Los 10 mejores consejos de seguridad esenciales de Magento para proteger su sitio web de comercio electrónico

Publicado: 2018-09-27
TIENDA ELECTRÓNICA (1) Sabemos que la mayoría de nuestros lectores se preocupan por la seguridad de su negocio. No es ningún secreto que el tipo de negocio más popular es una tienda online. Por eso queremos compartir con ustedes algunos consejos sobre la seguridad de la tienda electrónica de Magento. Nuestro invitado, Alex Letitov , le dirá cómo proteger su negocio de los ciberdelincuentes.
Miles de empresas de comercio electrónico utilizan la plataforma Magento para sus tiendas electrónicas. Transacciones por valor de millones se ejecutan en estas tiendas todos los días. Si hay dinero, habrá riesgos. El cibercrimen podría estropear la fiesta del éxito de su empresa en cualquier momento. A pesar de que todas las plataformas de comercio electrónico, incluida Magento, le ofrecen funciones de seguridad sólidas y las actualizan con frecuencia, realmente no puede esperar vivir con eso. Un ciberataque básico en su tienda Magento podría paralizar las operaciones comerciales, provocar el robo de datos de los clientes y las sanciones legales posteriores, además del robo de dinero de las billeteras en línea de los clientes. Además, si tu tienda aparece en las noticias por ser víctima de ciberataques, su reputación se verá muy afectada. Afortunadamente, hay muchas cosas que puede hacer para reforzar la seguridad de su tienda Magento. Cubriré los 10 consejos de seguridad de Magento más importantes que mantendrán segura su tienda.

Siga parcheando su instalación de Magento a la última versión

Magento debe su reputación como creador estelar de sitios web de comercio electrónico a su capacidad para seguir mejorando la seguridad del sistema a través de actualizaciones de seguridad, actualizaciones de versión y parches. La acción más importante que puede tomar para mantener la seguridad de su tienda Magento en su mejor salud es actualizarla a la última versión, hoy. Las actualizaciones de Magento consisten en:
  • Arreglos relacionados con el mantenimiento
  • Corrección de errores
  • Correcciones de seguridad que se encargan de las últimas vulnerabilidades que explotan los ciberdelincuentes
Naturalmente, los propietarios de tiendas de comercio electrónico no quieren aprender una nueva interfaz cuando se sienten cómodos con lo que tienen en este momento. Magento sobresale aquí porque sus actualizaciones van acompañadas de notas de parche completas. Estas notas lo ayudan a comprender claramente qué ha cambiado en el sistema para que pueda decidir si se siente cómodo con la actualización. Eventualmente, cualquier administrador de una tienda electrónica estará de acuerdo en que mantenerse seguro es mucho más importante que adaptarse a los cambios menores en la interfaz (si los hay) que resultan de las actualizaciones de la versión. La página de recursos tecnológicos de Magento es un buen enlace para marcar para que pueda verificar fácilmente la información de la última versión.

Cambiar la ruta de inicio de sesión de administrador predeterminada

02_admin_login_path Puede hacer que sea muy difícil para los piratas informáticos ingresar a su tienda cambiando la página de inicio de sesión predeterminada. El enlace de la página de inicio de sesión del administrador predeterminado de su tienda Magento se verá como www.storename.com/index.php/admin/. En su lugar, use una URL personalizada para que un hacker no pueda simplemente acceder a esta página y lanzar un ataque de fuerza bruta para ingresar al backend. Puede hacerlo desde la configuración del sistema; vaya a Configuración, elija Admin, luego Admin Base URL y elija 'Usar ruta de administrador personalizada'. Otra forma de hacerlo es ir al archivo de configuración local.xml y buscar el siguiente bloque de código. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Aquí, reemplace [admin] con la nueva ruta de administrador . Guarde el archivo de configuración editado y actualice el caché; ya terminaste

Agregar capa de conexión segura (SSL)

Como propietario de una tienda Magento, es su responsabilidad asegurarse de que los datos de sus compradores se transmitan de forma segura desde la tienda a sus otros sistemas de TI. Para hacerlo, debe agregar SSL a su tienda Magento. Al usar el cifrado SSL, se asegura de que incluso si un tercero puede interceptar y acceder a los datos, no podrá entender las cadenas de datos distorsionadas. Para activar SSL, vaya a Sistemas > Configuración > Web > Seguro. Aquí, marque 'sí' para Usar URL seguras en Frontend/Usar URL seguras en Admin. Una vez que active SSL, la URL de su tienda Magento irá acompañada del ícono de candado verde muy buscado a la derecha en la barra de direcciones de los navegadores web. Esto ayuda a generar confianza en su tienda electrónica.

Use contraseñas súper seguras

04_use_super_strong_passwords Esto parece un consejo un poco obvio. Sin embargo, es sorprendente cómo varios propietarios de tiendas Magento continúan cometiendo errores de contraseña, lo que compromete la seguridad de sus tiendas. Aunque Magento requiere una contraseña de un mínimo de 7 caracteres, le recomendamos encarecidamente que opte por una contraseña más larga. Estas son algunas de las mejores prácticas para recordar:
  • Use una combinación de letras mayúsculas y minúsculas, números y símbolos especiales en su contraseña.
  • No incluya su nombre personal, de marca o comercial dentro de la contraseña.
  • No incluya cadenas secuenciales, como 1234 y qwerty en su contraseña.
Además de estos, puede usar la configuración de seguridad de administrador en Magento para administrar la configuración de su contraseña. Por ejemplo, puede mejorar la seguridad de su tienda contra los intentos de intrusión por fuerza bruta al limitar la cantidad de intentos de inicio de sesión permitidos en una sesión, después de lo cual la cuenta se bloquea. También puede configurar su página de inicio de sesión de administrador para solicitar que se complete un CAPTCHA.

Complemente las contraseñas seguras con autenticación de dos factores

05_2-factor_autenticación Al agregar otra capa de seguridad a su tienda Magento, puede mitigar las posibilidades de que alguien ingrese. La autenticación de 2 factores es un método fácil y confiable para hacerlo. Todo lo que necesita es una extensión confiable de Magento para configurar la autenticación de 2 factores. Esto significa que un usuario requerirá una contraseña, así como una contraseña de un solo uso (OTP) generada dinámicamente. Esta OTP se envía al teléfono móvil del usuario a través de un SMS (o correo electrónico). Básicamente, esto significa que necesita saber algo (sus credenciales de inicio de sesión) y poseer algo (su dispositivo) para poder acceder a la consola de administración de Magento. Puede probar Rublon, una extensión de seguridad de Magento que le permite agregar dispositivos confiables para iniciar sesión en el backend de Magento mediante el uso de una aplicación. Magento Hackathon es otra buena opción, que le permite configurar reglas complejas de autenticación de múltiples factores, incluida la opción de enviar un código único al dispositivo registrado del usuario.

Haga una copia de seguridad periódica de su tienda web Magento

06_regularly_backup_your_magento Mejor estar preparado que lamentar; cree copias de seguridad de sus datos de Magento 2 con regularidad. Esto garantiza que, en el caso desafortunado de robo de datos, tenga la opción de hacer retroceder el reloj y restaurar su tienda web a un estado estable reciente. Las copias de seguridad automáticas son una de las funciones de seguridad de Magento disponibles para los propietarios de las tiendas. Haga esto desde el panel de administración en Magento 2. Vaya a Herramientas y seleccione Copias de seguridad. La mejor parte: puede automatizar y programar la actividad de respaldo para que se realice diariamente, semanalmente, mensualmente o solo una vez. Además, puede crear una copia de seguridad utilizando cualquier extensión confiable de Magento 2 para crear una copia de seguridad.

Utilice un cortafuegos para evitar la inyección de SQL

Los piratas informáticos pueden ejecutar comandos codificados que pueden alterar el backend de su tienda Magento, comprometiendo así su seguridad. El backend de Magento se hace inherentemente seguro contra los ataques de inyección SQL, pero eso no significa que no pueda hacerlo más fuerte. Utilice un firewall para asegurarse de que todos los ataques de inyección de SQL avanzados también se anulen. Un firewall puede detectar e informar declaraciones SQL no aprobadas, bloquear inyecciones de SQL, registrar toda la actividad de SQL y le permite crear una lista blanca de declaraciones SQL para evitar falsos negativos.

Sea muy exigente con las extensiones de Magento

Las extensiones de terceros para Magento son una USP clave de la plataforma de comercio electrónico de código abierto. Sin embargo, debe tener cuidado al elegir una extensión. Antes de que se dé cuenta, una extensión falsa de Magento podría convertirse en una puerta de entrada para que un ciberdelincuente acceda a información protegida de su tienda electrónica. Siempre que desee utilizar una extensión, verifique los antecedentes del desarrollador. Además, busque extensiones que hayan sido revisadas por revisores independientes de complementos de Magento. Las calificaciones de uso y las reseñas también son un buen indicador de la confiabilidad de la extensión.

Use opciones de seguridad avanzadas para hacer que Magento sea más seguro

Magento le ofrece varias configuraciones de seguridad avanzadas que pueden hacer que la tienda sea más segura que nunca. Estas son algunas de estas configuraciones y otras mejores prácticas de seguridad que vale la pena considerar:
  • Restrinja el acceso al panel de administración por dirección IP, de modo que solo sea accesible desde un número limitado y conocido de redes
  • Use FTP seguro (también llamado SFTP) que usa un archivo de clave encriptado para autenticar a un usuario
  • Bloquee su directorio '/downloader/' para evitar ataques de fuerza bruta
  • Escanee el sitio web regularmente en busca de códigos maliciosos
  • Deshabilite el antiguo protocolo TLS1.0 para que su tienda sea compatible con PCI.

Realice una prueba de seguridad imparcial

Después de tomar todas estas medidas, los dueños de las tiendas querrían creer que sus tiendas Magento son completamente seguras. Este podría no ser el caso. Para revelar vulnerabilidades, contrate a un tercero experto en seguridad de Magento para probar su tienda. Debido a que estos proveedores de servicios de seguridad tienen intereses comerciales creados para resaltar las vulnerabilidades de su tienda (y luego ofrecerle consultoría paga para repararlas), está seguro de que obtendrá los mejores controles de calidad. Cualquier falla de seguridad vital que encuentre en la configuración de su tienda Magento puede corregirse, lo que podría evitar un desastre de seguridad de datos en el futuro.

Observaciones finales

Aunque es demasiado difícil afirmar que cualquier sitio web de comercio electrónico es 100% seguro, los propietarios de tiendas Magento pueden mejorar las cosas para ellos y sus clientes al adoptar las mejores prácticas para hacer que sus tiendas electrónicas sean más seguras. Comience con estos 10 consejos; estos garantizarán que los datos de sus clientes permanezcan seguros y que los piratas informáticos no puedan acceder a su tienda electrónica.