10 dicas essenciais de segurança Magento para proteger seu site de comércio eletrônico

Publicados: 2018-09-27
E-LOJA (1) Sabemos que a maioria de nossos leitores se preocupa com a segurança de seus negócios. Não é nenhum segredo que o tipo de negócio mais popular é uma loja online. Por isso, queremos compartilhar com você algumas dicas sobre a segurança da loja virtual Magento. Nosso convidado - Alex Letitov lhe dirá como prevenir sua empresa de criminosos cibernéticos.
Milhares de empresas de comércio eletrônico usam a plataforma Magento para suas lojas virtuais. Transações no valor de milhões são executadas nessas lojas todos os dias. Se houver dinheiro, haverá riscos. O cibercrime pode estragar a festa de sucesso do seu negócio a qualquer momento. Mesmo que todas as plataformas de comércio eletrônico, incluindo Magento, ofereçam recursos de segurança robustos e continuem atualizando-os com frequência, você não pode realmente esperar viver com isso. Um ataque cibernético básico em sua loja Magento pode interromper as operações comerciais, levar ao roubo de dados do cliente e penalidades legais subsequentes, além do roubo de dinheiro das carteiras online dos clientes. Além disso, se sua loja for notícia por ser vítima de ataques cibernéticos, sua reputação sofrerá um grande impacto. Felizmente, há muito que você pode fazer para reforçar a segurança da sua loja Magento. Abordarei as 10 dicas de segurança mais importantes do Magento que manterão sua loja segura.

Continue corrigindo sua instalação do Magento para a versão mais recente

A Magento deve sua reputação como um excelente construtor de sites de comércio eletrônico à sua capacidade de continuar atualizando a segurança do sistema por meio de atualizações de segurança, atualizações de versão e patches. A ação mais importante que você pode tomar para manter a segurança da sua loja Magento em sua melhor saúde é atualizá-la para a versão mais recente, hoje. As atualizações do Magento consistem em:
  • Correções relacionadas à manutenção
  • Correções de bugs
  • Correções de segurança que cuidam das vulnerabilidades mais recentes exploradas por cibercriminosos
Naturalmente, os donos de lojas de comércio eletrônico não querem aprender uma nova interface quando estão confortáveis ​​com o que têm no momento. O Magento se destaca aqui porque suas atualizações são acompanhadas de notas de patch abrangentes. Essas notas ajudam você a entender claramente o que mudou no sistema para que você possa decidir se está confortável com a atualização. Eventualmente, qualquer gerente de loja virtual concordará que manter a segurança é muito mais importante do que se ajustar às pequenas alterações de interface (se houver) resultantes das atualizações de versão. A página de recursos técnicos do Magento é um bom link para marcar para que você possa verificar facilmente as informações de versão mais recentes.

Alterar o caminho de login do administrador padrão

02_admin_login_path Você pode dificultar muito a invasão de hackers em sua loja alterando a página de login padrão. O link da página de login do administrador padrão da sua loja Magento será algo como www.storename.com/index.php/admin/. Em vez disso, use um URL personalizado para que um hacker não possa simplesmente acessar esta página e lançar um ataque de força bruta para invadir o back-end. Você pode fazer isso nas configurações do sistema; vá para Config, escolha Admin, depois Admin Base URL e escolha 'Use Custom Admin Path'. Outra maneira de fazer isso é acessar o arquivo de configuração local.xml e procurar o seguinte bloco de código. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Aqui, substitua [admin] pelo novo caminho admin . Salve o arquivo de configuração editado e atualize o cache; Você Terminou.

Adicionar Secure Socket Layer (SSL)

Como proprietário de uma loja Magento, é sua responsabilidade garantir que os dados de seus compradores sejam transmitidos com segurança da loja para seus outros sistemas de TI. Para fazer isso, você precisa adicionar SSL à sua loja Magento. Ao usar a criptografia SSL, você garante que, mesmo que um terceiro seja capaz de interceptar e acessar os dados, ele não conseguirá entender as sequências de dados distorcidas. Para ativar o SSL, vá para Sistemas > Configuração > Web > Seguro. Aqui, marque 'sim' para Usar URLs Seguros no Frontend/Usar URLs Seguros no Admin. Depois de ativar o SSL, o URL da sua loja Magento será acompanhado pelo ícone de cadeado verde muito procurado à direita na barra de endereços dos navegadores da web. Isso ajuda a criar confiança para sua loja virtual.

Use senhas super fortes

04_use_super_strong_passwords Isso parece uma dica um pouco óbvia. No entanto, é surpreendente como vários donos de lojas Magento continuam cometendo erros de senha, o que compromete a segurança de suas lojas. Embora o Magento exija uma senha de no mínimo 7 caracteres, recomendamos fortemente que você opte por uma senha mais longa. Aqui estão algumas práticas recomendadas a serem lembradas:
  • Use uma mistura de letras maiúsculas e minúsculas, números e símbolos especiais em sua senha.
  • Não inclua seu nome pessoal, de marca ou comercial na senha.
  • Não inclua strings sequenciais, como 1234 e qwerty em sua senha.
Além disso, você pode usar a configuração de segurança Admin no Magento para gerenciar suas configurações de senha. Por exemplo, você pode aumentar a segurança de sua loja contra tentativas de invasão de força bruta limitando o número de tentativas de login permitidas em uma sessão, após o que a conta é bloqueada. Você também pode configurar sua página de login de administrador para exigir que um CAPTCHA seja preenchido.

Complemente senhas fortes com autenticação de 2 fatores

05_2-factor_authentication Ao adicionar outra camada de segurança à sua loja Magento, você pode mitigar as chances de alguém invadir. A autenticação de dois fatores é um método fácil e confiável de fazer isso. Tudo o que você precisa é de uma extensão Magento confiável para configurar a autenticação de 2 fatores. Isso significa que um usuário exigirá uma senha, bem como uma senha de uso único (OTP) gerada dinamicamente. Este OTP é enviado para o celular do usuário via SMS (ou e-mail). Essencialmente, isso significa que você precisa saber algo (suas credenciais de login) e possuir algo (seu dispositivo) para poder acessar o console de administração do Magento. Você pode experimentar o Rublon, uma extensão de segurança do Magento que permite adicionar dispositivos confiáveis ​​para fazer login no back-end do Magento usando um aplicativo. O Magento Hackathon é outra boa opção, que permite configurar regras complexas de autenticação multifator, incluindo a opção de enviar um código único para o dispositivo registrado do usuário.

Faça backup regularmente de sua loja virtual Magento

06_regularly_backup_your_magento Melhor estar preparado do que remediar; crie backups de seus dados do Magento 2 regularmente. Isso garante que, no infeliz caso de roubo de dados, você tenha a opção de voltar no tempo e restaurar sua loja virtual para um estado estável recente. Os backups automáticos são um dos recursos de segurança do Magento disponíveis para os proprietários de lojas. Faça isso no painel Admin no Magento 2. Vá para Ferramentas e selecione Backups. A melhor parte – você pode automatizar e agendar a atividade de backup para ocorrer diariamente, semanalmente, mensalmente ou apenas uma vez. Além disso, você pode criar um backup usando qualquer extensão confiável do Magento 2 para criar um backup.

Use um firewall para evitar injeção de SQL

Os hackers podem executar comandos codificados que podem alterar o back-end da sua loja Magento, comprometendo assim sua segurança. O back-end do Magento é inerentemente seguro contra ataques de injeção de SQL, mas isso não significa que você não possa torná-lo mais forte. Use um firewall para garantir que todos os ataques avançados de injeção de SQL também sejam anulados. Um firewall pode detectar e relatar instruções SQL não aprovadas, bloquear injeções de SQL, registrar todas as atividades SQL e permitir que você crie uma lista branca de instruções SQL para evitar falsos negativos.

Seja muito exigente com extensões Magento

Extensões de terceiros para Magento são uma chave USP da plataforma de comércio eletrônico de código aberto. No entanto, você precisa ter cuidado ao escolher uma extensão. Antes que você perceba, uma extensão espúria do Magento pode se tornar um gateway para um cibercriminoso acessar informações protegidas de sua loja virtual. Sempre que você quiser usar uma extensão, verifique o histórico do desenvolvedor. Além disso, procure extensões que foram revisadas por revisores independentes de complementos do Magento. As classificações e avaliações de uso também são um bom indicador da confiabilidade da extensão.

Use opções avançadas de segurança para tornar o Magento mais seguro

Magento oferece várias configurações de segurança avançadas que podem tornar a loja mais segura do que nunca. Aqui estão algumas dessas configurações e outras práticas recomendadas de segurança que valem a pena considerar:
  • Restrinja o acesso ao painel de administração por endereço IP, para que seja acessível apenas a partir de um número limitado e conhecido de redes
  • Use FTP seguro (também chamado de SFTP) que usa um arquivo de chave criptografado para autenticar um usuário
  • Bloqueie seu diretório '/ downloader/' para evitar ataques de força bruta
  • Examine o site regularmente em busca de códigos maliciosos
  • Desative o protocolo TLS1.0 antigo para tornar sua loja compatível com PCI.

Faça um teste de segurança imparcial

Depois de tomar todas essas medidas, os lojistas gostariam de acreditar que suas lojas Magento são totalmente seguras. Este pode não ser o caso. Para revelar vulnerabilidades, contrate um especialista em segurança Magento terceirizado para testar sua loja. Como esses provedores de serviços de segurança têm interesses comerciais em destacar as vulnerabilidades de sua loja (e depois oferecer consultoria paga para repará-las), você tem certeza de que obterá as melhores verificações de qualidade. Quaisquer falhas de segurança vitais que você encontrar na configuração da sua loja Magento podem ser corrigidas, evitando potencialmente um desastre de segurança de dados no futuro.

Observações Finais

Embora seja muito difícil afirmar que qualquer site de comércio eletrônico é 100% seguro, os proprietários de lojas Magento podem melhorar as coisas para si e para seus clientes adotando as melhores práticas de tornar suas lojas eletrônicas mais seguras. Comece com estas 10 dicas; isso garantirá que os dados de seus clientes permaneçam seguros e que os hackers não consigam invadir sua loja virtual.