Die 10 wichtigsten Magento-Sicherheitstipps zur Sicherung Ihrer E-Commerce-Website

Veröffentlicht: 2018-09-27
E-SHOP (1) Wir wissen, dass die Mehrheit unserer Leser sich um die Sicherheit ihres Geschäfts kümmert. Es ist kein Geheimnis, dass die beliebteste Geschäftsform ein Online-Shop ist. Deshalb möchten wir Ihnen einige Tipps zur Sicherheit von Magento E-Stores geben. Unser Gast - Alex Letitov wird Ihnen sagen, wie Sie Ihr Unternehmen vor Cyberkriminellen schützen können.
Tausende von E-Commerce-Unternehmen nutzen die Magento-Plattform für ihre E-Shops. Auf diesen Stores werden täglich Transaktionen in Millionenhöhe abgewickelt. Wo Geld ist, gibt es Risiken. Cyberkriminalität kann jeden Tag die Erfolgsparty Ihres Unternehmens verderben. Obwohl alle E-Commerce-Plattformen, einschließlich Magento, Ihnen robuste Sicherheitsfunktionen bieten und diese regelmäßig aktualisieren, können Sie nicht wirklich hoffen, damit zu leben. Ein einfacher Cyberangriff auf Ihren Magento-Shop könnte den Geschäftsbetrieb zum Erliegen bringen, zum Diebstahl von Kundendaten und anschließenden rechtlichen Sanktionen führen, abgesehen vom Diebstahl von Geld aus den Online-Geldbörsen der Kunden. Wenn Ihr Geschäft als Opfer von Cyberangriffen in die Schlagzeilen kommt, wird sein Ruf darüber hinaus massiv in Mitleidenschaft gezogen. Glücklicherweise gibt es eine Menge, was Sie tun können, um die Sicherheit Ihres Magento-Shops zu erhöhen. Ich werde die 10 wichtigsten Magento-Sicherheitstipps behandeln, die Ihren Shop schützen.

Patchen Sie Ihre Magento-Installation weiterhin auf die neueste Version

Magento verdankt seinen Ruf als herausragender E-Commerce-Website-Builder seiner Fähigkeit, die Sicherheit des Systems über Sicherheitsupdates, Versionsupdates und Patches ständig zu verbessern. Die wichtigste Maßnahme, die Sie ergreifen können, um die Sicherheit Ihres Magento-Shops in bester Verfassung zu halten, besteht darin, ihn noch heute auf die neueste Version zu aktualisieren. Magento-Upgrades bestehen aus:
  • Wartungsbezogene Fixes
  • Fehlerbehebung
  • Sicherheitsfixes, die sich um die neuesten Schwachstellen kümmern, die von Cyberkriminellen ausgenutzt werden
Natürlich möchten E-Commerce-Shop-Besitzer keine neue Benutzeroberfläche erlernen, wenn sie mit dem vertraut sind, was sie gerade haben. Magento zeichnet sich hier aus, da seine Upgrades von umfassenden Patchnotizen begleitet werden. Diese Hinweise helfen Ihnen dabei, klar zu verstehen, was sich im System geändert hat, damit Sie entscheiden können, ob Sie mit dem Upgrade zufrieden sind. Letztendlich wird jeder E-Store-Manager zustimmen, dass die Sicherheit viel wichtiger ist, als sich an die geringfügigen Änderungen der Benutzeroberfläche (falls vorhanden) anzupassen, die sich aus den Versions-Upgrades ergeben. Die Tech-Ressourcen-Seite von Magento ist ein guter Link, um ein Lesezeichen zu setzen, damit Sie die neuesten Versionsinformationen leicht überprüfen können.

Ändern Sie den Standard-Administrator-Anmeldepfad

02_admin_login_path Sie können es Hackern sehr schwer machen, in Ihren Shop einzudringen, indem Sie die Standard-Anmeldeseite ändern. Der Link zur Standard-Admin-Anmeldeseite Ihres Magento-Shops sieht in etwa so aus wie www.storename.com/index.php/admin/. Verwenden Sie stattdessen eine benutzerdefinierte URL, damit ein Hacker nicht einfach auf diese Seite zugreifen und einen Brute-Force-Angriff starten kann, um in das Backend einzudringen. Sie können dies in den Systemeinstellungen tun; Gehen Sie zu Config, wählen Sie Admin, dann Admin Base URL und wählen Sie 'Use Custom Admin Path'. Eine andere Möglichkeit besteht darin, zur Konfigurationsdatei local.xml zu gehen und nach dem folgenden Codeblock zu suchen. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Ersetzen Sie hier [admin] durch den neuen Admin-Pfad . Speichern Sie die bearbeitete Konfigurationsdatei und aktualisieren Sie den Cache; Sie sind fertig.

Secure Socket Layer (SSL) hinzufügen

Als Inhaber eines Magento-Shops sind Sie dafür verantwortlich, dass die Daten Ihrer Käufer sicher vom Shop zu Ihren anderen IT-Systemen übertragen werden. Dazu müssen Sie Ihrem Magento-Shop SSL hinzufügen. Durch die Verwendung von SSL-Verschlüsselung stellen Sie sicher, dass selbst wenn ein Dritter die Daten abfangen und darauf zugreifen kann, er die verstümmelten Datenfolgen nicht verstehen kann. Um SSL zu aktivieren, gehen Sie zu Systeme > Konfiguration > Web > Sicher. Markieren Sie hier „Ja“ für Use Secure URLs in Frontend/Use Secure URLs in Admin. Sobald Sie SSL aktivieren, wird die URL Ihres Magento-Shops von dem begehrten grünen Vorhängeschloss-Symbol rechts in der Adressleiste von Webbrowsern begleitet. Dies trägt dazu bei, Vertrauen für Ihren E-Store aufzubauen.

Verwenden Sie superstarke Passwörter

04_use_super_strong_passwords Dies wirkt wie ein offensichtlicher Tipp. Es ist jedoch überraschend, wie mehrere Besitzer von Magento-Shops weiterhin Passwortfehler begehen, die die Sicherheit ihres Shops gefährden. Obwohl Magento ein Passwort mit mindestens 7 Zeichen erfordert, raten wir Ihnen dringend, sich für ein längeres Passwort zu entscheiden. Hier sind einige Best Practices, an die Sie sich erinnern sollten:
  • Verwenden Sie in Ihrem Passwort eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Geben Sie nicht Ihren persönlichen, Marken- oder Firmennamen in das Passwort ein.
  • Fügen Sie keine aufeinanderfolgenden Zeichenfolgen wie 1234 und qwerty in Ihr Passwort ein.
Abgesehen davon können Sie die Admin-Sicherheitskonfiguration in Magento verwenden, um Ihre Passworteinstellungen zu verwalten. Beispielsweise können Sie die Sicherheit Ihres Shops vor Brute-Force-Einbruchsversuchen erhöhen, indem Sie die Anzahl der in einer Sitzung zulässigen Anmeldeversuche begrenzen, wonach das Konto gesperrt wird. Sie können Ihre Administrator-Anmeldeseite auch so einrichten, dass ein CAPTCHA ausgefüllt werden muss.

Ergänzen Sie starke Passwörter mit 2-Faktor-Authentifizierung

05_2-Faktor-Authentifizierung Indem Sie Ihrem Magento-Shop eine weitere Sicherheitsebene hinzufügen, können Sie die Wahrscheinlichkeit verringern, dass jemand einbricht. Die 2-Faktor-Authentifizierung ist eine einfache und zuverlässige Methode, dies zu tun. Alles, was Sie brauchen, ist eine zuverlässige Magento-Erweiterung, um die 2-Faktor-Authentifizierung einzurichten. Das bedeutet, dass ein Benutzer ein Passwort sowie ein dynamisch generiertes Einmalpasswort (OTP) benötigt. Dieses OTP wird per SMS (oder E-Mail) an das Mobiltelefon des Benutzers gesendet. Im Wesentlichen bedeutet dies, dass Sie etwas wissen (Ihre Anmeldedaten) und etwas besitzen müssen (Ihr Gerät), um auf die Admin-Konsole von Magento zugreifen zu können. Sie könnten Rublon ausprobieren, eine Magento-Sicherheitserweiterung, mit der Sie vertrauenswürdige Geräte hinzufügen können, um sich mithilfe einer App beim Magento-Backend anzumelden. Magento Hackathon ist eine weitere gute Option, mit der Sie komplexe Multi-Faktor-Authentifizierungsregeln einrichten können, einschließlich der Option, einen einmaligen Code an das registrierte Gerät des Benutzers zu senden.

Sichern Sie regelmäßig Ihren Magento-Webshop

06_regularly_backup_your_magento Seien Sie besser vorbereitet als leid; Erstellen Sie regelmäßig Backups Ihrer Magento 2-Daten. Dadurch wird sichergestellt, dass Sie im unglücklichen Fall eines Datendiebstahls die Möglichkeit haben, die Uhr zurückzudrehen und Ihren Webshop auf einen aktuellen stabilen Zustand zurückzusetzen. Automatische Backups sind eine der Magento-Sicherheitsfunktionen, die Ladenbesitzern zur Verfügung stehen. Tun Sie dies über das Admin-Panel in Magento 2. Gehen Sie zu Tools und wählen Sie Backups. Das Beste daran – Sie können die Backup-Aktivität automatisieren und so planen, dass sie täglich, wöchentlich, monatlich oder nur einmal stattfindet. Sie können auch ein Backup mit jeder zuverlässigen Magento 2-Erweiterung erstellen, um ein Backup zu erstellen.

Verwenden Sie eine Firewall, um SQL-Injection zu verhindern

Hacker können verschlüsselte Befehle ausführen, die das Backend Ihres Magento-Shops verändern und so dessen Sicherheit gefährden können. Das Magento-Backend ist von Natur aus sicher gegen SQL-Injection-Angriffe, aber das bedeutet nicht, dass Sie es nicht stärker machen können. Verwenden Sie eine Firewall, um sicherzustellen, dass jeder erweiterte SQL-Injection-Angriff ebenfalls zunichte gemacht wird. Eine Firewall kann nicht genehmigte SQL-Anweisungen erkennen und melden, SQL-Injektionen blockieren, alle SQL-Aktivitäten protokollieren und Sie können eine Whitelist von SQL-Anweisungen erstellen, um falsch negative Ergebnisse zu vermeiden.

Seien Sie sehr wählerisch mit Magento-Erweiterungen

Erweiterungen von Drittanbietern für Magento sind ein wichtiger USP der Open-Source-E-Commerce-Plattform. Sie müssen jedoch bei der Auswahl einer Erweiterung Vorsicht walten lassen. Bevor Sie es bemerken, könnte eine gefälschte Magento-Erweiterung ein Einfallstor für Cyberkriminelle werden, um auf geschützte Informationen aus Ihrem E-Store zuzugreifen. Wenn Sie eine Erweiterung verwenden möchten, überprüfen Sie den Hintergrund des Entwicklers. Suchen Sie auch nach Erweiterungen, die von unabhängigen Prüfern für Magento-Add-Ons überprüft wurden. Nutzungsbewertungen und Rezensionen sind ebenfalls ein guter Indikator für die Zuverlässigkeit der Erweiterung.

Verwenden Sie erweiterte Sicherheitsoptionen, um Magento sicherer zu machen

Magento bietet Ihnen mehrere erweiterte Sicherheitseinstellungen, die den Shop sicherer denn je machen können. Hier sind einige dieser Einstellungen und andere bewährte Sicherheitsverfahren, die es wert sind, in Betracht gezogen zu werden:
  • Beschränken Sie den Zugriff auf das Admin-Panel nach IP-Adresse, sodass es nur von einer begrenzten und bekannten Anzahl von Netzwerken aus zugänglich ist
  • Verwenden Sie sicheres FTP (auch SFTP genannt), das eine verschlüsselte Schlüsseldatei verwendet, um einen Benutzer zu authentifizieren
  • Sperren Sie Ihr Verzeichnis „/downloader/“, um Brute-Force-Angriffe zu verhindern
  • Scannen Sie die Website regelmäßig auf schädliche Codes
  • Deaktivieren Sie das alte TLS1.0-Protokoll, um Ihren Shop PCI-konform zu machen.

Machen Sie einen unvoreingenommenen Sicherheitstest

Nachdem alle diese Maßnahmen ergriffen wurden, möchten Ladenbesitzer glauben, dass ihre Magento-Shops vollständig sicher sind. Dies ist möglicherweise nicht der Fall. Um Schwachstellen aufzudecken, beauftragen Sie einen Magento-Sicherheitsexperten eines Drittanbieters, um Ihren Shop zu testen. Da diese Sicherheitsdienstleister ein begründetes Geschäftsinteresse daran haben, die Schwachstellen Ihres Geschäfts aufzuzeigen (und Ihnen dann eine kostenpflichtige Beratung zu deren Behebung anzubieten), können Sie sicher sein, dass Sie die besten Qualitätsprüfungen erhalten. Alle wichtigen Sicherheitslücken, die Sie in Ihrem Magento-Shop-Setup finden, können dann behoben werden, wodurch möglicherweise eine Datensicherheitskatastrophe in der Zukunft vermieden wird.

Abschließende Bemerkungen

Obwohl es zu schwierig ist zu behaupten, dass jede E-Commerce-Website zu 100 % sicher ist, können Besitzer von Magento-Shops die Dinge für sich und ihre Kunden verbessern, indem sie die Best Practices anwenden, um ihre E-Shops sicherer zu machen. Beginnen Sie mit diesen 10 Tipps; Diese stellen sicher, dass die Daten Ihrer Kunden sicher bleiben und Hacker nicht in Ihren E-Store eindringen können.