Principales estrategias de seguridad para proteger su tienda Magento

(Esta es una publicación de invitados de nuestros amigos de JetRails, un proveedor de alojamiento de Magento que ofrece configuraciones de clientes en servidores dedicados en la nube de AWS).

Su tienda Magento es un objetivo de alto valor para los piratas informáticos y requiere medidas de seguridad estrictas para minimizar sus vulnerabilidades. Como proveedor de alojamiento dedicado de Magento, JetRails a menudo se llama como personal de respuesta de emergencia para combatir ataques maliciosos. Tenemos experiencia de primera mano con el impacto catastrófico que una brecha de seguridad puede tener en su negocio.

Seguir las mejores prácticas y protocolos de seguridad es la mejor defensa para proteger su tienda Magento. Utilice esta lista de verificación como guía para las medidas de seguridad contra las amenazas más comunes, incluida la inyección de código malicioso, el malware, los ataques de fuerza bruta y los temidos DDoS.

Mejores prácticas de seguridad de Magento

Consulte nuestra lista de verificación de las mejores prácticas de seguridad de Magento para asegurarse de estar protegido contra las amenazas en línea más comunes.

Ubicaciones predeterminadas seguras

Cada instalación de Magento tiene varias carpetas de back-end que se utilizan con fines administrativos. Estos puntos de entrada están ubicados de manera predeterminada en /admin, /downloader, /var y varios puntos finales de /rss. Dado que estas carpetas están configuradas en ubicaciones específicas y conocidas, pueden ser una puerta de entrada para ataques maliciosos en su sitio. Los ataques de fuerza bruta a sus rutas de administración pueden ejercer una enorme presión sobre sus recursos, lo que limita la capacidad de los visitantes, afecta la velocidad y erosiona la estabilidad. Este es un problema más asociado con las instalaciones de Magento 1.x frente a las instalaciones de Magento 2.x (que requieren automáticamente este protocolo de seguridad). Bloquear el acceso, personalizar y proteger las rutas de administración hace que sea mucho más difícil para los piratas informáticos aprovechar esta vulnerabilidad.

Autenticación de dos factores

La autenticación de dos factores, también conocida como 2FA, agrega un segundo nivel de protección para autenticar las credenciales de inicio de sesión de los usuarios administradores y es un componente crítico para la seguridad de Magento. Con una instalación de stock de Magento, al usuario solo se le proporciona un método de autenticación que tiene limitaciones de seguridad. Agregar autenticación de dos factores se ha convertido en una práctica recomendada en toda la industria y es vital para proteger su sitio web. Los complementos de Magento 2FA se pueden encontrar en Magento Marketplace, incluida la autenticación de dos factores de Magento de JetRails.

Cortafuegos de aplicaciones web

El uso de un firewall de aplicaciones web (WAF) como el de Cloudflare le permitirá disuadir las vulnerabilidades de seguridad al bloquear el tráfico malicioso antes de que llegue a su servidor. Un WAF puede filtrar, monitorear y bloquear el tráfico entrante según las reglas específicas que configure. Por ejemplo, Geoblocking le permite limitar el acceso de bots y/o humanos desde regiones globales específicas. Otro beneficio de Cloudflare WAF es la inteligencia colectiva, que le permite bloquear no solo el tráfico que haya identificado como malicioso, sino también cualquier tráfico que toda la comunidad de Cloudflare considere malicioso. Además, un WAF puede ofrecer cierta protección contra los parches de Magento no aplicados. Sin embargo, es muy importante tener siempre instalados los últimos parches de seguridad de Magento en lugar de confiar exclusivamente en un firewall (incluso en uno muy sofisticado).

Actualización de parches de Magento

El software de código abierto de Magento ofrece a las comunidades de comercio electrónico una gran flexibilidad para personalizar sus sitios y satisfacer las necesidades de sus clientes. Sin embargo, la responsabilidad de seguir los protocolos de seguridad, actualizar los parches de seguridad y disuadir las vulnerabilidades requiere acción por parte de los propietarios de la tienda y el equipo de desarrollo.

Cuando se descubre una vulnerabilidad de seguridad, los desarrolladores de Magento realizan cambios menores en una línea de código específica. Este ajuste en el código es enviado por Magento como un parche de seguridad para ser autoinstalado. Los piratas informáticos también conocen estas vulnerabilidades, lo que significa que los parches de seguridad deben instalarse tan pronto como se publiquen. Un gran recurso para usar es MageReport, que verificará su sitio para determinar si se requieren instalaciones de parches de Magento. Las actualizaciones de seguridad de parches también se pueden encontrar en el Centro de seguridad de Magento. Sus socios tecnológicos deberían alertarlo a medida que los parches estén disponibles.

Complementos de terceros

Los complementos de terceros para Magento pueden crear infinitas opciones para mejorar su tienda y la experiencia del cliente. Sin embargo, la adición de funciones también puede causar vulnerabilidades inesperadas. Para garantizar que se mantenga la seguridad después de instalar complementos de terceros, su desarrollador deberá verificar manualmente todos los proveedores y aplicaciones en busca de actualizaciones. Los complementos de terceros deben monitorearse cuidadosamente y parchearse a medida que se exponen las vulnerabilidades. Magento Marketplace se ha vuelto mucho más estricto en la verificación de complementos para Magento 2, pero el mismo principio se aplica tanto a Magento 1 como a Magento 2.

Versiones de SO/PHP

Al igual que su instalación de Magento, el sistema operativo de su servidor debe mantenerse actualizado con los parches de seguridad y kernel más recientes. No hacerlo puede dar lugar a importantes brechas de seguridad, como las vulnerabilidades Meltdown y Spectre expuestas a principios de 2018, que permitieron que el código malicioso leyera la memoria del kernel.

Esto también es cierto para PHP, que lee y ejecuta el código fuente de Magento. Cada nueva iteración de PHP asegura vulnerabilidades que fueron expuestas en versiones posteriores. Además, las versiones anteriores de PHP no pasarán las exploraciones de cumplimiento de PCI.

Es de vital importancia trabajar con un proveedor de servicios gestionados que será responsable del mantenimiento de toda la pila de software, incluidos el kernel y los servicios relacionados.

Cumplimiento PCI

El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se aplica a empresas de cualquier tamaño que aceptan pagos con tarjeta de crédito. Dado que la mayoría de los escaparates de Magento se ocupan de las cuentas de los clientes, es prudente cumplir con los estándares de cumplimiento de PCI. Si su empresa tiene la intención de aceptar el pago con tarjeta y procesar los datos del titular de la tarjeta del cliente, también debe alojar sus datos de forma segura con un proveedor de alojamiento compatible con PCI. Ejecutar un escaneo de PCI a través de un proveedor aprobado como Trustwave puede descubrir desafíos de seguridad que pueden dificultar su capacidad para obtener el cumplimiento de PCI.

Acceso con privilegios mínimos

Otra consideración de diseño importante para proteger su sitio web Magento de comportamientos maliciosos es el concepto de acceso con privilegios mínimos. Este principio requiere que los usuarios tengan acceso solo al subconjunto mínimo de funciones que se necesitan para realizar una tarea específica. Por ejemplo, los empleados del departamento de envíos solo deberían tener acceso a la función de envío; del mismo modo, los que están en la facturación solo deben tener la capacidad de impactar la facturación. Al usar una combinación de permisos de solo lectura y departamentos separados, se mejorará la seguridad de los datos confidenciales de sus clientes.

Seguridad de acceso

Las contraseñas deben cambiarse regularmente y no deben compartirse. Practicar buenos protocolos de contraseña es esencial para la seguridad. No envíe contraseñas en correos electrónicos de texto claro, SMS, IM, tickets de soporte o en cualquier otro método no cifrado. Para el acceso al sistema, generalmente no es una buena idea permitir la autenticación de contraseña para usuarios de shell o SFTP. Siempre que sea posible, utilice claves SSH en lugar de contraseñas.

Un gran recurso para almacenar contraseñas de forma segura es LastPass, un sistema de administración gratuito que funciona en todos los navegadores y dispositivos móviles. También puede generar contraseñas seguras y ofrece los estándares de encriptación más sólidos disponibles en la actualidad.

Proteja su entorno de desarrollo

Es muy importante limitar todo acceso a su entorno de desarrollo de cualquier persona que no sean sus desarrolladores. Recuerde, su entorno de desarrollo es un espejo de su sitio de producción (en vivo) con información igualmente valiosa. A menudo, los desarrolladores reutilizarán las contraseñas y las claves SSH tanto en desarrollo como en producción, por lo que es fundamental mantener los mismos protocolos de seguridad estrictos en ambos entornos.

Rodéate de un gran equipo

Cada uno de estos pasos brinda una capa diferente de protección y se puede incorporar a una estrategia de seguridad para ayudarlo a mitigar los riesgos y eliminar las amenazas a su escaparate de Magento. Trabajar con una buena empresa de hosting y un equipo de desarrollo sólido es fundamental para lograr un plan de seguridad sólido. Al final del día, asegurar su sitio de comercio electrónico se trata de proteger sus activos, sus clientes y su reputación.

Sobre el autor: Davida Wexler, directora de marketing de JetRails

Davida Wexler es directora de marketing de JetRails, un proveedor de alojamiento de Magento que ofrece configuraciones personalizadas en servidores dedicados y en la nube de AWS. Con oficinas en Chicago, JetRails se centra en la seguridad, la aceleración y el rendimiento de las plataformas de comercio electrónico. A la empresa le apasiona ayudar a sus clientes a crecer e impulsar el éxito de Magento. Al final del día, creen que el comercio electrónico se trata de personas, no de servidores. *Davida no es un empleado de nChannel. Es bloguera invitada.