해킹으로부터 MAGENTO 스토어를 보호하는 방법

Magento는 세계에서 가장 큰 오픈 소스 전자 상거래 플랫폼 중 하나이며 악의적인 의도를 가진 해커의 눈길을 사로잡습니다. 이 플랫폼을 보호하는 데 전념하는 작업의 양에 관계없이 해커는 보안 조치를 피하기 위한 새로운 방법을 계속 시도할 것입니다.

Magento에 자체 보안 기능이 있다는 사실에도 불구하고(최고 중 하나임) 모든 취약성을 평가하기 위해서는 여전히 사전 예방적이며 보안 감사 및 테스트와 같은 예방 조치를 취해야 합니다.

Magento 전문가로서 우리는 사용자 데이터를 위험에 빠뜨리는 향후 해킹 공격으로부터 상점을 방지해야 하는 Magento 전자 상거래 소유자로부터 많은 요청을 받습니다.

여기 상황이 있습니다. 보안 문제는 항상 존재하며, 해킹으로부터 온라인 상점을 보호하기 위해 취할 수 있는 일련의 감사 및 중요한 단계를 공유하고자 하는 이유입니다.

이 기사는 상점 소유자, 마케팅 관리자, 전자 상거래 관리자 등이 필수적인 Magento 보안 조치를 구현할 수 있는 방법을 나열합니다.

안전한 호스팅 인프라 선택

호스팅 제공업체를 선택할 때 보안 소프트웨어 개발 수명 주기가 있고 업계 표준(예: OWASP 보안 모범 사례)에 따라 작동하는지 확인하십시오.

새 웹 사이트를 구축하는 중이라면 HTTPS를 통해 사이트를 시작하십시오. 이렇게 하면 사이트를 안전하게 암호화하고 더 높은 Google 순위를 얻는 데 도움이 됩니다. 기존 웹사이트의 경우 HTTPS에서 실행되도록 사이트를 업그레이드하는 것이 좋습니다.

안전한 환경

모든 소프트웨어를 최신 상태로 유지하고 모든 권장 보안 패치를 적용하십시오. Magento는 정기적으로 패치 형태로 수정 사항을 릴리스하므로 모든 최신 패치가 시스템에 설치되어 있는지 확인하는 것이 좋습니다.

FTP를 비활성화 하고 보안 통신(SSH/SFTP/HTTPS)만 사용하여 파일을 관리합니다. 이렇게 하는 것이 권장되는 이유는 일반 FTP가 일반 텍스트로 데이터를 전송하기 때문입니다. 즉, 사용자 이름 및 암호와 같은 민감한 정보를 쉽게 얻을 수 있습니다.

Apache 웹 서버와 다른 서버를 사용하는 경우 모든 시스템 파일과 디렉토리가 보호 되는지 확인하십시오.

허용된 IP 주소만 관리자 패널에 액세스하도록 허용합니다. 이 권한을 관리하는 방법이 확실하지 않은 경우 이 내용을 읽으십시오.

관리자 로그인에 대해 2단계 인증 을 구현합니다. 이렇게 하면 전화기에서 생성된 추가 암호가 필요한 추가 보안이 제공됩니다.

Magento Admin Dashboard에 액세스하는 데 사용하는 컴퓨터를 보호하기 위해 바이러스 백신 소프트웨어를 정기적으로 업데이트하고 맬웨어 스캐너를 사용하십시오.

또한 안전한 서버 운영 체제를 보장하기 위해 서버에서 실행 중인 불필요한 소프트웨어 가 없는지 확인하십시오.

시큐어 마젠토

귀하의 관리 URL을 통해 침입을 시도할 수 있는 스크립트에 대한 노출을 줄이려면 쉽게 추측할 수 없는 고유한 관리 URL을 사용하십시오 .

Magento 관리자 계정에 강력한 암호 를 사용하십시오. Magento admin(생년월일, 이름, 성 등)은 절대 단순 비밀번호를 사용해서는 안 되며 한 달에 한 번 정도 비밀번호를 변경하십시오. 또한 비밀번호를 제3자와 공유하지 마십시오. 개발자에게 접근 권한을 부여할 필요가 있는 경우 별도의 사용자를 생성하고 작업 완료 후 삭제합니다.

관리 사용자를 정기적으로 확인하여 적합한 사람만 상점 관리 패널에 액세스할 수 있는지 확인하십시오. 이것은 이전 사용자를 제거/삭제하기에 좋은 시간이 될 수 있습니다.

귀하의 Magento 전자상거래에 대한 더 이상 원치 않는 액세스를 방지하기 위해 적절한 권한 수준을 확인하는 것이 중요합니다. 이 검사를 통해 모든 사용자 그룹에 의도된 액세스 권한만 부여됩니다.

관리자 보안, 비밀번호 옵션 및 보안문자에 대한 Magento의 보안 관련 구성 설정을 준수하십시오.

최신 버전의 Magento 를 사용하여 최신 보안 개선 사항을 즐기십시오. 그렇지 않으면 Magento에서 권장하는 모든 보안 패치를 설치하십시오.

마침내 일부 Magento 확장은 제작자가 필요하지 않거나 더 이상 유지 관리하지 않으므로 취약점이 있습니다. 추가 기능 목록을 검토하고 최신 상태인지 확인하는 것이 중요합니다. 이렇게 하면 버려진 확장을 제거하고 제거하는 데 도움이 됩니다.

해킹된 MAGENTO 사이트의 징후 또는 증상 모니터링

웹 스토어 사용 불가 : 스토어를 계속 사용할 수 없거나 호스팅 서비스에 의해 차단된 경우 서비스 거부 공격의 피해자일 수 있습니다. 이러한 유형의 공격은 온라인 존재를 방해하지만 데이터 안전을 위협하지는 않습니다.

관리 패널 및 콘텐츠 문제 : 생성하지 않은 관리자 권한을 가진 새 사용자가 있다는 것을 알게 되거나 스토어 콘텐츠의 변경 사항을 확인하거나 로그인조차 할 수 없는 경우 심각한 고통을 겪을 수 있습니다. 웹사이트 및 비즈니스에 대한 위험한 공격(관리자 패널 침입)

성능 저하 : Hacked Redirect 공격은 상점의 트래픽을 포착하고 고객을 맬웨어, 피싱 공격 또는 광고 스팸에 노출시키는 것을 목표로 합니다. 귀하의 상점이 검색 엔진에 나타나지 않거나 원치 않는 페이지로 리디렉션되는 것을 발견하면 조치를 취하십시오. 해킹당했을 수 있습니다.

보고된 데이터 도난 : 고객이 계정에서 의심스러운 활동을 보고하거나 신용 카드 자격 증명이 도난당한 경우 이 공격을 받은 것입니다. 이는 데이터 액세스 및 신원 도용을 목적으로 하는 이메일 기반 공격입니다.

이것이 전자 상거래 사이트에 얼마나 심각한 영향을 미칠 수 있는지 언급할 필요가 없습니다.

• 의심스러운 활동이 있는지 정기적으로 서버 로그를 검토하십시오.
• 승인되지 않은 관리자가 생성되었는지 확인합니다. 관리자 작업 로그를 모니터링할 수 있습니다.
• 잠재적인 맬웨어 설치를 방지하려면 서버에 있는 파일의 데이터 무결성을 확인하십시오.
• 예기치 않은 활동, 업로드 또는 명령에 대한 모든 시스템 로그인(FTP, SFTP, SSH) 모니터링

복구 계획 개발

엄격한 보안 조치를 적용했더라도 최악의 시나리오에 대한 복구/업무 연속성 계획을 수립하십시오. 전체 웹 스토어 데이터를 백업하는 것이 중요합니다. 이렇게 하면 데이터 손실이 발생한 경우 웹 스토어를 복원하는 데 도움이 됩니다.

외부 위치에 데이터베이스 및 서버 파일의 기존 백업이 있는지 확인하십시오. 이러한 백업을 올바르게 수행하고 복원할 수 있는지 확인하십시오.

공격이 발생하면 데이터베이스 정보, 파일 액세스, 지불 게이트웨이 암호화 키, 웹 서비스 및 Magento 관리자 로그인, FTP, SSH 등을 포함한 모든 자격 증명을 아무리 작더라도 재설정하십시오.