保护您的电子商务网站的 10 大 Magento 基本安全提示

已发表: 2018-09-27
电子商店 (1) 我们知道,我们的大多数读者都关心其业务的安全性。 最受欢迎的业务类型是网上商店,这已不是什么秘密。 因此,我们想与您分享一些有关 Magento 电子商店安全性的提示。 我们的客人 - Alex Letitov将告诉您如何防止您的企业受到网络犯罪分子的侵害。
数以千计的电子商务企业将 Magento 平台用于他们的电子商店。 每天在这些商店执行价值数百万的交易。 有钱就有风险。 网络犯罪随时可能破坏您企业的成功派对。 尽管包括 Magento 在内的所有电子商务平台都为您提供了强大的安全功能,并不断对其进行频繁升级,但您仍然不能真正希望能够忍受。 对您的 Magento 商店的基本网络攻击可能会导致业务运营停止,导致客户数据被盗和随后的法律处罚,除了从客户的在线钱包中盗窃资金。 此外,如果您的商店因成为网络攻击的受害者而成为新闻,其声誉将受到巨大打击。 值得庆幸的是,您可以做很多事情来增强 Magento 商店的安全性。 我将介绍 10 个最重要的 Magento 安全提示,以确保您的商店安全。

继续修补您的 Magento 安装到最新版本

Magento 凭借其通过安全更新、版本更新和补丁不断升级系统安全性的能力而享有作为一流电子商务网站建设者的声誉。 为了让您的 Magento 商店的安全保持最佳状态,您可以采取的最重要的一项措施就是立即将其升级到最新版本。 Magento 升级包括:
  • 维护相关修复
  • Bug修复
  • 解决网络犯罪分子正在利用的最新漏洞的安全修复程序
自然,当电子商务商店所有者对他们现有的东西感到满意时,他们不想学习新界面。 Magento 在这方面表现出色,因为它的升级伴随着全面的补丁说明。 这些说明可帮助您清楚地了解系统中发生了哪些变化,以便您决定是否对升级感到满意。 最终,任何电子商店经理都会同意,保持安全比适应版本升级导致的微小界面更改(如果有的话)更重要。 Magento 的技术资源页面是一个很好的书签链接,以便您可以轻松查看最新的发布信息。

更改默认管理员登录路径

02_admin_login_path 您可以通过更改默认登录页面使黑客很难侵入您的商店。 Magento 商店的默认管理员登录页面链接类似于 www.storename.com/index.php/admin/。 相反,使用自定义 URL,这样黑客就不能简单地访问此页面并发起暴力攻击以闯入后端。 您可以从系统设置中执行此操作; 转到 Config,选择 Admin,然后选择 Admin Base URL,然后选择“Use Custom Admin Path”。 另一种方法是转到 local.xml 配置文件并查找以下代码块。 <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> 这里,用新的管理员路径替换[admin] . 保存编辑的配置文件并刷新缓存; 你完成了。

添加安全套接层 (SSL)

作为 Magento 店主,您有责任确保购物者的数据安全地从商店传输到您的其他 IT 系统。 为此,您需要将 SSL 添加到您的 Magento 商店。 通过使用 SSL 加密,您可以确保即使第三方能够拦截和访问数据,它也无法理解乱码的数据字符串。 要激活 SSL,请转至系统 > 配置 > Web > 安全。 在这里,为在前端使用安全 URL/在管理中使用安全 URL 标记“是”。 激活 SSL 后,您的 Magento 商店的 URL 将在 Web 浏览器的地址栏右侧出现备受追捧的绿色挂锁图标。 这有助于为您的电子商店建立信任。

使用超强密码

04_use_super_strong_passwords 这是一个明显的提示。 然而,令人惊讶的是,几位 Magento 商店所有者如何继续犯下密码错误,从而损害了他们商店的安全性。 尽管 Magento 需要至少 7 个字符的密码,但我们强烈建议您选择更长的密码。 以下是一些需要记住的最佳实践:
  • 在密码中混合使用大写字母、小写字母、数字和特殊符号。
  • 请勿在密码中包含您的个人、品牌或企业名称。
  • 不要在密码中包含连续字符串,例如 1234 和 qwerty。
除此之外,您还可以使用 Magento 中的管理员安全配置来管理您的密码设置。 例如,您可以通过限制会话中允许的登录尝试次数来增强商店对暴力破解尝试的安全性,之后帐户被锁定。 您还可以设置您的管理员登录页面以要求填写验证码。

使用 2 因素身份验证补充强密码

05_2-因素_身份验证 通过为您的 Magento 商店添加另一层安全性,您可以减少有人闯入的机会。2 因素身份验证是一种简单而可靠的方法。 您只需要一个可靠的 Magento 扩展来设置 2 因素身份验证。 这意味着用户将需要密码以及动态生成的一次性密码 (OTP)。 此 OTP 通过 SMS(或电子邮件)发送到用户的手机。 从本质上讲,这意味着您需要知道一些东西(您的登录凭据)并拥有一些东西(您的设备)才能访问 Magento 的管理控制台。 您可以尝试使用 Rublon,这是一个 Magento 安全扩展,可让您添加受信任的设备以使用应用程序登录 Magento 后端。 Magento Hackathon 是另一个不错的选择,它允许您设置复杂的多因素身份验证规则,包括向用户的注册设备发送一次性代码的选项。

定期备份您的 Magento 网上商店

06_regularly_backup_your_magento 做好准备总比后悔好; 定期创建 Magento 2 数据的备份。 这确保了在不幸的数据被盗情况下,您可以选择让时间倒流并将您的网上商店恢复到最近的稳定状态。 自动备份是商店所有者可以使用的 Magento 安全功能之一。 从 Magento 2 的管理面板执行此操作。转到工具,然后选择备份。 最好的部分 - 您可以自动执行备份活动并将其安排为每天、每周、每月或仅一次。 此外,您可以使用任何可靠的 Magento 2 扩展来创建备份以创建备份。

使用防火墙防止 SQL 注入

黑客可以执行可以更改 Magento 商店后端的编码命令,从而损害其安全性。 Magento 后端天生就可以抵御 SQL 注入攻击,但这并不意味着你不能让它变得更强大。 使用防火墙来确保每个高级 SQL 注入攻击也被无效化。 防火墙可以检测和报告未经批准的 SQL 语句、阻止 SQL 注入、记录所有 SQL 活动,并允许您构建 SQL 语句白名单以避免误报。

对 Magento 扩展非常挑剔

Magento 的第三方扩展是开源电子商务平台的关键 USP。 但是,在选择扩展程序时需要谨慎。 在您意识到之前,虚假的 Magento 扩展程序可能会成为网络犯罪分子从您的电子商店访问受保护信息的门户。 每当您想使用扩展程序时,请检查开发人员的背景。 此外,请查找已由独立 Magento 附加审阅者审阅的扩展。 使用评级和评论也是扩展程序可靠性的一个很好的指标。

使用高级安全选项使 Magento 更安全

Magento 为您提供了几种高级安全设置,可以使商店比以往更加安全。 以下是其中一些设置,以及其他值得考虑的安全最佳实践:
  • 通过 IP 地址限制对管理面板的访问,以便只能从有限且已知数量的网络访问
  • 使用安全 FTP(也称为 SFTP),它使用加密的密钥文件对用户进行身份验证
  • 锁定您的“/downloader/”目录以防止暴力攻击
  • 定期扫描网站以查找恶意代码
  • 禁用旧的 TLS1.0 协议以使您的商店符合 PCI 标准。

进行公正的安全测试

采取所有这些措施后,店主会希望相信他们的 Magento 商店是完全安全的。 情况可能并非如此。 要发现漏洞,请聘请第三方 Magento 安全专家来测试您的商店。 由于这些安全服务提供商在突出您商店的漏洞(然后为您提供付费咨询以修复它们)方面具有既得商业利益,因此您确信您会得到最好的质量检查。 然后可以修复您在 Magento 商店设置中发现的任何重要安全漏洞,从而有可能避免将来发生数据安全灾难。

结束语

尽管很难断言任何电子商务网站都是 100% 安全的,但 Magento 店主可以通过采用使他们的电子商店更安全的最佳实践来为自己和他们的客户做得更好。 从这10个技巧开始; 这些将确保您的客户数据保持安全,并且黑客无法侵入您的电子商店。