10 najważniejszych wskazówek dotyczących bezpieczeństwa Magento, aby zabezpieczyć swoją witrynę e-commerce

Opublikowany: 2018-09-27
SKLEP (1) Wiemy, że większość naszych Czytelników dba o bezpieczeństwo swojego biznesu. Nie jest tajemnicą, że najpopularniejszym rodzajem biznesu jest sklep internetowy. Dlatego chcemy podzielić się z Wami kilkoma wskazówkami dotyczącymi bezpieczeństwa e-sklepu Magento. Nasz gość - Alex Letitov opowie Ci, jak uchronić Twój biznes przed cyberprzestępcami.
Tysiące firm e-commerce używa platformy Magento do swoich e-sklepów. W tych sklepach codziennie realizowane są wielomilionowe transakcje. Jeśli są pieniądze, będzie ryzyko. Cyberprzestępczość może zepsuć imprezę sukcesu Twojej firmy każdego dnia. Mimo że wszystkie platformy e-commerce, w tym Magento, oferują solidne funkcje bezpieczeństwa i często je aktualizują, nie można z tym żyć. Podstawowy cyberatak na Twój sklep Magento może spowodować zatrzymanie działalności biznesowej, doprowadzić do kradzieży danych klientów i kolejnych kar prawnych, z wyjątkiem kradzieży pieniędzy z portfeli internetowych klientów. Co więcej, jeśli Twój sklep poinformuje Cię o byciu ofiarą cyberataków, jego reputacja mocno ucierpi. Na szczęście możesz zrobić wiele, aby zwiększyć bezpieczeństwo swojego sklepu Magento. Omówię 10 najważniejszych wskazówek bezpieczeństwa Magento, które zapewnią bezpieczeństwo Twojego sklepu.

Kontynuuj łatanie instalacji Magento do najnowszej wersji

Magento zawdzięcza swoją reputację znakomitego twórcy witryn e-commerce zdolności do ciągłego ulepszania bezpieczeństwa systemu poprzez aktualizacje zabezpieczeń, aktualizacje wersji i łatki. Najważniejszą czynnością, jaką możesz podjąć, aby utrzymać bezpieczeństwo swojego sklepu Magento w najlepszym stanie, jest uaktualnienie go do najnowszej wersji już dziś. Aktualizacje Magento składają się z:
  • Poprawki związane z konserwacją
  • Poprawki błędów
  • Poprawki bezpieczeństwa, które eliminują najnowsze luki wykorzystywane przez cyberprzestępców
Oczywiście właściciele sklepów e-commerce nie chcą uczyć się nowego interfejsu, gdy czują się komfortowo z tym, co mają w tej chwili. Magento przoduje tutaj, ponieważ jego ulepszeniom towarzyszą obszerne informacje o łatkach. Te uwagi pomagają jasno zrozumieć, co się zmieniło w systemie, dzięki czemu możesz zdecydować, czy czujesz się komfortowo z aktualizacją. W końcu każdy kierownik e-sklepu zgodzi się, że zachowanie bezpieczeństwa jest o wiele ważniejsze niż dostosowywanie się do drobnych zmian interfejsu (jeśli w ogóle) wynikających z aktualizacji wersji. Strona Tech Resources Magento to dobry link do zakładki, dzięki któremu możesz łatwo sprawdzić najnowsze informacje o wydaniu.

Zmień domyślną ścieżkę logowania administratora

02_admin_login_path Możesz bardzo utrudnić hakerom włamanie się do Twojego sklepu, zmieniając domyślną stronę logowania. Link do domyślnej strony logowania administratora Twojego sklepu Magento będzie wyglądał mniej więcej tak: www.storename.com/index.php/admin/. Zamiast tego użyj niestandardowego adresu URL, aby haker nie mógł po prostu uzyskać dostępu do tej strony i przeprowadzić ataku brute force, aby włamać się do backendu. Możesz to zrobić w ustawieniach systemu; przejdź do Config, wybierz Admin, następnie Admin Base URL i wybierz „Use Custom Admin Path”. Innym sposobem na to jest przejście do pliku konfiguracyjnego local.xml i wyszukanie następującego bloku kodu. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Tutaj zastąp[admin] nową ścieżką administratora . Zapisz edytowany plik konfiguracyjny i odśwież pamięć podręczną; Jesteś skończony.

Dodaj protokół Secure Socket Layer (SSL)

Jako właściciel sklepu Magento Twoim obowiązkiem jest upewnienie się, że dane Twoich kupujących są bezpiecznie przesyłane ze sklepu do innych Twoich systemów informatycznych. Aby to zrobić, musisz dodać SSL do swojego sklepu Magento. Korzystając z szyfrowania SSL, masz pewność, że nawet jeśli osoba trzecia jest w stanie przechwycić i uzyskać dostęp do danych, nie będzie w stanie zrozumieć zniekształconych ciągów danych. Aby aktywować SSL, przejdź do opcji Systemy > Konfiguracja > Internet > Bezpieczne. Tutaj zaznacz „tak”, aby użyć bezpiecznych adresów URL w interfejsie / użyj bezpiecznych adresów URL w panelu administracyjnym. Po aktywacji SSL adresowi URL Twojego sklepu Magento będzie towarzyszyć bardzo poszukiwana zielona ikona kłódki po prawej stronie paska adresu przeglądarek internetowych. Pomaga to budować zaufanie do Twojego e-sklepu.

Używaj super silnych haseł

04_use_super_strong_passwords Wydaje się to nieco oczywistą wskazówką. Zaskakujące jest jednak to, jak wielu właścicieli sklepów Magento nadal popełnia błędy związane z hasłami, co zagraża bezpieczeństwu ich sklepów. Chociaż Magento wymaga hasła składającego się z co najmniej 7 znaków, zdecydowanie zalecamy wybór dłuższego hasła. Oto kilka sprawdzonych metod, o których należy pamiętać:
  • Użyj w swoim haśle kombinacji wielkich liter i małych liter, cyfr i symboli specjalnych.
  • Nie umieszczaj w haśle swojej nazwy osobistej, marki ani nazwy firmy.
  • Nie umieszczaj w haśle ciągów sekwencyjnych, takich jak 1234 i qwerty.
Oprócz tego możesz użyć konfiguracji bezpieczeństwa administratora w Magento, aby zarządzać ustawieniami haseł. Możesz na przykład zwiększyć bezpieczeństwo swojego sklepu przed próbami włamań typu brute force, ograniczając liczbę dozwolonych prób logowania w sesji, po której konto jest blokowane. Możesz również skonfigurować swoją stronę logowania administratora, aby wymagać wypełnienia CAPTCHA.

Uzupełnij silne hasła o uwierzytelnianie dwuskładnikowe

05_2-factor_authentication Dodając kolejną warstwę bezpieczeństwa do swojego sklepu Magento, możesz zmniejszyć ryzyko włamania. Uwierzytelnianie dwuskładnikowe to łatwa i niezawodna metoda. Wszystko, czego potrzebujesz, to niezawodne rozszerzenie Magento, aby skonfigurować uwierzytelnianie dwuskładnikowe. Oznacza to, że użytkownik będzie wymagał hasła, a także dynamicznie generowanego hasła jednorazowego (OTP). To hasło jednorazowe jest wysyłane na telefon komórkowy użytkownika za pośrednictwem wiadomości SMS (lub e-mail). Zasadniczo oznacza to, że musisz coś wiedzieć (swoje dane logowania) i coś posiadać (swoje urządzenie), aby móc uzyskać dostęp do konsoli administratora Magento. Możesz wypróbować Rublon, rozszerzenie bezpieczeństwa Magento, które pozwala dodawać zaufane urządzenia do logowania się do zaplecza Magento za pomocą aplikacji. Magento Hackathon to kolejna dobra opcja, która pozwala skonfigurować złożone reguły uwierzytelniania wieloskładnikowego, w tym opcję wysłania jednorazowego kodu na zarejestrowane urządzenie użytkownika.

Regularnie twórz kopie zapasowe swojego sklepu internetowego Magento

06_regularly_backup_your_magento Lepiej być przygotowanym niż żałować; regularnie twórz kopie zapasowe swoich danych Magento 2. Gwarantuje to, że w niefortunnym przypadku kradzieży danych masz możliwość cofnięcia zegara i przywrócenia sklepu internetowego do ostatniego stabilnego stanu. Automatyczne kopie zapasowe to jedna z funkcji bezpieczeństwa Magento dostępnych dla właścicieli sklepów. Zrób to z panelu administracyjnego w Magento 2. Przejdź do Narzędzia i wybierz Kopie zapasowe. Najlepsza część — możesz zautomatyzować i zaplanować tworzenie kopii zapasowych tak, aby odbywało się codziennie, co tydzień, co miesiąc lub tylko raz. Możesz także utworzyć kopię zapasową za pomocą dowolnego niezawodnego rozszerzenia Magento 2, aby utworzyć kopię zapasową.

Użyj zapory, aby zapobiec wstrzykiwaniu SQL

Hakerzy mogą wykonywać zakodowane polecenia, które mogą zmienić zaplecze Twojego sklepu Magento, zagrażając w ten sposób jego bezpieczeństwu. Backend Magento jest z natury zabezpieczony przed atakami typu SQL injection, ale to nie znaczy, że nie można go wzmocnić. Użyj zapory, aby upewnić się, że każdy zaawansowany atak wstrzykiwania SQL zostanie anulowany. Zapora może wykrywać i zgłaszać niezatwierdzone instrukcje SQL, blokować iniekcje SQL, rejestrować całą aktywność SQL i umożliwia tworzenie białej listy instrukcji SQL w celu uniknięcia fałszywych wyników negatywnych.

Bądź bardzo wybredny dzięki rozszerzeniom Magento

Rozszerzenia stron trzecich dla Magento są kluczowym USP platformy handlu elektronicznego typu open source. Należy jednak zachować ostrożność przy wyborze rozszerzenia. Zanim się zorientujesz, fałszywe rozszerzenie Magento może stać się bramą dla cyberprzestępcy, aby uzyskać dostęp do chronionych informacji z Twojego e-sklepu. Za każdym razem, gdy chcesz użyć rozszerzenia, sprawdź tło programisty. Poszukaj również rozszerzeń, które zostały sprawdzone przez niezależnych recenzentów dodatków Magento. Oceny użytkowania i recenzje są również dobrym wskaźnikiem niezawodności rozszerzenia.

Użyj zaawansowanych opcji bezpieczeństwa, aby zwiększyć bezpieczeństwo Magento

Magento oferuje kilka zaawansowanych ustawień bezpieczeństwa, które mogą sprawić, że sklep będzie bezpieczniejszy niż kiedykolwiek. Oto niektóre z tych ustawień i inne sprawdzone metody bezpieczeństwa, które warto wziąć pod uwagę:
  • Ogranicz dostęp do panelu administracyjnego według adresu IP, aby był dostępny tylko z ograniczonej i znanej liczby sieci
  • Użyj bezpiecznego FTP (nazywanego również SFTP), który używa zaszyfrowanego pliku klucza do uwierzytelnienia użytkownika
  • Zablokuj katalog „/downloader/”, aby zapobiec atakom typu brute force
  • Regularnie skanuj witrynę w poszukiwaniu złośliwych kodów
  • Wyłącz stary protokół TLS1.0, aby Twój sklep był zgodny z PCI.

Zrób bezstronny test bezpieczeństwa

Po podjęciu wszystkich tych środków właściciele sklepów chcieliby wierzyć, że ich sklepy Magento są w pełni bezpieczne. Może tak nie być. Aby ujawnić luki w zabezpieczeniach, zatrudnij zewnętrznego eksperta ds. bezpieczeństwa Magento, aby przetestował Twój sklep. Ponieważ ci dostawcy usług bezpieczeństwa mają żywotny interes biznesowy w podkreślaniu słabych punktów Twojego sklepu (a następnie oferowaniu płatnego doradztwa w celu ich naprawy), masz pewność, że otrzymasz kontrole najwyższej jakości. Wszelkie istotne luki w zabezpieczeniach, które znajdziesz w konfiguracji sklepu Magento, można następnie naprawić, potencjalnie zapobiegając katastrofie bezpieczeństwa danych w przyszłości.

Uwagi końcowe

Choć zbyt trudno jest stwierdzić, że jakakolwiek witryna e-commerce jest w 100% bezpieczna, właściciele sklepów Magento mogą poprawić sytuację dla siebie i swoich klientów, stosując najlepsze praktyki zwiększania bezpieczeństwa swoich e-sklepów. Zacznij od tych 10 wskazówek; dzięki temu dane Twoich klientów pozostaną bezpieczne, a hakerzy nie będą mogli włamać się do Twojego e-sklepu.