วิธีป้องกัน MAGENTO Store จากการถูกแฮ็ก

Magento เป็นหนึ่งในแพลตฟอร์มอีคอมเมิร์ซโอเพ่นซอร์สที่ใหญ่ที่สุดในโลก กลายเป็นสิ่งดึงดูดสายตาสำหรับแฮกเกอร์ที่มีเจตนาร้าย แฮ็กเกอร์จะพยายามหาวิธีการใหม่ๆ ในการหลีกเลี่ยงมาตรการรักษาความปลอดภัยโดยไม่คำนึงถึงปริมาณงานที่ทุ่มเทให้กับการรักษาความปลอดภัยของแพลตฟอร์มนี้

แม้ว่า Magento จะมีคุณลักษณะด้านความปลอดภัยของตัวเอง (และเป็นหนึ่งในคุณสมบัติที่ดีที่สุด) คุณก็ยังจำเป็นต้องดำเนินการเชิงรุกและดำเนินการป้องกัน เช่น การตรวจสอบและการทดสอบความปลอดภัย เพื่อประเมินช่องโหว่ทั้งหมด

ในฐานะผู้เชี่ยวชาญของ Magento เราได้รับคำขอมากมายจากเจ้าของอีคอมเมิร์ซ Magento ที่ต้องการป้องกันไม่ให้ร้านค้าของตนถูกโจมตีจากการแฮ็กในอนาคต ซึ่งจะเป็นอันตรายต่อข้อมูลผู้ใช้ของพวกเขา

นี่คือสถานการณ์: ความกังวลด้านความปลอดภัยมักปรากฏให้เห็น เหตุผลที่เราต้องการแบ่งปันชุดการตรวจสอบและขั้นตอนสำคัญที่คุณสามารถทำได้เพื่อปกป้องร้านค้าออนไลน์ของคุณจากการแฮ็ก

บทความนี้กล่าวถึงวิธีการที่เจ้าของร้านค้า ผู้จัดการฝ่ายการตลาด ผู้จัดการอีคอมเมิร์ซ ฯลฯ สามารถใช้มาตรการรักษาความปลอดภัย Magento ที่จำเป็นได้

เลือกโครงสร้างพื้นฐานการโฮสต์ที่ปลอดภัย

เมื่อเลือกผู้ให้บริการโฮสต์ ตรวจสอบให้แน่ใจว่าพวกเขามีวงจรการพัฒนาซอฟต์แวร์ที่ปลอดภัย และทำงานได้ตามมาตรฐานอุตสาหกรรม (เช่น แนวทางปฏิบัติด้านความปลอดภัย OWASP ที่ดีที่สุด)

หากคุณกำลังสร้างเว็บไซต์ใหม่ ให้เปิดเว็บไซต์ผ่าน HTTPS สิ่งนี้จะเข้ารหัสไซต์ของคุณอย่างปลอดภัยและช่วยให้ได้รับการจัดอันดับใน Google ที่สูงขึ้น สำหรับเว็บไซต์ที่มีอยู่ เราขอแนะนำให้คุณอัปเกรดเว็บไซต์ให้ทำงานบน HTTPS

สภาพแวดล้อมที่ปลอดภัย

อัปเดตซอฟต์แวร์ทั้งหมดและใช้โปรแกรมแก้ไขความปลอดภัยที่แนะนำทั้งหมด Magento เผยแพร่โปรแกรมแก้ไขในรูปแบบของแพทช์เป็นประจำ ดังนั้นจึงแนะนำให้ตรวจสอบว่ามีการติดตั้งโปรแกรมแก้ไขล่าสุดทั้งหมดในระบบของคุณหรือไม่

ปิดใช้งาน FTP และใช้เฉพาะการสื่อสารที่ปลอดภัย (SSH/SFTP/HTTPS) เพื่อจัดการไฟล์ เหตุผลที่แนะนำให้ทำเช่นนี้ก็เพราะว่า FTP ธรรมดาส่งข้อมูลในรูปแบบข้อความธรรมดา หมายความว่าสามารถรับข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้และรหัสผ่านของผู้ใช้ได้อย่างง่ายดาย

หากคุณกำลังใช้เซิร์ฟเวอร์อื่นที่ไม่ใช่เว็บเซิร์ฟเวอร์ Apache ตรวจสอบให้แน่ใจว่า ไฟล์ระบบและไดเรกทอรีทั้งหมดได้รับการป้องกัน

อนุญาตเฉพาะที่อยู่ IP ที่อนุญาตพิเศษเพื่อเข้าถึงแผงการดูแลระบบ หากคุณไม่แน่ใจเกี่ยวกับวิธีการจัดการสิทธิ์นี้ โปรดอ่านสิ่งนี้

ใช้การ ตรวจสอบสิทธิ์แบบสองปัจจัย สำหรับการเข้าสู่ระบบของผู้ดูแลระบบ ซึ่งจะให้ความปลอดภัยเป็นพิเศษซึ่งต้องใช้รหัสผ่านเพิ่มเติมที่สร้างขึ้นบนโทรศัพท์ของคุณ

อัปเดตซอฟต์แวร์ป้องกันไวรัสของคุณเป็นประจำและใช้เครื่องสแกนมัลแวร์เพื่อรักษาความปลอดภัยคอมพิวเตอร์ที่คุณใช้เพื่อเข้าถึง Magento Admin Dashboard

นอกจากนี้ เพื่อให้แน่ใจว่าระบบปฏิบัติการเซิร์ฟเวอร์ปลอดภัย ตรวจสอบให้แน่ใจว่า ไม่มีซอฟต์แวร์ที่ไม่จำเป็น ทำงานบนเซิร์ฟเวอร์

MAGENTO ที่ปลอดภัย

เพื่อลดการเปิดเผยสคริปต์ที่อาจพยายามเจาะผ่าน URL ผู้ดูแลระบบของคุณ ให้ ใช้ URL ผู้ดูแลระบบเฉพาะ ที่ไม่สามารถคาดเดาได้ง่าย

ใช้ รหัสผ่านที่รัดกุม สำหรับบัญชีผู้ดูแลระบบ Magento คุณไม่ควรใช้รหัสผ่านง่ายๆ สำหรับผู้ดูแลระบบ Magento (วันเกิด ชื่อ นามสกุล ฯลฯ) และเปลี่ยนรหัสผ่านของคุณประมาณเดือนละครั้ง นอกจากนี้ อย่าเปิดเผยรหัสผ่านของคุณกับบุคคลที่สาม หากจำเป็นต้องให้สิทธิ์เข้าถึงแก่นักพัฒนา ให้สร้างผู้ใช้แยกต่างหากสำหรับพวกเขา แล้วลบออกหลังจากงานเสร็จสิ้น

ตรวจสอบผู้ใช้ที่เป็นผู้ดูแลระบบเป็นประจำ เพื่อให้แน่ใจว่ามีเพียงผู้ที่เหมาะสมเท่านั้นที่สามารถเข้าถึงแผงผู้ดูแลระบบร้านค้า นี่อาจเป็นช่วงเวลาที่ดีในการลบ / ลบผู้ใช้เก่า

การตรวจสอบระดับการอนุญาตที่เหมาะสมเป็นสิ่งสำคัญ เพื่อป้องกันการเข้าถึงอีคอมเมิร์ซ Magento ของคุณโดยไม่ได้รับอนุญาต การตรวจสอบนี้ช่วยให้แน่ใจว่ากลุ่มผู้ใช้ทั้งหมดได้รับสิทธิ์การเข้าถึงตามเจตนาเท่านั้น

ปฏิบัติตามการตั้งค่าการกำหนดค่าที่เกี่ยวข้องกับความปลอดภัยของ Magento สำหรับ Admin Security, Password Options และ CAPTCHA

ใช้ Magento เวอร์ชันล่าสุด เพื่อเพลิดเพลินกับการปรับปรุงความปลอดภัยล่าสุด มิฉะนั้น ให้ติดตั้งแพตช์ความปลอดภัยทั้งหมดตามที่ Magento แนะนำ

ในที่สุด ส่วนขยาย Magento บางตัวก็ไม่จำเป็นหรือไม่ได้ดูแลโดยผู้สร้างอีกต่อไป ดังนั้นจึงมีช่องโหว่ สิ่งสำคัญคือต้องตรวจสอบรายการส่วนเสริมของคุณและตรวจสอบว่าส่วนเสริมนั้นเป็นข้อมูลล่าสุดหรือไม่ ซึ่งจะช่วยลบส่วนขยายที่ถูกละทิ้งและถอนการติดตั้งออก

ตรวจสอบสัญญาณหรืออาการของไซต์ MAGENTO ที่ถูกแฮ็ก

ความ ไม่พร้อมใช้งานของร้านค้าบนเว็บ : หากร้านค้าของคุณไม่พร้อมใช้งานตลอดเวลา หรือถูกบล็อกโดยบริการโฮสต์ คุณอาจตกเป็นเหยื่อของการโจมตีแบบปฏิเสธการให้บริการ การโจมตีประเภทนี้จะรบกวนสถานะออนไลน์ของคุณ แต่ไม่คุกคามความปลอดภัยของข้อมูลของคุณ

ปัญหาเกี่ยวกับแผงการดูแลระบบและเนื้อหา : หากคุณพบว่ามีผู้ใช้ใหม่ที่มีสิทธิ์ผู้ดูแลระบบที่คุณไม่ได้สร้างขึ้น สังเกตเห็นการเปลี่ยนแปลงในเนื้อหาร้านค้าของคุณ หรือคุณอาจไม่สามารถเข้าสู่ระบบได้ คุณอาจประสบปัญหาร้ายแรง การโจมตีที่เป็นอันตรายต่อเว็บไซต์และธุรกิจของคุณ (แผงผู้ดูแลระบบแบ่งเป็น)

ประสิทธิภาพแย่ : การโจมตี Hacked Redirect มีจุดมุ่งหมายเพื่อดึงดูดการเข้าชมร้านค้าของคุณและเปิดเผยลูกค้าของคุณต่อมัลแวร์ การโจมตีแบบฟิชชิ่ง หรือสแปมโฆษณา หากคุณสังเกตเห็นว่าร้านค้าของคุณไม่ปรากฏในเครื่องมือค้นหาหรือถูกเปลี่ยนเส้นทางไปยังหน้าที่ไม่พึงประสงค์ โปรดดำเนินการ คุณอาจถูกแฮ็ก

รายงานการโจรกรรมข้อมูล : คุณได้รับความเดือดร้อนจากการโจมตีนี้หากลูกค้าของคุณรายงานกิจกรรมที่น่าสงสัยด้วยบัญชีของพวกเขา หรือข้อมูลประจำตัวของบัตรเครดิตของพวกเขาถูกขโมย สิ่งเหล่านี้เป็นการโจมตีทางอีเมลโดยมีจุดประสงค์ในการเข้าถึงข้อมูลและการขโมยข้อมูลประจำตัว

ไม่จำเป็นต้องสังเกตว่าสิ่งนี้อาจส่งผลเสียต่อไซต์อีคอมเมิร์ซของคุณมากน้อยเพียงใด

• ตรวจสอบบันทึกของเซิร์ฟเวอร์เป็นระยะสำหรับกิจกรรมที่น่าสงสัย
• ตรวจสอบว่ามีการสร้างผู้ดูแลระบบที่ไม่ได้รับอนุญาตหรือไม่ คุณสามารถตรวจสอบบันทึกการดำเนินการของผู้ดูแลระบบได้
• ตรวจสอบความสมบูรณ์ของข้อมูลของไฟล์บนเซิร์ฟเวอร์เพื่อหลีกเลี่ยงการติดตั้งมัลแวร์ที่อาจเกิดขึ้น
• ตรวจสอบการเข้าสู่ระบบทั้งหมด (FTP, SFTP, SSH) สำหรับกิจกรรม การอัปโหลด หรือคำสั่งที่ไม่คาดคิด

พัฒนาแผนการกู้คืน

แม้ว่าคุณจะใช้มาตรการรักษาความปลอดภัยที่เข้มงวดแล้ว ให้สร้างแผนการกู้คืน/ความต่อเนื่องทางธุรกิจสำหรับสถานการณ์กรณีที่เลวร้ายที่สุด จำเป็นต้องสำรองข้อมูลเว็บสโตร์ทั้งหมดของคุณ ซึ่งจะช่วยในการกู้คืนเว็บสโตร์ของคุณในกรณีที่ข้อมูลสูญหาย

ตรวจสอบให้แน่ใจว่ามีการสำรองไฟล์ฐานข้อมูลและเซิร์ฟเวอร์อยู่ในตำแหน่งภายนอก ตรวจสอบให้แน่ใจว่าได้สำรองข้อมูลเหล่านี้อย่างถูกต้องและสามารถกู้คืนได้

ในกรณีที่มีการโจมตี ไม่ว่าจะเล็กเพียงใด ให้รีเซ็ตข้อมูลประจำตัวทั้งหมด รวมถึงฐานข้อมูล การเข้าถึงไฟล์ คีย์การเข้ารหัสเกตเวย์การชำระเงิน บริการเว็บและการเข้าสู่ระบบของผู้ดูแลระบบ Magento, FTP, SSH เป็นต้น