Le migliori strategie di sicurezza per salvaguardare il tuo negozio Magento

(Questo è un post degli ospiti dei nostri amici di JetRails, un provider di hosting Magento che offre configurazioni dei clienti su server dedicati nel cloud AWS.)

La tua vetrina Magento è un obiettivo di alto valore per gli hacker e richiede misure di sicurezza rigorose per ridurre al minimo le sue vulnerabilità. In qualità di provider di hosting Magento dedicato, JetRails viene spesso chiamato come soccorritori di emergenza per combattere attacchi dannosi. Abbiamo esperienza diretta dell'impatto catastrofico che una violazione della sicurezza può avere sulla tua azienda.

Seguire le migliori pratiche e i protocolli di sicurezza è la migliore difesa per salvaguardare la tua vetrina Magento. Usa questo elenco di controllo come guida per le misure di sicurezza dalle minacce più comuni, tra cui l'iniezione di codice dannoso, malware, attacchi di forza bruta e i temuti DDoS.

Migliori pratiche di sicurezza Magento

Consulta il nostro elenco di controllo delle migliori pratiche di sicurezza Magento per assicurarti di essere protetto dalle minacce online più comuni.

Posizioni predefinite sicure

Ogni installazione di Magento ha diverse cartelle di back-end utilizzate per scopi amministrativi. Questi punti di ingresso si trovano per impostazione predefinita in /admin, /downloader, /var e vari /rss endpoint. Poiché queste cartelle sono impostate in posizioni specifiche e note, possono essere un ingresso per attacchi dannosi al tuo sito. Gli attacchi di forza bruta ai tuoi percorsi di amministrazione possono mettere a dura prova le tue risorse, limitando la capacità dei visitatori, incidendo sulla velocità ed erodendo la stabilità. Questo è un problema più strettamente associato alle installazioni Magento 1.x rispetto alle installazioni Magento 2.x (che richiedono automaticamente questo protocollo di sicurezza). Bloccare l'accesso, personalizzare e proteggere i percorsi dell'amministratore rende molto più difficile per gli hacker sfruttare questa vulnerabilità.

Autenticazione a due fattori

L'autenticazione a due fattori nota anche come 2FA aggiunge un secondo livello di protezione per autenticare le credenziali di accesso per gli utenti amministratori ed è un componente fondamentale per la sicurezza di Magento. Con un'installazione Magento di serie, a un utente viene fornito un solo metodo di autenticazione con limitazioni di sicurezza. L'aggiunta dell'autenticazione a due fattori è diventata una best practice a livello di settore ed è fondamentale per proteggere il tuo sito web. I plug-in Magento 2FA possono essere trovati sul Marketplace di Magento, inclusa l'autenticazione a due fattori Magento di JetRails.

Firewall per applicazioni web

L'utilizzo di un Web Application Firewall (WAF) come quello di Cloudflare ti consentirà di scoraggiare le vulnerabilità della sicurezza bloccando il traffico dannoso prima che raggiunga effettivamente il tuo server. Un WAF può filtrare, monitorare e bloccare il traffico in entrata in base a regole specifiche configurate dall'utente. Ad esempio, il Geoblocking ti consente di limitare l'accesso di bot e/o umani da specifiche regioni globali. Un altro vantaggio di Cloudflare WAF è l'Intelligenza collettiva, che ti consente di bloccare non solo il traffico che hai identificato come dannoso, ma anche qualsiasi traffico ritenuto dannoso dall'intera community di Cloudflare. Inoltre, un WAF può offrire una certa protezione contro le patch Magento non applicate. Tuttavia, è molto importante avere sempre le ultime patch di sicurezza Magento installate anziché affidarsi esclusivamente a un firewall (anche molto sofisticato).

Aggiornamento delle patch di Magento

Il software open source di Magento offre alle comunità di e-commerce un'enorme flessibilità per personalizzare i propri siti e soddisfare le esigenze dei propri clienti. Tuttavia, la responsabilità di seguire i protocolli di sicurezza, aggiornare le patch di sicurezza e scoraggiare le vulnerabilità richiede un'azione da parte dei proprietari delle vetrine e del team di sviluppo.

Quando viene rilevata una vulnerabilità di sicurezza, gli sviluppatori Magento apportano modifiche minori a una specifica riga di codice. Questa modifica al codice viene inviata da Magento come patch di sicurezza da installare automaticamente. Anche gli hacker sono a conoscenza di queste vulnerabilità, il che significa che le patch di sicurezza dovrebbero essere installate non appena vengono rilasciate. Un'ottima risorsa da utilizzare è MageReport, che controllerà il tuo sito per determinare se sono necessarie installazioni di patch Magento. Gli aggiornamenti di sicurezza delle patch possono essere trovati anche nel Magento Security Center. I tuoi partner tecnologici dovrebbero avvisarti non appena le patch diventano disponibili.

Plug-in di terze parti

I plugin di terze parti per Magento possono creare infinite opzioni per migliorare la tua vetrina e l'esperienza del cliente. Tuttavia, l'aggiunta di funzionalità può anche causare vulnerabilità impreviste. Per garantire che la sicurezza venga mantenuta dopo l'installazione di plug-in di terze parti, lo sviluppatore dovrà controllare manualmente tutti i fornitori e le applicazioni per gli aggiornamenti. I plug-in di terze parti devono essere attentamente monitorati e corretti man mano che le vulnerabilità vengono esposte. Il Marketplace di Magento è diventato molto più severo nella verifica dei plugin per Magento 2, ma lo stesso principio si applica sia a Magento 1 che a Magento 2.

Versioni OS/PHP

Proprio come l'installazione di Magento, il sistema operativo del server deve essere aggiornato con il kernel e le patch di sicurezza più recenti. In caso contrario, possono verificarsi gravi lacune di sicurezza come le vulnerabilità Meltdown e Spectre esposte all'inizio del 2018, che hanno consentito al codice dannoso di leggere la memoria del kernel.

Questo vale anche per PHP, che legge ed esegue il codice sorgente di Magento. Ogni nuova iterazione di PHP protegge le vulnerabilità che sono state esposte nelle versioni successive. Inoltre, le versioni precedenti di PHP non supereranno le scansioni di conformità PCI.

È di vitale importanza collaborare con un provider di servizi gestiti che sarà responsabile della manutenzione dell'intero stack software, incluso il kernel ei servizi correlati.

Conformità PCI

Il Payment Card Industry Data Security Standard (PCI DSS) si applica alle aziende di qualsiasi dimensione che accettano pagamenti con carta di credito. Poiché la maggior parte delle vetrine Magento si occupa degli account dei clienti, è prudente soddisfare gli standard di conformità PCI. Se la tua azienda intende accettare pagamenti con carta ed elaborare i dati dei titolari di carta dei clienti, devi ospitare i tuoi dati in modo sicuro anche con un provider di hosting conforme allo standard PCI. L'esecuzione di una scansione PCI tramite un fornitore approvato come Trustwave può svelare problemi di sicurezza che potrebbero ostacolare la tua capacità di ottenere la conformità PCI.

Accesso con privilegi minimi

Un'altra importante considerazione di progettazione per proteggere il tuo sito Web Magento da comportamenti dannosi è il concetto di accesso con privilegi minimi. Questo principio richiede che gli utenti abbiano accesso solo al sottoinsieme minimo di funzioni necessarie per eseguire un'attività specifica. Ad esempio, i dipendenti del reparto spedizioni dovrebbero avere accesso solo alla funzionalità di spedizione; allo stesso modo, coloro che si occupano di fatturazione dovrebbero avere solo la capacità di incidere sulla fatturazione. Utilizzando una combinazione di autorizzazioni di sola lettura e dipartimenti separati, la sicurezza dei dati sensibili dei tuoi clienti sarà migliorata.

Sicurezza di accesso

Le password devono essere modificate regolarmente e non devono essere condivise. La pratica di buoni protocolli di password è essenziale per la sicurezza. Non inviare password in e-mail in chiaro, SMS, IM, ticket di supporto o in qualsiasi altro metodo non crittografato. Per l'accesso al sistema, di solito non è una buona idea consentire l'autenticazione della password per gli utenti shell o SFTP. Quando possibile, usa le chiavi SSH invece delle password.

Un'ottima risorsa per archiviare le password in modo sicuro è LastPass, un sistema di gestione gratuito che funziona su ogni browser e dispositivo mobile. Può anche generare password sicure e offre i più elevati standard di crittografia attualmente disponibili.

Proteggi il tuo ambiente di sviluppo

È molto importante limitare tutti gli accessi al tuo ambiente di sviluppo da chiunque non sia i tuoi sviluppatori. Ricorda, il tuo ambiente di sviluppo è uno specchio del tuo sito di produzione (live) con informazioni ugualmente preziose. Spesso gli sviluppatori riutilizzano le password e le chiavi SSH sia in dev che in prod, quindi è fondamentale mantenere gli stessi rigorosi protocolli di sicurezza in entrambi gli ambienti.

Circondati di una grande squadra

Ciascuno di questi passaggi fornisce un diverso livello di protezione e può essere incorporato in una strategia di sicurezza per aiutarti a mitigare i rischi ed eliminare le minacce al tuo negozio Magento. Lavorare con una buona società di hosting e un solido team di sviluppo è fondamentale per realizzare un solido piano di sicurezza. Alla fine della giornata, proteggere il tuo sito di e-commerce significa proteggere le tue risorse, i tuoi clienti e la tua reputazione.

Circa l'autore: Davida Wexler, Direttore Marketing per JetRails

Davida Wexler è la direttrice del marketing di JetRails, un provider di hosting Magento che offre configurazioni personalizzate su server dedicati e nel cloud AWS. Con uffici a Chicago, JetRails si concentra su sicurezza, accelerazione e prestazioni per le piattaforme di e-commerce. L'azienda è appassionata di aiutare i propri clienti a crescere e guidare il successo di Magento. Alla fine della giornata, credono che l'e-commerce riguardi le persone, non i server. *Davida non è un dipendente di nChannel. È una blogger ospite.