Principais estratégias de segurança para proteger sua loja Magento

(Esta é uma postagem de nossos amigos da JetRails, um provedor de hospedagem Magento que oferece configurações de clientes em servidores dedicados na Nuvem AWS.)

Sua vitrine Magento é um alvo de alto valor para hackers e requer medidas de segurança rigorosas para minimizar suas vulnerabilidades. Como um provedor de hospedagem Magento dedicado, o JetRails é frequentemente chamado para responder a emergências para combater ataques maliciosos. Temos experiência em primeira mão com o impacto catastrófico que uma violação de segurança pode ter em seus negócios.

Seguir as melhores práticas e protocolos de segurança é a melhor defesa para proteger sua loja Magento. Use esta lista de verificação como um guia para medidas de segurança contra as ameaças mais comuns, incluindo injeção de código malicioso, malware, ataques de força bruta e o temido DDoS.

Práticas recomendadas de segurança do Magento

Consulte nossa lista de verificação das melhores práticas de segurança do Magento para garantir que você esteja protegido contra as ameaças online mais comuns.

Locais padrão seguros

Cada instalação do Magento possui várias pastas de back-end usadas para fins administrativos. Esses pontos de entrada estão, por padrão, localizados em /admin, /downloader, /var e vários pontos de extremidade /rss. Como essas pastas são definidas em locais específicos e conhecidos, elas podem ser uma porta de entrada para ataques maliciosos em seu site. Ataques de força bruta aos seus caminhos de administração podem sobrecarregar seus recursos – limitando a capacidade de visitantes, impactando a velocidade e erodindo a estabilidade. Este é um problema mais intimamente associado às instalações do Magento 1.x versus instalações do Magento 2.x (que requerem automaticamente este protocolo de segurança). Bloquear o acesso, personalizar e proteger os caminhos de administração torna muito mais difícil para os hackers explorarem essa vulnerabilidade.

Autenticação de dois fatores

A autenticação de dois fatores, também conhecida como 2FA, adiciona um segundo nível de proteção para autenticar credenciais de login para usuários administradores e é um componente crítico para a segurança do Magento. Com uma instalação padrão do Magento, o usuário recebe apenas um método de autenticação que possui limitações de segurança. Adicionar autenticação de dois fatores tornou-se uma prática recomendada em todo o setor e é vital para proteger seu site. Os plugins Magento 2FA podem ser encontrados no Magento Marketplace, incluindo o Magento Two-Factor Authentication da JetRails.

Firewall de aplicativo da Web

A utilização de um Web Application Firewall (WAF), como o da Cloudflare, permitirá que você detenha as vulnerabilidades de segurança bloqueando o tráfego malicioso antes que ele chegue ao seu servidor. Um WAF pode filtrar, monitorar e bloquear o tráfego de entrada com base em regras específicas que você configura. Por exemplo, o Geoblocking permite limitar o acesso de bots e/ou humanos de regiões globais específicas. Outro benefício de um Cloudflare WAF é a Inteligência Coletiva, que permite bloquear não apenas o tráfego que você identificou como malicioso, mas também qualquer tráfego considerado malicioso por toda a comunidade Cloudflare. Além disso, um WAF pode oferecer alguma proteção contra patches Magento não aplicados. No entanto, é muito importante sempre ter os patches de segurança Magento mais recentes instalados em vez de depender exclusivamente de um firewall (mesmo muito sofisticado).

Atualizando patches do Magento

O software de código aberto da Magento oferece às comunidades de comércio eletrônico tremenda flexibilidade para personalizar seus sites e atender às necessidades de seus clientes. No entanto, a responsabilidade de seguir protocolos de segurança, atualizar patches de segurança e deter vulnerabilidades requer ação por parte dos proprietários da loja e da equipe de desenvolvimento.

Quando uma vulnerabilidade de segurança é descoberta, os desenvolvedores do Magento fazem pequenas alterações em uma linha de código específica. Este ajuste no código é enviado pelo Magento como um patch de segurança para ser auto-instalado. Os hackers também estão cientes dessas vulnerabilidades, o que significa que os patches de segurança devem ser instalados assim que forem lançados. Um ótimo recurso para usar é o MageReport, que verificará seu site para determinar se há alguma instalação de patch do Magento necessária. Atualizações de segurança de patch também podem ser encontradas no Magento Security Center. Seus parceiros de tecnologia devem alertá-lo quando os patches estiverem disponíveis.

Plug-ins de terceiros

Plugins de terceiros para Magento podem criar infinitas opções para melhorar sua vitrine e a experiência do cliente. No entanto, a adição de recursos também pode causar vulnerabilidades inesperadas. Para garantir que a segurança seja mantida após a instalação de plug-ins de terceiros, seu desenvolvedor precisará verificar manualmente todos os fornecedores e aplicativos para atualizações. Plugins de terceiros devem ser cuidadosamente monitorados e corrigidos conforme as vulnerabilidades são expostas. O Magento Marketplace tornou-se muito mais rigoroso na verificação de plugins para o Magento 2, mas o mesmo princípio se aplica ao Magento 1 e ao Magento 2.

Versões do SO/PHP

Assim como sua instalação do Magento, o sistema operacional do seu servidor deve ser mantido atualizado com o kernel mais recente e os patches de segurança. Não fazer isso pode resultar em grandes falhas de segurança, como as vulnerabilidades Meltdown e Spectre expostas no início de 2018, que permitiram que códigos maliciosos lessem a memória do kernel.

Isso também é verdade para o PHP, que lê e executa o código-fonte do Magento. Cada nova iteração do PHP protege vulnerabilidades que foram expostas em versões subsequentes. Além disso, as versões mais antigas do PHP não passarão por verificações de conformidade com PCI.

É de vital importância trabalhar com um provedor de serviços gerenciados que será responsável por manter toda a pilha de software, incluindo o kernel e os serviços relacionados.

Conformidade PCI

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) se aplica a empresas de qualquer tamanho que aceitam pagamentos com cartão de crédito. Como a maioria das lojas Magento lidam com contas de clientes, é prudente atender aos padrões de conformidade com PCI. Se sua empresa pretende aceitar pagamento com cartão e processar dados do titular do cartão do cliente, você também precisa hospedar seus dados de forma segura com um provedor de hospedagem compatível com PCI. A execução de uma verificação de PCI por meio de um fornecedor aprovado, como a Trustwave, pode revelar desafios de segurança que podem prejudicar sua capacidade de obter conformidade com PCI.

Acesso de privilégio mínimo

Outra consideração de design importante para proteger seu site Magento contra comportamentos maliciosos é o conceito de Acesso Mínimo de Privilégios. Esse princípio exige que os usuários tenham acesso apenas ao subconjunto mínimo de funções necessárias para executar uma tarefa específica. Por exemplo, os funcionários do departamento de expedição devem ter acesso apenas à funcionalidade de expedição; da mesma forma, aqueles no faturamento só devem ter a capacidade de impactar o faturamento. Ao usar uma combinação de permissões somente leitura e departamentos separados, a segurança de seus dados confidenciais de clientes será aprimorada.

Segurança de acesso

As senhas devem ser alteradas regularmente e não devem ser compartilhadas. Praticar bons protocolos de senha é essencial para a segurança. Não envie senhas em e-mails de texto não criptografado, SMS, mensagens instantâneas, tickets de suporte ou em qualquer outro método não criptografado. Para acesso ao sistema, geralmente não é uma boa ideia permitir autenticação de senha para usuários de shell ou SFTP. Sempre que possível, use chaves SSH em vez de senhas.

Um ótimo recurso para armazenar senhas com segurança é o LastPass, um sistema de gerenciamento gratuito que funciona em todos os navegadores e dispositivos móveis. Ele também pode gerar senhas seguras e oferece os padrões de criptografia mais fortes atualmente disponíveis.

Proteja seu ambiente de desenvolvimento

É muito importante limitar todo o acesso ao seu ambiente de desenvolvimento de qualquer pessoa que não seja seus desenvolvedores. Lembre-se, seu ambiente de desenvolvimento é um espelho do seu site de produção (ao vivo) com informações igualmente valiosas. Muitas vezes, os desenvolvedores reutilizam senhas e chaves SSH tanto no dev quanto no prod, por isso é crucial manter os mesmos protocolos de segurança rigorosos em ambos os ambientes.

Cerque-se de uma grande equipe

Cada uma dessas etapas fornece uma camada diferente de proteção e pode ser incorporada a uma estratégia de segurança para ajudá-lo a mitigar riscos e eliminar ameaças à sua loja Magento. Trabalhar com uma boa empresa de hospedagem e uma equipe de desenvolvimento sólida é fundamental para alcançar um plano de segurança sólido. No final das contas, proteger seu site de comércio eletrônico é proteger seus ativos, seus clientes e sua reputação.

Sobre o Autor: Davida Wexler, Diretora de Marketing da JetRails

Davida Wexler é Diretora de Marketing da JetRails, um provedor de hospedagem Magento que oferece configurações personalizadas em servidores dedicados e na Nuvem AWS. Com escritórios em Chicago, a JetRails se concentra em segurança, aceleração e desempenho para plataformas de comércio eletrônico. A empresa é apaixonada por ajudar seus clientes a crescer e impulsionar o sucesso do Magento. No final das contas, eles acreditam que o comércio eletrônico é sobre pessoas e não servidores. *Davida não é funcionário da nChannel. Ela é uma blogueira convidada.