I 10 migliori consigli di sicurezza Magento essenziali per proteggere il tuo sito di e-commerce

Pubblicato: 2018-09-27
E-STORE (1) Sappiamo che la maggior parte dei nostri lettori si preoccupa della sicurezza della propria attività. Non è un segreto che il tipo di attività più popolare sia un negozio online. Per questo vogliamo condividere con te alcuni suggerimenti sulla sicurezza dell'e-store Magento. Il nostro ospite - Alex Letitov ti spiegherà come prevenire la tua attività dai criminali informatici.
Migliaia di aziende di e-commerce utilizzano la piattaforma Magento per i loro e-store. Transazioni del valore di milioni vengono eseguite su questi negozi ogni giorno. Se ci sono soldi, ci saranno dei rischi. Il crimine informatico potrebbe rovinare la festa di successo della tua azienda in qualsiasi momento. Anche se tutte le piattaforme di e-commerce, incluso Magento, offrono solide funzionalità di sicurezza e continuano ad aggiornarle frequentemente, non puoi davvero sperare di conviverci. Un semplice attacco informatico al tuo negozio Magento potrebbe interrompere le operazioni commerciali, portare al furto dei dati dei clienti e conseguenti sanzioni legali, oltre al furto di denaro dai portafogli online dei clienti. Inoltre, se il tuo negozio fa notizia per essere stato vittima di attacchi informatici, la sua reputazione subirà un duro colpo. Per fortuna, puoi fare molto per rafforzare la sicurezza del tuo negozio Magento. Tratterò i 10 più importanti suggerimenti per la sicurezza di Magento che manterranno sicuro il tuo negozio.

Continua ad aggiornare la tua installazione di Magento all'ultima versione

Magento deve la sua reputazione di straordinario costruttore di siti Web di e-commerce alla sua capacità di continuare ad aggiornare la sicurezza del sistema tramite aggiornamenti di sicurezza, aggiornamenti di versione e patch. L'unica azione più importante che puoi intraprendere per mantenere la sicurezza del tuo negozio Magento nella sua migliore salute è aggiornarlo all'ultima versione, oggi. Gli aggiornamenti Magento consistono in:
  • Correzioni relative alla manutenzione
  • Correzioni di bug
  • Correzioni di sicurezza che si prendono cura delle ultime vulnerabilità sfruttate dai criminali informatici
Naturalmente, i proprietari di negozi di e-commerce non vogliono imparare una nuova interfaccia quando sono a proprio agio con ciò che hanno in questo momento. Magento eccelle qui perché i suoi aggiornamenti sono accompagnati da note sulla patch complete. Queste note ti aiutano a capire chiaramente cosa è cambiato nel sistema in modo da poter decidere se sei a tuo agio con l'aggiornamento. Alla fine, qualsiasi gestore di e-store concorderà sul fatto che rimanere al sicuro è molto più importante che adeguarsi alle modifiche minori dell'interfaccia (se presenti) risultanti dagli aggiornamenti della versione. La pagina delle risorse tecniche di Magento è un buon collegamento per aggiungere un segnalibro in modo da poter controllare facilmente le informazioni sull'ultima versione.

Modifica il percorso di accesso amministratore predefinito

02_admin_login_path Puoi rendere molto difficile per gli hacker entrare nel tuo negozio modificando la pagina di accesso predefinita. Il collegamento alla pagina di accesso dell'amministratore predefinito del tuo negozio Magento sarà simile a www.storename.com/index.php/admin/. Invece, usa un URL personalizzato in modo che un hacker non possa semplicemente accedere a questa pagina e lanciare un attacco di forza bruta per entrare nel back-end. Puoi farlo dalle impostazioni di sistema; vai su Config, scegli Admin, quindi Admin Base URL e scegli "Usa percorso amministratore personalizzato". Un altro modo per farlo è andare al file di configurazione local.xml e cercare il seguente blocco di codice. <admin> <router> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </router> </admin> Qui, sostituisci[admin]con il nuovo percorso amministratore . Salva il file di configurazione modificato e aggiorna la cache; hai finito.

Aggiungi Secure Socket Layer (SSL)

In qualità di proprietario di un negozio Magento, è tua responsabilità assicurarti che i dati dei tuoi acquirenti vengano trasmessi in modo sicuro dal negozio agli altri tuoi sistemi IT. Per fare ciò, devi aggiungere SSL al tuo negozio Magento. Utilizzando la crittografia SSL, ti assicuri che anche se una terza parte è in grado di intercettare e accedere ai dati, non sarà in grado di dare un senso alle stringhe di dati confuse. Per attivare SSL, vai su Sistemi > Configurazione > Web > Sicuro. Qui, contrassegna "sì" per Usa URL protetti in Frontend/Utilizza URL protetti in Amministrazione. Una volta attivato SSL, l'URL del tuo negozio Magento sarà accompagnato dalla ricercatissima icona del lucchetto verde a destra nella barra degli indirizzi dei browser web. Questo aiuta a creare fiducia per il tuo e-store.

Usa password super forti

04_use_super_strong_password Questo si presenta come un suggerimento un po' ovvio. Tuttavia, è sorprendente come diversi proprietari di negozi Magento continuino a commettere errori di password, il che compromette la sicurezza del loro negozio. Sebbene Magento richieda una password di minimo 7 caratteri, ti consigliamo vivamente di optare per una password più lunga. Ecco alcune buone pratiche da ricordare:
  • Usa un mix di maiuscole e minuscole alfabeti, numeri e simboli speciali nella tua password.
  • Non includere il nome personale, del marchio o dell'attività all'interno della password.
  • Non includere stringhe sequenziali, come 1234 e qwerty nella tua password.
Oltre a questi, puoi utilizzare la configurazione di sicurezza dell'amministratore in Magento per gestire le impostazioni della password. Ad esempio, puoi migliorare la sicurezza del tuo negozio contro i tentativi di effrazione di forza bruta limitando il numero di tentativi di accesso consentiti in una sessione, dopodiché l'account viene bloccato. Puoi anche impostare la pagina di accesso dell'amministratore per richiedere la compilazione di un CAPTCHA.

Integra password complesse con l'autenticazione a 2 fattori

05_2-fattore_autenticazione Aggiungendo un altro livello di sicurezza al tuo negozio Magento, puoi mitigare le possibilità che qualcuno si introduca. L'autenticazione a 2 fattori è un metodo semplice e affidabile per farlo. Tutto ciò di cui hai bisogno è un'estensione Magento affidabile per configurare l'autenticazione a 2 fattori. Ciò significa che un utente richiederà una password, nonché una password monouso (OTP) generata dinamicamente. Questa OTP viene inviata al telefono cellulare dell'utente tramite un SMS (o e-mail). In sostanza, questo significa che devi conoscere qualcosa (le tue credenziali di accesso) e possedere qualcosa (il tuo dispositivo) per poter accedere alla console di amministrazione di Magento. Potresti provare Rublon, un'estensione di sicurezza Magento che ti consente di aggiungere dispositivi affidabili per accedere al back-end Magento utilizzando un'app. Magento Hackathon è un'altra buona opzione, che consente di impostare complesse regole di autenticazione a più fattori, inclusa l'opzione di inviare un codice monouso al dispositivo registrato dell'utente.

Effettua regolarmente il backup del tuo negozio web Magento

06_regolarmente_backup_tuo_magento Meglio essere preparati che dispiaciuti; crea regolarmente backup dei tuoi dati Magento 2. Ciò garantisce che nello sfortunato caso di furto di dati, hai la possibilità di riportare indietro l'orologio e ripristinare il tuo negozio web a uno stato stabile recente. I backup automatici sono una delle funzionalità di sicurezza di Magento disponibili per i proprietari dei negozi. Fallo dal pannello di amministrazione in Magento 2. Vai su Strumenti e seleziona Backup. La parte migliore: puoi automatizzare e pianificare l'attività di backup in modo che avvenga quotidianamente, settimanalmente, mensilmente o solo una volta. Inoltre, puoi creare un backup utilizzando qualsiasi estensione Magento 2 affidabile per creare un backup.

Utilizzare un firewall per impedire l'iniezione di SQL

Gli hacker possono eseguire comandi codificati che possono alterare il backend del tuo negozio Magento, compromettendone così la sicurezza. Il backend Magento è intrinsecamente sicuro contro gli attacchi di SQL injection, ma ciò non significa che non puoi renderlo più forte. Utilizza un firewall per assicurarti che anche ogni attacco avanzato di SQL injection venga annullato. Un firewall può rilevare e segnalare istruzioni SQL non approvate, bloccare le iniezioni SQL, registrare tutte le attività SQL e consente di creare una whitelist di istruzioni SQL per evitare falsi negativi.

Sii molto esigente con le estensioni Magento

Le estensioni di terze parti per Magento sono un USP chiave della piattaforma di e-commerce open source. Tuttavia, è necessario prestare attenzione durante la scelta di un'estensione. Prima che te ne rendi conto, un'estensione falsa di Magento potrebbe diventare un gateway per un criminale informatico per accedere a informazioni protette dal tuo e-store. Ogni volta che desideri utilizzare un'estensione, controlla il background dello sviluppatore. Inoltre, cerca le estensioni che sono state riviste da revisori dei componenti aggiuntivi Magento indipendenti. Anche le valutazioni e le recensioni sull'uso sono un buon indicatore dell'affidabilità dell'estensione.

Usa le opzioni di sicurezza avanzate per rendere Magento più sicuro

Magento ti offre diverse impostazioni di sicurezza avanzate che possono rendere il negozio più sicuro che mai. Ecco alcune di queste impostazioni e altre best practice di sicurezza che vale la pena considerare:
  • Limita l'accesso al pannello di amministrazione per indirizzo IP, in modo che sia accessibile solo da un numero limitato e noto di reti
  • Utilizza un FTP sicuro (chiamato anche SFTP) che utilizza un file di chiave crittografato per autenticare un utente
  • Blocca la tua directory '/downloader/' per prevenire attacchi di forza bruta
  • Scansiona regolarmente il sito Web alla ricerca di codici dannosi
  • Disabilita il vecchio protocollo TLS1.0 per rendere il tuo negozio conforme allo standard PCI.

Fai un test di sicurezza imparziale

Dopo aver adottato tutte queste misure, i proprietari dei negozi vorranno credere che i loro negozi Magento siano completamente sicuri. Questo potrebbe non essere il caso. Per rivelare le vulnerabilità, assumi un esperto di sicurezza Magento di terze parti per testare il tuo negozio. Poiché questi fornitori di servizi di sicurezza hanno interessi commerciali acquisiti nell'evidenziare le vulnerabilità del tuo negozio (e quindi offrirti una consulenza a pagamento per ripararle), sei sicuro che otterrai i migliori controlli di qualità. Eventuali difetti di sicurezza vitali che trovi nella configurazione del tuo negozio Magento possono quindi essere corretti, evitando potenzialmente un disastro per la sicurezza dei dati in futuro.

Osservazioni conclusive

Sebbene sia troppo difficile affermare che qualsiasi sito di e-commerce sia sicuro al 100%, i proprietari di negozi Magento possono migliorare le cose per se stessi e per i loro clienti adottando le migliori pratiche per rendere più sicuri i loro negozi online. Inizia con questi 10 suggerimenti; questi assicureranno che i dati dei tuoi clienti rimangano al sicuro e che gli hacker non siano in grado di entrare nel tuo e-store.