10 สุดยอดเคล็ดลับ Magento Security ที่จำเป็นในการรักษาความปลอดภัยให้กับเว็บไซต์อีคอมเมิร์ซของคุณ

เผยแพร่แล้ว: 2018-09-27
อี-สโตร์ (1) เรารู้ว่าผู้อ่านส่วนใหญ่ให้ความสำคัญกับความปลอดภัยของธุรกิจ ไม่ใช่เรื่องแปลกที่ธุรกิจที่ได้รับความนิยมมากที่สุดคือร้านค้าออนไลน์ เพื่อที่เราต้องการแบ่งปันเคล็ดลับบางประการเกี่ยวกับความปลอดภัยของ Magento e-store แขกของเรา - Alex Letitov จะบอกวิธีป้องกันธุรกิจของคุณจากอาชญากรไซเบอร์
ธุรกิจอีคอมเมิร์ซหลายพันรายใช้แพลตฟอร์มวีโอไอพีสำหรับร้านค้าอิเล็กทรอนิกส์ของตน การทำธุรกรรมมูลค่านับล้านจะดำเนินการในร้านค้าเหล่านี้ทุกวัน ถ้ามีเงินก็มีความเสี่ยง อาชญากรรมทางอินเทอร์เน็ตอาจทำให้ปาร์ตี้ที่ประสบความสำเร็จของธุรกิจของคุณต้องเสียทุกวัน แม้ว่าแพลตฟอร์มอีคอมเมิร์ซทั้งหมด แต่ Magento จะนำเสนอคุณสมบัติความปลอดภัยที่แข็งแกร่ง และทำการอัปเกรดอยู่เรื่อยๆ คุณไม่สามารถหวังที่จะอยู่กับมันได้จริงๆ การโจมตีทางไซเบอร์ขั้นพื้นฐานในร้านค้าวีโอไอพีของคุณอาจทำให้การดำเนินธุรกิจหยุดชะงัก นำไปสู่การขโมยข้อมูลลูกค้าและบทลงโทษทางกฎหมายที่ตามมา นอกเหนือจากการขโมยเงินจากกระเป๋าเงินออนไลน์ของลูกค้า ยิ่งไปกว่านั้น หากร้านค้าของคุณแจ้งข่าวว่าตกเป็นเหยื่อของการโจมตีทางไซเบอร์ ชื่อเสียงของร้านก็จะได้รับผลกระทบอย่างมาก โชคดีที่มีหลายสิ่งที่คุณทำได้เพื่อเพิ่มความปลอดภัยให้กับร้านค้าวีโอไอพีของคุณ ฉันจะครอบคลุม 10 เคล็ดลับความปลอดภัยวีโอไอพีที่สำคัญที่สุดที่จะทำให้ร้านค้าของคุณปลอดภัย

ทำการติดตั้งวีโอไอพีของคุณเป็นเวอร์ชันล่าสุดต่อไป

Magento มีชื่อเสียงในฐานะผู้สร้างเว็บไซต์อีคอมเมิร์ซที่โดดเด่นด้วยความสามารถในการอัปเกรดความปลอดภัยของระบบต่อไปผ่านการอัปเดตความปลอดภัย การอัปเดตเวอร์ชัน และแพตช์ การดำเนินการที่สำคัญที่สุดเพียงอย่างเดียวที่คุณทำได้เพื่อรักษาความปลอดภัยของร้านค้าวีโอไอพีของคุณให้อยู่ในสภาพดีที่สุดคือการอัปเกรดเป็นเวอร์ชันล่าสุดตั้งแต่วันนี้ การอัพเกรด Magento ประกอบด้วย:
  • การแก้ไขที่เกี่ยวข้องกับการบำรุงรักษา
  • แก้ไขข้อผิดพลาด
  • การแก้ไขความปลอดภัยที่ดูแลช่องโหว่ล่าสุดที่ถูกโจมตีโดยอาชญากรไซเบอร์
ตามปกติแล้ว เจ้าของร้านค้าอีคอมเมิร์ซไม่ต้องการเรียนรู้อินเทอร์เฟซใหม่เมื่อรู้สึกสบายใจกับสิ่งที่มีในตอนนี้ วีโอไอพีนั้นยอดเยี่ยมเพราะการอัปเกรดนั้นมาพร้อมกับแพตช์โน้ตที่ครอบคลุม บันทึกย่อเหล่านี้ช่วยให้คุณเข้าใจได้อย่างชัดเจนว่ามีอะไรเปลี่ยนแปลงในระบบ คุณจึงสามารถตัดสินใจได้ว่าคุณพอใจกับการอัปเกรดหรือไม่ ในที่สุด ผู้จัดการร้าน e-store จะยอมรับว่าการรักษาความปลอดภัยมีความสำคัญมากกว่าการปรับให้เข้ากับการเปลี่ยนแปลงอินเทอร์เฟซเล็กน้อย (ถ้ามี) อันเป็นผลมาจากการอัปเกรดเวอร์ชัน หน้า Tech Resources ของ Magento เป็นลิงค์ที่ดีสำหรับบุ๊กมาร์ก เพื่อให้คุณสามารถตรวจสอบข้อมูลรุ่นล่าสุดได้อย่างง่ายดาย

เปลี่ยนเส้นทางการเข้าสู่ระบบเริ่มต้นของผู้ดูแลระบบ

02_admin_login_path คุณสามารถทำให้แฮกเกอร์เจาะเข้าไปในร้านค้าของคุณได้ยากขึ้นโดยการเปลี่ยนหน้าเข้าสู่ระบบเริ่มต้น ลิงก์หน้าล็อกอินสำหรับผู้ดูแลระบบเริ่มต้นของร้านค้า Magento ของคุณจะมีลักษณะคล้ายกับ www.storename.com/index.php/admin/ ให้ใช้ URL ที่กำหนดเองแทน เพื่อให้แฮ็กเกอร์ไม่สามารถเข้าถึงหน้านี้และเปิดการโจมตีแบบเดรัจฉานเพื่อเจาะเข้าไปในแบ็กเอนด์ได้ คุณสามารถทำได้จากการตั้งค่าระบบ ไปที่ Config เลือก Admin จากนั้นเลือก Admin Base URL และเลือก 'Use Custom Admin Path' อีกวิธีในการดำเนินการดังกล่าวคือไปที่ไฟล์กำหนดค่า local.xml และค้นหาบล็อกโค้ดต่อไปนี้ <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> ที่นี่ แทนที่[admin]ด้วยเส้นทางผู้ดูแลระบบใหม่ . บันทึกไฟล์ปรับแต่งที่แก้ไขแล้วรีเฟรชแคช คุณทำเสร็จแล้ว

เพิ่ม Secure Socket Layer (SSL)

ในฐานะเจ้าของร้านค้า Magento เป็นความรับผิดชอบของคุณที่จะต้องตรวจสอบให้แน่ใจว่าข้อมูลผู้ซื้อของคุณถูกส่งอย่างปลอดภัยจากร้านค้าไปยังระบบไอทีอื่นๆ ของคุณ ในการดำเนินการดังกล่าว คุณต้องเพิ่ม SSL ลงในร้านค้าวีโอไอพีของคุณ ด้วยการใช้การเข้ารหัส SSL คุณแน่ใจได้ว่าแม้ว่าบุคคลที่สามจะสามารถสกัดกั้นและเข้าถึงข้อมูลได้ แต่ก็จะไม่สามารถเข้าใจสตริงของข้อมูลที่สับสนได้ หากต้องการเปิดใช้งาน SSL ให้ไปที่ ระบบ > การกำหนดค่า > เว็บ > ปลอดภัย ที่นี่ ทำเครื่องหมาย 'ใช่' เพื่อใช้ URL ที่ปลอดภัยในส่วนหน้า/ใช้ URL ที่ปลอดภัยในผู้ดูแลระบบ เมื่อคุณเปิดใช้งาน SSL แล้ว URL ของร้านค้าวีโอไอพีของคุณจะมาพร้อมกับไอคอนแม่กุญแจสีเขียวที่เป็นที่ต้องการอย่างมากทางด้านขวาในแถบที่อยู่ของเว็บเบราว์เซอร์ ซึ่งจะช่วยสร้างความไว้วางใจให้กับ e-store ของคุณ

ใช้รหัสผ่านที่รัดกุมมาก

04_use_super_strong_รหัสผ่าน นี่เป็นเคล็ดลับที่ชัดเจน อย่างไรก็ตาม น่าแปลกใจที่เจ้าของร้าน Magento หลายรายยังคงทำผิดรหัสผ่าน ซึ่งทำให้ความปลอดภัยของร้านค้าลดลง แม้ว่าวีโอไอพีต้องใช้รหัสผ่านอย่างน้อย 7 อักขระ แต่เราขอแนะนำให้คุณเลือกใช้รหัสผ่านที่ยาวกว่านี้ แนวทางปฏิบัติที่ดีที่สุดที่ควรจำมีดังนี้
  • ใช้ตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์พิเศษผสมกันในรหัสผ่านของคุณ
  • อย่าใส่ชื่อส่วนตัว แบรนด์ หรือชื่อธุรกิจของคุณในรหัสผ่าน
  • อย่าใส่สตริงที่เรียงตามลำดับ เช่น 1234 และ qwerty ในรหัสผ่านของคุณ
นอกเหนือจากนี้ คุณสามารถใช้การกำหนดค่าความปลอดภัยของผู้ดูแลระบบใน Magento เพื่อจัดการการตั้งค่ารหัสผ่านของคุณ ตัวอย่างเช่น คุณสามารถเพิ่มความปลอดภัยให้กับร้านค้าของคุณจากการพยายามบุกรุกโดยใช้กำลังเดรัจฉานโดยจำกัดจำนวนครั้งในการเข้าสู่ระบบที่อนุญาตในเซสชันหนึ่ง หลังจากนั้นบัญชีจะถูกล็อค คุณยังสามารถตั้งค่าหน้าเข้าสู่ระบบของผู้ดูแลระบบเพื่อกำหนดให้กรอก CAPTCHA

เสริมรหัสผ่านที่แข็งแกร่งด้วยการตรวจสอบสิทธิ์แบบ 2 ปัจจัย

05_2-factor_authentication ด้วยการเพิ่มระดับการรักษาความปลอดภัยอีกชั้นหนึ่งให้กับร้านค้า Magento ของคุณ คุณสามารถลดโอกาสที่ใครบางคนจะบุกรุกเข้ามา การตรวจสอบสิทธิ์แบบ 2 ปัจจัยเป็นวิธีที่ง่ายและเชื่อถือได้ในการทำเช่นนี้ สิ่งที่คุณต้องมีคือส่วนขยาย Magento ที่เชื่อถือได้ในการตั้งค่าการตรวจสอบสิทธิ์แบบ 2 ปัจจัย ซึ่งหมายความว่าผู้ใช้จะต้องใช้รหัสผ่าน เช่นเดียวกับรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่สร้างขึ้นแบบไดนามิก OTP นี้จะถูกส่งไปยังโทรศัพท์มือถือของผู้ใช้ผ่านทาง SMS (หรืออีเมล) โดยพื้นฐานแล้ว นี่หมายความว่าคุณจำเป็นต้องรู้บางสิ่ง (ข้อมูลรับรองการเข้าสู่ระบบของคุณ) และมีบางสิ่ง (อุปกรณ์ของคุณ) เพื่อให้สามารถเข้าถึงคอนโซลผู้ดูแลระบบของ Magento ได้ คุณสามารถลองใช้ Rublon ซึ่งเป็นส่วนขยายการรักษาความปลอดภัยวีโอไอพีที่ให้คุณเพิ่มอุปกรณ์ที่เชื่อถือได้เพื่อเข้าสู่ระบบแบ็กเอนด์ของวีโอไอพีโดยใช้แอป Magento Hackathon เป็นอีกหนึ่งตัวเลือกที่ดี ซึ่งช่วยให้คุณตั้งค่ากฎการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ซับซ้อน รวมถึงตัวเลือกในการส่งรหัสแบบใช้ครั้งเดียวไปยังอุปกรณ์ที่ลงทะเบียนของผู้ใช้

สำรองข้อมูลเว็บไซต์ Magento ของคุณเป็นประจำ

06_regularly_backup_your_magento เตรียมพร้อมดีกว่าเสียใจ สร้างการสำรองข้อมูล Magento 2 ของคุณเป็นประจำ เพื่อให้แน่ใจว่าในกรณีที่เกิดการโจรกรรมข้อมูล คุณมีตัวเลือกในการย้อนเวลากลับไปและกู้คืนเว็บสโตร์ของคุณเป็นสถานะเสถียรล่าสุด การสำรองข้อมูลอัตโนมัติเป็นหนึ่งในคุณสมบัติการรักษาความปลอดภัยวีโอไอพีที่มีให้สำหรับเจ้าของร้านค้า ทำสิ่งนี้จากแผงการดูแลระบบใน Magento 2 ไปที่เครื่องมือแล้วเลือกการสำรองข้อมูล ส่วนที่ดีที่สุด – คุณสามารถทำให้เป็นอัตโนมัติและกำหนดเวลากิจกรรมสำรองข้อมูลให้เกิดขึ้นทุกวัน ทุกสัปดาห์ ทุกเดือน หรือเพียงครั้งเดียว นอกจากนี้ คุณสามารถสร้างข้อมูลสำรองโดยใช้ส่วนขยาย Magento 2 ที่เชื่อถือได้เพื่อสร้างข้อมูลสำรอง

ใช้ไฟร์วอลล์เพื่อป้องกันการฉีด SQL

แฮกเกอร์สามารถรันคำสั่งที่เข้ารหัสซึ่งสามารถเปลี่ยนแปลงแบ็กเอนด์ของร้านค้าวีโอไอพีของคุณได้ ซึ่งทำให้ความปลอดภัยลดลง แบ็กเอนด์ของ Magento มีความปลอดภัยโดยเนื้อแท้จากการโจมตีด้วยการฉีด SQL แต่นั่นไม่ได้หมายความว่าคุณจะไม่สามารถทำให้แข็งแกร่งขึ้นได้ ใช้ไฟร์วอลล์เพื่อให้แน่ใจว่าทุกการโจมตีด้วยการฉีด SQL ขั้นสูงจะถูกยกเลิกด้วย ไฟร์วอลล์สามารถตรวจจับและรายงานคำสั่ง SQL ที่ไม่ได้รับอนุมัติ บล็อกการฉีด SQL บันทึกกิจกรรม SQL ทั้งหมด และให้คุณสร้างรายการที่อนุญาตพิเศษของคำสั่ง SQL เพื่อหลีกเลี่ยงผลลบที่ผิดพลาด

จู้จี้จุกจิกด้วยส่วนขยายวีโอไอพี

ส่วนขยายของบุคคลที่สามสำหรับ Magento เป็น USP หลักของแพลตฟอร์มอีคอมเมิร์ซโอเพ่นซอร์ส อย่างไรก็ตาม คุณจำเป็นต้องใช้ความระมัดระวังในขณะที่เลือกส่วนขยาย ก่อนที่คุณจะรู้ว่าส่วนขยาย Magento ปลอมอาจกลายเป็นเกตเวย์สำหรับอาชญากรไซเบอร์ในการเข้าถึงข้อมูลที่ได้รับการป้องกันจาก e-store ของคุณ เมื่อใดก็ตามที่คุณต้องการใช้ส่วนขยาย ให้ตรวจสอบประวัติของนักพัฒนาซอฟต์แวร์ นอกจากนี้ ให้มองหาส่วนขยายที่ได้รับการตรวจสอบโดยผู้ตรวจสอบส่วนเสริม Magento อิสระ การใช้การให้คะแนนและความเห็นยังเป็นเครื่องบ่งชี้ที่ดีถึงความน่าเชื่อถือของส่วนขยายอีกด้วย

ใช้ตัวเลือกความปลอดภัยขั้นสูงเพื่อทำให้วีโอไอพีมีความปลอดภัยมากขึ้น

Magento นำเสนอการตั้งค่าความปลอดภัยขั้นสูงหลายอย่างแก่คุณ ซึ่งจะทำให้ร้านค้ามีความปลอดภัยมากกว่าที่เคย ต่อไปนี้คือการตั้งค่าบางส่วนและแนวทางปฏิบัติด้านความปลอดภัยอื่นๆ ที่ควรค่าแก่การพิจารณา:
  • จำกัดการเข้าถึงแผงการดูแลระบบตามที่อยู่ IP เพื่อให้สามารถเข้าถึงได้จากเครือข่ายที่จำกัดและรู้จักเท่านั้น
  • ใช้ FTP ที่ปลอดภัย (เรียกอีกอย่างว่า SFTP) ซึ่งใช้ไฟล์คีย์ที่เข้ารหัสเพื่อตรวจสอบสิทธิ์ผู้ใช้
  • ล็อกไดเร็กทอรี '/downloader/' เพื่อป้องกันการโจมตีแบบเดรัจฉาน
  • สแกนเว็บไซต์เป็นประจำเพื่อหารหัสที่เป็นอันตราย
  • ปิดใช้งานโปรโตคอล TLS1.0 เก่าเพื่อให้ร้านค้าของคุณเป็นไปตามมาตรฐาน PCI

ทำการทดสอบความปลอดภัยที่เป็นกลาง

หลังจากใช้มาตรการเหล่านี้แล้ว เจ้าของร้านก็อยากจะเชื่อว่าร้านวีโอไอพีของพวกเขามีความปลอดภัยอย่างเต็มที่ อาจจะไม่เป็นเช่นนั้น ในการเปิดเผยช่องโหว่ จ้างผู้เชี่ยวชาญด้านความปลอดภัย Magento บุคคลที่สามเพื่อทดสอบร้านค้าของคุณ เนื่องจากผู้ให้บริการรักษาความปลอดภัยเหล่านี้ได้มอบผลประโยชน์ทางธุรกิจในการเน้นย้ำถึงช่องโหว่ของร้านค้าของคุณ (และเสนอการให้คำปรึกษาแบบชำระเงินแก่คุณเพื่อซ่อมแซม) คุณจึงมั่นใจว่าคุณจะได้รับการตรวจสอบคุณภาพที่ดีที่สุด ข้อบกพร่องด้านความปลอดภัยที่สำคัญใดๆ ที่คุณพบในการตั้งค่าร้านค้า Magento ของคุณสามารถแก้ไขได้ ซึ่งอาจหลีกเลี่ยงภัยพิบัติด้านความปลอดภัยของข้อมูลในอนาคต

สรุปข้อสังเกต

แม้ว่าจะยากเกินไปที่จะยืนยันว่าเว็บไซต์อีคอมเมิร์ซใด ๆ ที่มีความปลอดภัย 100% แต่เจ้าของร้านค้า Magento สามารถทำให้สิ่งต่าง ๆ ดีขึ้นสำหรับตนเองและลูกค้าโดยใช้แนวทางปฏิบัติที่ดีที่สุดในการทำให้ e-store ของพวกเขาปลอดภัยยิ่งขึ้น เริ่มต้นด้วยเคล็ดลับ 10 ข้อเหล่านี้ สิ่งเหล่านี้จะทำให้แน่ใจว่าข้อมูลของลูกค้าของคุณยังคงปลอดภัย และแฮกเกอร์ไม่สามารถเจาะเข้าไปใน e-store ของคุณได้