Top 10 sfaturi esențiale de securitate Magento pentru a vă asigura site-ul de comerț electronic

Publicat: 2018-09-27
MAGAZIN electronic (1) Știm că majorității cititorilor noștri le pasă de securitatea afacerii sale. Nu este un secret pentru nimeni că cel mai popular tip de afacere este un magazin online. Așa că vrem să împărtășim cu voi câteva sfaturi despre securitatea magazinului electronic Magento. Invitatul nostru - Alex Letitov vă va spune cum să vă preveniți afacerea de infractorii cibernetici.
Mii de companii de comerț electronic folosesc platforma Magento pentru magazinele lor electronice. Tranzacții în valoare de milioane sunt executate în aceste magazine în fiecare zi. Dacă există bani, vor exista riscuri. Crima cibernetică ar putea strica petrecerea de succes a afacerii dvs. în orice zi. Chiar dacă toate platformele de comerț electronic, inclusiv Magento, vă oferă funcții de securitate robuste și continuați să le actualizați frecvent, nu puteți spera cu adevărat să trăiți cu asta. Un atac cibernetic de bază asupra magazinului dvs. Magento ar putea opri operațiunile de afaceri, poate duce la furtul datelor clienților și la sancțiuni legale ulterioare, în afară de furtul de bani din portofelele online ale clienților. Mai mult decât atât, dacă magazinul tău face știri pentru că a fost victimă a atacurilor cibernetice, reputația sa va fi lovită masiv. Din fericire, puteți face multe pentru a consolida securitatea magazinului dvs. Magento. Voi acoperi cele mai importante 10 sfaturi de securitate Magento care vă vor menține magazinul în siguranță.

Continuați să corectați instalarea Magento la cea mai recentă versiune

Magento își datorează reputația de constructor de site-uri web de comerț electronic stelară capacității sale de a continua actualizarea securității sistemului prin actualizări de securitate, actualizări de versiuni și corecții. Cea mai importantă acțiune pe care o puteți face pentru a menține securitatea magazinului dvs. Magento în cea mai bună stare de sănătate este să îl actualizați la cea mai recentă versiune, astăzi. Upgrade-urile Magento constau în:
  • Remedieri legate de întreținere
  • Corectarea erorilor
  • Remedieri de securitate care au grijă de cele mai recente vulnerabilități exploatate de infractorii cibernetici
Desigur, proprietarii de magazine de comerț electronic nu doresc să învețe o nouă interfață atunci când se simt confortabil cu ceea ce au acum. Magento excelează aici, deoarece upgrade-urile sale sunt însoțite de note cuprinzătoare ale patch-urilor. Aceste note vă ajută să înțelegeți clar ce s-a schimbat în sistem, astfel încât să puteți decide dacă sunteți confortabil cu upgrade-ul. În cele din urmă, orice manager de magazin electronic va fi de acord că păstrarea în siguranță este mult mai importantă decât adaptarea la modificările minore ale interfeței (dacă există) rezultate din upgrade-urile versiunii. Pagina Resurse tehnice Magento este un link bun către marcaj, astfel încât să puteți verifica cu ușurință cele mai recente informații despre lansare.

Schimbați calea implicită de conectare a administratorului

02_admin_login_path Puteți face foarte dificil pentru hackeri să pătrundă în magazinul dvs. schimbând pagina de conectare implicită. Link-ul implicit al paginii de conectare a administratorului magazinului dvs. Magento va arăta ceva de genul www.storename.com/index.php/admin/. În schimb, utilizați o adresă URL personalizată, astfel încât un hacker să nu poată pur și simplu să acceseze această pagină și să nu poată lansa un atac de forță brută pentru a pătrunde în backend. Puteți face acest lucru din setările de sistem; accesați Config, alegeți Admin, apoi Admin Base URL și alegeți „Use Custom Admin Path”. O altă modalitate de a face acest lucru este să accesați fișierul de configurare local.xml și să căutați următorul bloc de cod. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Aici, înlocuiți[admin]cu noua cale de administrare . Salvați fișierul de configurare editat și reîmprospătați memoria cache; ai terminat.

Adăugați Secure Socket Layer (SSL)

În calitate de proprietar al unui magazin Magento, este responsabilitatea dumneavoastră să vă asigurați că datele cumpărătorilor dvs. sunt transmise în siguranță din magazin către celelalte sisteme informatice ale dumneavoastră. Pentru a face acest lucru, trebuie să adăugați SSL în magazinul dvs. Magento. Utilizând criptarea SSL, vă asigurați că, chiar dacă o terță parte este capabilă să intercepteze și să acceseze datele, nu va putea înțelege șirurile de date confuze. Pentru a activa SSL, accesați Sisteme > Configurare > Web > Securizat. Aici, bifați „da” pentru Utilizați adrese URL securizate în Frontend/Utilizați adrese URL securizate în Admin. Odată ce activați SSL, adresa URL a magazinului dvs. Magento va fi însoțită de pictograma de lacăt verde foarte căutată din dreapta în bara de adrese a browserelor web. Acest lucru ajută la construirea încrederii pentru magazinul dvs. electronic.

Utilizați parole super puternice

04_use_parole_super_strong Acest lucru pare a fi un sfat puțin evident. Cu toate acestea, este surprinzător cum mai mulți proprietari de magazine Magento continuă să comită greșeli de parole, ceea ce compromite securitatea magazinului lor. Deși Magento necesită o parolă de minim 7 caractere, vă sfătuim insistent să optați pentru o parolă mai lungă. Iată câteva dintre cele mai bune practici de reținut:
  • Utilizați o combinație de majuscule și alfabete mici, numere și simboluri speciale în parola dvs.
  • Nu includeți numele dvs. personal, al mărcii sau al companiei în cadrul parolei.
  • Nu includeți în parolă șiruri secvențiale, cum ar fi 1234 și qwerty.
În afară de acestea, puteți utiliza configurația de securitate admin din Magento pentru a vă gestiona setările parolei. De exemplu, puteți spori securitatea magazinului dvs. împotriva încercărilor de efracție cu forță brută limitând numărul de încercări de autentificare permise într-o sesiune, după care contul este blocat. De asemenea, puteți configura pagina de autentificare de administrator pentru a solicita completarea unui CAPTCHA.

Suplimentează parole puternice cu autentificare în doi factori

05_2-factor_authentication Adăugând un alt nivel de securitate magazinului dvs. Magento, puteți atenua șansele ca cineva să intre. Autentificarea cu doi factori este o metodă ușoară și fiabilă de a face acest lucru. Tot ce aveți nevoie este o extensie Magento de încredere pentru a configura autentificarea cu doi factori. Aceasta înseamnă că un utilizator va solicita o parolă, precum și o parolă unică generată dinamic (OTP). Acest OTP este trimis la telefonul mobil al utilizatorului printr-un SMS (sau e-mail). În esență, aceasta înseamnă că trebuie să știți ceva (acreditările dvs. de conectare) și să aveți ceva (dispozitivul dvs.) pentru a putea accesa consola de administrare a Magento. Puteți încerca Rublon, o extensie de securitate Magento care vă permite să adăugați dispozitive de încredere pentru a vă conecta la backend-ul Magento folosind o aplicație. Magento Hackathon este o altă opțiune bună, care vă permite să configurați reguli complexe de autentificare cu mai mulți factori, inclusiv opțiunea de a trimite un cod unic către dispozitivul înregistrat al utilizatorului.

Backup regulat pentru magazinul dvs. web Magento

06_regular_backup_your_magento Mai bine fii pregătit decât îmi pare rău; creați în mod regulat copii de siguranță ale datelor dvs. Magento 2. Acest lucru vă asigură că, în cazul nefericit al furtului de date, aveți opțiunea de a întoarce ceasul și de a vă restabili magazinul web la o stare recentă stabilă. Backup-urile automate sunt una dintre caracteristicile de securitate Magento disponibile proprietarilor de magazine. Faceți acest lucru din panoul de administrare din Magento 2. Accesați Instrumente și selectați Backups. Cea mai bună parte – puteți automatiza și programa activitatea de backup să aibă loc zilnic, săptămânal, lunar sau doar o dată. De asemenea, puteți crea o copie de rezervă folosind orice extensie Magento 2 de încredere pentru a crea o copie de rezervă.

Utilizați un firewall pentru a preveni injectarea SQL

Hackerii pot executa comenzi codificate care pot modifica backend-ul magazinului tău Magento, compromițând astfel securitatea acestuia. Backend-ul Magento este în mod inerent sigur împotriva atacurilor de injecție SQL, dar asta nu înseamnă că nu îl puteți face mai puternic. Utilizați un firewall pentru a vă asigura că fiecare atac avansat de injecție SQL este, de asemenea, anulat. Un firewall poate detecta și raporta instrucțiuni SQL neaprobate, bloca injecțiile SQL, înregistrează toată activitatea SQL și vă permite să construiți o listă albă de instrucțiuni SQL pentru a evita falsele negative.

Fii foarte pretențios cu extensiile Magento

Extensiile de la terți pentru Magento sunt un USP cheie al platformei de comerț electronic cu sursă deschisă. Cu toate acestea, trebuie să fiți precaut atunci când alegeți o extensie. Înainte să vă dați seama, o extensie Magento falsă ar putea deveni o poartă de acces pentru un criminal cibernetic pentru a accesa informații protejate din magazinul dvs. electronic. Ori de câte ori doriți să utilizați o extensie, verificați fundalul dezvoltatorului. De asemenea, căutați extensii care au fost revizuite de examinatori independenți de suplimente Magento. Evaluările și recenziile de utilizare sunt, de asemenea, un bun indicator al fiabilității extensiei.

Utilizați opțiuni avansate de securitate pentru a face Magento mai sigur

Magento vă oferă câteva setări avansate de securitate care pot face magazinul mai sigur ca niciodată. Iată câteva dintre aceste setări și alte bune practici de securitate care merită luate în considerare:
  • Restricționați accesul la panoul de administrare prin adresa IP, astfel încât acesta să fie accesibil doar dintr-un număr limitat și cunoscut de rețele
  • Utilizați FTP securizat (numit și SFTP) care utilizează un fișier cheie criptat pentru a autentifica un utilizator
  • Blocați-vă directorul „/downloader/” pentru a preveni atacurile cu forță brută
  • Scanați site-ul în mod regulat pentru coduri rău intenționate
  • Dezactivați vechiul protocol TLS1.0 pentru a face magazinul dvs. compatibil PCI.

Faceți un test de securitate imparțial

După ce au luat toate aceste măsuri, proprietarii de magazine ar dori să creadă că magazinele lor Magento sunt pe deplin sigure. S-ar putea să nu fie cazul. Pentru a dezvălui vulnerabilități, angajați un expert în securitate Magento terță parte pentru a vă testa magazinul. Deoarece acești furnizori de servicii de securitate au interese de afaceri în evidențierea vulnerabilităților magazinului dvs. (și apoi oferindu-vă consultanță plătită pentru a le repara), sunteți sigur că veți obține cele mai bune verificări de calitate. Orice defecțiuni vitale de securitate pe care le găsiți în configurarea magazinului dvs. Magento pot fi apoi remediate, evitând eventual un dezastru de securitate a datelor în viitor.

Concluzii finale

Deși este prea dificil să afirmi că orice site de comerț electronic este 100% sigur, proprietarii de magazine Magento pot îmbunătăți lucrurile pentru ei înșiși și pentru clienții lor adoptând cele mai bune practici de a face magazinele lor electronice mai sigure. Începeți cu aceste 10 sfaturi; acestea se vor asigura că datele clienților dvs. rămân în siguranță, iar hackerii nu pot pătrunde în magazinul dvs. electronic.