Sicherheits Revolution
Sicherheits Revolution
Sicherheits Revolution
30 Tage Rückgaberecht
Einfache Rückgabe – keine Fragen
Plug & Play Module
Installieren, einrichten und profitieren
Support an erster Stelle
Priorität für Hilfe & Zufriedenheit

Sicherheits Revolution

Sicherheits- & Firewall-Modul - Datei-Integritätsmonitor, Brute-Force-Schutz, 2FA + Audit-Log

299,00 €
Tax excluded

Protect your PrestaShop store from threats with Security Revolution — a comprehensive security and anti-spam protection module. Monitor suspicious activity, block malicious IPs, detect file modifications, prevent brute-force login attempts, and harden your store against common attack vectors — all from a single, easy-to-use dashboard.

With over three major versions of refinement, Security Revolution is battle-tested across hundreds of stores. It provides the security layer that PrestaShop's core dösn't — without requiring server-level configuration or technical expertise.

Key Benefits

  1. Threat Detection: Monitor and alert on suspicious file changes, login attempts, and access patterns.
  2. IP Blocking: Automatic and manual IP blocking with whitelist support.
  3. Anti-Spam: Protect contact forms, registration, and comments from bot submissions.
  4. Brute-Force Protection: Rate limiting and lockout for admin and customer login.
  5. Security Dashboard: Real-time overview of threats, blocks, and security status.
Angebot anfordern
Share
play_circle Live-Demo testen
Optionen gesamt: 0.00 €
9 angesehen

Comprehensive Store Security

PrestaShop stores are high-value targets — they process payments, store customer data, and often run on shared hosting with limited security controls. Security Revolution adds the protection layer your store needs.

File Integrity Monitoring

The module maintains checksums of your PrestaShop core files and installed modules. When a file is modified, added, or deleted, you get an immediate alert. This is your first line of defense against malware injection, backdoors, and unauthorized modifications.

Login Protection

Brute-force attacks against admin and customer login pages are extremely common. Security Revolution implements rate limiting, progressive lockouts, and CAPTCHA integration to stop automated attacks before they succeed.

IP Intelligence

Automatic blocking of known malicious IPs. Manual blocklist and allowlist management. Geographic restrictions if you only serve specific regions. Every blocked reqüst is logged for review.

Anti-Spam Protection

Protect every form on your store — contact, registration, reviews, comments — from bot submissions. Honeypot fields, time-based validation, and reputation checking keep spam out without annoying real customers with CAPTCHAs.

Security Dashboard

  • Real-time threat overview and recent activity log
  • Failed login attempt tracking with geographic data
  • File change history with diff viewer
  • Blocked reqüst statistics and trends
  • One-click security hardening recommendations

Warum ist dieses Modul einzigartig?

  • File integrity monitoring detects unauthorized changes to core and module files.
  • Intelligent IP blocking with rate limiting and geographic restrictions.
  • Two-factor authentication for admin accounts using TOTP.
  • Security dashboard with real-time threat visualization and audit logs.

Anwendungsfälle

  • Stores processing sensitive customer data requiring PCI compliance measures.
  • Shops targeted by bots, scrapers, or brute-force login attempts.
  • Multi-admin stores needing audit trails and two-factor authentication.

Related Resources

Read our guide on admin security best practices. For complete protection, combine this with Total Defender and reCAPTCHA & hCaptcha Protection.

  • Reference
    mprsecurityrevolution
  • PrestaShop-Kompatibilität
    PS 1.7 – 9.x
  • Preismodell
    Einmalkauf
  • Modultyp
    Front & Back-office
  • DSGVO-relevant
    Nein
  • Geschäftsziel
    Recht & Compliance
  • Externes Konto erforderlich
    Nein
  • Modul-Komplexität
    Komplettlösung
  • Phase der Customer Journey
    Shop verwalten
  • Funktioniert mit Plattform
    Keine externe Plattform

MPR Total Defender

Version: 3.1.0 Author: mypresta.rocks License: Commercial PrestaShop Compatibility: 1.7.0 - 1.7.8.x

Umfassendes Sicherheits- und Anti-Spam-Schutzmodul für PrestaShop. Schützt Ihren Shop vor Bots, Spam-Registrierungen, bösartigen Angriffen und bietet vollständige Sicherheitsüberwachung.

Inhaltsverzeichnis

  1. Funktionen Übersicht
  2. Installation
  3. Modularchitektur
  4. Admin-Controller
  5. Sicherheitsfunktionen
  6. Konfiguration
  7. Datenbankschema
  8. Roadmap
  9. Änderungsprotokoll

Funktionen Übersicht

Aktuelle Funktionen (v3.0.0)

Anti-Spam-Schutz

  • Registrierungsschutz - Blockiert Spam-Registrierungen durch Honeypot-Felder, Kauderwelsch-Erkennung, Sperrung von Wegwerf-E-Mail-Adressen
  • Kontaktformular-Schutz - Rate Limiting und Inhaltsanalyse für Kontaktformulare
  • Produktkommentar-Schutz - Verhindert Spam-Bewertungen und -Kommentare
  • Warenkorb-Schutz - Rate-Limiting für Warenkorb-Operationen zur Missbrauchsverhinderung

Bot- & Crawler-Verwaltung

  • Crawler-Erkennung - Identifiziert und kategorisiert Web-Crawler
  • Bot-Bekaempfung - Challenge-Response-System für verdaechtige Besucher
  • Bekannte Bot-Datenbank - Vorinstallierte Datenbank legitimer Crawler (Google, Bing, usw.)
  • Benutzerdefinierte Regeln - Bestimmte User Agents erlauben/blockieren

IP-Verwaltung

  • Automatisches Sperren - Automatisches Sperren von IPs, die Rate Limits überschreiten
  • Manuelles IP-Sperren - Bestimmte IPs mit benutzerdefinierten Gründen blockieren
  • IP-Whitelist - Vertraünswuerdige IPs von allen Prüfungen ausnehmen
  • IP-Strafpunktesystem - Strafpunkte für verdaechtige IPs vergeben

Sitzungs- & Aktivitätsüberwachung

  • Sitzungsverfolgung - Alle Besuchersitzungen mit Geräteinformationen verfolgen
  • Aktivitätsmonitor - Echtzeit-Ansicht blockierter Versuche
  • Anfragenprotokollierung - Alle Anfragen zur Analyse protokollieren
  • Seitenaufruf-Verfolgung - Navigationsmuster verfolgen

Dateiintegritätsmonitor

  • Baseline-Erstellung - Kryptografische Baseline aller überwachten Dateien erstellen
  • Schnellscan - Schneller Scan basierend auf Änderungszeiten
  • Vollscan - Vollständige MD5-Hash-Verifizierung mit Malware-Mustererkennung
  • Warnungsverwaltung - Dateiänderungen verfolgen und bestätigen
  • Erkennung verdaechtiger Muster - Erkennt verschleierten Code, Shell-Zugriff, Backdoors

Sicherheitsheader

  • X-Frame-Options - Clickjacking-Schutz
  • X-XSS-Protection - XSS-Filtersteuerung
  • X-Content-Type-Options - MIME-Sniffing-Verhinderung
  • Referrer-Policy - Steuerung der Referrer-Informationen
  • HSTS - HTTPS-Verbindungen erzwingen
  • CSP - Content Security Policy mit Verstössmeldung

Schwachstellenscanner

  • PrestaShop-Versionsprüfung - Veraltete Core-Versionen erkennen
  • PHP-Versionsprüfung - Unsichere PHP-Versionen identifizieren
  • Modul-Schwachstellenscan - Installierte Module auf bekannte CVEs prüfen
  • Konfigurationsaudit - Sicherheitsbezogene Einstellungen überprüfen

Firewall

  • IP-Blockierung - Manuelle und automatische IP-Blockierung
  • GeoIP-Blockierung - Datenverkehr aus bestimmten Ländern blockieren
  • TOR-Exit-Node-Blockierung - Anonymen TOR-Datenverkehr blockieren
  • Benutzerdefinierte Regeln - Musterbasierte Blockierungsregeln erstellen
  • Anfragenprotokollierung - Alle blockierten Anfragen protokollieren

Installation

  1. Laden Sie das Modul nach /modules/mprtotaldefender/ hoch
  2. Installieren Sie es über PrestaShop Back Office > Module
  3. Konfigurieren Sie die Einstellungen unter Total Defender > Konfiguration
  4. Erstellen Sie die Dateiintegritäts-Baseline unter Total Defender > Dateimonitor

Modularchitektur

mprtotaldefender/
    mprtotaldefender.php          # Hauptmodulklasse
    README.md                      # Diese Datei
    sql/
        install.php               # Datenbankinstallation
        uninstall.php             # Datenbankentfernung
    src/
        Classes/
            MPRTotalDefenderConfig.php        # Konfigurationsverwaltung
            MPRTotalDefenderRateLimit.php     # Rate-Limiting-Logik
            MPRTotalDefenderBannedIP.php      # IP-Sperrverwaltung
            MPRTotalDefenderBlockedAttempt.php # Protokollierung blockierter Versuche
            MPRTotalDefenderCustomerInfo.php  # Kundenverfolgung
            MPRTotalDefenderSpamDetector.php  # Spam-Erkennungsalgorithmen
            MPRTotalDefenderCrawler.php       # Crawler-Verwaltung
            MPRTotalDefenderBotFight.php      # Bot-Challenge-System
            MPRTotalDefenderGlobalRateLimit.php # Globales Rate-Limiting
            MPRTotalDefenderSession.php       # Sitzungsverfolgung
            MPRTotalDefenderFileIntegrity.php # Dateiintegritätsüberwachung
            MPRTotalDefenderSecurityHeaders.php # HTTP-Sicherheitsheader
            MPRTotalDefenderVulnerabilities.php # Schwachstellenscan
            MPRTotalDefenderFirewall.php      # Firewall-Regeln
        Traits/
            AdminController/
                AdvancedFilters.php   # Listenfilterfunktionalität
                ColumnsManager.php    # Spaltensichtbarkeitsverwaltung
                DismissableAlert.php  # Warnungsverwerfen-Verfolgung
    controllers/
        admin/
            AdminMPRTotalDefenderDashboardController.php
            AdminMPRTotalDefenderConfigController.php
            AdminMPRTotalDefenderBlockedController.php
            AdminMPRTotalDefenderCrawlersController.php
            AdminMPRTotalDefenderActivityController.php
            AdminMPRTotalDefenderIntegrityController.php
            AdminMPRTotalDefenderSessionsController.php
            AdminMPRTotalDefenderFileIntegrityController.php
            AdminMPRTotalDefenderFirewallController.php
            AdminMPRTotalDefenderVulnerabilitiesController.php
            AdminMPRTotalDefenderSecurityHeadersController.php
            AdminMPRTotalDefenderAjaxController.php
        front/
            Ajax.php              # Front-End AJAX-Handler
    views/
        templates/
            admin/                # Admin-Panel-Vorlagen
        js/
            admin/
                file_integrity.js # Dateiscan-UI

Admin-Controller

Controller Tab-Name Beschreibung
Dashboard Dashboard Übersicht mit Schlüsselmetriken und Schnellaktionen
Activity Aktivitätsmonitor Echtzeit blockierte Versuche und Aktivitätsprotokoll
Blocked Blockierte Versuche Detailliertes Protokoll aller blockierten Aktionen
Sessions Sitzungen Aktive und historische Sitzungsverfolgung
Crawlers Crawler-Verwaltung Bot-/Crawler-Erkennung und Regeln
Config Konfiguration Moduleinstellungen und Optionen
Integrity Systemintegrität Legacy-Integritätsprüfungen
FileIntegrity Dateimonitor Datei-Baseline und Scanning
Firewall Firewall IP-Blockierung und benutzerdefinierte Regeln
Vulnerabilities Schwachstellen Sicherheits-Schwachstellenscanner
SecurityHeaders Sicherheitsheader HTTP-Header-Konfiguration

Sicherheitsfunktionen

Rate Limiting

Konfigurierbare Rate Limits fuer:

  • Warenkorb-Operationen (Hinzufügen/Entfernen/Aktualisieren)
  • Benutzerregistrierungen
  • Kontaktformular-Einreichungen
  • Produktkommentare/-bewertungen
  • Anmeldeversuche

Spam-Erkennungsmethoden

  1. Honeypot-Felder - Versteckte Formularfelder, die Bots ausfüllen
  2. Kauderwelsch-Erkennung - Identifiziert unsinnige Eingaben
  3. Nicht-lateinische Zeichenerkennung - Blockiert kyrillische/andere Schriften in Namensfeldern
  4. Wegwerf-E-Mail-Sperrung - Lehnt temporäre E-Mail-Dienste ab
  5. Linkdichte-Analyse - Markiert Nachrichten mit übermassig vielen URLs
  6. Timing-Analyse - Erkennt zu schnell eingereichte Formulare

Dateiintegritäts-Muster

Der Scanner erkennt diese schadhaften Muster:

  • eval(base64_decode(...)) - Verschleierte Code-Ausführung
  • shell_exec(), system(), exec() - Shell-Zugriff
  • file_put_contents($_POST...) - Dateischreiben aus Benutzereingabe
  • include($_GET...) - Remote File Inclusion
  • preg_replace('/e') - Veralteter eval-Modifier
  • Hex-kodierte Variablen und Verschleierung

Konfiguration

Wichtige Konfigurationsoptionen

// Rate Limiting
'rate_limit_cart' => 30,           // Max Warenkorb-Ops pro Minute
'rate_limit_registration' => 5,     // Max Registrierungen pro Stunde
'rate_limit_contact' => 3,          // Max Kontakteinreichungen pro Stunde

// Schutz-Umschalter
'honeypot_enabled' => true,
'gibberish_detection' => true,
'disposable_email_blocking' => true,

// Auto-Sperr-Schwellenwerte
'auto_ban_threshold' => 10,         // Strafpunkte vor Sperrung
'auto_ban_duration' => 86400,       // Sperrdauer in Sekunden

// Dateiintegrität
'file_integrity_scan_on_save' => false,  // Scan nach Modulspeicherung
'file_integrity_alert_email' => true,    // E-Mail bei verdaechtigen Dateien

Datenbankschema

Kerntabellen

Tabelle Zweck
mprtotaldefender_config Modulkonfigurationsspeicher
mprtotaldefender_rate_limit Rate-Limit-Verfolgung
mprtotaldefender_banned_ip Gesperrte IP-Adressen
mprtotaldefender_blocked_attempts Protokoll blockierter Aktionen
mprtotaldefender_customer_info Kundenverfolgungsdaten
mprtotaldefender_crawler Bekannte Crawler-Datenbank
mprtotaldefender_reqüst_log Anfragenprotokollierung
mpr_sessions Sitzungsverfolgung (geteilt mit anderen MPR-Modulen)

Security-Revolution-Tabellen

Tabelle Zweck
mprtotaldefender_file_baseline Dateiintegritäts-Baseline-Hashes
mprtotaldefender_file_alerts Dateiänderungswarnungen
mprtotaldefender_admin_login_attempts Admin-Anmeldeverfolgung
mprtotaldefender_admin_2fa Zwei-Faktor-Authentifizierungseinstellungen
mprtotaldefender_audit_log Admin-Aktions-Audit-Trail
mprtotaldefender_input_threats Eingabeschutz-Bedrohungsprotokoll
mprtotaldefender_csp_violations CSP-Verstossberichte
mprtotaldefender_vuln_scans Schwachstellenscan-Ergebnisse
mprtotaldefender_vulnerabilities Einzelne Schwachstellen
mprtotaldefender_blocked_ips Firewall blockierte IPs
mprtotaldefender_whitelist Firewall-Whitelist
mprtotaldefender_firewall_rules Benutzerdefinierte Firewall-Regeln
mprtotaldefender_firewall_log Firewall-Aktionsprotokoll
mprtotaldefender_tor_nodes TOR-Exit-Node-Cache
mprtotaldefender_geoip_cache GeoIP-Lookup-Cache

E-Mail-Sicherheitstabellen (v3.1.0)

Tabelle Zweck
mprtotaldefender_email_log E-Mail-Sende-/Blockprotokoll mit Rate Limiting
mprtotaldefender_email_alerts E-Mail-Missbrauchserkennungswarnungen
mprtotaldefender_email_domains Blockierte/verdaechtige E-Mail-Domains

Roadmap

Version 3.1.0 - E-Mail-Sicherheit (Aktuell)

  • Rate-Limiting transaktionaler E-Mails pro Kunde
  • Rate-Limiting von E-Mails pro IP-Adresse
  • Konfigurierbare Limits pro E-Mail-Typ
  • Erkennung ungewoehnlicher E-Mail-Volumenspitzen
  • Warnung bei Massen-E-Mail-Sendemustern
  • E-Mails an Wegwerf-Adressen blockieren
  • Erkennung verdaechtiger E-Mail-Domains

Version 3.2.0 - Admin-Sicherheit (Geplant)

  • TOTP-basierte 2FA für Admin-Konten
  • Brute-Force-Schutz mit progressiven Verzögerungen
  • Alle Admin-Aktionen protokollieren

Version 3.3.0 - Erweiterte Firewall (Geplant)

  • Reqüst-Body-Mustererkennung
  • MaxMind GeoIP-Integration
  • SQL injection-Erkennung und XSS-Angriffsverhinderung

Version 3.4.0 - Berichte & Warnungen (Geplant)

  • Echtzeit-Bedrohungskarte
  • PDF-Sicherheitsberichte
  • Slack/Discord webhook-Integration

Version 4.0.0 - Enterprise-Funktionen (Zukunft)

  • Shop-spezifische Konfiguration
  • API-Endpunkt-Rate-Limiting
  • GDPR-Datenschutzfunktionen

Änderungsprotokoll

Version 3.1.0 (2024-12)

  • NEU: E-Mail-Sicherheitsmodul mit Rate Limiting
  • NEU: Wegwerf-E-Mail-Domain-Sperrung (60+ integrierte Domains)
  • NEU: Erkennung von E-Mail-Volumenspitzen
  • NEU: Massen-Sende-Warnsystem
  • NEU: E-Mail-Protokoll mit detaillierten Statistiken

Version 3.0.0 (2024-12)

  • NEU: Dateiintegritätsmonitor mit Baseline-/Scan-System
  • NEU: Sicherheitsheader-Konfiguration (HSTS, CSP, X-Frame-Options)
  • NEU: Schwachstellenscanner für PrestaShop und Module
  • NEU: Firewall mit benutzerdefinierten Regeln und GeoIP-Unterstützung
  • VERBESSERT: Admin-Controller-Architektur mit Traits

Version 2.x

  • Erstveröffentlichung mit Anti-Spam-Schutz
  • Bot-Erkennung und Crawler-Verwaltung
  • Rate-Limiting-System
  • IP-Sperr-Funktionalität

Support

Für Support, Funktionsanfragen oder Fehlermeldungen:

Lizenz

Dieses Modul ist proprietäre Software. Die Nutzung ist auf lizenzierte Domains beschränkt.

Copyright (c) mypresta.rocks. Alle Rechte vorbehalten.

picture_as_pdf Als PDF herunterladen

v3.3.1 — 2026-01-22

  • Added PS 9.1 compatibility with updated security headers handling
  • Fixed CSP (Content Security Policy) header blocking Hummingbird theme inline scripts
  • Added rate limiting configuration for REST API endpoints
  • Fixed two-factor authentication QR code not generating on PHP 8.4
  • Improved brute force detection accuracy reducing false positives by 30%

v3.3.0 — 2025-09-05

  • Added PS 9.0 compatibility
  • New Web Application Firewall (WAF) rule engine with custom pattern matching
  • Added automated security scan scheduler with email reports
  • Fixed session fixation detection causing logout on legitimate cart updates
  • Added IP reputation database integration for known malicious IPs
  • Improved file integrity monitoring with real-time notification webhooks

v3.2.0 — 2025-04-28

  • New admin login notification via email with device fingerprinting
  • Added HTTP security headers manager (HSTS, X-Frame-Options, CSP, Permissions-Policy)
  • Added SQL injection pattern detection in search and contact form inputs
  • Fixed CAPTCHA challenge not rendering on password reset form
  • Improved bot detection with JavaScript challenge verification

v3.1.0 — 2024-12-15

  • Added malware scanner for uploaded files (images, CSV imports, attachments)
  • New security dashboard with threat timeline visualization
  • Added automatic IP blocking after configurable failed login attempts
  • Fixed security log export timeout for logs exceeding 100k entries
  • Added support for security.txt standard file generation

v3.0.0 — 2024-08-01

  • Major rewrite with event-driven security monitoring architecture
  • Added PS 8.2 compatibility
  • New two-factor authentication (TOTP) for back-office employees
  • Added admin directory rename recommendation with automatic .htaccess update
  • Added file permission audit tool for PrestaShop directory structure
  • Breaking: security log format changed to structured JSON (migration tool included)

v2.5.0 — 2024-04-08

  • Added country-level IP blocking with GeoIP database
  • New login attempt monitoring with geographic visualization
  • Added automatic backup creation before detected security events
  • Fixed SSL certificate expiration checker showing wrong timezone
  • Support for PS 1.7.6+ and PS 8.x
Alle Fragen anzeigen
0.0
0 Bewertungen
5 ★
0
4 ★
0
3 ★
0
2 ★
0
1 ★
0

Noch keine Bewertungen. Seien Sie der Erste, der eine Bewertung hinterlässt!

Bewertung schreiben

Bewerten Sie bestimmte Aspekte (optional)
Qualität
Preis-Leistung
Stabilität
Kompatibilität
Support

What customers say about us

Trustpilot
5.0 (1 Bewertung)
Gasp

Great work and support

Great work and support
March 20, 2026
Google Reviews
5.0 (3 Bewertungen)
Rafał Butanowicz
Niesamowite doświadczenie i znajomość Prestashop. Każdy minimalny błąd analizowany i poprawiany. Bardzo dobry kontakt podczas realizacji zlecenia
March 28, 2026
Wojtala Garage
Jest to najlepszy informatyk / programista jakiego znam. Gość jest geniuszem do wszystkich spraw związanych z prowadzeniem strony internetowej oraz sklepu internetowego. Usługi warte każdych pieniędzy, polecam!
November 30, 2025
Edeo PL
Very professional service. The store staff has a customer-focused approach. They effectively helped us select the most optimal solution for our store, then efficiently guided us through the technical aspects of the implementation process. They also provide ongoing support in managing and promoting our website. We highly recommend them!
October 30, 2025
1 Geplant
7 Umgesetzt
8 Anfragen

Two-factor authentication for admin

Umgesetzt
Add TOTP-based 2FA (Google Authenticator, Authy) for back-office employee logins. Critical for store security.
Michael Brown Mar 10, 2025
Antwort: Implemented in v1.4.0! TOTP-based 2FA with QR code setup, backup codes, and per-employee enforcement. Compatible with Google Authenticator, Authy, and any TOTP app.

Two-factor authentication for admin login

Umgesetzt
Passwords alone are not secure enough. Add TOTP-based 2FA (Google Authenticator compatible) for back office login.
Andreas Richter Mar 18, 2025
Antwort: Core feature since v1.0.0! TOTP 2FA compatible with Google Authenticator, Authy, and Microsoft Authenticator. Per-employee enforcement, QR setup, recovery codes, and trusted devices.

Malware scanning with suspicious code detection

Umgesetzt
Scan all PHP files for suspicious patterns like base64_decode, eval(), obfuscated code. Alert when compromised files are detected.
Marie Lefebvre May 10, 2025
Antwort: Shipped in v1.2.0! Signature-based scanning for base64/eval/obfuscation patterns. Quarantine, core file verification against official checksums, and one-click permission fix.

Geo-blocking by country for admin panel

Umgesetzt
Allow restricting back-office access to specific countries. If someone from an unexpected country tries to log in, block them automatically.
Natasha Volkov May 20, 2025
Antwort: Added in v1.5.0. Configurable country whitelist for admin access with automatic IP geolocation. Blocked attempts are logged.

Admin login audit log with IP tracking

Umgesetzt
Log every admin login attempt (successful and failed) with IP address, user agent, and timestamp. Essential for security forensics.
Viktor Petrov Jun 22, 2025
Antwort: Added in v1.3.0! Full audit log: admin logins, configuration changes (old/new values), employee management, module activity, file access, and API calls. CSV export with search and filter.

Country-level IP blocking via GeoIP

Umgesetzt
Block all traffic from specific countries where we never sell. Reduces bot traffic and attack surface significantly.
Diego Morales Apr 30, 2025
Antwort: Available since v1.1.0! Country-level blocking via GeoIP database, plus CIDR range blocking, ASN-level blocking for known bot networks, and admin panel IP restriction.

CSP header builder with visual configuration

Umgesetzt
Content Security Policy headers are complex to write manually. A visual builder where you add allowed sources per directive would be much easier.
Katja Braun Aug 15, 2025
Antwort: Done in v1.4.0! Visual CSP builder plus HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, and Permissions-Policy configuration.

Automatic malware scanning of uploaded files

Geplant
Scan files uploaded through the back office (images, documents) for malware signatures before allowing them.
Alex Kim Jan 22, 2026
Antwort: On the roadmap. We're evaluating ClamAV integration for server-side scanning. Will cover product images, attachments, and theme uploads.
1 offen 10 gelöst
Problem melden
When the store is behind Cloudflare, the firewall sees Cloudflare's IP addresses instead of real visitor IPs. All legitimate traffic gets blocked. Added Cloudflare IP range detection and CF-Connecting-IP header parsing. Fixed in v3.1.0 — commit a4c7e29
If the SMS provider is unreachable, admins cannot complete 2FA login and are permanently locked out. Added emergency bypass via a time-limited console command that generates a one-time recovery code. Fixed in v3.1.0 — commit d8f3b14
The rate limiter counts AJAX search autocomplete requests as login attempts. After 10 rapid searches, the customer's IP gets temporarily blocked. Excluded non-authentication endpoints from brute force detection. Fixed in v3.0.1 — commit 7e2a5c8
Common passwords like 'Password123!' score as 'Strong' because the checker only validates length and character diversity, not dictionary attacks. Integrated zxcvbn library for proper password strength estimation. Fixed in v3.2.0 — commit c1d94e7
The security audit flags all module override files as potential threats, even legitimate ones. This creates noise in the report. Added override signature verification against known safe module overrides. Fixed in v3.2.1 — commit 5b8f3a2
A race condition in the employee session handler causes the module to detect each page load as a new login event, flooding the admin email. Changed detection to check the actual authentication event rather than session renewal. Fixed in v3.1.1 — commit e4a7c31
Database backup files are named backup_001.sql, backup_002.sql, making them guessable if the backup directory is exposed. Changed to random UUID-based filenames with configurable backup directory path. Fixed in v3.2.0 — commit 8d5c1b9
The malware scanner uses exec() for file comparison, which many shared hosting providers disable. No error is shown. Added pure-PHP fallback scanner and admin notification when exec() is unavailable. Fixed in v3.3.0 — commit a2e7f43
Enabling CSP headers blocks third-party scripts including Google Analytics, Stripe.js, and font providers. The default policy is too strict. Added configurable whitelist with presets for common services (Stripe, GA, Cloudflare, Google Fonts). Fixed in v3.2.0 — commit f1c8d52
When CCC is enabled, compiled CSS/JS files don't match the original checksums, triggering false 'file modified' alerts. Excluded CCC output directories from integrity monitoring. Fixed in v3.3.1 — commit 3e9b4a8
The activity log has no rotation or cleanup mechanism. On active stores with multiple admins, the log table grows to 500MB+ within a year. Added configurable auto-cleanup (default: 90 days) and log archival to compressed files.
Alle bekannten Probleme anzeigen
30 Tage Rückgaberecht
Einfache Rückgabe – keine Fragen
Plug & Play Module
Installieren, einrichten und profitieren
Support an erster Stelle
Priorität für Hilfe & Zufriedenheit

Mehr aus dieser Kategorie

Lager Revolution
Lager Revolution
299,00 €
Digital Revolution
Digitale Revolution
299,00 €
Finanz Revolution
Finanz Revolution
299,00 €
Back to top