JAK CHRONIĆ SWÓJ SKLEP MAGENTO PRZED HAKOWANIEM?

Magento to jedna z największych platform e-commerce typu open source na świecie, która staje się słodyczą dla hakerów o złośliwych zamiarach. Niezależnie od ilości pracy poświęconej na zabezpieczenie tej platformy, hakerzy będą wciąż próbować wymyślać nowe sposoby na obejście środków bezpieczeństwa.

Pomimo tego, że Magento ma swoje własne zabezpieczenia (i są one jednymi z najlepszych), nadal musisz być proaktywny i podejmować działania zapobiegawcze, takie jak audyty i testy bezpieczeństwa w celu oceny wszystkich podatności.

Jako eksperci Magento otrzymujemy wiele próśb od właścicieli sklepów internetowych Magento, którzy muszą zapobiegać przyszłym atakom hakerskim w swoich sklepach, które zagrażają danym użytkowników.

Oto sytuacja: obawy dotyczące bezpieczeństwa zawsze będą obecne, dlatego chcemy podzielić się z Tobą zestawem audytów i ważnymi krokami, które możesz podjąć, aby chronić swój sklep internetowy przed włamaniami.

W tym artykule wymieniono sposoby, w jakie właściciele sklepów, menedżerowie ds. marketingu, menedżerowie e-commerce itp. mogą wdrożyć niezbędne środki bezpieczeństwa Magento.

WYBIERZ BEZPIECZNĄ INFRASTRUKTURĘ HOSTINGU

Wybierając dostawcę hostingu, upewnij się, że ma on bezpieczny cykl życia oprogramowania i działa zgodnie ze standardami branżowymi (tj. najlepszymi praktykami bezpieczeństwa OWASP).

Jeśli jesteś w trakcie tworzenia nowej strony internetowej, uruchom ją przez HTTPS. Pozwoli to bezpiecznie zaszyfrować Twoją witrynę, a także pomoże jej uzyskać wyższą pozycję w rankingu Google. W przypadku istniejącej witryny internetowej radzimy uaktualnić witrynę do obsługi protokołu HTTPS.

BEZPIECZNE ŚRODOWISKO

Aktualizuj całe oprogramowanie i stosuj WSZYSTKIE zalecane poprawki bezpieczeństwa. Magento regularnie wydaje poprawki w postaci łatek, więc zaleca się sprawdzenie, czy wszystkie najnowsze łatki są zainstalowane w twoim systemie.

Wyłącz FTP i korzystaj tylko z bezpiecznej komunikacji (SSH/SFTP/HTTPS) do zarządzania plikami. Powodem, dla którego warto to zrobić, jest fakt, że zwykły FTP przesyła dane w postaci zwykłego tekstu, co oznacza, że ​​można łatwo uzyskać poufne informacje, takie jak nazwy użytkowników i hasła.

Jeśli używasz innego serwera niż serwer WWW Apache, upewnij się, że wszystkie pliki i katalogi systemowe są chronione .

Zezwalaj tylko adresom IP z białej listy na dostęp do panelu administracyjnego. Jeśli nie masz pewności, jak zarządzać tymi uprawnieniami, przeczytaj to.

Zaimplementuj uwierzytelnianie dwuskładnikowe dla loginów administratora. Zapewni to dodatkowe bezpieczeństwo wymagające dodatkowego hasła generowanego w telefonie.

Regularnie aktualizuj oprogramowanie antywirusowe i korzystaj ze skanera złośliwego oprogramowania w celu zabezpieczenia komputera, z którego korzystasz w celu uzyskania dostępu do panelu administratora Magento.

Dodatkowo, aby zapewnić bezpieczny system operacyjny serwera, upewnij się, że na serwerze nie działa niepotrzebne oprogramowanie .

BEZPIECZNY MAGENT

Aby ograniczyć narażenie na skrypty, które mogą próbować włamać się do Twojego administracyjnego adresu URL, użyj unikalnego administracyjnego adresu URL , którego nie można łatwo odgadnąć.

Użyj silnego hasła do konta administratora Magento. NIGDY nie należy używać prostych haseł dla administratora Magento (daty urodzenia, imiona, nazwiska itp.) i mniej więcej raz w miesiącu zmieniać hasła. Ponadto nie udostępniaj swojego hasła osobom trzecim. Jeśli istnieje potrzeba udostępnienia programistom, utwórz dla nich osobnego użytkownika i usuń go po zakończeniu pracy.

Regularnie sprawdzaj administratorów, aby upewnić się, że tylko właściwe osoby mają dostęp do panelu administracyjnego sklepu. To może być dobry moment na usunięcie/usunięcie starych użytkowników.

Ważne jest, aby sprawdzić odpowiedni poziom uprawnień, aby zapobiec dalszemu niepożądanemu dostępowi do Twojego e-commerce Magento. To sprawdzenie zapewnia, że ​​wszystkim grupom użytkowników przyznawane są tylko zamierzone prawa dostępu.

Przestrzegaj ustawień konfiguracyjnych Magento związanych z bezpieczeństwem dla Admin Security, Password Options i CAPTCHA.

Korzystaj z najnowszej wersji Magento , aby cieszyć się najnowszymi ulepszeniami zabezpieczeń. W przeciwnym razie zainstaluj wszystkie poprawki bezpieczeństwa zgodnie z zaleceniami Magento.

W końcu niektóre rozszerzenia Magento nie są potrzebne lub nie są już utrzymywane przez ich twórców i dlatego mają luki. Ważne jest, aby przejrzeć listę dodatków i sprawdzić, czy są aktualne. Pomaga to usunąć porzucone rozszerzenia i je odinstalować.

MONITORUJ OZNAKI LUB SYMPTOMY ZHAKOWANEJ STRONY MAGENTO

Niedostępność sklepu internetowego : jeśli Twój sklep jest stale niedostępny lub zablokowany przez usługę hostingową, być może padłeś ofiarą ataku typu „odmowa usługi”. Ten rodzaj ataku zakłóci Twoją obecność w Internecie, ale nie zagraża bezpieczeństwu Twoich danych.

Panel administracyjny i problemy z zawartością : Jeśli dowiesz się, że jest nowy użytkownik z uprawnieniami administratora, którego nie utworzyłeś, zauważysz zmiany wprowadzone w zawartości Twojego sklepu lub być może nawet nie jesteś w stanie się zalogować, możesz cierpieć na krytyczny niebezpieczny atak na Twoją witrynę i firmę (włamanie do panelu administracyjnego)

Niska wydajność : atak Hacked Redirect ma na celu przechwycenie ruchu w Twoim sklepie i narażenie klientów na złośliwe oprogramowanie, ataki typu phishing lub spam reklamowy. Jeśli zauważysz, że Twój sklep nie pojawia się w wyszukiwarkach lub jest przekierowywany na niechciane strony, podejmij działanie, być może zostałeś zhakowany.

Zgłoszona kradzież danych : ten atak padał ofiarą ataku, jeśli Twoi klienci zgłaszają podejrzane działania na swoich kontach lub gdy zostały skradzione dane uwierzytelniające ich karty kredytowe. Są to ataki oparte na wiadomościach e-mail z zamiarem uzyskania dostępu do danych i kradzieży tożsamości.

Nie musisz wspominać, jak bardzo może to wpłynąć na Twoją witrynę e-commerce.

• Okresowo przeglądaj dzienniki serwera pod kątem podejrzanej aktywności.
• Sprawdź, czy nie utworzono nieautoryzowanych administratorów. Możesz monitorować dziennik działań administratora.
• Sprawdź integralność danych plików na serwerze, aby uniknąć potencjalnej instalacji złośliwego oprogramowania.
• Monitoruj wszystkie logowania do systemu (FTP, SFTP, SSH) pod kątem nieoczekiwanej aktywności, przesyłania lub poleceń

OPRACUJ PLAN NAPRAWY

Nawet jeśli zastosowałeś rygorystyczne środki bezpieczeństwa, stwórz plan przywracania/ciągłości działania na najgorszy scenariusz. konieczne jest utworzenie kopii zapasowej wszystkich danych sklepu internetowego. Pomoże to w przywróceniu sklepu internetowego w przypadku utraty danych.

Upewnij się, że istnieją kopie zapasowe plików bazy danych i serwera w lokalizacji zewnętrznej. Upewnij się, że te kopie zapasowe są wykonywane prawidłowo i można je przywrócić.

W przypadku ataku, nieważne jak małego, zresetuj wszystkie dane uwierzytelniające, w tym te z bazy danych, dostęp do plików, klucze szyfrowania bramki płatności, usługi sieciowe i login administratora Magento, FTP, SSH itp.