ハッキングされたMagentoWebサイトを30分以内に修正してください！

オンラインで成功しているeコマースストアはありますか？ インターネット上の多くのハッカーやその他のセキュリティ侵害からストアを安全に保つように促していますか？ この特定の記事では、Magentoオンラインストアを保護するための便利な方法について総合的に説明します。 乞うご期待！

電子商取引のWebサイトは、個人情報と支払いが利用できるため、高度なハッカーにとって簡単な標的であるため、セキュリティはオンラインストアのすべてのオンラインビジネスオーナーにとって大きな懸念事項です。 したがって、eコマースMagentoストアを保護し、保護されたプラットフォームにすることは、ユーザーの信頼を勝ち取るために重要になります。

Magentoは、その貴重な機能と毎日の更新により、オンライン業界に大きな影響を与えています。 プレインストールされたセキュリティ機能を備えているため、ビジネスWebサイトに広く採用されているCMS（コンテンツ管理システム）です。 Magentoコミュニティによると、Magentoをビジネスプラットフォームとして利用している商人は世界中に25万人以上います。

あなたがオンラインビジネスを始めようとしているとしましょう。 その場合、ユーザーのショッピングエクスペリエンスを向上させ、収益を最大化するために、eコマースストアには常にMagentoソリューションを使用する必要があります。

Magentoサイトがハッキングされているかどうかを検出してください！

ここで説明する方法は、従うのが非常に簡単で、ハックからできるだけ早くサイトを取得します。 ただし、Magentoサイトが誤動作に直面しておらず、ハッキングされていないことを確認することをお勧めします。

一部のアプリケーションは、この問題で非常に役立ちます。

マルウェアと脆弱性を見つけるためのMagentoセキュリティスキャナー

Astraの最新のセキュリティレポートは、Magentoサイトの62％に少なくとも1つの脆弱性があることを示しています。

Magentoショップがオンラインセキュリティリスクをさらさないようにするにはどうすればよいですか？

行うべき重要なことの1つは、オンラインの脅威から保護し、クラウドベースのWAFを利用するための強化のヒントを実装することです。 ただし、eコマースストアのセキュリティ体制を確認したい場合はどうでしょうか。 それがセキュリティ上の欠陥を含んでいないかどうかをどうやって知ることができますか？

そのため、あらゆる種類のテストをオンデマンドで実行してスケジュールするためにセキュリティスキャナーが必要です。 以下は、MagentoWebサイトで実行するために利用できる人気のあるスキャナーです。

MageReport

MageReportは、Magentoサイトの既知のセキュリティ脆弱性を無料で検証するのに最適なスキャナーの1つです。 はい、それは本当だ。 以下を含め、完全に無料です。

• 管理者の開示
• セキュリティパッチ6482、9652、6788、7405
• RCE/webformsの脆弱性
• APIが公開されました
• マルウェアにアクセス
• ブルートフォース攻撃
• グルンジャバスクリプト
• ランサムウェア
• そしてもっと…

MageReportはコアMagentoをチェックするだけではありません。 ただし、脆弱性に対してサードパーティが利用できる拡張機能もあります。 MageReportに登録して、管理者側でやり取りするたびに見つかった新しい脆弱性に関する通知を受け取ることができます。

Foregenix

Foregenixテストによる外部スキャンを実行し、次の点の高レベルのレポートを提供します。

• マグマ
• Magento万引き
• 古いバージョン
• CloudHarvesterマルウェア
• 保護されていないバージョン管理
• クレジットカードの乗っ取り
• XSS、RSS攻撃
• 管理者の乗っ取り/開示
• 秘密が漏れる

レポートはディスプレイに表示され、PDFとしてあなたのメールアドレスに送信されます。

セキュリティパッチテスター

パッチテスターは、オンラインストアが最新のセキュリティリスクに対して脆弱である場合に役立つように特別に開発されています。

セキュリティパッチを確認する場合は、すばやく便利なツールになります。

SUCURI

SUCURIは特にMagento用ではありません。 ただし、SUCURIは、多くのコンポーネントについてサイトをテストするのに役立ちます。 主要なオンラインの脅威に対してWebサイトをすばやく分析するのに役立ちます。

• ブラックリストへの登録
• マルウェア
• 改ざん
• 注入されたSPAM

メイジスキャン

MageScanはオンラインスキャナーではありません。 代わりに、サーバーにインストールする必要があります。 イントラネットのMagentoWebサイトをテストする場合は、MageScanが最適です。

Magentoセキュリティスキャン

MagentoCommerceによるセキュリティ用のスキャナーツール。 スキャンを実行する前に、アカウントを作成し（完全に無料）、Webサイトの所有権を確認する必要があります。 最良の方法は、定期的または毎週スキャンを実行し、自分の電子メールアドレスに適切なレポートを取得するようにスケジュールできることです。

Acunetix

スキャンの実行中にWebサイトの速度を低下させないWebベースのエンタープライズ対応の脆弱性スキャナー。 Acunetixは、主にMagentoだけでなく、Webサイトに関するすべてを網羅する包括的なセキュリティスキャンを提供します。

スキャン結果には、セキュリティの専門家やプログラマーが問題を迅速に修正するのに役立つ可能な解決策が含まれています。 GitHub、Jira、Bugzillaなどのお気に入りのバグトラッカーでそれらを追跡できます。

ビジネスオーナーまたはコンプライアンス担当者が必要な場合は、HIPAA、PCI、OWASP、およびDSSのトップ10レポートを作成できます。

Magentoストアのセキュリティのヒント

ハッカーの攻撃の最も重大な危険性は、手遅れになるまでほとんどハッカーを明らかにできないことです。 そのため、事前にWebサイトのセキュリティに注意を払い、毎日その状態をチェックする必要があります。

最新のMagentoバージョンのみを使用してください

Magentoの多くのユーザーは、最新のMagentoバージョンを更新することは安全な方法ではないと考えています。 したがって、彼らは古いMagentoWebサイトのアップグレードを控えています。 これは真実ではありません。 実際、プログラマーは常に厳密なデバッグと綿密なテストを行い、最新のリリースバージョンのセキュリティパッチの問題を検証して、エラーのないバージョンのMagentoを提供します。

したがって、MagentoのWebサイトを最新バージョンのMagentoに更新する必要があります-お勧めします。 更新することで、不要なダウンタイムの無視、eコマースWebサイトのハッキングの防止、重要なアップグレード、新機能、バグ修正など、いくつかの利点を活用できます。

独自のカスタマイズされた管理URL

ハッカーは、管理者のMagentoログインページに簡単にブルートフォース攻撃を仕掛けることができます。 www.xyz123.com/adminからアクセスする場合。 したがって、オンラインWebサイトがハッカーやWebサイトをスパムすることを好むユーザーによる攻撃を防ぐために、ハッカーが通り抜けるのが難しい、一意でカスタマイズされた管理者URLを作成することを常に探す必要があります。

管理パネルへのアクセス資格のあるユーザーにのみ許可される秘密鍵をURLに追加することは、Magentoストアのセキュリティを向上させるためのヒントです。

二要素認証を使用する

eコマースのMagentoベースのWebサイトに厳しいパスワードを作成するだけでは不十分です。 これが、多くのオンラインストア所有者がeコマースWebサイトに対するオンラインの脅威を回避するために2FA（2要素認証）を選択している理由です。

そうは言っても、Magentoは2要素認証の信頼性の高い拡張機能を提供します。これにより、オンラインストアの所有者はMagento管理者のログインセキュリティを更新し、パスワード関連のセキュリティリスクからストレスを感じることがなくなります。

暗号化された接続（HTTPS / SSL）を利用する

暗号化されていない接続でのログイン資格情報など、データを送信するたびにデータがフェッチされるリスクが常にあります。 したがって、安全な接続を利用することは、Magentoストアにとって非常に重要になります。

安全なSSL/HTTPS URLを持つことは、MagentoWebサイトをPCIに準拠させるための最も重要な要素です。 このようにして、ユーザーに安全なショッピングエクスペリエンスを提供し、ユーザーの貴重な信頼を勝ち取ることができます。

ファイルのアクセス許可を777に設定しないでください

Magentoは、ファイルに対する777ファイルのアクセス許可を保持しないことを提案し、書き換えが完了するとすぐにそれらを変更することを提案します。

セキュアFTPを利用する

FTPパスワードの傍受は、ハッキングされる最も一般的な方法です。 この脆弱性は、アクセスのためだけにプライベートファイルの送信が必要で、資格情報の追加の暗号化を提供するSSHファイルプロトコル（SFTP）を利用して排除できます。

Magentoのバックアップを毎日実行する

毎日のバックアップは、攻撃のリスクを減らすための最も効率的な方法の1つであり、回復のための効果的な方法です。

ディレクトリのインデックス作成を無効にする

コアMagentoファイルをハッカーから隠すには、ディレクトリインデックスを無効にすると、セキュリティが強化されます。

Magentoのパスワードを他の場所で再利用しないでください

この声明は、あなたが利用するすべての重要なパスワードに完全に捧げられており、Magentoのパスワードも例外ではありません。 Magentoのパスワードは、管理パネルにのみ使用し、他の場所には使用しないでください。

強力なパスワードを選択する

高度に保護された強力なパスワードにより、ユーザーの販売および情報データについて保護されていると感じることができます。 小文字と大文字、特殊文字、数字を含む十分な長さのパスワードを使用すると便利です。

メールの抜け穴をなくす

Magentoがパスワード回復機能を提供している限り、メールが知られていないことを確認し、Magentoのパスワードと同じようにパスワードを完全に保護してください。

Magentoのセキュリティを毎日チェック

毎日のMagentoのセキュリティチェックにより、オンラインストアの状態を最新の状態に保ち、落ち着かせることができます。 この目的のために、Magento拡張機能を利用するか、監査会社を雇うことができます。

承認されたIPアドレスのみに管理者アクセスを許可する

IPアドレスを確実にプルして管理領域に入ると、.httpaccessファイル内の他のアドレスからのアクセスを制限できます。 そこにアドレスまたは特定のIPアドレスのプルを定義し、全体的なセキュリティを強化します。

ウイルス対策ソフトウェアを最新の状態に保つ

最新のウイルス対策ソフトウェアは、セキュリティポリシー内の重要なタスクを実行します。 商用製品は通常、ウイルスやトロイの木馬に対する強力な保護を提供します。データ漏洩に悩まされるよりも、製品やサービスの料金を高く支払う必要があります。

ブラウザ内にパスワードを保存しないでください

ブラウザ内にパスワードを保存すると便利な場合がありますが、実際には賢明ではありません。 コンピュータにアクセスできる人は、ユーザー名とパスワードを簡単に読み取って利用できます。

Magentoコミュニティの利点を活用する

Magentoには開発者とユーザーの巨大なコミュニティがあるため、複数のガイド、チュートリアル、フォーラムスレッド、およびいくつかの優れたアドバイスを利用して、ストアを安全に保つことができます。

ブラウザがどこから来ているかに注意してください

あなたのブラウザは、Webとあなたの間の中心的な仲介者です。 Cookie、パスワード、およびURLを保存し、信頼できるプロバイダーからの検証済みのものを確実に利用できるようにします。 そうでなければ、すべてのセキュリティの取り組みは役に立たない。

MySQLインジェクションを防ぐ

ハッカーがMySQLデータベースの侵害に成功したとき。 彼らはあなたの店のすべての情報に静かにアクセスし、取引を無効にし、顧客のデータを台無しにすることができます。 これを排除するために、Magentoは最新バージョンとパッチですべてのMySQLインジェクション攻撃を打ち負かすための信頼できるサポートを提供します。 強力なWebアプリケーションファイアウォールを追加して、eコマースWebサイトを適切に保護することをお勧めします。

正しいMagentoホスティングを選択してください

かなり長い間、オンラインビジネスを使用している人々は、共有ホスティングがどのeコマースビジネスにとっても安全な選択ではなく、eコマースも例外ではないことを知っています。 したがって、Magentoのeコマースセキュリティを危険にさらしたくない場合は、マネージドホスティングプラットフォームが正しい選択です。 それに加えて、マネージドホスティングはサーバーのパッチ適用とセキュリティ全体をカバーし、堅牢なMagentoセキュリティを保証します。

強力なバックアップ計画

バックアップ計画は、プライバシーとセキュリティの観点から必然的に多くのヒントになります。 Webサイトがハッキングされた場合、または何らかの理由でWebサイトがクラッシュした場合、バックアップ計画では、サービスに関連する中断が発生しないように常に確認します。 ウェブサイトのバックアップファイルを保存することで、データの損失を簡単に防ぐことができます。

Magento 2は、プラットフォームで特定の役割を実行することによってすべての自動チェックを行う一連のファイルシステム権限を持っているとしてこれに対抗します。 それとは別に、中断を避けるために、常にハードディスクバックアップとクラウドベースのストレージの両方の利用を練習する必要があります。

Magentoサイトの可能な限り最良の修正

Magentoオンラインストアは、環境全体の不十分なセキュリティ対策ではなく、不適切なMagentoセキュリティ対策のために、強制的にではなくハッキングに成功しています。 言い換えれば、責任があるのは必ずしもMagentoではありません。

システムまたはサーバーのいずれかのセグメントがハッカーにウィンドウを開くと、Magentoも脆弱になります。 Magentoとサーバースタック全体、別名LEMP（Linux、MySQL、NGINX、PHP）またはLAMP（Linux、MySQL、Apache、PHP）を監視および更新することが不可欠です。

Magentoのセキュリティ対策については、記事の最後で触れます。

MagentoのWebサイトがハッキングされました。 回復するにはどうすればよいですか？

ステップ1.ハックがそこにあることを確認します

ハッカーがあなたのウェブサイトを攻撃すると、ハッカーはハッキングするコンポーネントまたはシステムのすべての権利を取得します。 たとえば、彼/彼女がNGINXを使用してシステム内に入ると、すべてのユーザーは特権ユーザーではないwww-dataにのみアクセスできます。 精通したハッカーは、常にシステム内に留まろうとします。 彼らは、より簡単でローカルな脆弱性を検索して、アクセスできるデータの種類と、権利と特権を高める方法を探ります。

最終的な目標は、サーバーのルートディレクトリです。 ルートへの特権を取得すると、ハッカーがシステムに加える可能性のある、システムのパフォーマンスに影響を与える可能性のあるすべての変更を検出できなくなるリスクがあります。 ハッカーはすべての痕跡を隠すことができるので、あなたはそれらを取り除くことができないかもしれません。

ハッカーがどこまで到達できるかを知るには、環境で行われたすべてのアクティビティと変更を徹底的かつ適切に分析する必要があります。 この操作には時間がかかります。 無駄にできない時間。

したがって、Magentoオンラインストアがすぐにハッキングされたかどうかを理解する必要があり、不利な結果を防ぐための対策を講じる必要があります。

Magentoハックの兆候：

• クレジットカードの活動に関する顧客の苦情。
• ブラックリストの警告。
• Magentoページの異常な動作。
• 悪意のある活動はホスティングプロバイダーによって報告されます。
• スパムキーワードがサイトに表示されます。
• フォルダまたはファイルの不明な変更。
• Magentoコア内の変更。
• サーバーの異常な負荷。
• 不明な管理者ユーザーとセッション。

ステップ2.決定–ダウンタイムまたはダウンタイムではない

Magento Webサイト内で上記のリストから何かに気づいたら、遠慮なくMagento開発会社またはシステム管理者に連絡してください。 彼らはあなたのウェブサイトを素早く分析し、何が起こっているのか、そして解決策は何かを教えてくれます。

そこから、Webサイトをダウンタイムモードにするかどうかという重要な決定を下す必要があります。

ダウンタイムとは、すべてのユーザーがWebサイトを利用できない期間です。 サーバーをネットワークからオフにすると、ストアはアクティビティを実行しません。 ユーザーは支払いや注文を行うことができなくなります。 また、ハッカーがWebサイトをリモートコントロールして、損害を与えることもできません。

あなたの店が1時間に何百もの注文を処理していると仮定します。 数時間のダウンタイムは、かなりの利益の損失につながります。 次に、外出先ですべてを修正しようとすることができます。

ただし、数時間のダウンタイムが発生する可能性がある場合は、サーバーをネットワークからオフにすることをお勧めします。

ステップ3.クリーンで安全なMagentoインストールをセットアップする

つまり、サーバーが無効になっています。

次に、クリーンで最新のバージョンを使用して、新しいサーバーにMagentoを再インストールする必要があります。

これは、店舗が同じハッカーの攻撃を受けないようにするための最も安全な方法であり、利益を失わないようにビジネスをオンラインに戻すための最速の方法です。

バックアップからではなく、gitリポジトリ内に保存されているMagentoバージョンをインストールすることをお勧めします。

なぜgitリポジトリのMagentoバージョンを利用するのですか？

Magentoストアを作成するときは、ローカルサーバーを利用します。 バックエンドとフロントエンドには、テスター、管理者、開発者など、チーム以外の誰もアクセスできません。ストアの最後のバージョンはgitリポジトリからダウンロードされます。 そこから、ライブWebサイトに移動します。

これは、gitリポジトリ内に保存されている最新バージョンが99.99％完全にクリーンであることを意味します。 同じ脆弱性がある場合でも、第三者がまだアクセスしていない可能性があります。 ストアを立ち上げるときに、その脆弱性を排除する時間があります。 ただし、バックアップからMagentoバージョンをインストールする場合は、ハッカーの悪意のあるスクリプトがすでに存在している可能性があります。

ステップ4.必要なすべてのソフトウェアとパッチをインストールします。

Magentoがクリーンにインストールされた新しいサーバーを作成したら、すべてのソフトウェアアップデートとMagentoセキュリティパッチもインストールされていることを確認します。

パッチは、Magentoで検出されたセキュリティまたは脆弱性の問題を修正する変更されたコアファイルの1つのパッケージです。

素晴らしいツール– MageReport.com –があり、すべての重要なパッチがインストールされているかどうか、およびWebサイトにどのような基本的なセキュリティ問題があるかをすぐに確認できます。

ステップ5.新しいデータベースを構成します。

クリーンで最新のMagentoセットアップが完了したら、バックアップからクライアントのデータベースの最新バージョンを設定します。 このデータベースには、eコマースストアで行われたすべての最新のトランザクションとすべての最近の注文が含まれています。 これにより、サーバーの電源を切った瞬間からオンラインビジネスを復元できます。

重要な瞬間。

Magentoストアがハッキングされた場合は、保存しているユーザーの情報に関係なく、すべてのユーザーにそのことを通知する必要があります。 しかし、実際には、ユーザーの信頼を失うという考えに熱心に感じる店主はほとんどいません。 それは少なくともです。

安全な支払いゲートウェイを使用してMagentoストア内で支払いを行う場合、ハッカーはユーザーのクレジットカードのクレデンシャルにアクセスできなくなります。 Amazon PaymentsやPayPalなどの有名な支払いゲートウェイはすべて、高度な暗号化を提供します。 クライアントの支払いデータをデータベース内に保存している場合は、ハッキングについてユーザーに通知し、クレジットカード取引を監視するようにユーザーに要求する必要があります。

ステップ6.分析と監視

データベースを構成し、ストアをオンラインに戻しました。 あなたは支払いを受け入れ、ハッカーがシステムの外に残されていることを確信することができます。

これで、攻撃が成功した原因を分析し、これらの脆弱性をすべて排除することができます。

典型的なMagentoの脆弱性

• 「画像アップロードディレクトリ」にオープンサーバーの脆弱性
• 管理パネルまたはFTP内の弱いパスワード（「company_name」、「admin」、「11111」など）
• 古いコンテンツ管理システムのバージョンまたはMagentoのインストール
• 安全でないウェブホスト
• バギー拡張機能またはプラグイン

ハッキングによってMagentoサイトの異常な動作が発生した場合は、すぐに気付くでしょう。

ただし、すべての攻撃がMagentoの動作に明らかな変化をもたらすわけではありません。 あなたの店は通常の方法で運営でき、ハッキングが起こったとしてもすべてが大丈夫だと考えることができます。 したがって、ハッキングにつながる同様のアクティビティがある場合にログに不明なアクティビティがある場合は、すべての不明なログインを追跡するために新しいサーバーの動作を観察する必要があります。