E-Ticaret Web Sitenizi Güvende Tutmak İçin En İyi 10 Magento Güvenlik İpuçları
Yayınlanan: 2018-09-27
Okurlarımızın çoğunluğunun işinin güvenliğine önem verdiğini biliyoruz. En popüler iş türünün bir çevrimiçi mağaza olduğu bir sır değil. Magento e-mağaza güvenliği ile ilgili bazı ipuçlarını sizinle paylaşmak istiyoruz. Konuğumuz - Alex Letitov , işinizi siber suçlulardan nasıl koruyacağınızı anlatacak.Binlerce e-ticaret işletmesi, e-mağazaları için Magento platformunu kullanıyor. Bu mağazalarda her gün milyonlarca işlem gerçekleştirilmektedir. Para varsa riskler de olacaktır. Siber suç, işinizin başarı partisini her gün mahvedebilir. Magento dahil tüm e-ticaret platformları size sağlam güvenlik özellikleri sunsa ve bunları sık sık yükseltmeye devam etse de, bununla yaşamayı gerçekten umamazsınız. Magento mağazanıza yapılacak basit bir siber saldırı, iş operasyonlarını durma noktasına getirebilir, müşteri veri hırsızlığına ve müteakip yasal cezalara yol açabilir, müşterilerin çevrimiçi cüzdanlarından para çalınması dışında. Ayrıca, mağazanız siber saldırıların kurbanı olduğu haberini yaparsa, itibarı büyük bir darbe alır. Neyse ki Magento mağazanızın güvenliğini artırmak için yapabileceğiniz çok şey var. Mağazanızı güvende tutacak en önemli 10 Magento güvenlik ipucunu ele alacağım.
Magento Kurulumunuzu En Son Sürüme Yamalamaya Devam Edin
Magento, bir yıldız e-ticaret web sitesi oluşturucusu olarak itibarını, güvenlik güncellemeleri, sürüm güncellemeleri ve yamalar yoluyla sistemin güvenliğini yükseltmeye devam etme yeteneğine borçludur. Magento mağazanızın güvenliğini en iyi durumda tutmak için yapabileceğiniz en önemli eylem, onu bugün en son sürüme yükseltmektir. Magento yükseltmeleri şunlardan oluşur:- Bakımla ilgili düzeltmeler
- Hata düzeltmeleri
- Siber suçlular tarafından istismar edilen en son güvenlik açıklarıyla ilgilenen güvenlik düzeltmeleri
Varsayılan Yönetici Giriş Yolunu Değiştirin
Varsayılan giriş sayfasını değiştirerek bilgisayar korsanlarının mağazanıza girmesini oldukça zorlaştırabilirsiniz. Magento mağazanızın varsayılan yönetici giriş sayfası bağlantısı, www.storename.com/index.php/admin/ gibi bir şeye benzeyecektir. Bunun yerine, özel bir URL kullanın, böylece bir bilgisayar korsanı bu sayfaya kolayca erişemez ve arka uca girmek için bir kaba kuvvet saldırısı başlatamaz. Bunu Sistem ayarlarından yapabilirsiniz; Yapılandırma'ya gidin, Yönetici'yi ve ardından Yönetici Temel URL'sini seçin ve 'Özel Yönetici Yolu Kullan'ı seçin. Bunu yapmanın başka bir yolu da local.xml yapılandırma dosyasına gidip aşağıdaki kod bloğunu aramaktır. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> Burada [admin]'i yeni yönetici yolu ile değiştirin . Düzenlenen yapılandırma dosyasını kaydedin ve önbelleği yenileyin; sen bittin.Güvenli Yuva Katmanı (SSL) Ekle
Bir Magento mağazası sahibi olarak, alışveriş yapanların verilerinin mağazadan diğer BT sistemlerinize güvenli bir şekilde iletilmesini sağlamak sizin sorumluluğunuzdadır. Bunu yapmak için Magento mağazanıza SSL eklemeniz gerekir. SSL şifrelemesi kullanarak, üçüncü bir tarafın verilere müdahale edip erişebilse bile, bozuk veri dizilerini anlamlandıramayacağından emin olursunuz. SSL'yi etkinleştirmek için Sistemler > Yapılandırma > Web > Güvenli'ye gidin. Burada, Ön Uçta Güvenli URL'leri Kullan/Yönetici'de Güvenli URL'leri Kullan için 'evet'i işaretleyin. SSL'yi etkinleştirdiğinizde, Magento mağazanızın URL'sine, web tarayıcılarının adres çubuğunun sağında çok aranan yeşil asma kilit simgesi eşlik edecektir. Bu, e-mağazanız için güven oluşturmaya yardımcı olur.Süper Güçlü Parolalar Kullanın
Bu biraz bariz bir ipucu olarak karşımıza çıkıyor. Bununla birlikte, birkaç Magento mağazası sahibinin, mağazalarının güvenliğini tehlikeye atan parola hataları yapmaya devam etmesi şaşırtıcıdır. Magento en az 7 karakterlik bir şifre gerektirse de, daha uzun bir şifre seçmenizi şiddetle tavsiye ederiz. İşte hatırlanması gereken en iyi uygulamalardan bazıları:- Parolanızda büyük harfler ve küçük harfler, sayılar ve özel simgeler karışımı kullanın.
- Parolaya kişisel, marka veya işletme adınızı eklemeyin.
- Parolanıza 1234 ve qwerty gibi sıralı dizeleri dahil etmeyin.
2 Faktörlü Kimlik Doğrulama ile Güçlü Parolaları Ekleyin
Magento mağazanıza başka bir güvenlik katmanı ekleyerek, birinin içeri girme olasılığını azaltabilirsiniz. 2 faktörlü kimlik doğrulama, bunu yapmanın kolay ve güvenilir bir yöntemidir. Tek ihtiyacınız olan, 2 faktörlü kimlik doğrulamayı ayarlamak için güvenilir bir Magento uzantısıdır. Bu, bir kullanıcının bir parolaya ve ayrıca dinamik olarak oluşturulmuş bir kerelik parolaya (OTP) ihtiyaç duyacağı anlamına gelir. Bu OTP, kullanıcının cep telefonuna bir SMS (veya e-posta) yoluyla gönderilir. Esasen bu, Magento'nun yönetici konsoluna erişebilmek için bir şey (oturum açma kimlik bilgileriniz) bilmeniz ve bir şeye (cihazınız) sahip olmanız gerektiği anlamına gelir. Bir uygulama kullanarak Magento arka ucunda oturum açmak için güvenilir cihazlar eklemenize izin veren bir Magento güvenlik uzantısı olan Rublon'u deneyebilirsiniz. Magento Hackathon, kullanıcının kayıtlı cihazına bir kerelik kod gönderme seçeneği de dahil olmak üzere karmaşık çok faktörlü kimlik doğrulama kuralları ayarlamanıza izin veren başka bir iyi seçenektir.Magento web mağazanızı düzenli olarak yedekleyin
Üzülmektense hazırlıklı olmak daha iyidir; Magento 2 verilerinizin düzenli olarak yedeklerini oluşturun. Bu, talihsiz bir veri hırsızlığı durumunda, saati geri alma ve web mağazanızı son kararlı duruma geri yükleme seçeneğine sahip olmanızı sağlar. Otomatik yedeklemeler, mağaza sahiplerine sunulan Magento güvenlik özelliklerinden biridir. Bunu Magento 2'deki Yönetici panelinden yapın. Araçlar'a gidin ve Yedeklemeler'i seçin. En iyi yanı – yedekleme etkinliğini günlük, haftalık, aylık veya yalnızca bir kez gerçekleşecek şekilde otomatikleştirebilir ve programlayabilirsiniz. Ayrıca, bir yedek oluşturmak için herhangi bir güvenilir Magento 2 uzantısını kullanarak bir yedek oluşturabilirsiniz.SQL Enjeksiyonunu Önlemek İçin Bir Güvenlik Duvarı Kullanın
Bilgisayar korsanları, Magento mağazanızın arka ucunu değiştirebilen kodlanmış komutları yürütebilir ve böylece güvenliğini tehlikeye atabilir. Magento arka ucu, SQL enjeksiyon saldırılarına karşı doğal olarak güvenli hale getirilmiştir, ancak bu, onu daha güçlü hale getiremeyeceğiniz anlamına gelmez. Her gelişmiş SQL enjeksiyon saldırısının da geçersiz kılındığından emin olmak için bir güvenlik duvarı kullanın. Bir güvenlik duvarı, onaylanmamış SQL ifadelerini algılayabilir ve raporlayabilir, SQL enjeksiyonlarını engelleyebilir, tüm SQL etkinliğini günlüğe kaydedebilir ve yanlış negatifleri önlemek için bir SQL ifadeleri beyaz listesi oluşturmanıza olanak tanır.Magento Uzantıları İle Çok Seçici Olun
Magento için üçüncü taraf uzantıları, açık kaynaklı e-ticaret platformunun önemli bir USP'sidir. Ancak, bir uzantı seçerken dikkatli olmanız gerekir. Siz farkına varmadan, sahte bir Magento uzantısı, bir siber suçlunun e-mağazanızdan korunan bilgilere erişmesi için bir ağ geçidi haline gelebilir. Bir uzantı kullanmak istediğinizde geliştiricinin arka planını kontrol edin. Ayrıca, bağımsız Magento eklenti gözden geçirenleri tarafından incelenen uzantıları arayın. Kullanım derecelendirmeleri ve incelemeler de uzantının güvenilirliğinin iyi bir göstergesidir.Magento'yu Daha Güvenli Hale Getirmek için Gelişmiş Güvenlik Seçeneklerini Kullanın
Magento size mağazayı her zamankinden daha güvenli hale getirebilecek birkaç gelişmiş güvenlik ayarı sunar. İşte bu ayarlardan bazıları ve dikkate alınması gereken diğer en iyi güvenlik uygulamaları:- Yönetici paneline erişimi IP adresiyle kısıtlayın, böylece yalnızca sınırlı ve bilinen sayıda ağdan erişilebilir.
- Bir kullanıcının kimliğini doğrulamak için şifreli bir anahtar dosyası kullanan güvenli FTP (SFTP olarak da adlandırılır) kullanın
- Kaba kuvvet saldırılarını önlemek için '/downloader/' dizininizi kilitleyin
- Kötü amaçlı kodlar için web sitesini düzenli olarak tarayın
- Mağazanızın PCI uyumlu olmasını sağlamak için eski TLS1.0 protokolünü devre dışı bırakın.