保護您的電子商務網站的 10 大 Magento 基本安全提示

已發表: 2018-09-27
電子商店 (1) 我們知道,我們的大多數讀者都關心其業務的安全性。 最受歡迎的業務類型是網上商店,這已不是什麼秘密。 因此,我們想與您分享一些有關 Magento 電子商店安全性的提示。 我們的客人 - Alex Letitov將告訴您如何防止您的企業受到網絡犯罪分子的侵害。
數以千計的電子商務企業將 Magento 平台用於他們的電子商店。 每天在這些商店執行價值數百萬的交易。 有錢就有風險。 網絡犯罪隨時可能破壞您企業的成功派對。 儘管包括 Magento 在內的所有電子商務平台都為您提供了強大的安全功能,並不斷對其進行頻繁升級,但您仍然不能真正希望能夠忍受。 對您的 Magento 商店的基本網絡攻擊可能會導致業務運營停止,導致客戶數據被盜和隨後的法律處罰,除了從客戶的在線錢包中盜竊資金。 此外,如果您的商店因成為網絡攻擊的受害者而成為新聞,其聲譽將受到巨大打擊。 值得慶幸的是,您可以做很多事情來增強 Magento 商店的安全性。 我將介紹 10 個最重要的 Magento 安全提示,以確保您的商店安全。

繼續修補您的 Magento 安裝到最新版本

Magento 憑藉其通過安全更新、版本更新和補丁不斷升級系統安全性的能力而享有作為一流電子商務網站建設者的聲譽。 為了讓您的 Magento 商店的安全保持最佳狀態,您可以採取的最重要的一項措施就是立即將其升級到最新版本。 Magento 升級包括:
  • 維護相關修復
  • Bug修復
  • 解決網絡犯罪分子正在利用的最新漏洞的安全修復程序
自然,當電子商務商店所有者對他們現有的東西感到滿意時,他們不想學習新界面。 Magento 在這方面表現出色,因為它的升級伴隨著全面的補丁說明。 這些說明可幫助您清楚地了解系統中發生了哪些變化,以便您決定是否對升級感到滿意。 最終,任何電子商店經理都會同意,保持安全比適應版本升級導致的微小界面更改(如果有的話)更重要。 Magento 的技術資源頁面是一個很好的書籤鏈接,以便您可以輕鬆查看最新的發布信息。

更改默認管理員登錄路徑

02_admin_login_path 您可以通過更改默認登錄頁面使黑客很難侵入您的商店。 Magento 商店的默認管理員登錄頁面鏈接類似於 www.storename.com/index.php/admin/。 相反,使用自定義 URL,這樣黑客就不能簡單地訪問此頁面並發起暴力攻擊以闖入後端。 您可以從系統設置中執行此操作; 轉到 Config,選擇 Admin,然後選擇 Admin Base URL,然後選擇“Use Custom Admin Path”。 另一種方法是轉到 local.xml 配置文件並查找以下代碼塊。 <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> 這裡,用新的管理員路徑替換[admin] . 保存編輯的配置文件並刷新緩存; 你完成了。

添加安全套接層 (SSL)

作為 Magento 店主,您有責任確保購物者的數據安全地從商店傳輸到您的其他 IT 系統。 為此,您需要將 SSL 添加到您的 Magento 商店。 通過使用 SSL 加密,您可以確保即使第三方能夠攔截和訪問數據,它也無法理解亂碼的數據字符串。 要激活 SSL,請轉至系統 > 配置 > Web > 安全。 在這裡,為在前端使用安全 URL/在管理中使用安全 URL 標記“是”。 激活 SSL 後,您的 Magento 商店的 URL 將在 Web 瀏覽器的地址欄右側出現備受追捧的綠色掛鎖圖標。 這有助於為您的電子商店建立信任。

使用超強密碼

04_use_super_strong_passwords 這是一個明顯的提示。 然而,令人驚訝的是,幾位 Magento 商店所有者如何繼續犯下密碼錯誤,從而損害了他們商店的安全性。 儘管 Magento 需要至少 7 個字符的密碼,但我們強烈建議您選擇更長的密碼。 以下是一些需要記住的最佳實踐:
  • 在密碼中混合使用大寫字母、小寫字母、數字和特殊符號。
  • 請勿在密碼中包含您的個人、品牌或企業名稱。
  • 不要在密碼中包含連續字符串,例如 1234 和 qwerty。
除此之外,您還可以使用 Magento 中的管理員安全配置來管理您的密碼設置。 例如,您可以通過限制會話中允許的登錄嘗試次數來增強商店對暴力破解嘗試的安全性,之後帳戶被鎖定。 您還可以設置您的管理員登錄頁面以要求填寫驗證碼。

使用 2 因素身份驗證補充強密碼

05_2-因素_身份驗證 通過為您的 Magento 商店添加另一層安全性,您可以減少有人闖入的機會。2 因素身份驗證是一種簡單而可靠的方法。 您只需要一個可靠的 Magento 擴展來設置 2 因素身份驗證。 這意味著用戶將需要密碼以及動態生成的一次性密碼 (OTP)。 此 OTP 通過 SMS(或電子郵件)發送到用戶的手機。 從本質上講,這意味著您需要知道一些東西(您的登錄憑據)並擁有一些東西(您的設備)才能訪問 Magento 的管理控制台。 您可以嘗試使用 Rublon,這是一個 Magento 安全擴展,可讓您添加受信任的設備以使用應用程序登錄 Magento 後端。 Magento Hackathon 是另一個不錯的選擇,它允許您設置複雜的多因素身份驗證規則,包括向用戶的註冊設備發送一次性代碼的選項。

定期備份您的 Magento 網上商店

06_regularly_backup_your_magento 做好準備總比後悔好; 定期創建 Magento 2 數據的備份。 這確保了在不幸的數據被盜情況下,您可以選擇讓時間倒流並將您的網上商店恢復到最近的穩定狀態。 自動備份是商店所有者可以使用的 Magento 安全功能之一。 從 Magento 2 的管理面板執行此操作。轉到工具,然後選擇備份。 最好的部分 - 您可以自動執行備份活動並將其安排為每天、每週、每月或僅一次。 此外,您可以使用任何可靠的 Magento 2 擴展來創建備份以創建備份。

使用防火牆防止 SQL 注入

黑客可以執行可以更改 Magento 商店後端的編碼命令,從而損害其安全性。 Magento 後端天生就可以抵禦 SQL 注入攻擊,但這並不意味著你不能讓它變得更強大。 使用防火牆來確保每個高級 SQL 注入攻擊也被無效化。 防火牆可以檢測和報告未經批准的 SQL 語句、阻止 SQL 注入、記錄所有 SQL 活動,並允許您構建 SQL 語句白名單以避免誤報。

對 Magento 擴展非常挑剔

Magento 的第三方擴展是開源電子商務平台的關鍵 USP。 但是,在選擇擴展程序時需要謹慎。 在您意識到之前,虛假的 Magento 擴展程序可能會成為網絡犯罪分子從您的電子商店訪問受保護信息的門戶。 每當您想使用擴展程序時,請檢查開發人員的背景。 此外,請查找已由獨立 Magento 附加審閱者審閱的擴展。 使用評級和評論也是擴展程序可靠性的一個很好的指標。

使用高級安全選項使 Magento 更安全

Magento 為您提供了幾種高級安全設置,可以使商店比以往更加安全。 以下是其中一些設置,以及其他值得考慮的安全最佳實踐:
  • 通過 IP 地址限制對管理面板的訪問,以便只能從有限且已知數量的網絡訪問
  • 使用安全 FTP(也稱為 SFTP),它使用加密的密鑰文件對用戶進行身份驗證
  • 鎖定您的“/downloader/”目錄以防止暴力攻擊
  • 定期掃描網站以查找惡意代碼
  • 禁用舊的 TLS1.0 協議以使您的商店符合 PCI 標準。

進行公正的安全測試

採取所有這些措施後,店主會希望相信他們的 Magento 商店是完全安全的。 情況可能並非如此。 要發現漏洞,請聘請第三方 Magento 安全專家來測試您的商店。 由於這些安全服務提供商在突出您商店的漏洞(然後為您提供付費諮詢來修復它們)方面具有既得商業利益,因此您確信您會得到最好的質量檢查。 然後可以修復您在 Magento 商店設置中發現的任何重要安全漏洞,從而有可能避免將來發生數據安全災難。

結束語

雖然很難斷言任何電子商務網站都是 100% 安全的,但 Magento 店主可以通過採用使他們的電子商店更安全的最佳實踐來為自己和他們的客戶做得更好。 從這10個技巧開始; 這些將確保您的客戶數據保持安全,並且黑客無法侵入您的電子商店。