I 10 migliori consigli di sicurezza Magento essenziali per proteggere il tuo sito di e-commerce
Pubblicato: 2018-09-27
Sappiamo che la maggior parte dei nostri lettori si preoccupa della sicurezza della propria attività. Non è un segreto che il tipo di attività più popolare sia un negozio online. Per questo vogliamo condividere con te alcuni suggerimenti sulla sicurezza dell'e-store Magento. Il nostro ospite - Alex Letitov ti spiegherà come prevenire la tua attività dai criminali informatici.
Migliaia di aziende di e-commerce utilizzano la piattaforma Magento per i loro e-store. Transazioni del valore di milioni vengono eseguite su questi negozi ogni giorno. Se ci sono soldi, ci saranno dei rischi. Il crimine informatico potrebbe rovinare la festa di successo della tua azienda in qualsiasi momento. Anche se tutte le piattaforme di e-commerce, incluso Magento, offrono solide funzionalità di sicurezza e continuano ad aggiornarle frequentemente, non puoi davvero sperare di conviverci. Un semplice attacco informatico al tuo negozio Magento potrebbe interrompere le operazioni commerciali, portare al furto dei dati dei clienti e conseguenti sanzioni legali, oltre al furto di denaro dai portafogli online dei clienti. Inoltre, se il tuo negozio fa notizia per essere stato vittima di attacchi informatici, la sua reputazione subirà un duro colpo. Per fortuna, puoi fare molto per rafforzare la sicurezza del tuo negozio Magento. Tratterò i 10 più importanti suggerimenti per la sicurezza di Magento che manterranno sicuro il tuo negozio.
Migliaia di aziende di e-commerce utilizzano la piattaforma Magento per i loro e-store. Transazioni del valore di milioni vengono eseguite su questi negozi ogni giorno. Se ci sono soldi, ci saranno dei rischi. Il crimine informatico potrebbe rovinare la festa di successo della tua azienda in qualsiasi momento. Anche se tutte le piattaforme di e-commerce, incluso Magento, offrono solide funzionalità di sicurezza e continuano ad aggiornarle frequentemente, non puoi davvero sperare di conviverci. Un semplice attacco informatico al tuo negozio Magento potrebbe interrompere le operazioni commerciali, portare al furto dei dati dei clienti e conseguenti sanzioni legali, oltre al furto di denaro dai portafogli online dei clienti. Inoltre, se il tuo negozio fa notizia per essere stato vittima di attacchi informatici, la sua reputazione subirà un duro colpo. Per fortuna, puoi fare molto per rafforzare la sicurezza del tuo negozio Magento. Tratterò i 10 più importanti suggerimenti per la sicurezza di Magento che manterranno sicuro il tuo negozio.
Continua ad aggiornare la tua installazione di Magento all'ultima versione
Magento deve la sua reputazione di straordinario costruttore di siti Web di e-commerce alla sua capacità di continuare ad aggiornare la sicurezza del sistema tramite aggiornamenti di sicurezza, aggiornamenti di versione e patch. L'unica azione più importante che puoi intraprendere per mantenere la sicurezza del tuo negozio Magento nella sua migliore salute è aggiornarlo all'ultima versione, oggi. Gli aggiornamenti Magento consistono in:- Correzioni relative alla manutenzione
- Correzioni di bug
- Correzioni di sicurezza che si prendono cura delle ultime vulnerabilità sfruttate dai criminali informatici
Modifica il percorso di accesso amministratore predefinito
Puoi rendere molto difficile per gli hacker entrare nel tuo negozio modificando la pagina di accesso predefinita. Il collegamento alla pagina di accesso dell'amministratore predefinito del tuo negozio Magento sarà simile a www.storename.com/index.php/admin/. Invece, usa un URL personalizzato in modo che un hacker non possa semplicemente accedere a questa pagina e lanciare un attacco di forza bruta per entrare nel back-end. Puoi farlo dalle impostazioni di sistema; vai su Config, scegli Admin, quindi Admin Base URL e scegli "Usa percorso amministratore personalizzato". Un altro modo per farlo è andare al file di configurazione local.xml e cercare il seguente blocco di codice. <admin> <router> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </router> </admin> Qui, sostituisci[admin]con il nuovo percorso amministratore . Salva il file di configurazione modificato e aggiorna la cache; hai finito.Aggiungi Secure Socket Layer (SSL)
In qualità di proprietario di un negozio Magento, è tua responsabilità assicurarti che i dati dei tuoi acquirenti vengano trasmessi in modo sicuro dal negozio agli altri tuoi sistemi IT. Per fare ciò, devi aggiungere SSL al tuo negozio Magento. Utilizzando la crittografia SSL, ti assicuri che anche se una terza parte è in grado di intercettare e accedere ai dati, non sarà in grado di dare un senso alle stringhe di dati confuse. Per attivare SSL, vai su Sistemi > Configurazione > Web > Sicuro. Qui, contrassegna "sì" per Usa URL protetti in Frontend/Utilizza URL protetti in Amministrazione. Una volta attivato SSL, l'URL del tuo negozio Magento sarà accompagnato dalla ricercatissima icona del lucchetto verde a destra nella barra degli indirizzi dei browser web. Questo aiuta a creare fiducia per il tuo e-store.Usa password super forti
Questo si presenta come un suggerimento un po' ovvio. Tuttavia, è sorprendente come diversi proprietari di negozi Magento continuino a commettere errori di password, il che compromette la sicurezza del loro negozio. Sebbene Magento richieda una password di minimo 7 caratteri, ti consigliamo vivamente di optare per una password più lunga. Ecco alcune buone pratiche da ricordare:- Usa un mix di maiuscole e minuscole alfabeti, numeri e simboli speciali nella tua password.
- Non includere il nome personale, del marchio o dell'attività all'interno della password.
- Non includere stringhe sequenziali, come 1234 e qwerty nella tua password.
Integra password complesse con l'autenticazione a 2 fattori
Aggiungendo un altro livello di sicurezza al tuo negozio Magento, puoi mitigare le possibilità che qualcuno si introduca. L'autenticazione a 2 fattori è un metodo semplice e affidabile per farlo. Tutto ciò di cui hai bisogno è un'estensione Magento affidabile per configurare l'autenticazione a 2 fattori. Ciò significa che un utente richiederà una password, nonché una password monouso (OTP) generata dinamicamente. Questa OTP viene inviata al telefono cellulare dell'utente tramite un SMS (o e-mail). In sostanza, questo significa che devi conoscere qualcosa (le tue credenziali di accesso) e possedere qualcosa (il tuo dispositivo) per poter accedere alla console di amministrazione di Magento. Potresti provare Rublon, un'estensione di sicurezza Magento che ti consente di aggiungere dispositivi affidabili per accedere al back-end Magento utilizzando un'app. Magento Hackathon è un'altra buona opzione, che consente di impostare complesse regole di autenticazione a più fattori, inclusa l'opzione di inviare un codice monouso al dispositivo registrato dell'utente.Effettua regolarmente il backup del tuo negozio web Magento
Meglio essere preparati che dispiaciuti; crea regolarmente backup dei tuoi dati Magento 2. Ciò garantisce che nello sfortunato caso di furto di dati, hai la possibilità di riportare indietro l'orologio e ripristinare il tuo negozio web a uno stato stabile recente. I backup automatici sono una delle funzionalità di sicurezza di Magento disponibili per i proprietari dei negozi. Fallo dal pannello di amministrazione in Magento 2. Vai su Strumenti e seleziona Backup. La parte migliore: puoi automatizzare e pianificare l'attività di backup in modo che avvenga quotidianamente, settimanalmente, mensilmente o solo una volta. Inoltre, puoi creare un backup utilizzando qualsiasi estensione Magento 2 affidabile per creare un backup.Utilizzare un firewall per impedire l'iniezione di SQL
Gli hacker possono eseguire comandi codificati che possono alterare il backend del tuo negozio Magento, compromettendone così la sicurezza. Il backend Magento è intrinsecamente sicuro contro gli attacchi di SQL injection, ma ciò non significa che non puoi renderlo più forte. Utilizza un firewall per assicurarti che anche ogni attacco avanzato di SQL injection venga annullato. Un firewall può rilevare e segnalare istruzioni SQL non approvate, bloccare le iniezioni SQL, registrare tutte le attività SQL e consente di creare una whitelist di istruzioni SQL per evitare falsi negativi.Sii molto esigente con le estensioni Magento
Le estensioni di terze parti per Magento sono un USP chiave della piattaforma di e-commerce open source. Tuttavia, è necessario prestare attenzione durante la scelta di un'estensione. Prima che te ne rendi conto, un'estensione falsa di Magento potrebbe diventare un gateway per un criminale informatico per accedere a informazioni protette dal tuo e-store. Ogni volta che desideri utilizzare un'estensione, controlla il background dello sviluppatore. Inoltre, cerca le estensioni che sono state riviste da revisori dei componenti aggiuntivi Magento indipendenti. Anche le valutazioni e le recensioni sull'uso sono un buon indicatore dell'affidabilità dell'estensione.Usa le opzioni di sicurezza avanzate per rendere Magento più sicuro
Magento ti offre diverse impostazioni di sicurezza avanzate che possono rendere il negozio più sicuro che mai. Ecco alcune di queste impostazioni e altre best practice di sicurezza che vale la pena considerare:- Limita l'accesso al pannello di amministrazione per indirizzo IP, in modo che sia accessibile solo da un numero limitato e noto di reti
- Utilizza un FTP sicuro (chiamato anche SFTP) che utilizza un file di chiave crittografato per autenticare un utente
- Blocca la tua directory '/downloader/' per prevenire attacchi di forza bruta
- Scansiona regolarmente il sito Web alla ricerca di codici dannosi
- Disabilita il vecchio protocollo TLS1.0 per rendere il tuo negozio conforme allo standard PCI.