообменниках). Собственно, именно желание получить файлы цифровых товаров, послужило причиной попыток проникновения в панель управления Магазина Блогмастеров http://www.BlogMasters.ru/shop , и инициировало написание этого материала. Цифровые товары могут быть редкими , дорогим , ценными , и какими угодно еще. База товаров Немалый интерес могут представлять база данных товаров и изображения товара. Базу данных можно "слить", и использовать в другом магазине, своем, или клиентском, или просто впарить кому-нибудь. При наличии 50-100.000 товарных позиций это может представлять большой интерес, и сэкономить уйму времени. Клиенты Далее - информация о клиентах. Кредитная информация обычно в магазинах не хранится, так что умыкнуть номера кредиток не получится. Но можно получить базу данных по клиентам с адресами физическими и адресами электронной почты. По последним при случае можно и спам разослать. А в целом, такая база представляет собой довольно большую ценность, потому что в ней представлены люди, склонные к совершению покупок в Интернете, то есть те, кому потенциально проще продать товар в онлайне. Эффективность работы по такой базе в разы превышает всевозможные "холодные звонки", сканирование адресных справочников, и другие методы. В Штатах это отдельный многомиллионный бизнес. У нас дела обстоят иначе, но и тут можно найти пути получения выгоды от такой информации. Ваши экаунты в других системах Следующее, что можно выудить, получив нессанкционированный доступ к панели управления магазином - параметры настроек различных модулей: оплаты, доставки, оповещения. И потом попытаться взломать ваши экаунты в других системах - тех же Вэбманях, или системе рассылки уведомлений через SMS о поступлении новых заказов. И попытаться стырить ваши виртуальные денюжки, или воспользоваться вашими оплаченными кредитами в различных системах в свою пользу. Вандализм Ну, и последнее, что может сделать злоумышленник - напакостить в админке через замену текстов на страницах, установление ссылок на другие ресурсы, и т.д. Последнее, кстати, чрезвычайно маловероятно, потому что если подобное проникновение было осуществлено, то сделал это профессионал, а не какой-то пионЭр, а профессионал таких следов оставлять не станет. Давайте же посмотрим, как можно защититься от всего описанного выше. Защита панели управления Интернет-магазина (Административной панели) от несанкционированного проникновения на примере Interspire Shopping Cart Первое, что вы можете сделать, это отключить вывод системной информации о сервере в панель управления Интернет-магазином. Для этого откройте файл /admin/includes/whitelabel.php , и убедитесь, что строка 114 выглядит следующим образом: $GLOBALS['ISC_CFG']['DisableSystemInfo'] = true; Не даю здесь конфигурационный файл для загрузки, поскольку индивидуальные настройки в моем магазине могут отличаться от ваших, причем значительно. Поэтому просто откройте файл конфигурации /admin/includes/whitelabel.php в текстовом редакторе, и исправьте строку 114 , если это необходимо. В результате этих действий во-первых, системная информация не будет выводиться в административную панель магазина, и во-вторых, системная информация не будет показана в административной панели при обращении к скрипту, в обычном режиме выводящему все настройки php на сервере. Второе - замена используемого по умолчанию логина администратора. В магазине PrestaShop , например, сразу после установки административная папка переименовывается, что усложняет поиск файлов панели управления магазином. То же можно сделать в Viart Shopping Cart . В случае Interspire Shopping Cart сделать это без ущерба для функционирования невозможно. Кроме того, при установке используется стандартное имя суперадминистратора " admin ", что не очень хорошо. Давайте поменяем его. Для этого нужно войти в базу данных, найти таблицу isc_users (она, скорее всего, будет 5 снизу), теперь находим первую запись в таблице, открываем на редактирование, и заменяем " admin " на то, что вам больше нравится, например " vasyapupkin ". Сохраняем, и закрываем соединение с базой данных. (Доступ к базе данных можно использовать любой, обычно для этого используется программа phpMyAdmin . Вы можете использовать то, чем привыкли пользоваться.) Ранее в блоге Шопмастера http://shopmaster.blogmasters.ru сообщества Блогмастеров www.BlogMasters.ru уже рассматривался вопрос запрещения нессанкционированого доступа к языковым файлам локализации ( см. этот пост: Магазин ISC: Новая версия, старые дыры: ОБНОВЛЯЕМСЯ! ). Используем тот же принцип защиты папок при помощи файла .htaccess , добавив к нему файл с паролями .htpasswd , который откроет доступ к административной папке только определенному кругу лиц. Если хотите, можете скачать оба этих файла из моего блога http://shopmaster.blogmasters.ru по этой ссылке: Файлы .htaccess и .htpasswd По поводу того, куда эти файлы поместить, я скажу чуть позже. Оба файла - обыкновенные текстовые файлы, которые можно отредактировать в текстовом редакторе. Важно то, что в них написано. Для работы с файлом паролей вам потребуется дополнительная программа для кодирования паролей. Можно воспользоваться, например этой, по ссылке с сервера Letitbit : Htpasswd.Generator.Professional.v3.0 Все, что вам нужно от этой программы - закодированный пароль. Сейчас в интернете существует много сайтов, на которых можно сгенерировать логин и пароль для файла .htpasswd , это обычно бывает и быстрее и проще, чем запускать генератор паролей локально. Если хотите, можете воспользоваться одной из этих служб: 4WebHelp's online .htpasswd encryption tool Alterlinks .htaccess password generator htmlite's htpasswd encryption page Вам предложат ввести логин, затем пароль, затем повторить пароль, после чего следует нажать на кнопку генерации строки для файла .htpasswd . Можно также просто сгенерировать закодированный пароль, например, воспользовавшись этой Веб-страницей: Онлайн кодирование паролей Получив закодированный пароль, вставляете его в файл .htpasswd в виде логин-двоеточие-пароль , например: vasyapupkin:1Hd7C4D8rg== Здесь использовался логин " vasyapupkin ", и пароль " 1234567 ". Теперь кладете оба эти файла на сервер в папку " admin ". Если ваши навыки работы с серверами ограничены, можно на этом остановиться (надо только отредактировать путь к файлу паролей в .htacess , в 5 строке снизу, аналогично тому, как это описано ниже). Однако, это будет неправильно, поскольку файл с паролями должен находиться за пределами тех папок на сервере, к которым открыт доступ из Интернета. Если вы можете перенести файл .htpasswd в папку, расположенную выше public_html (или " doc ", или другую корневую папку вашего сервера), то непременно сделайте это. Расположение папок на сервере индивидуально для вашего сервера, примерный путь к файлу должен выглядеть вроде этого: /home/vasyapupkin/.htpasswd Этот так называемый "абсолютный" путь на сервере вам также нужен для внесения изменений в файл .htaccess . Если вы перенесли файл .htpasswd , то впишите этот путь к файлу в файле .htaccess . В результате текст файла будет выглядеть вроде этого: deny from all deny from all AuthUserFile /home/vasyapupkin/public_html/admin/.htpasswd AuthName "This is the area for administrators and vendors only! Please provide your access information here." AuthType Basic Require valid-user ErrorDocument 401 "" Здесь в 5 снизу строке указан путь к файлу паролей. В 4-й снизу строке идет запись, которая будет показана пользователям при попытке обращения к защищенной папке; текст должен быть записан латиницей, иначе не прочитается. В данном случае надпись на английском языке поясняет, что к данному разделу доступ разрешено только администраторам и продавцам магазина. Можете использовать эту надпись, если хотите. Последняя строка осуществляет переход пользователя по указанному в ней УРЛ, если введены неверный логин или пароль. Для примера, переход осуществляется на страницу Магазина Блогмастеров http://www.blogmasters.ru/shop , поменяйте этот адрес на тот, который нужен вам, указав либо титульную страницу своего магазина, либо страницу, на которой приведено описание, почему осуществлен переход на нее (неверный ввод логина или пароля). Теперь, при обращении к адресу входа в административную панель магазина, система попросит ввести логин и пароль, в данном случае те, что вы указали в файле .htpasswd . При использовании файлов, выложенных в блоге Шопмастера http://shopmaster.blogmasters.ru для примера, нужно ввести логин " vasyapupkin " и пароль " 1234567 ". После того, как вы их введете, система откроет вам доступ к стандартной панели входа в административный раздел магазина. Естественно, когда вы добавляете новых администраторов или продавцов в магазин, вам необходимо внести дополнительные записи в файл .htpasswd . Делается это просто: в тактовом редакторе дописываете в файл дополнительные строки все в том же формате логин-двоеточие-пароль , по одной записи на строку. Это, безусловно, добавляет ручной работы, но совсем немного, особенно если учесть, что таким образом повышается безопасность вашей системы. Заключение На этом вопросы защиты Интернет-магазина , безусловно, не исчерпываются, однако выполнение приведенных выше рекомендаций позволит вам спать значительно спокойнее, и усложнит жизнь потенциальным злоумышленникам вплоть до полного предотвращения проникновения в панель управления вашим магазином. Как всегда, оставляйте свои вопросы, запросы и замечания в блоге Шопмастера http://shipmaster.blogmasters.ru Сообщества Блогмастеров www.BlogMasters.ru , или присылайте на адрес электронной почты shopmaster@list.ru Приятного и безопасного вам шоповодства! Шопмастер

PrestaShop 1.2.5 - фикс ПОИСКА и админки

2010-04-19T13:22:44-04:00

Хороший магазин, PrestaShop ! Однако, к сожалению, известен он и своими багами, кочующими из релиза в релиз. К одному из таких багов относится НЕ работающий поиск . Проблема в том, что в " Престе " под названия товара традиционно выделяется мало места; поле названия товара очень короткое, особенно для русского языка (по этому поводу - см. предыдущий пост в блоге Шопмастера http://shopmaster.blogmasters.ru в сообществе блогмастеров www.BlogMasters.ru по этой ссылке ). Продолжает эту традицию скрипт поиска - в нем задействована функция, ищущая только короткие названия. Очевидно, разрабам пока не приходит в голову, что может быть иначе. Поэтому их исправления, которые специалисты могут взять из системы контроля версий скриптов магазина, не решают проблему поиска. Но не стоит отчаиваться! Если вы столкнулись с этой проблемой, и поиск на вашем сайте не работает, то забирайте файл Search.php по этой ссылке в блоге Шопмастера http://shopmaster.blogmasters.ru Этот скрипт нужно поместить в папку /classes , находящуюся в корне вашего магазина. После этого необходимо зайти в административный раздел магазина, перейти в Настройки->Поиск , и пересчитать индексы в базе (вторая строка " Пересоздать индекс "). После того, как вы все это проделаете, поиск заработает. Другая проблема, с который вы можете столкнуться - глюк с переходом по разделам каталога . То есть после осуществления каких-либо действий в разделе "Каталог", из любого подраздела вас выбрасывает в корень каталога. С этим можно бороться, указав отображение максимального количества записей на страницу. Но если в случае категорий это срабатывает (максимальное количество записей составляет 300 , и этого в большинстве случаев хватает), то когда речь заходит о товарах, которых может быть намного больше 300 в разделе, перейти на вторую и последующие страницы товаров в подкатегории не удается. Для исправления этого, скачайте по этой ссылке блога Шопмастера http://shopmaster.blogmasters.ru файл AdminCatalog.php.zip Распакуйте архив, и поместите файл AdminCatalog.php в папку /classes , находящуюся в коре вашего магазина. Эта нехитрая операция восстановит нормальную работу административного раздела. На сегодня все. Пишите комментарии в блоге Шопмастера http://shopmaster.blogmasters.ru сообщества блогмастеров www.BlogMasters.ru , или присылайте на адрес электронной почты shopmaster@list.ru Удачных вам продаж! Шопмастер

PrestaShop - новые рубежи

2010-04-18T08:48:39-04:00

Вышел 2-й релиз-кандидат магазина PrestaShop . Согласно общепринятому ходу работ над программным обеспечением, нас ожидает последний, 3-й, релиз-кандидат, после чего мы увидим рабочий вариант магазина PrestaShop в версии 1.3 . В программу внесено большое количество изменений, и работы над новой версией активно продолжаются. Разработчики настоятельно НЕ рекомендуют ставить эту версию на работающие проекты, однако любопытствующие имеют возможность "погонять" новый софт, и оценить происходящие в нем изменения. Отмечу, что проблема с установкой языков , которую я описывал ранее, в этой версии по-прежнему не решена. Описанное в блоге Шопмастера http://shopmaster.blogmasters.ru решение остается в силе, если вы столкнулись с этой проблемой, идем по этой ссылке , и ставим нужные языки согласно описанной процедуре. В новой версии изменилась структура базы данных, а также произошло много других изменений. Транслит русского языка, как и прежде, не работает . Но, в силу того, что изменились жизненно важные файлы системы, та заплатка, которая предлагалась ранее в блоге Шопмастера http://shopmaster.blogmasters.ru , во 2-м релиз-кандидате не работает. Поскольку это не окончательная версия магазина, вряд ли стоит ожидать действующей заплатки на эту промежуточную версию. Для тех, кто будет ставить RC2 , хочу отметить пару особенностей, на которые сразу стоит обратить внимание. 1. В базе под название товара выделено очень маленькое поле. Если для запада оно может быть и ничего, то 128 символов для русского названия - просто ничтожно мало. Имеет смысл зайти в базу и изменить длину поля названия товара. Нужная вам таблица называется ps_product_lang , 3-е с конца поле называется name . Меняем длину на ту, которая вам нужна, скажем, на 256, или 512. 2. Очевидно, первоначальное наполнение базы будет осуществляться импортом товаров из csv файлов. Над механизмом импорта разработчики продолжают активно работать, однако и сейчас он работает вполне сносно. При осуществлении импорта следует иметь в виду, что категории должны быть сформированы перед тем, как будет осуществлен импорт товаров . В частности, категории точно так же импортируются. В таблице товаров в колонке Категории указываются номера соответствующих категорий. То есть не " Категория с товарами ", а, например, " 24 " (естественно без кавычек). Если товар нужно показать в нескольких категориях, то они указываются через запятую. 3. Остальные поля при импорте заливаются в нужные таблицы. Так, можно заранее не формировать список производителей, они введутся автоматически при импорте товаров. 4. Картинки должны быть прописаны в импортируемом файле в виде абсолютного пути к ним. Имеет смысл залить все картинки на сайт в папку upload , находящуюся в корне, а в колонке файла, в которой указывается картинка прописать " http://site.ru/upload/picture.jpg " (естественно, без каычек, и заменив site.ru на свой сайт, а picture.jpg - на название файла с картинкой). Однако, это может не сработать. Но попробовать стоит. Не срабатывает просто потому, что скрипт импорта новый, и не до конца доделанный. При его использованиии происходит сдвиг полей по сравнению с тем, что должно быть (то есть не работает "карта", или "мэппинг"), и корректировка полей в процессе импорта не помогает. Остается надеяться, что к релизу этот баг пофиксят. 5. Перед импортом товаров (и категорий, если вы импортируете категории), убедитесь, что в вашем файле нет символов , обозначенных кодами, то есть что вместо букв не стоит, например, &#-что-то=-там-в-носу - строки, в которых такие символы присутствуют, будут пропущены (соответствующая ошибка будет выдана в протоколе импорта товаров). В заключении сегодняшнего поста, вынужден признать, что оба русских сайта, занимавшиеся магазином PrestaShop , пришли в полную негодность и находятся в нерабочем состоянии. Очень печально, поскольку сообществами был накоплен полезный опыт работы с магазином PrestaShop , и теперь он оказывается утерян. Ссылки на сайты я из ссылок в блоге Шопмастера http://shopmaster.blogmasters.ru я пока убирать не буду - вдруг сайты восстановятся. Как всегда, пишите комментарии в блоге Шопмастера http://shopmaster.blogmasters.ru сообщества Блогмастеров www.BlogMasters.ru , или присылайте на адрес электронной почты shopmaster@list.ru Желаю всем здоровья и развивающегося Интернет-бизнеса. Шопмастер

Новая версия Magento 1.40, и апдейт предыдущего поста

2010-02-15T05:45:23-05:00

Увидела свет долгожданная версия 1.40 движка интернет-магазинов Magento , и тут же вызвала необходимость корректировки буквально на днях опубликованного поста по этой системе. Для начала - установочный комплект версии 1.40 можно забрать по этой ссылке с офсайта Magento . Далее, следует отметить, что нормальный апдейт системы практически невозможен. Впрочем, это нормально для Magento . Возможно, проблемы связаны с изменившейся структурой каталогов. Так что перед манипуляциями с апдейтом, делайте резервную копию системы, чтобы можно было откатиться. Русификация Одна из проблем - русификация. Если вы ставите Magento "с нуля", то ставьте установочный комплект, и не пытайтесь записать русские языковые файлы в соответствующие папки до завершения инсталяции. После полной установки вы спокойно можете скопировать языковые файлы туда же, где они были ранее (если нужно, см. предыдущий пост ), после чего можно обновить кэш. Интерфейс работы с кэшом изменился, поэтому, зайдя на страницу управления кэшом, посто отметьте галочками все кэши, и дайте команду "Flash Magento Cache" . Копирайты Как я уже сказал, структура папок изменилась. Поэтому вы не найдете нужные файлы, в которых прописаны копирайты, если воспользуетесь рекомендациями моего предыдущего поста в блоге Шопмастера на портале блгмастеров http://www.blogmasters.ru ( то есть в посте, ноходящемся по этой ссылке ). Для того, чтобы найти строку с копирайтами, расставляемую глобально по сайту, идем сюда: /app/design/frontend/base/default/template/page/html/footer.phtml Искомая строка - 4-я снизу, в метатегах параграфа. Можете стереть ее совсем. Следующая за ней строка (соответственно, 3-я снизу) управляет копирайтом, указываемом в административном интерфейсе магазина. Ее можно оставить. Также, подобные ссылки на копирайты присутствуют в других шаблонах локально (например, в шаблоне инсталятора). В дефолтной установке Magento такая ссылка на "Помогите..." жестко прописана в теме Modern , идущей в комплекте с магазином. Если хотите от нее избавиться, смотрите файл /app/design/frontend/default/modern/template/page/html/footer.phtml На сегодня все. Как всегда, комментарии, вопросы и замечания присылаем Шопмастеру по адресу shopmaster@list.ru , или оставляем в блоге Шопмастера http://shopmaster.blogmasters.ru сообщества блогмастеров www.BlogMasters.ru . Всем удачного шопостроительства! Шопмастер

Первые шаги с Magento

2010-02-12T07:49:17-05:00

Установка Magento Про процесс установки Magento как таковой, собственно, писать нечего: все очень просто и прямолинейно, инстялятор делает свое дело. Главное, чтобы сервер удовлетворял некоторым обязательным требованиям. Проще всего это сделать при помощи специального скрипта, который нужно залить на сервер и запустить. Скрипт все проверит, и скажет, полностью или нет ваш сервер удовлетворяет обязательным требованиям Magento . Скрипт проверки концигурации сервера есть на официальном сайте Magento , но немного кривой - если у вас на сервере php5 , то этот скрипт выполнен не будет, а выдаст код самого скрипта. Проблема банальна - в начале скрипта стоит скобка со знаком вопроса, и нет букв " php ", однако не работает. Поэтому лучше взять скрипт отсюда - он тот же самый, только рабочий :) Из всех обязательных требований есть одно немного неприятное - на сервере должно быть установлено расширение php под названием pdo_mysql . Если вы устанавливаете Magento к хостеру, то все, что вы можете сделать - запустить упомянутый выше скрипт, и надеяться, что это расширение установлено. Если нет - попробуйте попросить провайдера установить его, и ждите ответа, скрестив пальцы. Если у вас свой сервер, то установить pdo_mysql из портов проще простого. При этом нужно знать, что расширение pod_mysql находится не в расширениях php , а в базах данных . Зная это, идем cd /usr/ports/databases/php5-pdo_mysql и запускаем make install clean все, дальше установка идет автоматом. Русификация Magento В процессе установки, вы, видимо, указываете страну "Россия" и используемый в магазине язык "русский" . Все замечательно, но этого не достаточно, чтобы в магазине реально появился русский язык. Файлы с русским переводом нужно установить дополнительно, и сделать это либо до установки самой Magento , либо после. Для начала работы с Magento можно воспользоваться официальным переводом, представленным на сайте Magento по этой сслыке : на открывшейся странице нужно выбрать версию Magento (сейчас, в преддверии выхода версии 1.4, это 1.3.2.4) и тему ( Default ). На следующей странице из списка языков выбираете русский, и скачиваете пакет. Скачанный пакет нужно распаковать в папку /app , так, чтобы файлы русского языка оказались в папке /app/locale/ru_RU (и дополнительный файл в подпапках, идущих от disign , но это второстепенно). Если вы устанавливаете пакет русского языка после установки самого магазина, то необходимо обновить кэш, воспользовавшися меню System > Cache managment > Cache Control > All Cache из выпадающего меню выбираем вариант Refresh , и Save cach settings для выполнения этой операции. Следует отметить, что официальный перевод сделан "как всегда", то есть с русским языком имеет мало общего, однако в силу большого количества языковой информации, которую в противном случае пришлось бы переводить самостоятельно, имеет смысл им воспользоваться, а доводить перевод до ума уже потом, когда основная настройка магазина будет сделана. Назойливые копирайты После установки Magento в подвале всех страниц сайта присутствуют назойливые копирайты из 2 строк: Помогите сделать Magento еще лучше - сообщайте о всех ошибках - Сообщайте обо всех ошибках (вер. 1.3.2.4) © 2008 Magento Demo Store. All Rights Reserved. Удивительно, но подавляющее большинство шопмастеров не справляется с удалением этой назойливой рекламы. Поэтому здесь я опишу, как это сделать. Со второй строкой разобраться очень просто - в административном разделе идете в "Настройки" (или "Конфигурация" в стандартном официальном переводе, самое правое меню в шапке "Система" , последняя строка), и выбираете в левой колонке "Дизайн" (группа "Общие" ). В предпоследней строке справа под названием "Подвал" меняете поле "Авторские права" , и сохраняете внесенные изменения. Можете вообще удалить все из этого поля, тогда на сайте не будет никакой информации об авторских правах вообще. Теперь вторая строка будет читаться так, как вам нужно. Осталось разобраться с первой строкой "Помогите..." , и здесь почему-то оказываются грабли: подавляющее большинство шопмастеров ухитряется так или иначе спрятать эту надпись, но в коде страниц она все равно остается. Хотите проверить? Набирите в "Яндексе" "Помогите сделать Magento еще лучше" (включая кавычки, чтобы искать по точному соответствию), и вы получите длинный список интернет-магазинов, работающих на Magento , хотя на страницах большинства из них этой надписи в явном виде вы не найдете. В общем, короче - открываем файл /app/design/frontend/default/default/template/page/html/footer.phtml , и в самом низу находим последние 6 строк, выделенные символами оформления параграфа. Можно все их удалить, и тем самым покончить с копирайтерами в футере раз и навсегда. Однако, целесообразно удалять не весь этот код, а только его начало, оставив последнюю строку (естественно, открывающий тег параграфа тоже должен остаться), для того, чтобы в подвале отражался тот копирайт, который вы сами указали в настройках магазина (как описано чуть выше). На этом пока все, приступайте к настройке своего магазина. Немного позже разберем устройство нескольких магазинов, работающих под управлением Magento на разных доменах, и получающих всю информацию из одной центральной базы Magento . Вопросы, замечания и предложения, как всегда, отправляем Шопмастеру на мыло shopmaster@list.ru , или оставляем в блоге Шопмастера по адресу http://shopmaster.blogmasters.ru . До новых встреч! Шопмастер

Упорядочение разработок PrestaShop

2009-12-01T17:17:39-05:00

В конце ноября команда разработчиков магазина PrestaShop завершила процедуру упорядочивания разработок силами сообщества пользователей и разработчиков. В отдельный ресурс выделены темы и модули , разрабатываемые представителями сообщества пользователей PrestaShop . Это делает новый ресурс самым полным из существующих сегодня собранием скриптов и тем , связанных с магазином PrestaShop. Новый ресурс запущен на домене www.PrestaStore.com - здесь можно найти все наработки, связанные с магазином. Также, пополнилась коллекция языков магазина PrestaShop ; теперь в состав официально одобренных языков входит, в частности, украинский . Скачать нужные вам языки можно по этой сслыке .