Los 10 mejores consejos de seguridad esenciales de Magento para proteger su sitio web de comercio electrónico
Publicado: 2018-09-27
Sabemos que la mayoría de nuestros lectores se preocupan por la seguridad de su negocio. No es ningún secreto que el tipo de negocio más popular es una tienda online. Por eso queremos compartir con ustedes algunos consejos sobre la seguridad de la tienda electrónica de Magento. Nuestro invitado, Alex Letitov , le dirá cómo proteger su negocio de los ciberdelincuentes.
Miles de empresas de comercio electrónico utilizan la plataforma Magento para sus tiendas electrónicas. Transacciones por valor de millones se ejecutan en estas tiendas todos los días. Si hay dinero, habrá riesgos. El cibercrimen podría estropear la fiesta del éxito de su empresa en cualquier momento. A pesar de que todas las plataformas de comercio electrónico, incluida Magento, le ofrecen funciones de seguridad sólidas y las actualizan con frecuencia, realmente no puede esperar vivir con eso. Un ciberataque básico en su tienda Magento podría paralizar las operaciones comerciales, provocar el robo de datos de los clientes y las sanciones legales posteriores, además del robo de dinero de las billeteras en línea de los clientes. Además, si tu tienda aparece en las noticias por ser víctima de ciberataques, su reputación se verá muy afectada. Afortunadamente, hay muchas cosas que puede hacer para reforzar la seguridad de su tienda Magento. Cubriré los 10 consejos de seguridad de Magento más importantes que mantendrán segura su tienda.
Miles de empresas de comercio electrónico utilizan la plataforma Magento para sus tiendas electrónicas. Transacciones por valor de millones se ejecutan en estas tiendas todos los días. Si hay dinero, habrá riesgos. El cibercrimen podría estropear la fiesta del éxito de su empresa en cualquier momento. A pesar de que todas las plataformas de comercio electrónico, incluida Magento, le ofrecen funciones de seguridad sólidas y las actualizan con frecuencia, realmente no puede esperar vivir con eso. Un ciberataque básico en su tienda Magento podría paralizar las operaciones comerciales, provocar el robo de datos de los clientes y las sanciones legales posteriores, además del robo de dinero de las billeteras en línea de los clientes. Además, si tu tienda aparece en las noticias por ser víctima de ciberataques, su reputación se verá muy afectada. Afortunadamente, hay muchas cosas que puede hacer para reforzar la seguridad de su tienda Magento. Cubriré los 10 consejos de seguridad de Magento más importantes que mantendrán segura su tienda.
Siga parcheando su instalación de Magento a la última versión
Magento debe su reputación como creador estelar de sitios web de comercio electrónico a su capacidad para seguir mejorando la seguridad del sistema a través de actualizaciones de seguridad, actualizaciones de versión y parches. La acción más importante que puede tomar para mantener la seguridad de su tienda Magento en su mejor salud es actualizarla a la última versión, hoy. Las actualizaciones de Magento consisten en:- Arreglos relacionados con el mantenimiento
- Corrección de errores
- Correcciones de seguridad que se encargan de las últimas vulnerabilidades que explotan los ciberdelincuentes
Cambiar la ruta de inicio de sesión de administrador predeterminada
Puede hacer que sea muy difícil para los piratas informáticos ingresar a su tienda cambiando la página de inicio de sesión predeterminada. El enlace de la página de inicio de sesión del administrador predeterminado de su tienda Magento se verá como www.storename.com/index.php/admin/. En su lugar, use una URL personalizada para que un hacker no pueda simplemente acceder a esta página y lanzar un ataque de fuerza bruta para ingresar al backend. Puede hacerlo desde la configuración del sistema; vaya a Configuración, elija Admin, luego Admin Base URL y elija 'Usar ruta de administrador personalizada'. Otra forma de hacerlo es ir al archivo de configuración local.xml y buscar el siguiente bloque de código. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Aquí, reemplace [admin] con la nueva ruta de administrador . Guarde el archivo de configuración editado y actualice el caché; ya terminasteAgregar capa de conexión segura (SSL)
Como propietario de una tienda Magento, es su responsabilidad asegurarse de que los datos de sus compradores se transmitan de forma segura desde la tienda a sus otros sistemas de TI. Para hacerlo, debe agregar SSL a su tienda Magento. Al usar el cifrado SSL, se asegura de que incluso si un tercero puede interceptar y acceder a los datos, no podrá entender las cadenas de datos distorsionadas. Para activar SSL, vaya a Sistemas > Configuración > Web > Seguro. Aquí, marque 'sí' para Usar URL seguras en Frontend/Usar URL seguras en Admin. Una vez que active SSL, la URL de su tienda Magento irá acompañada del ícono de candado verde muy buscado a la derecha en la barra de direcciones de los navegadores web. Esto ayuda a generar confianza en su tienda electrónica.Use contraseñas súper seguras
Esto parece un consejo un poco obvio. Sin embargo, es sorprendente cómo varios propietarios de tiendas Magento continúan cometiendo errores de contraseña, lo que compromete la seguridad de sus tiendas. Aunque Magento requiere una contraseña de un mínimo de 7 caracteres, le recomendamos encarecidamente que opte por una contraseña más larga. Estas son algunas de las mejores prácticas para recordar:- Use una combinación de letras mayúsculas y minúsculas, números y símbolos especiales en su contraseña.
- No incluya su nombre personal, de marca o comercial dentro de la contraseña.
- No incluya cadenas secuenciales, como 1234 y qwerty en su contraseña.
Complemente las contraseñas seguras con autenticación de dos factores
Al agregar otra capa de seguridad a su tienda Magento, puede mitigar las posibilidades de que alguien ingrese. La autenticación de 2 factores es un método fácil y confiable para hacerlo. Todo lo que necesita es una extensión confiable de Magento para configurar la autenticación de 2 factores. Esto significa que un usuario requerirá una contraseña, así como una contraseña de un solo uso (OTP) generada dinámicamente. Esta OTP se envía al teléfono móvil del usuario a través de un SMS (o correo electrónico). Básicamente, esto significa que necesita saber algo (sus credenciales de inicio de sesión) y poseer algo (su dispositivo) para poder acceder a la consola de administración de Magento. Puede probar Rublon, una extensión de seguridad de Magento que le permite agregar dispositivos confiables para iniciar sesión en el backend de Magento mediante el uso de una aplicación. Magento Hackathon es otra buena opción, que le permite configurar reglas complejas de autenticación de múltiples factores, incluida la opción de enviar un código único al dispositivo registrado del usuario.Haga una copia de seguridad periódica de su tienda web Magento
Mejor estar preparado que lamentar; cree copias de seguridad de sus datos de Magento 2 con regularidad. Esto garantiza que, en el caso desafortunado de robo de datos, tenga la opción de hacer retroceder el reloj y restaurar su tienda web a un estado estable reciente. Las copias de seguridad automáticas son una de las funciones de seguridad de Magento disponibles para los propietarios de las tiendas. Haga esto desde el panel de administración en Magento 2. Vaya a Herramientas y seleccione Copias de seguridad. La mejor parte: puede automatizar y programar la actividad de respaldo para que se realice diariamente, semanalmente, mensualmente o solo una vez. Además, puede crear una copia de seguridad utilizando cualquier extensión confiable de Magento 2 para crear una copia de seguridad.Utilice un cortafuegos para evitar la inyección de SQL
Los piratas informáticos pueden ejecutar comandos codificados que pueden alterar el backend de su tienda Magento, comprometiendo así su seguridad. El backend de Magento se hace inherentemente seguro contra los ataques de inyección SQL, pero eso no significa que no pueda hacerlo más fuerte. Utilice un firewall para asegurarse de que todos los ataques de inyección de SQL avanzados también se anulen. Un firewall puede detectar e informar declaraciones SQL no aprobadas, bloquear inyecciones de SQL, registrar toda la actividad de SQL y le permite crear una lista blanca de declaraciones SQL para evitar falsos negativos.Sea muy exigente con las extensiones de Magento
Las extensiones de terceros para Magento son una USP clave de la plataforma de comercio electrónico de código abierto. Sin embargo, debe tener cuidado al elegir una extensión. Antes de que se dé cuenta, una extensión falsa de Magento podría convertirse en una puerta de entrada para que un ciberdelincuente acceda a información protegida de su tienda electrónica. Siempre que desee utilizar una extensión, verifique los antecedentes del desarrollador. Además, busque extensiones que hayan sido revisadas por revisores independientes de complementos de Magento. Las calificaciones de uso y las reseñas también son un buen indicador de la confiabilidad de la extensión.Use opciones de seguridad avanzadas para hacer que Magento sea más seguro
Magento le ofrece varias configuraciones de seguridad avanzadas que pueden hacer que la tienda sea más segura que nunca. Estas son algunas de estas configuraciones y otras mejores prácticas de seguridad que vale la pena considerar:- Restrinja el acceso al panel de administración por dirección IP, de modo que solo sea accesible desde un número limitado y conocido de redes
- Use FTP seguro (también llamado SFTP) que usa un archivo de clave encriptado para autenticar a un usuario
- Bloquee su directorio '/downloader/' para evitar ataques de fuerza bruta
- Escanee el sitio web regularmente en busca de códigos maliciosos
- Deshabilite el antiguo protocolo TLS1.0 para que su tienda sea compatible con PCI.