Magentoストアを保護するためのトップセキュリティ戦略

公開: 2018-03-21

(これは、AWS クラウドの専用サーバーで顧客の構成を提供する Magento ホスティングプロバイダーである JetRails の友人からのゲスト投稿です。)

Magento ストアフロントは、ハッカーにとって価値の高いターゲットであり、その脆弱性を最小限に抑えるために厳格なセキュリティ対策が必要です。 専用の Magento ホスティング プロバイダーとして、JetRails は、悪意のある攻撃に対抗するための緊急対応者として頻繁に呼び出されます。 私たちは、セキュリティ違反がビジネスに与える壊滅的な影響を直接経験しています。

セキュリティのベスト プラクティスとプロトコルに従うことは、Magento ストアフロントを保護するための最善の防御策です。 このチェックリストは、悪意のあるコード インジェクション、マルウェア、ブルート フォース攻撃、恐ろしい DDoS など、最も一般的な脅威に対する安全対策のガイドとして使用してください。

Magento セキュリティのベスト プラクティス

Magento セキュリティのベスト プラクティスのチェックリストを参照して、最も一般的なオンラインの脅威から確実に保護してください。

安全なデフォルトの場所

各 Magento インストールには、管理目的で使用されるいくつかのバックエンド フォルダーがあります。 これらのエントリ ポイントは、デフォルトで /admin、/downloader、/var、およびさまざまな /rss エンドポイントにあります。 これらのフォルダーは特定の既知の場所に設定されるため、サイトに対する悪意のある攻撃の入り口になる可能性があります。 管理パスへのブルート フォース攻撃は、リソースに多大な負担をかける可能性があります。訪問者のキャパシティを制限し、速度に影響を与え、安定性を損なうことになります。 これは、Magento 1.x のインストールと Magento 2.x のインストール (この安全プロトコルを自動的に必要とする) に最も密接に関連する問題です。 アクセスをブロックし、管理者パスをカスタマイズして保護することで、ハッカーがこの脆弱性を悪用することははるかに困難になります。

二要素認証

2FA とも呼ばれる 2 要素認証は、管理者ユーザーのログイン資格情報を認証するための第 2 レベルの保護を追加し、Magento セキュリティの重要なコンポーネントです。 標準の Magento インストールでは、ユーザーにはセキュリティ制限のある 1 つの認証方法しか与えられません。 2 要素認証を追加することは、業界全体のベスト プラクティスになり、Web サイトを保護するために不可欠です。 Magento 2FA プラグインは、JetRails による Magento 二要素認証を含む Magento マーケットプレイスで見つけることができます。

ウェブ アプリケーション ファイアウォール

Cloudflare などの Web アプリケーション ファイアウォール (WAF) を利用すると、悪意のあるトラフィックが実際にサーバーに到達する前にブロックすることで、セキュリティの脆弱性を抑止できます。 WAF は、構成した特定のルールに基づいて、着信トラフィックをフィルタリング、監視、およびブロックできます。 たとえば、ジオブロッキングを使用すると、特定のグローバル地域からのボットや人間のアクセスを制限できます。 Cloudflare WAF のもう 1 つの利点は、Collective Intelligence です。これにより、悪意があると特定したトラフィックだけでなく、Cloudflare コミュニティ全体によって悪意があると見なされたトラフィックをブロックできます。 さらに、WAF は、適用されていない Magento パッチに対する保護を提供できます。 ただし、常に最新の Magento セキュリティ パッチをインストールし、(非常に洗練された) ファイアウォールだけに依存することは非常に重要です。

Magento パッチの更新

Magento のオープン ソース ソフトウェアは、e コマース コミュニティに非常に高い柔軟性を提供し、サイトをカスタマイズして顧客のニーズを満たすことができます。 ただし、セキュリティ プロトコルを遵守し、セキュリティ パッチを更新し、脆弱性を抑止する責任には、ストアフロントの所有者と開発チームの側での行動が必要です。

セキュリティの脆弱性が発見されると、Magento 開発者は特定のコード行に小さな変更を加えます。 このコードの微調整は、自己インストールするセキュリティ パッチとして Magento から送信されます。 ハッカーもこれらの脆弱性を認識しているため、セキュリティ パッチがリリースされたらすぐにインストールする必要があります。 使用する優れたリソースは MageReport です。これは、サイトをチェックして、必要な Magento パッチのインストールがあるかどうかを判断します。 パッチ セキュリティ アップデートは、Magento セキュリティ センターでも見つけることができます。 パッチが利用可能になると、テクノロジ パートナーから通知が届くはずです。

サードパーティのプラグイン

Magento のサードパーティ プラグインは、ストアフロントとカスタマー エクスペリエンスを向上させる無限のオプションを作成できます。 ただし、機能を追加すると、予期しない脆弱性が発生する可能性もあります。 サードパーティのプラグインをインストールした後もセキュリティが維持されるようにするために、開発者はすべてのベンダーとアプリケーションの更新を手動で確認する必要があります。 サードパーティのプラグインは、脆弱性が明らかになったときに注意深く監視し、パッチを適用する必要があります。 Magento マーケットプレイスは、Magento 2 のプラグインの審査においてより厳格になりましたが、同じ原則が Magento 1 と Magento 2 の両方に適用されます。

OS/PHP のバージョン

Magento のインストールと同様に、サーバーのオペレーティング システムは、最新のカーネルとセキュリティ パッチを適用して最新の状態に保つ必要があります。 これを怠ると、2018 年初頭に公開された Meltdown や Spectre の脆弱性など、重大なセキュリティ ギャップが発生する可能性があり、悪意のあるコードがカーネル メモリを読み取ることができました。

これは、Magento ソース コードを読み取って実行する PHP にも当てはまります。 PHP の新しいイテレーションごとに、後続のバージョンで公開された脆弱性が保護されます。 さらに、古い PHP バージョンは PCI コンプライアンス スキャンに合格しません。

カーネルや関連サービスを含むソフトウェア スタック全体の保守を担当するマネージド サービス プロバイダーと連携することが非常に重要です。

PCI コンプライアンス

Payment Card Industry Data Security Standard (PCI DSS) は、クレジット カードによる支払いを受け入れるあらゆる規模の企業に適用されます。 ほとんどの Magento ストアフロントは顧客アカウントを扱うため、PCI コンプライアンス基準を満たすことが賢明です。 会社がカード支払いを受け入れ、顧客のカード所有者データを処理する場合は、PCI 準拠のホスティング プロバイダーを使用してデータを安全にホストする必要もあります。 Trustwave などの承認されたベンダーを通じて PCI スキャンを実行すると、PCI コンプライアンスを取得する能力を妨げる可能性のあるセキュリティ上の課題が明らかになる可能性があります。

最小特権アクセス

Magento Web サイトを悪意のある動作から保護するためのもう 1 つの重要な設計上の考慮事項は、最小特権アクセスの概念です。 この原則では、特定のタスクを実行するために必要な最小限の機能サブセットへのアクセスのみをユーザーに許可する必要があります。 たとえば、配送部門の従業員は、配送機能にのみアクセスできる必要があります。 同様に、課金担当者は、課金に影響を与える権限のみを持つ必要があります。 読み取り専用アクセス許可と部門の分離を組み合わせて使用​​することで、機密性の高い顧客データのセキュリティが強化されます。

アクセス セキュリティ

パスワードは定期的に変更し、共有しないでください。 適切なパスワード プロトコルを実践することは、セキュリティにとって不可欠です。 平文の電子メール、SMS、IM、サポート チケット、またはその他の暗号化されていない方法でパスワードを送信しないでください。 システム アクセスの場合、通常、シェルまたは SFTP ユーザーにパスワード認証を許可することはお勧めできません。 可能な限り、パスワードの代わりに SSH キーを使用してください。

パスワードを安全に保存するための優れたリソースは、すべてのブラウザーとモバイル デバイスで動作する無料の管理システムである LastPass です。 また、安全なパスワードを生成することもでき、現在利用可能な最強の暗号化標準を提供します.

開発環境を保護する

開発者以外からの開発環境へのすべてのアクセスを制限することは非常に重要です。 開発環境は、本番 (ライブ) サイトのミラーであり、同等に価値のある情報があることを忘れないでください。 多くの場合、開発者は開発環境と本番環境の両方でパスワードと SSH キーを再利用するため、両方の環境で同じ厳格なセキュリティ プロトコルを維持することが重要です。

素晴らしいチームに囲まれて

これらの各ステップは、異なる保護レイヤーを提供し、リスクを軽減して Magento ストアフロントへの脅威を排除するのに役立つセキュリティ戦略に組み込むことができます。 優れたホスティング会社と堅実な開発チームと協力することは、堅実なセキュリティ計画を達成するための基本です. 結局のところ、e コマース サイトを保護することは、資産、クライアント、および評判を保護することです。


著者について: Davida Wexler、JetRails のマーケティング担当ディレクター

Davida Wexler - ジェットレール

Davida Wexler は、専用サーバーと AWS クラウドでカスタム構成を提供する Magento ホスティング プロバイダーである JetRails のマーケティング ディレクターです。 JetRails はシカゴにオフィスを構え、e コマース プラットフォームのセキュリティ、アクセラレーション、パフォーマンスに重点を置いています。 同社は、顧客の成長を支援し、Magento の成功を推進することに情熱を注いでいます。 結局のところ、彼らは、e コマースはサーバーではなく人に関するものだと考えています。 *Davida は nChannel の従業員ではありません。 彼女はゲストブロガーです。