10 основных советов по безопасности Magento для защиты вашего сайта электронной коммерции

Опубликовано: 2018-09-27
Э-МАГАЗИН (1) Мы знаем, что большинство наших читателей заботится о безопасности своего бизнеса. Не секрет, что самым популярным видом бизнеса является интернет-магазин. Итак, мы хотим поделиться с вами некоторыми советами по безопасности интернет-магазина Magento. Наш гость - Алексей Летитов расскажет, как уберечь свой бизнес от киберпреступников.
Тысячи предприятий электронной коммерции используют платформу Magento для своих интернет-магазинов. Сделки на миллионы совершаются в этих магазинах каждый день. Если есть деньги, будут и риски. Киберпреступность может испортить вечеринку успеха вашего бизнеса в любой день. Несмотря на то, что все платформы электронной коммерции, включая Magento, предлагают вам надежные функции безопасности и продолжают их часто обновлять, вы не можете надеяться на то, чтобы жить с этим. Базовая кибератака на ваш магазин Magento может остановить бизнес-операции, привести к краже данных клиентов и последующим юридическим наказаниям, помимо кражи денег из онлайн-кошельков клиентов. Более того, если ваш магазин попадет в новости как жертва кибератак, его репутация сильно пострадает. К счастью, вы можете многое сделать, чтобы повысить безопасность вашего магазина Magento. Я расскажу о 10 самых важных советах по безопасности Magento, которые обеспечат безопасность вашего магазина.

Продолжайте исправлять вашу установку Magento до последней версии

Magento обязана своей репутацией звездного конструктора веб-сайтов электронной коммерции своей способности постоянно повышать безопасность системы с помощью обновлений безопасности, обновлений версий и исправлений. Единственное наиболее важное действие, которое вы можете предпринять, чтобы сохранить безопасность вашего магазина Magento в наилучшем состоянии, — это обновить его до последней версии сегодня. Обновления Magento состоят из:
  • Исправления, связанные с обслуживанием
  • Исправление ошибок
  • Исправления безопасности, которые позаботятся о последних уязвимостях, используемых киберпреступниками.
Естественно, владельцы интернет-магазинов не хотят осваивать новый интерфейс, когда им удобно пользоваться тем, что есть прямо сейчас. Magento выделяется здесь, потому что его обновления сопровождаются подробными примечаниями к исправлениям. Эти примечания помогут вам четко понять, что изменилось в системе, чтобы вы могли решить, устраивает ли вас обновление. В конце концов, любой менеджер интернет-магазина согласится с тем, что сохранение безопасности гораздо важнее, чем приспосабливание к незначительным изменениям интерфейса (если таковые имеются), возникающим в результате обновлений версии. Страница технических ресурсов Magento — это хорошая ссылка на закладку, чтобы вы могли легко проверить информацию о последнем выпуске.

Изменить путь входа администратора по умолчанию

02_admin_login_path Вы можете затруднить проникновение хакеров в ваш магазин, изменив страницу входа по умолчанию. Ссылка на страницу входа администратора вашего магазина Magento по умолчанию будет выглядеть примерно так: www.storename.com/index.php/admin/. Вместо этого используйте собственный URL-адрес, чтобы хакер не мог просто получить доступ к этой странице и запустить атаку грубой силы, чтобы взломать серверную часть. Вы можете сделать это в настройках системы; перейдите в раздел «Конфигурация», выберите «Администратор», затем «Основной URL-адрес администратора» и выберите «Использовать настраиваемый путь администратора». Другой способ сделать это — перейти к файлу конфигурации local.xml и найти следующий блок кода. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Здесь замените [admin] на новый путь администратора . Сохраните отредактированный файл конфигурации и обновите кэш; все готово.

Добавить безопасный уровень сокетов (SSL)

Как владелец магазина Magento, вы обязаны обеспечить безопасную передачу данных ваших покупателей из магазина в другие ваши ИТ-системы. Для этого вам нужно добавить SSL в ваш магазин Magento. Используя SSL-шифрование, вы гарантируете, что даже если третья сторона сможет перехватить и получить доступ к данным, она не сможет разобраться в искаженных строках данных. Чтобы активировать SSL, выберите Системы > Конфигурация > Интернет > Безопасный. Здесь отметьте «да» для «Использовать безопасные URL-адреса во внешнем интерфейсе/Использовать безопасные URL-адреса в администраторе». Как только вы активируете SSL, URL-адрес вашего магазина Magento будет сопровождаться очень популярным зеленым значком замка справа в адресной строке веб-браузеров. Это помогает укрепить доверие к вашему интернет-магазину.

Используйте сверхнадежные пароли

04_use_super_strong_passwords Это выглядит как очевидный совет. Тем не менее, удивительно, как несколько владельцев магазинов Magento продолжают совершать грубые ошибки с паролями, что ставит под угрозу безопасность их магазина. Хотя для Magento требуется пароль длиной не менее 7 символов, мы настоятельно рекомендуем вам выбрать более длинный пароль. Вот несколько рекомендаций, которые следует запомнить:
  • Используйте в пароле сочетание заглавных и строчных букв, цифр и специальных символов.
  • Не включайте в пароль свое личное имя, название бренда или название компании.
  • Не включайте в свой пароль последовательные строки, такие как 1234 и qwerty.
Помимо этого, вы можете использовать конфигурацию безопасности администратора в Magento для управления настройками пароля. Например, вы можете усилить защиту своего магазина от попыток взлома методом грубой силы, ограничив количество попыток входа в систему, разрешенных в сеансе, после чего учетная запись блокируется. Вы также можете настроить страницу входа администратора так, чтобы она требовала заполнения CAPTCHA.

Дополните надежные пароли двухфакторной аутентификацией

05_2-factor_authentication Добавив еще один уровень безопасности в свой магазин Magento, вы можете снизить вероятность взлома. Двухфакторная аутентификация — простой и надежный способ сделать это. Все, что вам нужно, это надежное расширение Magento для настройки двухфакторной аутентификации. Это означает, что пользователю потребуется пароль, а также динамически генерируемый одноразовый пароль (OTP). Этот OTP отправляется на мобильный телефон пользователя в виде SMS (или электронной почты). По сути, это означает, что вам нужно что-то знать (ваши учетные данные) и что-то иметь (ваше устройство), чтобы получить доступ к консоли администратора Magento. Вы можете попробовать Rublon, расширение безопасности Magento, которое позволяет добавлять доверенные устройства для входа в серверную часть Magento с помощью приложения. Magento Hackathon — еще один хороший вариант, который позволяет настроить сложные правила многофакторной аутентификации, включая возможность отправки одноразового кода на зарегистрированное устройство пользователя.

Регулярно делайте резервную копию вашего интернет-магазина Magento

06_regularly_backup_your_magento Лучше быть готовым, чем сожалеть; регулярно создавайте резервные копии ваших данных Magento 2. Это гарантирует, что в неудачном случае кражи данных у вас будет возможность повернуть время вспять и восстановить интернет-магазин до недавнего стабильного состояния. Автоматическое резервное копирование — одна из функций безопасности Magento, доступных владельцам магазинов. Сделайте это из панели администратора в Magento 2. Перейдите в Инструменты и выберите Резервные копии. Самое приятное то, что вы можете автоматизировать и запланировать резервное копирование, чтобы оно выполнялось ежедневно, еженедельно, ежемесячно или только один раз. Кроме того, вы можете создать резервную копию, используя любое надежное расширение Magento 2 для создания резервной копии.

Используйте брандмауэр для предотвращения SQL-инъекций

Хакеры могут выполнять закодированные команды, которые могут изменить серверную часть вашего магазина Magento, тем самым ставя под угрозу его безопасность. Серверная часть Magento изначально защищена от атак путем внедрения SQL-кода, но это не значит, что вы не можете сделать ее сильнее. Используйте брандмауэр, чтобы убедиться, что каждая продвинутая атака с внедрением SQL также аннулирована. Брандмауэр может обнаруживать и сообщать о неутвержденных операторах SQL, блокировать инъекции SQL, регистрировать все действия SQL и позволяет создавать белый список операторов SQL, чтобы избежать ложных срабатываний.

Будьте очень разборчивы с расширениями Magento

Сторонние расширения для Magento являются ключевым УТП платформы электронной коммерции с открытым исходным кодом. Тем не менее, вы должны проявлять осторожность при выборе расширения. Прежде чем вы поймете, поддельное расширение Magento может стать воротами для киберпреступника, чтобы получить доступ к защищенной информации из вашего интернет-магазина. Всякий раз, когда вы хотите использовать расширение, проверьте фон разработчика. Кроме того, ищите расширения, проверенные независимыми рецензентами надстроек Magento. Использование рейтингов и отзывов также является хорошим показателем надежности расширения.

Используйте дополнительные параметры безопасности, чтобы сделать Magento более безопасным

Magento предлагает вам несколько расширенных настроек безопасности, которые могут сделать магазин более безопасным, чем когда-либо. Вот некоторые из этих настроек и другие рекомендации по обеспечению безопасности, которые стоит рассмотреть:
  • Ограничьте доступ к панели администратора по IP-адресу, чтобы она была доступна только из ограниченного и известного количества сетей
  • Используйте безопасный FTP (также называемый SFTP), который использует зашифрованный файл ключа для аутентификации пользователя.
  • Заблокируйте каталог '/downloader/', чтобы предотвратить атаки грубой силы
  • Регулярно сканируйте веб-сайт на наличие вредоносных кодов.
  • Отключите старый протокол TLS1.0, чтобы сделать ваш магазин совместимым с PCI.

Пройдите беспристрастный тест безопасности

После принятия всех этих мер владельцы магазинов захотят верить, что их магазины Magento полностью безопасны. Это может быть не так. Чтобы выявить уязвимости, наймите стороннего эксперта по безопасности Magento для тестирования вашего магазина. Поскольку эти поставщики услуг безопасности заинтересованы в выявлении уязвимостей вашего магазина (а затем предлагают вам платные консультации по их устранению), вы уверены, что получите наилучшие проверки качества. Любые существенные недостатки безопасности, которые вы обнаружите в настройках вашего магазина Magento, могут быть исправлены, что потенциально позволит избежать катастрофы с безопасностью данных в будущем.

Заключительные замечания

Хотя слишком сложно утверждать, что любой веб-сайт электронной коммерции на 100% безопасен, владельцы магазинов Magento могут улучшить ситуацию для себя и своих клиентов, приняв лучшие методы повышения безопасности своих интернет-магазинов. Начните с этих 10 советов; это гарантирует, что данные ваших клиентов останутся в безопасности, и хакеры не смогут проникнуть в ваш интернет-магазин.