COMO PROTEGER SUA LOJA MAGENTO DE SER HACKEADA

O Magento é uma das maiores plataformas de comércio eletrônico de código aberto do mundo, tornando-se um colírio para os olhos de hackers com intenções maliciosas. Independentemente da quantidade de trabalho dedicada a proteger essa plataforma, os hackers continuarão tentando encontrar novas maneiras de contornar as medidas de segurança.

Apesar do Magento ter seus próprios recursos de segurança (e eles são um dos melhores), você ainda precisa ser proativo e tomar ações preventivas, como auditorias e testes de segurança, para avaliar todas as vulnerabilidades.

Como especialistas em Magento, recebemos muitas solicitações de proprietários de comércio eletrônico Magento que precisam impedir suas lojas de futuros ataques de hackers que comprometem os dados de seus usuários.

Então aqui está a situação: as preocupações com a segurança sempre estarão presentes, razão pela qual queremos compartilhar com você um conjunto de auditorias e etapas importantes que você pode tomar para proteger sua loja online contra hackers.

Este artigo lista maneiras pelas quais donos de lojas, gerentes de marketing, gerentes de comércio eletrônico, etc., podem implementar medidas de segurança essenciais do Magento.

ESCOLHA UMA INFRAESTRUTURA DE HOSPEDAGEM SEGURA

Ao escolher um provedor de hospedagem, certifique-se de que eles tenham um ciclo de vida de desenvolvimento de software seguro e que funcionem de acordo com os padrões do setor (ou seja, as melhores práticas de segurança do OWASP).

Se você estiver no processo de construção de um novo site, inicie o site por HTTPS. Isso criptografará seu site com segurança, além de ajudá-lo a obter classificações mais altas do Google. Para um site existente, recomendamos que você atualize o site para ser executado em HTTPS.

AMBIENTE SEGURO

Mantenha todos os softwares atualizados e aplique TODOS os patches de segurança recomendados. O Magento lança correções regularmente na forma de patches, portanto, é recomendável verificar se todos os patches mais recentes estão instalados em seu sistema.

Desative o FTP e use apenas comunicações seguras (SSH/SFTP/HTTPS) para gerenciar arquivos. A razão pela qual é aconselhável fazer isso é porque o FTP simples transmite dados em texto simples, o que significa que informações confidenciais, como nomes de usuários e senhas, podem ser facilmente obtidas.

Se você estiver usando um servidor diferente do servidor web Apache, certifique-se de que todos os arquivos e diretórios do sistema estejam protegidos .

Permitir que apenas endereços IP permitidos acessem o painel de administração. Se você não tiver certeza de como gerenciar essas permissões, leia isto.

Implemente a autenticação de dois fatores para logins de administrador. Isso fornecerá segurança extra, exigindo uma senha adicional gerada em seu telefone.

Atualize regularmente seu software antivírus e use um scanner de malware para proteger o computador que você usa para acessar o painel de administração do Magento.

Além disso, para garantir um sistema operacional de servidor seguro, certifique-se de que não haja nenhum software desnecessário em execução no servidor.

SEGURO MAGENTO

Para reduzir a exposição a scripts que podem tentar invadir seu URL de administrador, use um URL de administrador exclusivo que não possa ser facilmente adivinhado.

Use uma senha forte para a conta de administrador do Magento. Você NUNCA deve usar senhas simples para o administrador do Magento (datas de nascimento, nomes, sobrenomes, etc) e cerca de uma vez por mês, altere suas senhas. Além disso, não compartilhe sua senha com terceiros. Se houver necessidade de fornecer acesso aos desenvolvedores, crie um usuário separado para eles e exclua-o após a conclusão do trabalho.

Verifique os usuários administradores regularmente para garantir que apenas as pessoas certas tenham acesso ao painel de administração da loja. Este pode ser um bom momento para remover/excluir usuários antigos.

É crucial verificar o nível de permissões apropriado para evitar qualquer acesso não solicitado ao seu comércio eletrônico Magento. Essa verificação garante que todos os grupos de usuários recebam apenas os direitos de acesso pretendidos.

Adira às definições de configuração relacionadas à segurança do Magento para Admin Security, Password Options e CAPTCHA.

Use a versão mais recente do Magento para aproveitar os aprimoramentos de segurança mais recentes. Caso contrário, instale todos os patches de segurança conforme recomendado pelo Magento.

Por fim, algumas extensões do Magento não são necessárias ou não são mais mantidas por seus criadores e, portanto, apresentam vulnerabilidades. É importante revisar sua lista de complementos e verificar se eles estão atualizados. Isso ajuda a remover as extensões abandonadas e desinstalá-las.

MONITORAR SINAIS OU SINTOMAS DE UM SITE MAGENTO HACKEADO

Indisponibilidade da loja na Web : se sua loja estiver constantemente indisponível ou bloqueada pelo serviço de hospedagem, você pode ter sido vítima de um ataque de negação de serviço. Esse tipo de ataque atrapalhará sua presença online, mas não ameaçará a segurança de seus dados.

Problemas de conteúdo e painel de administração : Se você descobrir que há um novo usuário com direitos de administrador que você não criou, observar as alterações feitas no conteúdo da sua loja ou talvez nem consiga fazer login, pode estar sofrendo um problema crítico ataque perigoso ao seu site e negócios (invasão do painel de administração)

Desempenho ruim : o ataque Hacked Redirect visa capturar o tráfego de sua loja e expor seus clientes a malware, ataques de phishing ou spam de publicidade. Se você perceber que sua loja não aparece nos mecanismos de pesquisa ou é redirecionada para páginas não solicitadas, tome uma atitude, você pode ter sido invadido.

Roubo de dados relatado : você sofreu esse ataque se seus clientes relatarem atividades suspeitas em suas contas ou suas credenciais de cartão de crédito foram roubadas. Esses são ataques baseados em e-mail com a intenção de acesso a dados e roubo de identidade.

Não há necessidade de comentar o quanto isso pode afetar seu site de comércio eletrônico.

• Revise periodicamente os logs do servidor em busca de qualquer atividade suspeita.
• Verifique se algum usuário administrador não autorizado foi criado. Você pode monitorar o log de ações do administrador.
• Verifique a integridade dos dados dos arquivos no servidor para evitar uma possível instalação de malware.
• Monitore todos os logins do sistema (FTP, SFTP, SSH) para atividades inesperadas, uploads ou comandos

DESENVOLVA UM PLANO DE RECUPERAÇÃO

Mesmo se você tiver aplicado medidas de segurança rígidas, crie um plano de recuperação/continuidade de negócios para o pior cenário. é essencial fazer backup de todos os dados de sua loja na web. Isso ajudará a restaurar sua loja virtual em caso de perda de dados.

Certifique-se de que existam backups de arquivos de banco de dados e servidor em um local externo. Certifique-se de que esses backups sejam feitos corretamente e possam ser restaurados.

No caso de um ataque, não importa quão pequeno, redefina todas as credenciais, incluindo as do banco de dados, acesso a arquivos, chaves de criptografia do gateway de pagamento, serviços da web e login de administrador do Magento, FTP, SSH etc.