MAGENTO MAĞAZANIZI HACKLANMADAN NASIL KORURSUNUZ

Magento, dünyanın en büyük açık kaynaklı e-ticaret platformlarından biridir ve kötü niyetli bilgisayar korsanları için göz kamaştırıcı hale gelir. Bu platformun güvenliğini sağlamak için ne kadar uğraşılırsa harcansın, bilgisayar korsanları güvenlik önlemlerinden kaçmak için yeni yollar bulmaya devam edecekler.

Magento'nun kendi güvenlik özelliklerine sahip olmasına (ve en iyilerinden biri olmalarına) rağmen, tüm güvenlik açıklarını değerlendirmek için yine de proaktif olmanız ve güvenlik denetimleri ve testler gibi önleyici eylemlerde bulunmanız gerekir.

Magento uzmanları olarak, Magento e-ticaret sahiplerinden, mağazalarının kullanıcı verilerini tehlikeye atan gelecekteki hack saldırılarını engellemesi gereken birçok talep alıyoruz.

Durum şu: Güvenlik endişeleri her zaman mevcut olacak, sizinle çevrimiçi mağazanızı bilgisayar korsanlığından korumak için bir dizi denetimi ve atabileceğiniz önemli adımları paylaşmak istememizin nedeni.

Bu makale, mağaza sahiplerinin, pazarlama yöneticilerinin, e-ticaret yöneticilerinin vb. temel Magento güvenlik önlemlerini uygulayabilecekleri yolları listeler.

GÜVENLİ BİR HOSTING ALTYAPISI SEÇİN

Bir barındırma sağlayıcısı seçerken, güvenli bir yazılım geliştirme yaşam döngüsüne sahip olduklarından ve endüstri standartlarına (yani OWASP güvenlik en iyi uygulamaları) göre çalıştıklarından emin olun.

Yeni bir web sitesi oluşturma sürecindeyseniz siteyi HTTPS üzerinden başlatın. Bu, sitenizi güvenli bir şekilde şifreleyecek ve daha yüksek Google sıralaması elde etmesine yardımcı olacaktır. Mevcut bir web sitesi için siteyi HTTPS üzerinde çalışacak şekilde yükseltmenizi tavsiye ederiz.

GÜVENLİ ORTAM

Tüm yazılımları güncel tutun ve önerilen TÜM güvenlik yamalarını uygulayın. Magento, düzeltmeleri düzenli olarak yamalar şeklinde yayınlar, bu nedenle sisteminizde en son yamanın kurulu olup olmadığını kontrol etmeniz önerilir.

FTP'yi devre dışı bırakın ve dosyaları yönetmek için yalnızca güvenli iletişimleri (SSH/SFTP/HTTPS) kullanın. Bunu yapmanın tavsiye edilmesinin nedeni, düz FTP'nin verileri düz metin olarak iletmesidir, yani kullanıcıların kullanıcı adları ve şifreleri gibi hassas bilgiler kolayca elde edilebilir.

Apache web sunucusundan farklı bir sunucu kullanıyorsanız, tüm sistem dosyalarının ve dizinlerinin korunduğundan emin olun.

Yönetici paneline yalnızca Beyaz Listedeki IP adreslerinin erişmesine izin verin. Bu izinleri nasıl yöneteceğinizden emin değilseniz, bunu okuyun.

Yönetici oturum açma işlemleri için iki faktörlü kimlik doğrulama uygulayın. Bu, telefonunuzda oluşturulan ek bir şifre gerektiren ekstra güvenlik sağlayacaktır.

Magento Admin Dashboard'a erişmek için kullandığınız bilgisayarın güvenliğini sağlamak için virüsten koruma yazılımınızı düzenli olarak güncelleyin ve kötü amaçlı yazılım tarayıcısı kullanın.

Ayrıca, güvenli bir sunucu işletim sistemi sağlamak için sunucu üzerinde çalışan gereksiz yazılımların bulunmadığından emin olun.

GÜVENLİ MAGENTO

Yönetici URL'nize girmeye çalışabilecek komut dosyalarına maruz kalmayı azaltmak için, kolayca tahmin edilemeyen benzersiz bir Yönetici URL'si kullanın .

Magento Yönetici hesabı için güçlü bir parola kullanın. Magento admin için ASLA basit parolalar (doğum tarihleri, adlar, soyadlar vb.) kullanmamalısınız ve ayda yaklaşık bir kez parolalarınızı değiştirin. Ayrıca, şifrenizi üçüncü şahıslarla paylaşmayın. Geliştiricilere erişim sağlanması gerekiyorsa, onlar için ayrı bir kullanıcı oluşturun ve çalışma tamamlandıktan sonra silin.

Yalnızca doğru kişilerin mağaza yönetici paneline erişimi olduğundan emin olmak için yönetici kullanıcıları düzenli olarak kontrol edin . Bu, eski kullanıcıları kaldırmak / silmek için iyi bir zaman olabilir.

Magento e-ticaretinize daha fazla istenmeyen erişimi önlemek için uygun izin düzeyini kontrol etmek çok önemlidir. Bu kontrol, tüm kullanıcı gruplarına yalnızca amaçlanan erişim haklarının verilmesini sağlar.

Yönetici Güvenliği, Parola Seçenekleri ve CAPTCHA için Magento'nun güvenlikle ilgili yapılandırma ayarlarına uyun.

En yeni güvenlik geliştirmelerinin keyfini çıkarmak için Magento'nun en son sürümünü kullanın. Aksi takdirde, tüm güvenlik yamalarını Magento tarafından önerilen şekilde yükleyin.

Sonunda, bazı Magento uzantılarına ihtiyaç duyulmaz veya artık yaratıcıları tarafından bakım yapılmaz ve bu nedenle güvenlik açıkları vardır. Eklentiler listenizi gözden geçirmeniz ve güncel olup olmadıklarını kontrol etmeniz önemlidir. Bu, terk edilmiş uzantıların kaldırılmasına ve kaldırılmasına yardımcı olur.

SALDIRILAN BİR MAGENTO SİTESİNİN BELİRTİLERİ VEYA BELİRTİLERİ İÇİN İZLEME

Web mağazasının kullanılamaması : Mağazanız sürekli olarak kullanılamıyorsa veya barındırma hizmeti tarafından engelleniyorsa, Hizmet Reddi Saldırısının kurbanı olabilirsiniz. Bu tür bir saldırı, çevrimiçi varlığınızı bozar, ancak veri güvenliğinizi tehdit etmez.

Yönetim paneli ve içerik sorunları : Oluşturmadığınız yönetici haklarına sahip yeni bir kullanıcı olduğunu fark ederseniz, mağaza içeriğinizde yapılan değişiklikleri fark ederseniz veya belki giriş bile yapamıyorsanız, ciddi bir sorun yaşıyor olabilirsiniz. web sitenize ve işinize yönelik tehlikeli saldırı (Yönetici Paneli Girişi)

Düşük performans : Hacked Redirect saldırısı, mağazanızın trafiğini ele geçirmeyi ve müşterilerinizi kötü amaçlı yazılımlara, kimlik avı saldırılarına veya reklam spam'lerine maruz bırakmayı amaçlar. Mağazanızın arama motorlarında çıkmadığını veya istenmeyen sayfalara yönlendirildiğini fark ederseniz önleminizi alın, saldırıya uğramış olabilirsiniz.

Bildirilen veri hırsızlığı : Müşterileriniz hesaplarıyla ilgili şüpheli etkinlikler bildirdiğinde veya kredi kartı bilgileri çalındığında bu saldırıya maruz kaldınız. Bunlar, veri erişimi ve kimlik hırsızlığı amaçlı e-posta tabanlı saldırılardır.

Bunun e-ticaret sitenizi ne kadar kötü etkileyebileceğini söylemeye gerek yok.

• Herhangi bir şüpheli etkinlik için sunucu günlüklerini düzenli olarak inceleyin.
• Yetkisiz yönetici kullanıcılar oluşturulup oluşturulmadığını kontrol edin. Yönetici Eylemleri Günlüğünü izleyebilirsiniz.
• Olası kötü amaçlı yazılım yüklemesini önlemek için sunucudaki dosyaların veri bütünlüğünü kontrol edin.
• Beklenmeyen etkinlikler, yüklemeler veya komutlar için tüm sistem oturum açmalarını (FTP, SFTP, SSH) izleyin

BİR KURTARMA PLANI GELİŞTİRİN

Sıkı güvenlik önlemleri uygulamış olsanız bile, en kötü durum senaryosu için bir kurtarma/iş sürekliliği planı oluşturun. tüm web mağazası verilerinizin yedeklenmesi önemlidir. Bu, veri kaybı durumunda web mağazanızı geri yüklemenize yardımcı olacaktır.

Harici bir konumda veritabanı ve sunucu dosyalarının mevcut yedeklerinin bulunduğundan emin olun. Bu yedeklerin doğru alındığından ve geri yüklenebildiğinden emin olun.

Bir saldırı durumunda, ne kadar küçük olursa olsun, veritabanı, dosya erişimi, ödeme ağ geçidi şifreleme anahtarları, web hizmetleri ve Magento yönetici oturum açma, FTP, SSH vb. dahil tüm kimlik bilgilerini sıfırlayın.