Поради 10, щоб зробити ваш Magento інтернет-магазин більш безпечним

За оцінками магазинів електронної комерції 240,000 використовується Magento для їх операцій в Інтернеті, на які припадає майже 30% платформа електронної комерції ринок.

На жаль, це не тільки дає зрозуміти, що Magento - це варта програма, вона чітко окреслює ще одне: це зосередження для кібер-злочинців по всьому світу. Додайте до цього той факт, що це платформа електронної комерції, і зрозуміло, наскільки важливою є безпека будь-якого магазину Magento.

Magento продовжує випускати патчі безпеки, щоб забезпечити безпеку веб-сайтів клієнта; однак, відповідальність за все, що завгодно, для забезпечення вашого магазину Magento також покладається на вас, замовника.

Є кілька настроювань, налаштувань безпеки та додаткових передових практик, які вам слід знати, щоб захистити електронний магазин на основі Magento. Ця частина буде працювати через поради 10, які допоможуть вам зробити ваш магазин електронної торгівлі надійнішим, ніж раніше.

З дуже технічних пропозицій, щоб захистити ваш адміністратор доступ, до загальних практик безпеки, які будуть зберігати ваш магазин безпеки, нижче охоплює все це.

Очевидне: переконайтеся, що у вас є надійна політика щодо пароля

Найбільший гріх, який найбільше порушують адміністратори та власники Magento електронних магазинів, - це наявність рутинного, слабкого та легкого доступу до пароля. Очікується, однак, якщо врахувати, що ваша цілеспрямованість зосереджена на тому, щоб вийти з місця під час встановлення Magento спочатку. Проте, за відсутності будь-якої політики автоматизованого пароля через Magento, вам потрібно реалізувати свій власний. Нижче наведено найкращі способи запам'ятовування:

  • Ваш пароль повинен бути довжиною 10 або більше символів
  • Пароль повинен містити принаймні один символ, один номер і один великий алфавіт
  • Не вказуйте назву вашої компанії або будь-яке слово словника у своєму паролі
  • Змініть пароль кожні 90 дн., Або раніше

Це також можна покращити безпечна двоетапна аутентифікація. Це допоможе вам покрити свої бази, якщо ви коли-небудь передасте свій пароль іншому працівнику, який може потребувати прав адміністратора в один момент часу.

Не так вже й очевидно: змініть шлях адміністратора

Швидше за все, ви ніколи не хвилювалися адміністратором / шлях за замовчуванням. Проте шлях за умовчанням, на жаль, набагато простіше для кібер-злочинців зламати вхідні дані, використовуючи технології грубої сили. Змінюючи шлях адміністратора за умовчанням, ви додаєте ще один рівень захисту, щоб забезпечити захист облікових даних вашого магазину. Ось способи змінити шлях адміністратора за умовчанням.

1 Перейти до адміністратора бекенда. Тут перейдіть до System, а потім Config. У параметрах натисніть Адмін, а потім Адміністративна базова URL-адреса. Виберіть параметр "Використовувати спеціальний шлях адміністратора" та натисніть "Так".

2 Інший спосіб передбачає маніпулювання деяким кодом у файлі local.xml вашого магазину Magento. Ви можете отримати доступ до файлу local.xml, перейшовши до наступного шляху: app / etc / local.xml.

Відкрийте файл і знайдіть наступний код.

<admin>

<маршрутизатори>

<adminhtml>

<args>

<frontName> <! [CDTA [admin]] </ frontName>

</ args>

</ routers>

</ admin>

Тут треба замінити [адміністратор] з новим шляхом. Після цього збережіть файл та оновіть кеш, і все станеться!

Тримайте міцні годинники та керуйте користувачами адміністратора

Для всіх адміністраторів, котрі мають привілейовані ролі адміністратора, присвоєні їх ідентифікаторам, вам необхідно створити механізм перегляду журналів активності та вилучити їхні права, якщо ви виявите щось незвичайне. Це можна зробити в Magento з цього шляху:

Система> Дозвіл> Користувач і Ролі

Переконайтеся, що користувач надаватиме права адміністратора лише тоді, коли він є абсолютно необхідним, і лише протягом певного періоду часу.

Шифруйте критичні сторінки

Ви просто не можете дозволити собі надсилати будь-яку конфіденційну інформацію, таку як ваші облікові дані, над незашифрованими з'єднаннями, враховуючи, наскільки часто хакерам стало відомо про небезпечні з'єднання. Рішення цієї серйозної проблеми - безпечні URL-адреси. Magento пропонує вам налаштування, щоб допомогти тут.

Перейдіть до системи, потім в конфігурацію та веб. Тут виділіть вкладку "Захист" та вкажіть "Так" для параметрів "Використовувати безпечні URL-адреси в інтерфейсі" та "Використовувати безпечні URL-адреси в адміністратора".

Нарешті, пам'ятайте, що для обробки фінансових транзакцій обов'язково мають захищені URL-адреси. Magento дозволяє вам додати SSL для вашого веб-магазину, тому переконайтеся, що ви використовуєте його.

Запитайте себе: чи використовую саму безпечну, оновлену та виправлену версію Magento?

Пам'ятайте, це ваша відповідальність, а також вимога щодо доставки надійних покупок на 100% у вашому електронному магазині. Такий бренд, який може призвести до витоку даних про клієнтів, може зламати ваш бізнес. Щоб переконатися, що ви не залишаєте ніяких прогалин безпеки, важливо, щоб ви постійно оновлювали останню версію Magento щоразу, коли такі оновлення розгорнуті. Крім того, між версіями оновлення, Magento продовжує виштовхувати патчі безпеки, коли це потрібно. Важливо, щоб ви встановили ці оновлення безпеки, як тільки вони доступні, оскільки вони точно пропонуються для боротьби з найновішими загрозами безпеки.

Шлях: Система -> Magento Connect -> Magento Connect Manager

Звичайно, ви отримаєте сповіщення, коли на вашому комп'ютері з'являється критично важливий патч безпеки або коли з'являється оновлення версії. Ви також можете перевірити на веб-сайті Magento слово на будь-які заплановані оновлення та патчі безпеки.

Забезпечення безпеки серверного середовища

Захист серверного середовища є надзвичайно важливим для цілісної безпеки вашого веб-сайту Magento. Однак це один з часто ігноруваних аспектів безпеки для веб-сайтів Magento. Для початківців, поговоріть зі своїм постачальником веб-хостингу та зрозумійте, які саме протоколи безпеки існують. На сервері не повинно працювати непотрібне програмне забезпечення. Потім переконайтеся, що для передачі даних використовуються лише захищені протоколи (протоколи, такі як HTTPS, SFTP і SSH).

Порти на сервері не повинні відкриватися відразу через високий рівень атаки, який він створює. Magento поставляється з файлами .htaccess, які допомагають захистити системний файл, коли використовується веб-сервер Apache. Однак, якщо ви використовуєте веб-сервер, такий як Nginx, переконайтесь, що каталоги та файли захищені.

Ось експеримент - спробуйте отримати доступ до цієї адреси: https://www.yourMagentowebsite/app/atc/local.xml.

Якщо він доступний, ваш сайт знаходиться під загрозою, і вам потрібно змінити настройки сервера. Доступ до файлу cron.php повинен бути дуже обмеженим; не забудьте скористатися системою cron scheduler для виконання команди завжди.

Використовуйте надійний механізм сканування для вашого веб-сайту Magento

Уявіть собі ситуацію, коли плагін 3rdrd викликає ризик для безпеки на своєму сайті Magento, а сканер сервера навіть не може його виявити! Щоб уникнути таких проблем, важливо виконувати звичайні сканування на веб-сайті Magento. Служби онлайн-сканування, такі як MageReport і ForeGenix повністю сканируйте веб-сайт Magento і надішліть список потенційних проблем, крім звіту про сканування, на ваш ідентифікатор електронної пошти. Нижче наведено знімок екрана, як виглядає типовий звіт сканування MageReport:

Використовуйте надійні розширення безпеки для Magento

Є лише занадто багато ризиків для безпеки для всіх типів веб-сайтів, нехай разом з електронними магазинами Magento. На щастя, Magento пропонує деякий час перевірені і перевірені ефективні розширення, які можуть піклуватися про всі види проблем безпеки. Дослідіть найвищому рейтингу розширень для таких функцій, як блокування загроз безпеки, сканування на наявність вразливостей, блокування шкідливих кодів, заходи журналу, застосування сильних правил паролів та впровадження міжмережевих екранів. Деякі надійні розширення безпеки Magento, які варто перевірити, є:

  • ET Security Security: Отримує обмеження доступу до IP на основі доступу до веб-сайтів.
  • MegaSecure: Сканує ваш магазин Magento для вразливостей
  • Спам-вбивця: Інтеграція з Akismet для видалення коментарів спаму у світовому класі
  • Мега-брандмауер: Порушники безпеки Blacklist, реалізують правила безпеки NinjaFirewall і блокують всі види веб-атак.

Примітка: Завжди запускайте кожне розширення за допомогою антивірусних перевірок. Розширення Magento можуть легко заражати шкідливе програмне забезпечення на ваш веб-сайт, особливо якщо ви не впевнені в джерелі чи надійності розробників. Щоб уникнути таких неполадків, переконайтеся, що ви запускаєте кожне розширення через антивірус операційної системи перед встановленням.

Що ще важливіше, завжди обирати розширення після прочитання своїх відгуків та прийняття чіткого рішення, заснованого на репутації та попередній запис агентства, що розвивається. Переконайтеся, що ви вибрали розширення, створені розробниками, які, як видається, прагнуть до своєї роботи, оскільки через кілька років вниз ви не хочете застрягти з важливим розширенням, яке більше не підтримується або не оновлюється.

Підготовка резервної копії

Щоб переконатися, що ваш веб-сайт залишається навіть у разі порушення безпеки, регулярно створюйте резервні копії та зберігайте їх у хмарі, а також у формі офлайнової копії, щоб ви могли швидко повернути веб-сайт до відомого хорошого стану з недавнього минулого, коли це потрібно. Ви можете легко знайти надійний Розширення Magento для цього.

Винос

Ваш магазин Magento заслуговує на всю вашу увагу не лише з точки зору розвитку бізнесу та управління, але й перспективи безпеки. В умовах високої мінливості та невизначеності сьогоднішньої безпеки в галузі кібернетичної безпеки відповідальність за безпеку веб-сайту Magento повністю залежить від ваших плечей. Довіртесь цим практикам 10, описаним вище, щоб забезпечити найважливіші аспекти вашого електронного магазину.

Чи є щось, що ви додати до списку? Чи маєте ви особистий досвід у магазині Magento? Дайте нам знати свої думки та свою історію в розділі коментарів нижче.

джерело

Залишити коментар