Strategi Keamanan Teratas untuk Menjaga Toko Magento Anda

(Ini adalah posting tamu dari teman-teman kami di JetRails, penyedia hosting Magento yang menawarkan konfigurasi pelanggan pada server khusus di AWS Cloud.)

Etalase Magento Anda adalah target bernilai tinggi bagi peretas dan memerlukan langkah-langkah keamanan yang ketat untuk meminimalkan kerentanannya. Sebagai penyedia hosting khusus Magento, JetRails sering dipanggil sebagai penanggap darurat untuk memerangi serangan berbahaya. Kami memiliki pengalaman langsung dengan dampak bencana yang dapat ditimbulkan oleh pelanggaran keamanan terhadap bisnis Anda.

Mengikuti praktik dan protokol keamanan terbaik adalah pertahanan terbaik dalam menjaga etalase Magento Anda. Gunakan daftar periksa ini sebagai panduan untuk langkah-langkah keamanan dari ancaman paling umum termasuk injeksi kode berbahaya, malware, serangan brute force, dan DDoS yang ditakuti.

Praktik Terbaik Keamanan Magento

Lihat daftar periksa praktik terbaik keamanan Magento kami untuk memastikan Anda terlindungi dari ancaman online paling umum.

Lokasi Default Aman

Setiap instalasi Magento memiliki beberapa folder back-end yang digunakan untuk tujuan administratif. Titik masuk ini secara default terletak di /admin, /downloader, /var dan berbagai titik akhir /rss. Karena folder ini ditetapkan di lokasi tertentu dan diketahui, mereka dapat menjadi pintu masuk untuk serangan berbahaya di situs Anda. Serangan brute force ke jalur admin Anda dapat membebani sumber daya Anda – membatasi kapasitas pengunjung, memengaruhi kecepatan, dan mengikis stabilitas. Ini adalah masalah yang paling erat kaitannya dengan instalasi Magento 1.x versus instalasi Magento 2.x (yang secara otomatis memerlukan protokol keamanan ini). Memblokir akses, menyesuaikan, dan mengamankan jalur admin mempersulit peretas untuk mengeksploitasi kerentanan ini.

Otentikasi Dua Faktor

Otentikasi dua faktor juga dikenal sebagai 2FA menambahkan perlindungan tingkat kedua untuk mengautentikasi kredensial masuk untuk pengguna admin dan merupakan komponen penting untuk keamanan Magento. Dengan instalasi Magento stok, pengguna hanya diberikan satu metode otentikasi yang memiliki batasan keamanan. Menambahkan autentikasi dua faktor telah menjadi praktik terbaik di seluruh industri dan sangat penting untuk mengamankan situs web Anda. Plugin Magento 2FA dapat ditemukan di Magento Marketplace termasuk Otentikasi Dua Faktor Magento oleh JetRails.

Firewall Aplikasi Web

Memanfaatkan Firewall Aplikasi Web (WAF) seperti Cloudflare, akan memungkinkan Anda untuk mencegah kerentanan keamanan dengan memblokir lalu lintas berbahaya sebelum benar-benar mencapai server Anda. WAF dapat memfilter, memantau, dan memblokir lalu lintas masuk berdasarkan aturan khusus yang Anda konfigurasikan. Misalnya, Geoblocking memungkinkan Anda membatasi akses bot dan/atau manusia dari wilayah global tertentu. Manfaat lain dari WAF Cloudflare adalah Kecerdasan Kolektif, yang memungkinkan Anda untuk memblokir tidak hanya lalu lintas yang telah Anda identifikasi sebagai berbahaya tetapi semua lalu lintas yang dianggap berbahaya oleh seluruh komunitas Cloudflare. Selain itu, WAF dapat menawarkan perlindungan terhadap patch Magento yang tidak diterapkan. Namun, sangat penting untuk selalu menginstal patch keamanan Magento terbaru vs hanya mengandalkan firewall (bahkan yang sangat canggih).

Memperbarui Patch Magento

Perangkat lunak sumber terbuka Magento menawarkan komunitas e-niaga fleksibilitas luar biasa untuk menyesuaikan situs mereka dan memenuhi kebutuhan pelanggan mereka. Namun, tanggung jawab untuk mengikuti protokol keamanan, memperbarui patch keamanan, dan mencegah kerentanan memerlukan tindakan dari pemilik etalase dan tim pengembangan.

Ketika kerentanan keamanan ditemukan, pengembang Magento membuat perubahan kecil pada baris kode tertentu. Tweak dalam kode ini dikirim oleh Magento sebagai patch keamanan untuk diinstal sendiri. Peretas juga menyadari kerentanan ini, yang berarti patch keamanan harus dipasang segera setelah dirilis. Sumber daya yang bagus untuk digunakan adalah MageReport, yang akan memeriksa situs Anda untuk menentukan apakah ada instalasi patch Magento yang diperlukan. Pembaruan keamanan patch juga dapat ditemukan di Pusat Keamanan Magento. Mitra teknologi Anda harus memberi tahu Anda saat tambalan tersedia.

Plug-in pihak ketiga

Plugin pihak ketiga untuk Magento dapat membuat opsi tanpa akhir untuk meningkatkan pengalaman etalase dan pelanggan Anda. Namun, penambahan fitur juga dapat menyebabkan kerentanan yang tidak terduga. Untuk memastikan keamanan tetap terjaga setelah menginstal plugin pihak ketiga, pengembang Anda perlu memeriksa pembaruan secara manual semua vendor dan aplikasi. Plugin pihak ketiga harus dipantau dan ditambal dengan hati-hati saat kerentanan terungkap. Magento Marketplace menjadi jauh lebih ketat dalam memeriksa plugin untuk Magento 2 tetapi prinsip yang sama berlaku untuk Magento 1 dan Magento 2.

Versi OS/PHP

Sama seperti instalasi Magento Anda, sistem operasi server Anda harus selalu diperbarui dengan kernel dan patch keamanan terbaru. Gagal melakukannya dapat mengakibatkan celah keamanan utama seperti kerentanan Meltdown dan Spectre yang terungkap pada awal 2018, yang memungkinkan kode berbahaya membaca memori kernel.

Ini juga berlaku untuk PHP, yang membaca dan mengeksekusi kode sumber Magento. Setiap iterasi baru PHP mengamankan kerentanan yang terungkap di versi berikutnya. Selain itu, versi PHP yang lebih lama tidak akan lulus pemindaian Kepatuhan PCI.

Sangat penting untuk bekerja dengan penyedia layanan terkelola yang akan bertanggung jawab untuk memelihara seluruh tumpukan perangkat lunak, termasuk kernel dan layanan terkait.

Kepatuhan PCI

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) berlaku untuk perusahaan dari berbagai ukuran yang menerima pembayaran kartu kredit. Karena sebagian besar etalase Magento berurusan dengan akun pelanggan, adalah bijaksana untuk memenuhi standar kepatuhan PCI. Jika perusahaan Anda bermaksud untuk menerima pembayaran kartu dan memproses data pemegang kartu pelanggan, Anda juga perlu menghosting data Anda secara aman dengan penyedia hosting yang sesuai dengan PCI. Menjalankan pemindaian PCI melalui vendor yang disetujui seperti Trustwave dapat mengungkap tantangan keamanan yang dapat menghambat kemampuan Anda untuk mendapatkan Kepatuhan PCI.

Akses Hak Istimewa Terkecil

Pertimbangan desain penting lainnya dalam mengamankan situs web Magento Anda dari perilaku jahat adalah konsep Akses Privilege Terkecil. Prinsip ini mengharuskan pengguna untuk diberikan akses hanya ke subset minimal fungsi yang diperlukan untuk melakukan tugas tertentu. Misalnya, karyawan di departemen pengiriman seharusnya hanya memiliki akses ke fungsi pengiriman; demikian juga, mereka yang berada dalam penagihan seharusnya hanya memiliki kemampuan untuk memengaruhi penagihan. Dengan menggunakan kombinasi izin baca-saja dan pemisahan departemen, keamanan data sensitif pelanggan Anda akan ditingkatkan.

Keamanan Akses

Kata sandi harus diubah secara teratur dan tidak boleh dibagikan. Mempraktikkan protokol kata sandi yang baik sangat penting untuk keamanan. Jangan mengirim kata sandi dalam email teks yang jelas, SMS, IM, tiket dukungan, atau metode tidak terenkripsi lainnya. Untuk akses sistem, biasanya bukan ide yang baik untuk mengizinkan otentikasi kata sandi untuk pengguna shell atau SFTP. Jika memungkinkan, gunakan Kunci SSH alih-alih kata sandi.

Sumber daya yang bagus untuk menyimpan kata sandi dengan aman adalah LastPass, sistem manajemen gratis yang berfungsi di setiap browser dan perangkat seluler. Itu juga dapat menghasilkan kata sandi yang aman dan menawarkan standar enkripsi terkuat yang tersedia saat ini.

Lindungi Lingkungan Pengembang Anda

Sangat penting untuk membatasi semua akses ke lingkungan pengembangan Anda dari siapa pun selain pengembang Anda. Ingat, lingkungan pengembang Anda adalah cerminan dari situs produksi (langsung) Anda dengan informasi yang sama berharganya. Seringkali, pengembang akan menggunakan kembali kata sandi dan kunci SSH di dev dan prod, jadi sangat penting untuk mempertahankan protokol keamanan ketat yang sama di kedua lingkungan.

Kelilingi Diri Anda dengan Tim yang Hebat

Setiap langkah ini memberikan lapisan perlindungan yang berbeda dan dapat dimasukkan ke dalam strategi keamanan untuk membantu Anda mengurangi risiko dan menghilangkan ancaman terhadap etalase Magento Anda. Bekerja dengan perusahaan hosting yang baik dan tim pengembangan yang solid merupakan hal mendasar dalam mencapai rencana keamanan yang solid. Pada akhirnya, mengamankan situs e-niaga Anda adalah tentang melindungi aset, klien, dan reputasi Anda.

Tentang Penulis: Davida Wexler, Direktur Pemasaran JetRails

Davida Wexler adalah Direktur Pemasaran untuk JetRails, penyedia hosting Magento yang menawarkan konfigurasi khusus pada server khusus dan di AWS Cloud. Dengan kantor di Chicago, JetRails berfokus pada keamanan, akselerasi, dan kinerja untuk platform e-niaga. Perusahaan bersemangat membantu pelanggan mereka tumbuh dan mendorong kesuksesan Magento. Pada akhirnya, mereka percaya bahwa e-niaga adalah tentang orang, bukan server. *Davida bukan karyawan nChannel. Dia adalah blogger tamu.