CUM îți protejezi MAGENTO MAGENTO IMPRE A FI HACKAT

Magento este una dintre cele mai mari platforme de comerț electronic cu sursă deschisă din lume, devenind o bomboană pentru hackeri cu intenții rău intenționate. Indiferent de cantitatea de muncă dedicată securizării acestei platforme, hackerii vor continua să încerce să vină cu noi modalități de a evita măsurile de securitate.

În ciuda faptului că Magento are propriile caracteristici de securitate (și sunt una dintre cele mai bune), trebuie totuși să fii proactiv și să iei acțiuni preventive, cum ar fi audituri și teste de securitate pentru a evalua toate vulnerabilitățile.

În calitate de experți Magento, primim multe solicitări de la proprietarii de comerț electronic Magento care trebuie să-și prevină magazinele de atacuri de hack care le pun în pericol datele utilizatorilor.

Așadar, iată situația: preocupările de securitate vor fi mereu prezente, motiv pentru care dorim să vă împărtășim un set de audituri și pași importanți pe care îi puteți lua pentru a vă proteja magazinul online de hacking.

Acest articol prezintă modalități prin care proprietarii de magazine, managerii de marketing, managerii de comerț electronic etc. pot implementa măsuri de securitate esențiale Magento.

ALEGEȚI O INFRASTRUCTURĂ DE GĂZDUIRE SIGURĂ

Atunci când alegeți un furnizor de găzduire, asigurați-vă că acesta are un ciclu de viață securizat de dezvoltare a software-ului și că funcționează conform standardelor din industrie (adică cele mai bune practici de securitate OWASP).

Dacă sunteți în proces de construire a unui nou site web, lansați site-ul prin HTTPS. Acest lucru va cripta în siguranță site-ul dvs. și îl va ajuta să obțină un clasament Google mai ridicat. Pentru un site web existent, vă recomandăm să actualizați site-ul pentru a rula pe HTTPS.

MEDIU SIGUR

Păstrați tot software-ul la zi și aplicați TOATE corecțiile de securitate recomandate. Magento lansează în mod regulat remedieri sub formă de corecții, așa că este recomandat să verificați dacă toate cele mai recente corecții sunt instalate pe sistemul dumneavoastră.

Dezactivați FTP și utilizați numai comunicațiile securizate (SSH/SFTP/HTTPS) pentru a gestiona fișierele. Motivul pentru care este recomandabil să faceți acest lucru este că FTP-ul simplu transmite date în text simplu, ceea ce înseamnă că informațiile sensibile precum numele de utilizator și parolele utilizatorilor pot fi obținute cu ușurință.

Dacă utilizați un alt server decât serverul web Apache, asigurați-vă că toate fișierele și directoarele de sistem sunt protejate .

Permiteți numai adreselor IP din lista albă să acceseze panoul de administrare. Dacă nu sunteți sigur cum să gestionați aceste permisiuni, citiți aceasta.

Implementați autentificarea cu doi factori pentru autentificarea administratorului. Acest lucru va oferi un plus de securitate care necesită o parolă suplimentară care este generată pe telefon.

Actualizați-vă în mod regulat software-ul antivirus și utilizați un scaner de malware pentru a securiza computerul pe care îl utilizați pentru a accesa tabloul de bord Magento Admin.

În plus, pentru a asigura un sistem de operare pentru server securizat, asigurați-vă că nu există niciun software inutil care rulează pe server.

SIGURĂ MAGENTO

Pentru a reduce expunerea la scripturile care ar putea încerca să pătrundă prin adresa URL de administrator, utilizați o adresă URL de administrator unică , care nu poate fi ghicită cu ușurință.

Utilizați o parolă puternică pentru contul de administrator Magento. Nu ar trebui să utilizați NICIODATĂ parole simple pentru administratorul Magento (date de naștere, nume, prenume etc.) și aproximativ o dată pe lună, să vă schimbați parolele. În plus, nu împărtășiți parola cu terțe părți. Dacă este nevoie de a oferi acces dezvoltatorilor, creați un utilizator separat pentru aceștia și ștergeți-l după finalizarea lucrării.

Verificați în mod regulat utilizatorii administratori pentru a vă asigura că numai persoanele potrivite au acces la panoul de administrare a magazinului. Acesta poate fi un moment bun pentru a elimina / șterge utilizatorii vechi.

Este esențial să verificați nivelul de permisiuni corespunzător pentru a preveni orice alt acces nesolicitat la comerțul dvs. electronic Magento. Această verificare asigură că tuturor grupurilor de utilizatori li se acordă numai drepturi de acces intenționate.

Respectați setările de configurare legate de securitate ale Magento pentru Securitate admin, Opțiuni pentru parolă și CAPTCHA.

Utilizați cea mai recentă versiune de Magento pentru a vă bucura de cele mai recente îmbunătățiri de securitate. În caz contrar, instalați toate corecțiile de securitate așa cum este recomandat de Magento.

În cele din urmă, unele extensii Magento nu sunt necesare sau nu mai sunt întreținute de creatorii lor și, prin urmare, au vulnerabilități. Este important să vă revizuiți lista de suplimente și să verificați dacă acestea sunt actualizate. Acest lucru ajută la eliminarea extensiilor abandonate și la dezinstalarea acestora.

MONITORIZAȚI SEMNE SAU SIMPTOME ALE UNUI SITE MAGENTO HACKAT

Indisponibilitatea magazinului web : dacă magazinul dvs. este indisponibil în mod constant sau este blocat de serviciul de găzduire, este posibil să fi fost victima unui atac de refuzare a serviciului. Acest tip de atac vă va perturba prezența online, dar nu vă amenință siguranța datelor.

Panoul de administrare și probleme de conținut : dacă aflați că există un utilizator nou cu drepturi de administrator pe care nu l-ați creat, observați modificările aduse conținutului magazinului dvs. sau poate că nici măcar nu vă puteți autentifica, este posibil să suferiți o problemă critică. atac periculos la adresa site-ului dvs. web și a afacerii dvs. (Intruziunea panoului de administrare)

Performanță slabă : atacul Hacked Redirect are ca scop să capteze traficul magazinului dvs. și să vă expună clienții la programe malware, atacuri de phishing sau spam publicitar. Dacă observați că magazinul dvs. nu apare pe motoarele de căutare sau este redirecționat către pagini nesolicitate, luați măsuri, este posibil să fi fost piratat.

Furt de date raportat : ați suferit acest atac dacă clienții dvs. raportează activități suspecte cu conturile lor sau acreditările cărții de credit le-au fost furate. Acestea sunt atacuri bazate pe e-mail cu intenția de acces la date și furt de identitate.

Nu este nevoie să remarcați cât de grav ar putea afecta acest lucru site-ul dvs. de comerț electronic.

• Verificați periodic jurnalele serverului pentru orice activitate suspectă.
• Verificați dacă au fost creați utilizatori admin neautorizați. Puteți monitoriza jurnalul de acțiuni ale administratorului.
• Verificați integritatea datelor fișierelor de pe server pentru a evita instalarea potențială a malware.
• Monitorizați toate conectările la sistem (FTP, SFTP, SSH) pentru activități neașteptate, încărcări sau comenzi

ELABORAȚI UN PLAN DE RECUPERARE

Chiar dacă ați aplicat măsuri stricte de securitate, creați un plan de recuperare/continuitate a afacerii pentru cel mai rău caz. este esențial să aveți copii de siguranță ale tuturor datelor din magazinul web. Acest lucru va ajuta la restaurarea magazinului dvs. web în caz de pierdere a datelor.

Asigurați-vă că există copii de rezervă existente ale fișierelor de bază de date și server într-o locație externă. Asigurați-vă că aceste copii de siguranță sunt efectuate corect și pot fi restaurate.

În cazul unui atac, oricât de mic, resetați toate acreditările, inclusiv cele de bază de date, accesul la fișiere, cheile de criptare a gateway-ului de plată, serviciile web și login admin Magento, FTP, SSH etc.