Die 10 wichtigsten Magento-Sicherheitstipps zur Sicherung Ihrer E-Commerce-Website
Veröffentlicht: 2018-09-27
Wir wissen, dass die Mehrheit unserer Leser sich um die Sicherheit ihres Geschäfts kümmert. Es ist kein Geheimnis, dass die beliebteste Geschäftsform ein Online-Shop ist. Deshalb möchten wir Ihnen einige Tipps zur Sicherheit von Magento E-Stores geben. Unser Gast - Alex Letitov wird Ihnen sagen, wie Sie Ihr Unternehmen vor Cyberkriminellen schützen können.
Tausende von E-Commerce-Unternehmen nutzen die Magento-Plattform für ihre E-Shops. Auf diesen Stores werden täglich Transaktionen in Millionenhöhe abgewickelt. Wo Geld ist, gibt es Risiken. Cyberkriminalität kann jeden Tag die Erfolgsparty Ihres Unternehmens verderben. Obwohl alle E-Commerce-Plattformen, einschließlich Magento, Ihnen robuste Sicherheitsfunktionen bieten und diese regelmäßig aktualisieren, können Sie nicht wirklich hoffen, damit zu leben. Ein einfacher Cyberangriff auf Ihren Magento-Shop könnte den Geschäftsbetrieb zum Erliegen bringen, zum Diebstahl von Kundendaten und anschließenden rechtlichen Sanktionen führen, abgesehen vom Diebstahl von Geld aus den Online-Geldbörsen der Kunden. Wenn Ihr Geschäft als Opfer von Cyberangriffen in die Schlagzeilen kommt, wird sein Ruf darüber hinaus massiv in Mitleidenschaft gezogen. Glücklicherweise gibt es eine Menge, was Sie tun können, um die Sicherheit Ihres Magento-Shops zu erhöhen. Ich werde die 10 wichtigsten Magento-Sicherheitstipps behandeln, die Ihren Shop schützen.
Tausende von E-Commerce-Unternehmen nutzen die Magento-Plattform für ihre E-Shops. Auf diesen Stores werden täglich Transaktionen in Millionenhöhe abgewickelt. Wo Geld ist, gibt es Risiken. Cyberkriminalität kann jeden Tag die Erfolgsparty Ihres Unternehmens verderben. Obwohl alle E-Commerce-Plattformen, einschließlich Magento, Ihnen robuste Sicherheitsfunktionen bieten und diese regelmäßig aktualisieren, können Sie nicht wirklich hoffen, damit zu leben. Ein einfacher Cyberangriff auf Ihren Magento-Shop könnte den Geschäftsbetrieb zum Erliegen bringen, zum Diebstahl von Kundendaten und anschließenden rechtlichen Sanktionen führen, abgesehen vom Diebstahl von Geld aus den Online-Geldbörsen der Kunden. Wenn Ihr Geschäft als Opfer von Cyberangriffen in die Schlagzeilen kommt, wird sein Ruf darüber hinaus massiv in Mitleidenschaft gezogen. Glücklicherweise gibt es eine Menge, was Sie tun können, um die Sicherheit Ihres Magento-Shops zu erhöhen. Ich werde die 10 wichtigsten Magento-Sicherheitstipps behandeln, die Ihren Shop schützen.
Patchen Sie Ihre Magento-Installation weiterhin auf die neueste Version
Magento verdankt seinen Ruf als herausragender E-Commerce-Website-Builder seiner Fähigkeit, die Sicherheit des Systems über Sicherheitsupdates, Versionsupdates und Patches ständig zu verbessern. Die wichtigste Maßnahme, die Sie ergreifen können, um die Sicherheit Ihres Magento-Shops in bester Verfassung zu halten, besteht darin, ihn noch heute auf die neueste Version zu aktualisieren. Magento-Upgrades bestehen aus:- Wartungsbezogene Fixes
- Fehlerbehebung
- Sicherheitsfixes, die sich um die neuesten Schwachstellen kümmern, die von Cyberkriminellen ausgenutzt werden
Ändern Sie den Standard-Administrator-Anmeldepfad
Sie können es Hackern sehr schwer machen, in Ihren Shop einzudringen, indem Sie die Standard-Anmeldeseite ändern. Der Link zur Standard-Admin-Anmeldeseite Ihres Magento-Shops sieht in etwa so aus wie www.storename.com/index.php/admin/. Verwenden Sie stattdessen eine benutzerdefinierte URL, damit ein Hacker nicht einfach auf diese Seite zugreifen und einen Brute-Force-Angriff starten kann, um in das Backend einzudringen. Sie können dies in den Systemeinstellungen tun; Gehen Sie zu Config, wählen Sie Admin, dann Admin Base URL und wählen Sie 'Use Custom Admin Path'. Eine andere Möglichkeit besteht darin, zur Konfigurationsdatei local.xml zu gehen und nach dem folgenden Codeblock zu suchen. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Ersetzen Sie hier [admin] durch den neuen Admin-Pfad . Speichern Sie die bearbeitete Konfigurationsdatei und aktualisieren Sie den Cache; Sie sind fertig.Secure Socket Layer (SSL) hinzufügen
Als Inhaber eines Magento-Shops sind Sie dafür verantwortlich, dass die Daten Ihrer Käufer sicher vom Shop zu Ihren anderen IT-Systemen übertragen werden. Dazu müssen Sie Ihrem Magento-Shop SSL hinzufügen. Durch die Verwendung von SSL-Verschlüsselung stellen Sie sicher, dass selbst wenn ein Dritter die Daten abfangen und darauf zugreifen kann, er die verstümmelten Datenfolgen nicht verstehen kann. Um SSL zu aktivieren, gehen Sie zu Systeme > Konfiguration > Web > Sicher. Markieren Sie hier „Ja“ für Use Secure URLs in Frontend/Use Secure URLs in Admin. Sobald Sie SSL aktivieren, wird die URL Ihres Magento-Shops von dem begehrten grünen Vorhängeschloss-Symbol rechts in der Adressleiste von Webbrowsern begleitet. Dies trägt dazu bei, Vertrauen für Ihren E-Store aufzubauen.Verwenden Sie superstarke Passwörter
Dies wirkt wie ein offensichtlicher Tipp. Es ist jedoch überraschend, wie mehrere Besitzer von Magento-Shops weiterhin Passwortfehler begehen, die die Sicherheit ihres Shops gefährden. Obwohl Magento ein Passwort mit mindestens 7 Zeichen erfordert, raten wir Ihnen dringend, sich für ein längeres Passwort zu entscheiden. Hier sind einige Best Practices, an die Sie sich erinnern sollten:- Verwenden Sie in Ihrem Passwort eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
- Geben Sie nicht Ihren persönlichen, Marken- oder Firmennamen in das Passwort ein.
- Fügen Sie keine aufeinanderfolgenden Zeichenfolgen wie 1234 und qwerty in Ihr Passwort ein.
Ergänzen Sie starke Passwörter mit 2-Faktor-Authentifizierung
Indem Sie Ihrem Magento-Shop eine weitere Sicherheitsebene hinzufügen, können Sie die Wahrscheinlichkeit verringern, dass jemand einbricht. Die 2-Faktor-Authentifizierung ist eine einfache und zuverlässige Methode, dies zu tun. Alles, was Sie brauchen, ist eine zuverlässige Magento-Erweiterung, um die 2-Faktor-Authentifizierung einzurichten. Das bedeutet, dass ein Benutzer ein Passwort sowie ein dynamisch generiertes Einmalpasswort (OTP) benötigt. Dieses OTP wird per SMS (oder E-Mail) an das Mobiltelefon des Benutzers gesendet. Im Wesentlichen bedeutet dies, dass Sie etwas wissen (Ihre Anmeldedaten) und etwas besitzen müssen (Ihr Gerät), um auf die Admin-Konsole von Magento zugreifen zu können. Sie könnten Rublon ausprobieren, eine Magento-Sicherheitserweiterung, mit der Sie vertrauenswürdige Geräte hinzufügen können, um sich mithilfe einer App beim Magento-Backend anzumelden. Magento Hackathon ist eine weitere gute Option, mit der Sie komplexe Multi-Faktor-Authentifizierungsregeln einrichten können, einschließlich der Option, einen einmaligen Code an das registrierte Gerät des Benutzers zu senden.Sichern Sie regelmäßig Ihren Magento-Webshop
Seien Sie besser vorbereitet als leid; Erstellen Sie regelmäßig Backups Ihrer Magento 2-Daten. Dadurch wird sichergestellt, dass Sie im unglücklichen Fall eines Datendiebstahls die Möglichkeit haben, die Uhr zurückzudrehen und Ihren Webshop auf einen aktuellen stabilen Zustand zurückzusetzen. Automatische Backups sind eine der Magento-Sicherheitsfunktionen, die Ladenbesitzern zur Verfügung stehen. Tun Sie dies über das Admin-Panel in Magento 2. Gehen Sie zu Tools und wählen Sie Backups. Das Beste daran – Sie können die Backup-Aktivität automatisieren und so planen, dass sie täglich, wöchentlich, monatlich oder nur einmal stattfindet. Sie können auch ein Backup mit jeder zuverlässigen Magento 2-Erweiterung erstellen, um ein Backup zu erstellen.Verwenden Sie eine Firewall, um SQL-Injection zu verhindern
Hacker können verschlüsselte Befehle ausführen, die das Backend Ihres Magento-Shops verändern und so dessen Sicherheit gefährden können. Das Magento-Backend ist von Natur aus sicher gegen SQL-Injection-Angriffe, aber das bedeutet nicht, dass Sie es nicht stärker machen können. Verwenden Sie eine Firewall, um sicherzustellen, dass jeder erweiterte SQL-Injection-Angriff ebenfalls zunichte gemacht wird. Eine Firewall kann nicht genehmigte SQL-Anweisungen erkennen und melden, SQL-Injektionen blockieren, alle SQL-Aktivitäten protokollieren und Sie können eine Whitelist von SQL-Anweisungen erstellen, um falsch negative Ergebnisse zu vermeiden.Seien Sie sehr wählerisch mit Magento-Erweiterungen
Erweiterungen von Drittanbietern für Magento sind ein wichtiger USP der Open-Source-E-Commerce-Plattform. Sie müssen jedoch bei der Auswahl einer Erweiterung Vorsicht walten lassen. Bevor Sie es bemerken, könnte eine gefälschte Magento-Erweiterung ein Einfallstor für Cyberkriminelle werden, um auf geschützte Informationen aus Ihrem E-Store zuzugreifen. Wenn Sie eine Erweiterung verwenden möchten, überprüfen Sie den Hintergrund des Entwicklers. Suchen Sie auch nach Erweiterungen, die von unabhängigen Prüfern für Magento-Add-Ons überprüft wurden. Nutzungsbewertungen und Rezensionen sind ebenfalls ein guter Indikator für die Zuverlässigkeit der Erweiterung.Verwenden Sie erweiterte Sicherheitsoptionen, um Magento sicherer zu machen
Magento bietet Ihnen mehrere erweiterte Sicherheitseinstellungen, die den Shop sicherer denn je machen können. Hier sind einige dieser Einstellungen und andere bewährte Sicherheitsverfahren, die es wert sind, in Betracht gezogen zu werden:- Beschränken Sie den Zugriff auf das Admin-Panel nach IP-Adresse, sodass es nur von einer begrenzten und bekannten Anzahl von Netzwerken aus zugänglich ist
- Verwenden Sie sicheres FTP (auch SFTP genannt), das eine verschlüsselte Schlüsseldatei verwendet, um einen Benutzer zu authentifizieren
- Sperren Sie Ihr Verzeichnis „/downloader/“, um Brute-Force-Angriffe zu verhindern
- Scannen Sie die Website regelmäßig auf schädliche Codes
- Deaktivieren Sie das alte TLS1.0-Protokoll, um Ihren Shop PCI-konform zu machen.