Magento ストアをハッキングから保護する方法

公開: 2020-02-04

Magento は、世界最大のオープンソース e コマース プラットフォームの 1 つであり、悪意のあるハッカーの目を楽しませています。 このプラットフォームを保護するための作業量に関係なく、ハッカーはセキュリティ対策を回避する新しい方法を考え出そうとし続けます.

Magento には独自のセキュリティ機能がある (そしてそれらは最高の機能の 1 つです) という事実にもかかわらず、すべての脆弱性を評価するために、積極的にセキュリティ監査やテストなどの予防措置を講じる必要があります。

Magento ストアがハッキングされる可能性を最小限に抑えるには、定期的な監視と時間通りの更新を実施することが最善の方法です。

Magento の専門家として、Magento の e コマースの所有者から、ユーザー データを危険にさらす将来のハッキング攻撃からストアを防ぐ必要があるという多くの要求を受け取ります。

セキュリティ上の懸念は常に存在するため、一連の監査と、オンラインストアをハッキングから保護するために実行できる重要な手順を共有したい理由.

この記事では、店舗の所有者、マーケティング マネージャー、e コマース マネージャーなどが、必須の Magento セキュリティ対策を実装する方法をまとめています。

安全なホスティング インフラストラクチャを選択する

ホスティング プロバイダーを選択するときは、安全なソフトウェア開発ライフサイクルを備えていること、および業界標準 (つまり、OWASP セキュリティのベスト プラクティス) に従って動作していることを確認してください。

新しい Web サイトを構築中の場合は、HTTPS 経由でサイトを起動します。 これにより、サイトが安全に暗号化されるだけでなく、Google ランキングが高くなります。 既存の Web サイトについては、HTTPS で実行するようにサイトをアップグレードすることをお勧めします。

安全な環境

すべてのソフトウェアを最新の状態に保ち、推奨されるすべてのセキュリティ パッチを適用します。 Magento は定期的にパッチの形式で修正をリリースするため、最新のパッチがすべてシステムにインストールされているかどうかを確認することをお勧めします。

FTP を無効にし、安全な通信 (SSH/SFTP/HTTPS) のみを使用してファイルを管理します。 これが推奨される理由は、プレーン FTP はデータをプレーンテキストで送信するためです。つまり、ユーザーのユーザー名やパスワードなどの機密情報が簡単に取得される可能性があります。

Apache Web サーバーとは異なるサーバーを使用している場合は、すべてのシステム ファイルとディレクトリが保護されていることを確認してください。

ホワイトリストに登録された IP アドレスのみが管理パネルにアクセスできるようにします。 この権限の管理方法がわからない場合は、こちらをお読みください。

管理者ログインに2 要素認証を実装します。 これにより、携帯電話で生成される追加のパスコードを必要とする追加のセキュリティが提供されます.

Magento 管理ダッシュボードへのアクセスに使用するコンピューターを保護するために、ウイルス対策ソフトウェアを定期的に更新し、マルウェア スキャナーを使用してください。

さらに、安全なサーバー オペレーティング システムを確保するために、サーバー上で不要なソフトウェアが実行されていないことを確認してください。

安全なマジェント

管理 URL を突破しようとする可能性のあるスクリプトへの露出を減らすには、簡単に推測できない固有の管理 URL を使用してください。

Magento 管理者アカウントには強力なパスワードを使用してください。 Magento 管理者用の単純なパスワード (生年月日、名前、姓など) は絶対に使用しないでください。月に 1 回程度、パスワードを変更してください。 また、パスワードを第三者と共有しないでください。 開発者にアクセスを提供する必要がある場合は、開発者用に別のユーザーを作成し、作業が完了したら削除してください。

管理者ユーザーを定期的にチェックして、適切なユーザーのみがストア管理パネルにアクセスできるようにします。 これは、古いユーザーを削除/削除するのに適した時期です。

Magento e コマースへの迷惑なアクセスを防ぐために、適切な権限レベルを確認することが重要です。 このチェックにより、ユーザーのすべてのグループに意図したアクセス権のみが付与されることが保証されます。

管理者セキュリティ、パスワード オプション、および CAPTCHA については、Magento のセキュリティ関連の構成設定に従います。

最新バージョンの Magentoを使用して、最新のセキュリティ強化を享受してください。 それ以外の場合は、Magento が推奨するすべてのセキュリティ パッチをインストールします。

最後に、一部の Magento 拡張機能は作成者によって必要とされていないか、もはや維持されていないため、脆弱性があります。 アドオンのリストを見直して、それらが最新かどうかを確認することが重要です。 これは、放棄された拡張機能を削除してアンインストールするのに役立ちます。

ハッキングされた Magento サイトの兆候または症状を監視する

Web ストアが利用できない: ストアが常に利用できない場合、またはホスティング サービスによってブロックされている場合は、サービス拒否攻撃の犠牲になっている可能性があります。 このタイプの攻撃はオンライン プレゼンスを妨害しますが、データの安全性を脅かすものではありません。

管理パネルとコンテンツの問題: あなたが作成していない管理者権限を持つ新しいユーザーがいることがわかった場合、ストアのコンテンツに変更が加えられたことに気付いた場合、またはログインすらできない場合は、深刻な問題に直面している可能性があります。あなたのウェブサイトやビジネスへの危険な攻撃 (管理者パネルの侵入)

パフォーマンスの低下 : ハッキング リダイレクト攻撃は、ストアのトラフィックを取得し、顧客をマルウェア、フィッシング攻撃、または広告スパムにさらすことを目的としています。 ストアが検索エンジンに表示されない、または迷惑なページにリダイレクトされることに気付いた場合は、ハッキングされている可能性があります。

報告されたデータの盗難: 顧客が自分のアカウントで疑わしいアクティビティを報告した場合、またはクレジット カードの資格情報が盗まれた場合、この攻撃を受けました。 これらは、データ アクセスと個人情報の盗難を目的とした電子メール ベースの攻撃です。

これがあなたの e コマース サイトにどれほど深刻な影響を与えるかについて言及する必要はありません。

  • 不審なアクティビティがないかサーバー ログを定期的に確認します。
  • 権限のない管理者ユーザーが作成されていないか確認してください。 管理アクション ログを監視できます。
  • サーバー上のファイルのデータ整合性をチェックして、潜在的なマルウェアのインストールを回避します。
  • 予期しないアクティビティ、アップロード、またはコマンドがないか、すべてのシステム ログイン (FTP、SFTP、SSH) を監視します

回復計画を立てる

厳重なセキュリティ対策を講じたとしても、最悪の事態を想定した復旧・事業継続計画を作成してください。 Web ストアのデータ全体をバックアップすることが不可欠です。 これは、データが失われた場合に Web ストアを復元するのに役立ちます。

データベースとサーバー ファイルの既存のバックアップが外部の場所にあることを確認します。 これらのバックアップが正しく作成され、復元できることを確認してください。

攻撃の場合は、どんなに小さなものであっても、データベースの認証情報、ファイル アクセス、支払いゲートウェイの暗号化キー、Web サービスと Magento 管理者ログイン、FTP、SSH などを含むすべての認証情報をリセットします。