Strategii de securitate de top pentru a vă proteja magazinul Magento

(Acesta este o postare pentru invitați de la prietenii noștri de la JetRails, un furnizor de găzduire Magento care oferă configurații clienților pe servere dedicate din AWS Cloud.)

Vitrina dvs. Magento este o țintă de mare valoare pentru hackeri și necesită măsuri de securitate stricte pentru a-și minimiza vulnerabilitățile. În calitate de furnizor de găzduire Magento dedicat, JetRails este adesea chemat ca răspunsuri de urgență pentru a combate atacurile rău intenționate. Avem experiență de primă mână cu impactul catastrofal pe care o încălcare a securității îl poate avea asupra afacerii dumneavoastră.

Respectarea celor mai bune practici și protocoale de securitate este cea mai bună apărare în protejarea vitrinei dvs. Magento. Folosiți această listă de verificare ca ghid pentru măsurile de siguranță față de cele mai comune amenințări, inclusiv injectarea de cod rău intenționat, malware, atacuri cu forță brută și temutul DDoS.

Cele mai bune practici de securitate Magento

Consultați lista noastră de verificare a celor mai bune practici de securitate Magento pentru a vă asigura că sunteți protejat împotriva celor mai comune amenințări online.

Locații implicite sigure

Fiecare instalare Magento are mai multe foldere back-end folosite în scopuri administrative. Aceste puncte de intrare sunt localizate în mod implicit la /admin, /downloader, /var și diferite puncte finale /rss. Deoarece aceste foldere sunt setate în locații specifice și cunoscute, ele pot fi o cale de intrare pentru atacurile rău intenționate asupra site-ului dvs. Atacurile cu forță brută asupra căilor de administrare pot pune o presiune enormă asupra resurselor dumneavoastră – limitând capacitatea vizitatorilor, impactând viteza și erodând stabilitatea. Aceasta este o problemă cel mai strâns asociată cu instalările Magento 1.x față de instalările Magento 2.x (care necesită automat acest protocol de siguranță). Blocarea accesului, personalizarea și securizarea căilor de administrare face mult mai dificilă pentru hackeri să exploateze această vulnerabilitate.

Autentificare cu doi factori

Autentificarea cu doi factori, cunoscută și sub numele de 2FA, adaugă un al doilea nivel de protecție pentru a autentifica acreditările de conectare pentru utilizatorii admin și este o componentă critică pentru securitatea Magento. Cu o instalare Magento stoc, utilizatorului i se oferă o singură metodă de autentificare care are limitări de securitate. Adăugarea autentificării cu doi factori a devenit cea mai bună practică la nivel de industrie și este vitală pentru securizarea site-ului dvs. Pluginurile Magento 2FA pot fi găsite pe Magento Marketplace, inclusiv Magento Two-Factor Authentication de la JetRails.

Firewall aplicație web

Utilizarea unui Web Application Firewall (WAF), cum ar fi Cloudflare, vă va permite să descurajați vulnerabilitățile de securitate prin blocarea traficului rău intenționat înainte ca acesta să ajungă efectiv la serverul dvs. Un WAF poate filtra, monitoriza și bloca traficul de intrare pe baza unor reguli specifice pe care le configurați. De exemplu, Geoblocking vă permite să limitați accesul bot și/sau uman din anumite regiuni globale. Un alt beneficiu al unui WAF Cloudflare este Inteligența colectivă, care vă permite să blocați nu numai traficul pe care l-ați identificat ca fiind rău intenționat, ci și orice trafic considerat rău intenționat de întreaga comunitate Cloudflare. În plus, un WAF poate oferi o anumită protecție împotriva patch-urilor Magento neaplicate. Cu toate acestea, este foarte important să aveți întotdeauna cele mai recente patch-uri de securitate Magento instalate față de a vă baza exclusiv pe (chiar și pe un firewall foarte sofisticat).

Actualizarea patch-urilor Magento

Software-ul open source Magento oferă comunităților de comerț electronic o flexibilitate extraordinară pentru a-și personaliza site-urile și a satisface nevoile clienților. Cu toate acestea, responsabilitatea de a respecta protocoalele de securitate, de a actualiza corecțiile de securitate și de a descuraja vulnerabilitățile necesită acțiuni din partea proprietarilor de vitrine și a echipei de dezvoltare.

Când se descoperă o vulnerabilitate de securitate, dezvoltatorii Magento fac modificări minore unei anumite linii de cod. Această modificare a codului este trimisă de Magento ca un patch de securitate pentru a fi autoinstalat. Hackerii sunt, de asemenea, conștienți de aceste vulnerabilități, ceea ce înseamnă că corecțiile de securitate ar trebui instalate de îndată ce sunt lansate. O resursă excelentă de utilizat este MageReport, care vă va verifica site-ul pentru a determina dacă sunt necesare instalări de corecție Magento. Actualizările de securitate ale corecțiilor pot fi găsite și la Centrul de securitate Magento. Partenerii tăi tehnologici ar trebui să te alerteze pe măsură ce patch-urile devin disponibile.

Plug-in-uri de la terți

Pluginurile terță parte pentru Magento pot crea opțiuni nesfârșite pentru îmbunătățirea vitrinei dvs. și a experienței clienților. Cu toate acestea, adăugarea de caracteristici poate provoca și vulnerabilități neașteptate. Pentru a vă asigura că securitatea este menținută după instalarea pluginurilor de la terți, dezvoltatorul dvs. va trebui să verifice manual toți furnizorii și aplicațiile pentru actualizări. Pluginurile de la terți trebuie monitorizate cu atenție și corectate pe măsură ce vulnerabilitățile sunt expuse. Piața Magento a devenit mult mai strictă în verificarea pluginurilor pentru Magento 2, dar același principiu se aplică atât pentru Magento 1, cât și pentru Magento 2.

Versiuni OS/PHP

La fel ca și instalarea dvs. Magento, sistemul dvs. de operare pentru server trebuie să fie actualizat cu cele mai noi corecții de securitate și kernel. Nerespectarea acestui lucru poate duce la lacune majore de securitate, cum ar fi vulnerabilitățile Meltdown și Spectre expuse la începutul anului 2018, care au permis codului rău intenționat să citească memoria kernelului.

Acest lucru este valabil și pentru PHP, care citește și execută codul sursă Magento. Fiecare nouă iterație a PHP securizează vulnerabilitățile care au fost expuse în versiunile ulterioare. În plus, versiunile PHP mai vechi nu vor trece scanările de conformitate PCI.

Este extrem de important să lucrați cu un furnizor de servicii gestionate care va fi responsabil pentru întreținerea întregii stive de software, inclusiv kernel-ul și serviciile conexe.

Conformitate PCI

Standardul de securitate a datelor pentru industria cardurilor de plată (PCI DSS) se aplică companiilor de orice dimensiune care acceptă plăți cu cardul de credit. Deoarece majoritatea vitrinelor Magento se ocupă de conturile clienților, este prudent să respectați standardele de conformitate PCI. Dacă compania dvs. intenționează să accepte plata cu cardul și să proceseze datele deținătorului cardului clienților, trebuie să vă găzduiți datele în siguranță și la un furnizor de găzduire compatibil PCI. Executarea unei scanări PCI printr-un furnizor aprobat, cum ar fi Trustwave, poate descoperi provocări de securitate care vă pot împiedica capacitatea de a obține conformitatea PCI.

Acces cu cel mai mic privilegiu

Un alt aspect important de design în securizarea site-ului dvs. Magento împotriva comportamentului rău intenționat este conceptul de acces cu privilegii minime. Acest principiu impune ca utilizatorilor să li se acorde acces numai la subsetul minim de funcții care sunt necesare pentru a îndeplini o anumită sarcină. De exemplu, angajații din departamentul de expediere ar trebui să aibă acces doar la funcționalitatea de expediere; de asemenea, cei din facturare ar trebui să aibă doar capacitatea de a afecta facturarea. Prin utilizarea unei combinații de permisiuni numai pentru citire și separarea departamentelor, securitatea datelor sensibile ale clienților dvs. va fi îmbunătățită.

Acces de securitate

Parolele trebuie schimbate în mod regulat și nu trebuie partajate. Practicarea unor protocoale bune de parole este esențială pentru securitate. Nu trimiteți parole în e-mailuri cu text clar, SMS, IM, bilete de asistență sau în orice altă metodă necriptată. Pentru accesul la sistem, de obicei nu este o idee bună să permiteți autentificarea cu parolă pentru utilizatorii shell sau SFTP. Ori de câte ori este posibil, utilizați cheile SSH în loc de parole.

O resursă excelentă pentru a stoca parolele în siguranță este LastPass, un sistem de management gratuit care funcționează pe fiecare browser și dispozitiv mobil. De asemenea, poate genera parole sigure și oferă cele mai puternice standarde de criptare disponibile în prezent.

Protejați-vă mediul de dezvoltare

Este foarte important să limitați accesul la mediul dvs. de dezvoltare de la oricine, altul decât dezvoltatorii dvs. Amintiți-vă, mediul dvs. de dezvoltare este o oglindă a site-ului dvs. de producție (în direct) cu informații la fel de valoroase. Adesea, dezvoltatorii vor reutiliza parolele și cheile SSH atât în ​​dev, cât și în producție, așa că este crucial să se mențină aceleași protocoale de securitate stricte în ambele medii.

Înconjurați-vă cu o echipă grozavă

Fiecare dintre acești pași oferă un nivel diferit de protecție și poate fi încorporat într-o strategie de securitate pentru a vă ajuta să reduceți riscurile și să eliminați amenințările la adresa magazinului dvs. Magento. Lucrul cu o companie de găzduire bună și o echipă solidă de dezvoltare este fundamentală în realizarea unui plan de securitate solid. La sfârșitul zilei, securizarea site-ului tău de comerț electronic înseamnă a-ți proteja bunurile, clienții și reputația.

Despre autor: Davida Wexler, director de marketing pentru JetRails

Davida Wexler este director de marketing pentru JetRails, un furnizor de găzduire Magento care oferă configurații personalizate pe servere dedicate și în AWS Cloud. Cu birouri în Chicago, JetRails se concentrează pe securitate, accelerare și performanță pentru platformele de comerț electronic. Compania este pasionată de a-și ajuta clienții să crească și să conducă la succesul Magento. La sfârșitul zilei, ei cred că comerțul electronic este despre oameni, nu despre servere. *Davida nu este angajat al nChannel. Ea este un blogger invitat.