30분 이내에 해킹된 Magento 웹사이트를 수정하세요!

성공적인 온라인 전자 상거래 상점이 있습니까? 인터넷상의 많은 해커 및 기타 보안 침해로부터 매장을 안전하게 유지해야 합니까? 이 특정 기사에서는 Magento 온라인 상점을 보호하는 유용한 방법에 대해 전체적으로 설명합니다. 계속 지켜봐 주세요!

전자 상거래 웹 사이트는 개인 정보 및 지불의 가용성으로 인해 고급 해커의 쉬운 표적이 되기 때문에 보안은 온라인 상점의 모든 온라인 비즈니스 소유자의 주요 관심사였습니다. 따라서 전자 상거래 Magento 매장을 보호하고 보호된 플랫폼으로 만드는 것이 사용자의 신뢰를 얻는 데 중요합니다.

Magento는 가치 있는 기능과 매일 업데이트되는 업데이트로 인해 온라인 업계에 큰 영향을 미치고 있습니다. 사전 설치된 보안 기능이 잘 갖춰져 있기 때문에 비즈니스 웹 사이트에 확장 채택된 CMS(콘텐츠 관리 시스템)입니다. Magento 커뮤니티에 따르면 전 세계적으로 Magento를 비즈니스 플랫폼으로 사용하는 250,000명 이상의 판매자가 있습니다.

온라인 비즈니스를 시작하려고 한다고 가정해 보겠습니다. 이 경우 사용자의 쇼핑 경험을 개선하여 수익을 극대화하려면 항상 전자 상거래 상점용 Magento 솔루션을 사용해야 합니다.

Magento 사이트가 해킹되었는지 감지하십시오!

여기에서 설명할 방법은 따라하기가 매우 간단하며 사이트를 최대한 빨리 해킹에서 벗어날 수 있습니다. 그러나 Magento 사이트가 오작동하지 않고 해킹당하지 않았는지 확인하는 것이 좋습니다!

일부 응용 프로그램은 이 문제에 큰 도움이 됩니다.

멀웨어 및 취약점을 찾기 위한 Magento Security Scanner

Astra의 최신 보안 보고서 에 따르면 Magento 사이트의 62%에 하나 이상의 취약점이 있습니다.

Magento 매장이 온라인 보안 위험에 노출되지 않도록 하려면 어떻게 해야 합니까?

필수 사항 중 하나는 온라인 위협으로부터 보호하고 클라우드 기반 WAF를 활용하기 위한 강화 팁을 구현하는 것입니다. 그러나 전자 상거래 상점의 보안 상태를 확인하려면 어떻게 해야 합니까? 보안 결함이 없는지 어떻게 알 수 있습니까?

그렇기 때문에 모든 종류의 테스트를 주문형으로 실행하고 예약하려면 보안 스캐너가 필요합니다. 다음은 Magento 웹사이트에서 실행하는 데 사용할 수 있는 인기 있는 스캐너입니다.

메이지 리포트

MageReport는 알려진 보안 취약점에 대해 Magento 사이트를 무료로 검증하는 최고의 스캐너 중 하나입니다. 그래 그건 사실이야. 다음 을 포함하여 완전히 무료입니다.

• 관리자 공개
• 보안 패치 6482, 9652, 6788, 7405
• RCE/웹 양식 취약점
• API 노출
• 멀웨어 방문
• 무차별 대입 공격
• 구룽 자바스크립트
• 랜섬웨어
• 그리고 훨씬 더…

MageReport는 핵심 Magento만 확인하는 것이 아닙니다. 그러나 취약점에 대한 일부 타사 사용 가능한 확장 도 있습니다. 관리자 측 내부에서 상호 작용할 때마다 발견된 새로운 취약점에 대한 알림을 받기 위해 MageReport에 등록할 수 있습니다.

포제닉스

Foregenix 테스트에 의한 외부 스캔 및 다음 사항에 대한 높은 수준의 보고서를 제공합니다.

• 마그미
• 마젠토 좀도둑
• 오래된 버전
• 클라우드 하베스터 멀웨어
• 보호되지 않는 버전 관리
• 신용카드 도용
• XSS, RSS 공격
• 관리자 인수/공개
• 비밀 누출

보고서는 디스플레이에 표시되며 PDF로도 이메일 주소로 전송됩니다.

보안 패치 테스터

Patch Tester는 온라인 상점이 최신 보안 위험에 취약한 경우에 도움이 되도록 특별히 개발되었습니다.

보안 패치를 확인하려는 경우 빠르고 편리한 도구가 될 것입니다.

스쿠리

SUCURI는 특히 Magento를 위한 것이 아닙니다. 그러나 SUCURI는 많은 구성 요소에 대해 사이트를 테스트하는 데 도움이 될 것입니다. 주요 온라인 위협에 대해 웹 사이트를 신속하게 분석하는 데 유용합니다.

• 블랙리스트
• 멀웨어
• 훼손
• 주입된 스팸

마법사 스캔

마법사 스캔은 온라인 스캐너가 아닙니다. 대신 서버에 설치해야 합니다. 인트라넷 Magento 웹사이트 를 테스트하려면 Mage Scan이 최선의 선택이 될 수 있습니다.

Magento 보안 스캔

Magento Commerce의 보안용 스캐너 도구. 스캔을 실행하기 전에 계정을 만들고(완전히 무료임) 웹사이트 소유권을 확인해야 합니다. 가장 좋은 점은 정기적으로 또는 매주 검사를 실행하도록 예약하고 이메일 주소로 적절한 보고서를 받을 수 있다는 것입니다.

아큐네틱스

스캔이 실행되는 동안 웹사이트 속도를 늦추지 않는 웹 기반 기업용 취약점 스캐너입니다. Acunetix는 Magento를 중심으로 뿐만 아니라 웹사이트에 관한 전반적인 모든 것을 포괄하는 포괄적인 보안 스캔을 제공합니다.

스캔 결과에는 보안 전문가와 프로그래머가 문제를 신속하게 해결하는 데 도움이 되는 가능한 해결 방법이 포함됩니다. GitHub, Jira, Bugzilla 등과 같은 좋아하는 버그 추적기에서 추적할 수 있습니다.

비즈니스 소유자 또는 규정 준수 담당자가 필요한 경우 HIPAA, PCI, OWASP 및 DSS 상위 10개 보고서를 생성할 수 있습니다.

Magento Stores 보안 팁

해커 공격의 가장 심각한 위험은 너무 늦을 때까지 거의 공개할 수 없다는 것입니다. 따라서 우리는 웹 사이트 보안을 미리 관리하고 매일 상태를 확인해야 합니다.

최신 Magento 버전만 사용

많은 Magento 사용자는 최신 Magento 버전을 업데이트하는 것이 안전한 이동이 아니라고 생각합니다. 따라서 그들은 이전 Magento 웹 사이트를 업그레이드하지 않습니다. 이것은 사실이 아닙니다. 실제로 프로그래머는 항상 엄격한 디버깅과 세심한 테스트를 거쳐 최신 출시 버전의 보안 패치 문제를 확인하여 오류 없는 The Magento 버전을 제공합니다.

따라서 Magento 웹사이트를 최신 버전의 Magento로 업데이트하는 것이 좋습니다. 업데이트를 통해 불필요한 가동 중지 시간 무시, 전자 상거래 웹사이트 해킹 방지, 필수 업그레이드, 새로운 기능, 버그 수정 등과 같은 여러 이점을 활용할 수 있습니다.

고유하고 사용자 정의된 관리 URL

해커는 관리자의 Magento 로그인 페이지에 쉽게 무차별 대입할 수 있습니다. www.xyz123.com/admin을 통해 액세스하는 경우. 따라서 해커와 웹사이트 스팸을 좋아하는 사용자의 공격으로부터 온라인 웹사이트를 방지하려면 항상 해커가 통과하기 힘든 고유하고 사용자 정의된 관리 URL을 만들어야 합니다.

관리자 패널에 액세스할 수 있는 사람에게만 허용된 URL에 비밀 키를 추가하는 것은 Magento 스토어 보안을 향상시키는 데 권장되는 팁입니다.

이중 인증 사용

전자 상거래 Magento 기반 웹사이트를 위한 어려운 비밀번호를 만드는 것만으로는 충분하지 않습니다. 이것이 바로 수많은 온라인 상점 소유자가 전자 상거래 웹 사이트에 대한 온라인 위협을 피하기 위해 2FA(2단계 인증)를 선택하는 이유입니다.

즉, Magento는 [2단계 인증의 안정적인 확장을 제공하여 온라인 상점 소유자가 Magento 관리자 로그인 보안을 업데이트하고 비밀번호 관련 보안 위험으로부터 스트레스를 받지 않도록 도와줍니다.

암호화된 연결(HTTPS/SSL) 활용

암호화되지 않은 연결의 로그인 자격 증명과 같이 데이터를 보낼 때마다 데이터를 가져올 위험이 항상 있습니다. 따라서 보안 연결을 활용하는 것은 Magento 매장에 매우 중요합니다.

보안 SSL/HTTPS URL을 갖는 것은 Magento 웹사이트 PCI를 준수하도록 만드는 가장 중요한 요소입니다. 이렇게 하면 사용자에게 안전한 쇼핑 경험을 제공하고 소중한 신뢰를 얻을 수 있습니다.

파일 권한을 777로 설정하지 마십시오.

Magento는 파일에 대한 777 파일 권한을 유지하지 말 것을 제안하고 재작성을 완료하는 즉시 파일 권한을 변경하도록 제공합니다.

보안 FTP 활용

FTP 비밀번호 가로채기는 가장 일반적인 해킹 방법입니다. SFTP(SSH File Protocols)를 사용하여 이 취약점을 제거할 수 있습니다. SSH 파일 프로토콜은 액세스를 위한 개인 파일 제출이 필요하고 자격 증명의 추가 암호화를 제공합니다.

매일 Magento 백업 수행

일일 백업은 공격 위험을 줄이는 가장 효율적인 방법이자 효과적인 복구 방법 중 하나입니다.

디렉토리 인덱싱 비활성화

핵심 Magento 파일을 해커로부터 숨기려면 디렉터리 인덱싱을 비활성화하면 보안이 강화됩니다.

다른 곳에서 Magento 비밀번호를 재사용하지 마십시오.

이 진술은 전적으로 귀하가 사용하는 모든 필수 비밀번호 전용이며 Magento 비밀번호도 예외는 아닙니다. 다른 곳이 아닌 관리자 패널에 대해서만 Magento 비밀번호를 활용하십시오.

강력한 비밀번호 선택

보안이 강화되고 강력한 암호로 사용자의 판매 및 정보 데이터를 보호할 수 있습니다. 소문자와 대문자, 특수 문자 및 숫자가 포함된 충분히 긴 암호를 사용하면 도움이 됩니다.

이메일 허점 제거

Magento가 비밀번호 복구 기능을 제공하는 한 귀하의 이메일이 알려지지 않았는지 확인하고 Magento 비밀번호와 마찬가지로 비밀번호를 완전히 안전하게 유지하십시오.

Magento 보안 매일 확인

매일 Magento 보안 검사를 통해 온라인 상점의 상태를 최신 상태로 유지하고 안심할 수 있습니다. 이를 위해 Magento 확장을 활용하거나 감사 회사를 고용할 수 있습니다.

승인된 IP 주소에만 관리자 액세스 권한 부여

확실한 IP 주소 풀 에서 관리 영역에 들어가면 .httpaccess 파일 내에서 다른 사람의 액세스를 제한할 수 있습니다. 주소 풀 또는 특정 IP 주소를 정의하고 전반적인 보안을 강화합니다.

바이러스 백신 소프트웨어를 최신 상태로 유지

최신 바이러스 백신 소프트웨어는 보안 정책 내에서 필수 작업을 수행합니다. 상용 제품은 일반적으로 바이러스 및 트로이 목마에 대한 강력한 보호 기능을 제공하므로 데이터 유출로 고통받는 것보다 제품 및 서비스에 대해 더 나은 비용을 지불해야 합니다.

브라우저에 비밀번호를 저장하지 마십시오

브라우저에 암호를 저장하는 것이 편리할 수 있지만 실제로는 현명하지 않습니다. 컴퓨터에 접근하는 사람들은 사용자 이름과 비밀번호를 쉽게 읽고 활용할 수 있습니다.

Magento 커뮤니티 이점 활용

Magento에는 개발자와 사용자로 구성된 방대한 커뮤니티가 있으므로 상점을 안전하게 유지하기 위해 여러 가이드, 자습서, 포럼 스레드 및 몇 가지 훌륭한 조언을 활용할 수 있습니다.

브라우저가 어디에서 오는지 알아두십시오.

귀하의 브라우저는 웹과 귀하 사이의 중앙 중재자입니다. 귀하의 쿠키, 비밀번호 및 URL을 저장하여 신뢰할 수 있는 제공업체의 검증된 것을 활용할 수 있도록 합니다. 그렇지 않으면 모든 보안 노력이 쓸모가 없습니다.

MySQL 주입 방지

해커가 MySQL 데이터베이스 침해에 성공했을 때. 그들은 조용히 상점의 모든 정보에 액세스하고, 거래를 무효화하고, 고객 데이터를 손상시키는 등의 작업을 수행할 수 있습니다. 이를 제거하기 위해 Magento는 최신 버전 및 패치로 모든 MySQL 주입 공격을 물리칠 수 있는 안정적인 지원을 제공합니다. 전자상거래 웹사이트를 안전하게 보호하려면 강력한 웹 애플리케이션 방화벽을 추가하는 것이 좋습니다.

올바른 Magento 호스팅 선택

꽤 오랫동안 온라인 비즈니스를 사용하는 사람들은 공유 호스팅이 전자 상거래 비즈니스에 안전한 선택이 아니며 전자 상거래도 예외가 아니라는 것을 알고 있습니다. 따라서 Magento 전자 상거래 보안을 손상시키고 싶지 않다면 관리형 호스팅 플랫폼이 올바른 선택입니다. 그 외에도 관리형 호스팅은 전체 서버 패치 및 보안을 다루며 강력한 Magento 보안을 보장합니다.

강력한 백업 계획

백업 계획은 반드시 개인 정보 보호 및 보안 측면에서 많은 팁입니다. 웹사이트가 해킹을 당하거나 어떤 이유로 인해 충돌이 발생한다고 가정하는 경우 백업 계획은 항상 서비스와 관련된 중단이 발생하지 않도록 합니다. 웹사이트 백업 파일을 저장하면 데이터 손실을 쉽게 방지할 수 있습니다.

Magento 2는 플랫폼에서 특정 역할을 만들어 모든 자동 검사를 수행하는 일련의 파일 시스템 권한이 있는 것으로 대응합니다. 그 외에도 중단을 방지하기 위해 항상 하드 디스크 백업과 클라우드 기반 스토리지의 활용을 모두 연습해야 합니다.

Magento 사이트의 가능한 최선의 수정

마젠토 온라인 스토어는 전체 환경의 미흡한 보안대책이 아닌 부적절한 마젠토 보안대책으로 인해 강제가 아닌 성공적으로 해킹을 당하고 있습니다. 다시 말해, 항상 Magento가 책임이 있는 것은 아닙니다.

시스템이나 서버의 일부가 해커에게 창을 열면 Magento도 취약해집니다. Magento와 전체 서버 스택, 일명 LEMP(Linux, MySQL, NGINX, PHP) 또는 LAMP(Linux, MySQL, Apache, PHP)를 모니터링하고 업데이트하는 것이 필수적입니다.

마젠토 보안 조치는 기사 뒷부분에서 다루겠습니다.

내 Magento 웹사이트가 해킹당했습니다. 회복하려면 어떻게 해야 하나요?

1단계. 해킹이 있는지 확인

해커가 웹사이트를 공격하면 해킹한 구성 요소 또는 시스템의 모든 권한을 획득합니다. 예를 들어, 그/그녀가 NGINX를 사용하여 시스템 내부에 들어가면 권한이 있는 사용자가 아닌 www-data에만 액세스할 수 있습니다. 능숙한 해커는 항상 시스템 내부에 머물려고 합니다. 그들은 접근할 수 있는 데이터의 종류와 권리와 특권을 높일 수 있는 방법을 탐색하기 위해 보다 쉽고 지역적인 취약점을 검색할 것입니다.

그들의 최종 목표는 서버의 루트 디렉토리입니다. 일단 그들이 루트에 대한 권한을 얻으면 해커가 잠재적으로 시스템에 수행 능력에 영향을 미칠 수 있는 모든 변경 사항을 감지하지 못할 위험이 있습니다. 해커는 자신의 모든 흔적을 숨길 수 있으므로 사용자가 추적하지 못할 수도 있습니다.

해커가 어디까지 올 수 있는지 알아내려면 환경의 모든 활동과 변경 사항에 대해 철저하고 적절한 분석을 수행해야 합니다. 이 작업은 시간이 걸립니다. 낭비할 수 없는 시간.

따라서 마젠토 온라인 스토어가 해킹을 당했는지 즉시 파악하고 불리한 결과가 발생하지 않도록 조치를 취해야 합니다.

Magento 해킹 징후:

• 신용 카드 활동에 대한 고객의 불만.
• 블랙리스트 경고.
• Magento 페이지의 비정상적인 동작.
• 호스팅 제공업체에서 악의적인 활동을 보고합니다.
• 스팸 키워드가 사이트에 나타납니다.
• 폴더 또는 파일에 알 수 없는 수정 사항이 있습니다.
• Magento 코어 내부 수정.
• 서버의 비정상적인 로드.
• 알 수 없는 관리자 및 세션입니다.

2단계. 결정 - 다운타임 또는 다운타임이 아님

Magento 웹사이트에서 위 목록에서 무엇이든 발견했다면 주저하지 말고 Magento 개발 회사나 시스템 관리자에게 문의하십시오. 그들은 신속하게 귀하의 웹사이트를 분석하고 현재 상황과 솔루션이 무엇인지 알려줄 것입니다.

거기에서 웹사이트를 다운타임 모드로 전환할지 여부를 결정해야 합니다.

다운타임은 모든 사용자가 웹사이트를 사용할 수 없는 기간입니다. 네트워크에서 서버를 끄면 상점에서 어떤 활동도 수행하지 않습니다. 귀하의 사용자는 결제 및 주문을 할 수 없습니다. 해커도 귀하의 웹사이트를 원격으로 제어하여 귀하에게 피해를 줄 수 없습니다.

매장에서 시간당 수백 건의 주문을 처리한다고 가정합니다. 몇 시간의 가동 중지는 상당한 이익 손실로 이어질 것입니다. 그런 다음 이동 중에 모든 문제를 해결할 수 있습니다.

그러나 몇 시간의 다운타임을 감당할 수 있다면 네트워크에서 서버를 끄는 것이 좋습니다.

3단계. 깨끗하고 안전한 Magento 설치 설정

그래서 서버가 비활성화되었습니다.

이제 깨끗하고 최신 버전을 사용하여 새 서버에 Magento를 다시 설치해야 합니다.

이것은 귀하의 상점이 동일한 해커의 공격을 받지 않도록 하는 가장 안전한 방법 이며 이익을 잃지 않도록 비즈니스를 다시 온라인 상태로 만드는 가장 빠른 방법입니다.

백업이 아닌 git 저장소에 저장된 Magento 버전을 설치하는 것이 좋습니다.

git 저장소에서 Magento 버전을 사용하는 이유는 무엇입니까?

Magento 스토어를 생성할 때 로컬 서버를 활용합니다. 귀하의 백엔드와 프론트엔드는 귀하의 팀(테스터, 관리자, 개발자 등)을 제외한 누구도 액세스할 수 없습니다. 저장소의 마지막 버전은 git 저장소에서 다운로드됩니다. 거기에서 라이브 웹 사이트로 이동합니다.

이것은 git 저장소에 저장된 최신 버전이 99.99%로 절대적으로 깨끗함을 의미합니다. 동일한 취약점이 있더라도 제3자가 아직 접근하지 않았다고 확신할 수 있습니다. 스토어를 시작할 때 해당 취약점을 제거할 시간이 있습니다. 그러나 백업에서 Magento 버전을 설치하는 경우 해커의 악성 스크립트가 이미 있을 수 있는 위험이 있습니다.

4단계. 필요한 모든 소프트웨어와 패치를 설치합니다.

Magento를 새로 설치한 새 서버가 있으면 모든 소프트웨어 업데이트와 Magento 보안 패치도 설치되어 있는지 확인하십시오.

패치는 Magento에서 감지된 보안 또는 취약성 문제를 수정하는 수정된 코어 파일 패키지 중 하나입니다.

MageReport.com이라는 환상적인 도구가 있어 모든 중요한 패치가 설치되었는지, 웹사이트에 어떤 근본적인 보안 문제가 있는지 즉시 확인할 수 있습니다.

5단계. 새 데이터베이스를 구성합니다.

최신 Magento 설정이 완료되면 백업에서 클라이언트 데이터베이스의 최신 버전을 설정하십시오. 이 데이터베이스에는 전자 상거래 상점에서 이루어진 모든 최신 거래와 최근 주문이 모두 포함되어 있습니다. 이를 통해 서버를 끈 순간부터 온라인 비즈니스를 복원할 수 있습니다.

중요한 순간.

마젠토 스토어가 해킹을 당했다면, 어떤 사용자 정보를 저장하든 상관없이 모든 사용자에게 이를 알려야 합니다. 그러나 실제로는 사용자의 신뢰를 잃는 것에 대해 열망하는 상점 주인은 거의 없습니다. 그것은 최소한입니다.

안전한 결제 게이트웨이를 통해 Magento 매장 내에서 결제를 운영하는 경우 해커는 사용자의 신용 카드 자격 증명에 액세스할 수 없습니다. Amazon Payments 또는 PayPal과 같은 모든 유명한 결제 게이트웨이는 고급 암호화를 제공합니다. 고객의 결제 데이터를 데이터베이스에 저장하는 경우 사용자에게 해킹에 대해 알리고 신용 카드 거래를 계속 주시하도록 요청하는 것은 필수입니다.

6단계. 분석 및 모니터링

데이터베이스를 구성하고 상점을 다시 온라인으로 구성했습니다. 지불을 수락하고 해커가 시스템 외부에 남아 있다는 사실에 안심할 수 있습니다.

이제 성공적인 공격으로 이어진 요인을 분석하고 이러한 취약점을 모두 제거해야 합니다.

일반적인 Magento 취약점

• "이미지 업로드 디렉토리"의 오픈 서버 취약점
• 관리자 패널 또는 FTP 내부의 취약한 비밀번호(예: "company_name", "admin", "11111" 등)
• 오래된 콘텐츠 관리 시스템 버전 또는 Magento 설치
• 안전하지 않은 웹 호스트
• 버그가 있는 확장 또는 플러그인

해킹으로 인해 Magento 사이트에 비정상적인 동작이 발생하면 빠르게 알아차릴 수 있습니다.

그러나 모든 공격이 Magento의 행동에 명백한 변화를 가져오는 것은 아닙니다. 상점은 평소와 같이 운영될 수 있으며 해킹이 발생하더라도 모든 것이 괜찮다고 생각할 수 있습니다. 따라서 해킹으로 이어지는 유사한 활동이 있는 경우 로그에 알 수 없는 활동이 있는 경우 모든 알 수 없는 로그인을 추적하기 위해 새로운 서버 동작을 관찰해야 합니다.