КАК ЗАЩИТИТЬ ВАШ МАГЕНТО МАГАЗИН ОТ ВЗЛОМА

Magento — одна из крупнейших в мире платформ электронной коммерции с открытым исходным кодом, ставшая привлекательной для хакеров со злыми намерениями. Независимо от объема работы, посвященной обеспечению безопасности этой платформы, хакеры будут продолжать пытаться придумать новые способы обойти меры безопасности.

Несмотря на то, что у Magento есть свои функции безопасности (и они одни из лучших), вам все равно нужно проявлять инициативу и предпринимать превентивные действия, такие как проверки безопасности и тесты, чтобы оценить все уязвимости.

Как эксперты Magento, мы получаем множество запросов от владельцев электронной коммерции Magento, которым необходимо защитить свои магазины от будущих хакерских атак, которые ставят под угрозу данные их пользователей.

Итак, вот ситуация: проблемы безопасности будут присутствовать всегда, поэтому мы хотим поделиться с вами набором проверок и важных шагов, которые вы можете предпринять, чтобы защитить свой интернет-магазин от взлома.

В этой статье перечислены способы, с помощью которых владельцы магазинов, менеджеры по маркетингу, менеджеры по электронной коммерции и т. д. могут реализовать необходимые меры безопасности Magento.

ВЫБЕРИТЕ ИНФРАСТРУКТУРУ БЕЗОПАСНОГО ХОСТИНГА

Выбирая хостинг-провайдера, убедитесь, что у него есть безопасный жизненный цикл разработки программного обеспечения и что он работает в соответствии с отраслевыми стандартами (т. е. передовыми методами безопасности OWASP).

Если вы находитесь в процессе создания нового веб-сайта, запустите его через HTTPS. Это надежно зашифрует ваш сайт, а также поможет ему получить более высокий рейтинг Google. Для существующего веб-сайта мы рекомендуем вам обновить сайт для работы на HTTPS.

БЕЗОПАСНАЯ СРЕДА

Обновляйте все программное обеспечение и применяйте ВСЕ рекомендуемые исправления безопасности. Magento регулярно выпускает исправления в виде патчей, поэтому рекомендуется проверять, установлены ли в вашей системе все последние патчи.

Отключите FTP и используйте только безопасные соединения (SSH/SFTP/HTTPS) для управления файлами. Причина, по которой это рекомендуется делать, заключается в том, что простой FTP передает данные в виде открытого текста, а это означает, что конфиденциальная информация, такая как имена пользователей и пароли, может быть легко получена.

Если вы используете сервер, отличный от веб-сервера Apache, убедитесь, что все системные файлы и каталоги защищены .

Разрешить доступ к панели администратора только IP-адресам из белого списка. Если вы не знаете, как управлять этими разрешениями, прочтите это.

Реализовать двухфакторную аутентификацию для входа администратора. Это обеспечит дополнительную безопасность, требующую дополнительного кода доступа, сгенерированного на вашем телефоне.

Регулярно обновляйте антивирусное программное обеспечение и используйте сканер вредоносных программ, чтобы защитить компьютер, который вы используете для доступа к панели администратора Magento.

Кроме того, чтобы обеспечить безопасность серверной операционной системы, убедитесь, что на сервере не запущено ненужное программное обеспечение .

БЕЗОПАСНЫЙ МАГЕНТО

Чтобы уменьшить воздействие сценариев, которые могут попытаться взломать ваш URL-адрес администратора, используйте уникальный URL-адрес администратора , который сложно угадать.

Используйте надежный пароль для учетной записи администратора Magento. Вы НИКОГДА не должны использовать простые пароли для администратора Magento (даты рождения, имена, фамилии и т. д.) и примерно раз в месяц меняйте свои пароли. Кроме того, не сообщайте свой пароль третьим лицам. Если есть необходимость предоставить доступ разработчикам, создайте для них отдельного пользователя и удалите его после завершения работы.

Регулярно проверяйте пользователей-администраторов, чтобы убедиться, что только нужные люди имеют доступ к панели администратора магазина. Это может быть хорошее время для удаления/удаления старых пользователей.

Крайне важно проверить соответствующий уровень разрешений, чтобы предотвратить дальнейший незапрашиваемый доступ к вашей электронной торговле Magento. Эта проверка гарантирует, что всем группам пользователей предоставлены только предполагаемые права доступа.

Придерживайтесь параметров конфигурации Magento, связанных с безопасностью, для безопасности администратора, параметров пароля и CAPTCHA.

Используйте последнюю версию Magento , чтобы пользоваться последними улучшениями безопасности. В противном случае установите все исправления безопасности в соответствии с рекомендациями Magento.

Наконец, некоторые расширения Magento не нужны или больше не поддерживаются их создателями и, следовательно, имеют уязвимости. Важно просмотреть список надстроек и проверить, обновлены ли они. Это помогает удалить заброшенные расширения и удалить их.

МОНИТОРИНГ НА ПРИЗНАКИ ИЛИ СИМПТОМЫ ВЗЛОМАННОГО САЙТА MAGENTO

Недоступность интернет-магазина . Если ваш магазин постоянно недоступен или заблокирован службой хостинга, возможно, вы стали жертвой атаки типа «отказ в обслуживании». Этот тип атаки нарушит ваше присутствие в Интернете, но не угрожает безопасности ваших данных.

Панель администрирования и проблемы с содержимым : если вы обнаружите, что появился новый пользователь с правами администратора, которого вы не создавали, заметили изменения, внесенные в содержимое вашего магазина, или, возможно, вы даже не можете войти в систему, возможно, вы страдаете от критических опасная атака на ваш сайт и бизнес (взлом панели администратора)

Низкая производительность : атака Hacked Redirect направлена ​​на то, чтобы захватить трафик вашего магазина и подвергнуть ваших клиентов вредоносному ПО, фишинговым атакам или рекламному спаму. Если вы заметили, что ваш магазин не отображается в поисковых системах или его перенаправляют на нежелательные страницы, примите меры, возможно, вас взломали.

Сообщается о краже данных . Вы пострадали от этой атаки, если ваши клиенты сообщают о подозрительных действиях со своими учетными записями или если учетные данные их кредитных карт были украдены. Это атаки на основе электронной почты с целью доступа к данным и кражи личных данных.

Не нужно говорить, как сильно это может повлиять на ваш сайт электронной коммерции.

• Периодически просматривайте журналы сервера на наличие подозрительной активности.
• Проверьте, не были ли созданы какие-либо неавторизованные пользователи-администраторы. Вы можете отслеживать журнал действий администратора.
• Проверьте целостность данных файлов на сервере, чтобы избежать потенциальной установки вредоносных программ.
• Отслеживайте все входы в систему (FTP, SFTP, SSH) на наличие непредвиденных действий, загрузок или команд.

РАЗРАБОТАЙТЕ ПЛАН ВОССТАНОВЛЕНИЯ

Даже если вы применили строгие меры безопасности, создайте план восстановления/непрерывности бизнеса для наихудшего сценария. важно иметь резервную копию всех данных вашего интернет-магазина. Это поможет восстановить ваш интернет-магазин в случае потери данных.

Убедитесь, что существуют резервные копии файлов базы данных и сервера во внешнем расположении. Убедитесь, что эти резервные копии сделаны правильно и могут быть восстановлены.

В случае атаки, независимо от того, насколько она мала, сбросьте все учетные данные, включая базу данных, доступ к файлам, ключи шифрования платежного шлюза, веб-сервисы и вход в систему администратора Magento, FTP, SSH и т. д.