Magento Mağazanızı Korumak için En İyi Güvenlik Stratejileri

(Bu, AWS Cloud'daki özel sunucularda müşteri yapılandırmaları sunan bir Magento barındırma sağlayıcısı olan JetRails'deki arkadaşlarımızdan gelen bir konuk gönderisidir.)

Magento vitrininiz, bilgisayar korsanları için yüksek değerli bir hedeftir ve güvenlik açıklarını en aza indirmek için sıkı güvenlik önlemleri gerektirir. Özel bir Magento barındırma sağlayıcısı olarak JetRails, kötü niyetli saldırılarla mücadele etmek için genellikle acil durum yanıtlayıcıları olarak çağrılır. Bir güvenlik ihlalinin işletmeniz üzerindeki yıkıcı etkisi konusunda ilk elden deneyime sahibiz.

En iyi güvenlik uygulamalarını ve protokollerini takip etmek, Magento vitrininizi korumada en iyi savunmadır. Bu kontrol listesini, kötü amaçlı kod yerleştirme, kötü amaçlı yazılım, kaba kuvvet saldırıları ve korkunç DDoS dahil olmak üzere en yaygın tehditlere karşı güvenlik önlemleri için bir kılavuz olarak kullanın.

Magento Güvenlik En İyi Uygulamaları

En yaygın çevrimiçi tehditlere karşı korunmanızı sağlamak için en iyi Magento güvenlik uygulamaları kontrol listemize bakın.

Güvenli Varsayılan Konumlar

Her Magento kurulumunun idari amaçlar için kullanılan birkaç arka uç klasörü vardır. Bu giriş noktaları varsayılan olarak /admin, /downloader, /var ve çeşitli /rss uç noktalarında bulunur. Bu klasörler belirli ve bilinen konumlarda ayarlandığından, sitenize yapılan kötü niyetli saldırılar için bir giriş yolu olabilirler. Yönetici yollarınıza yapılan kaba kuvvet saldırıları, kaynaklarınız üzerinde muazzam bir yük oluşturabilir - ziyaretçi kapasitesini sınırlandırabilir, hızı etkileyebilir ve kararlılığı aşındırabilir. Bu, Magento 2.x kurulumlarına karşı Magento 1.x kurulumlarıyla en yakından ilişkili bir sorundur (otomatik olarak bu güvenlik protokolünü gerektirir). Erişimin engellenmesi, yönetici yollarının özelleştirilmesi ve güvenliğinin sağlanması, bilgisayar korsanlarının bu güvenlik açığından yararlanmasını çok daha zor hale getirir.

İki Faktörlü Kimlik Doğrulama

2FA olarak da bilinen iki faktörlü kimlik doğrulama, yönetici kullanıcılar için oturum açma kimlik bilgilerini doğrulamak için ikinci bir koruma düzeyi ekler ve Magento güvenliği için kritik bir bileşendir. Stok Magento kurulumunda, kullanıcıya güvenlik sınırlamaları olan yalnızca bir kimlik doğrulama yöntemi verilir. İki faktörlü kimlik doğrulamanın eklenmesi, sektör genelinde en iyi uygulama haline geldi ve web sitenizin güvenliğini sağlamak için hayati önem taşıyor. Magento 2FA eklentileri, JetRails'in Magento İki Faktörlü Kimlik Doğrulaması dahil olmak üzere Magento Marketplace'te bulunabilir.

Web Uygulaması Güvenlik Duvarı

Cloudflare's gibi bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmak, kötü niyetli trafiği sunucunuza ulaşmadan önce engelleyerek güvenlik açıklarını engellemenize olanak tanır. Bir WAF, yapılandırdığınız belirli kurallara göre gelen trafiği filtreleyebilir, izleyebilir ve engelleyebilir. Örneğin, Geoblocking, belirli küresel bölgelerden bot ve/veya insan erişimini sınırlamanıza olanak tanır. Cloudflare WAF'nin bir başka avantajı da, yalnızca kötü amaçlı olarak tanımladığınız trafiği değil, tüm Cloudflare topluluğu tarafından kötü niyetli kabul edilen trafiği de engellemenize olanak tanıyan Kolektif Zeka'dır. Ek olarak, bir WAF, uygulanmamış Magento yamalarına karşı bir miktar koruma sağlayabilir. Bununla birlikte, yalnızca (çok karmaşık bir güvenlik duvarına bile) güvenmek yerine her zaman en son Magento güvenlik yamalarının kurulu olması çok önemlidir.

Magento Yamalarını Güncelleme

Magento'nun açık kaynak yazılımı, e-ticaret topluluklarına sitelerini özelleştirmek ve müşterilerinin ihtiyaçlarını karşılamak için muazzam bir esneklik sunar. Ancak, güvenlik protokollerini takip etme, güvenlik yamalarını güncelleme ve güvenlik açıklarını caydırma sorumluluğu, vitrin sahipleri ve geliştirme ekibinin eylemlerini gerektirir.

Bir güvenlik açığı keşfedildiğinde, Magento geliştiricileri belirli bir kod satırında küçük değişiklikler yapar. Koddaki bu ince ayar, Magento tarafından kendi kendine kurulacak bir güvenlik yaması olarak gönderilir. Bilgisayar korsanları da bu güvenlik açıklarının farkındadır, bu da güvenlik yamalarının yayınlanır yayınlanmaz yüklenmesi gerektiği anlamına gelir. Kullanılacak harika bir kaynak, gerekli herhangi bir Magento yama kurulumu olup olmadığını belirlemek için sitenizi kontrol edecek olan MageReport'tur. Yama güvenlik güncellemeleri Magento Güvenlik Merkezi'nde de bulunabilir. Yamalar kullanıma sunulduğunda teknoloji ortaklarınız sizi uyarmalıdır.

Üçüncü Taraf Eklentiler

Magento için üçüncü taraf eklentiler, vitrininizi ve müşteri deneyiminizi geliştirmek için sonsuz seçenekler yaratabilir. Ancak, özelliklerin eklenmesi de beklenmeyen güvenlik açıklarına neden olabilir. Üçüncü taraf eklentileri yükledikten sonra güvenliğin korunmasını sağlamak için geliştiricinizin güncellemeler için tüm satıcıları ve uygulamaları manuel olarak kontrol etmesi gerekir. Güvenlik açıkları ortaya çıktıkça üçüncü taraf eklentileri dikkatle izlenmeli ve yamalanmalıdır. Magento Marketplace, Magento 2 için eklentileri inceleme konusunda çok daha katı hale geldi, ancak aynı ilke hem Magento 1 hem de Magento 2 için geçerlidir.

OS/PHP Sürümleri

Tıpkı Magento kurulumunuz gibi, sunucu işletim sisteminiz de en yeni çekirdek ve güvenlik yamaları ile güncel tutulmalıdır. Bunu yapmamak, 2018'in başlarında ortaya çıkan ve kötü amaçlı kodun çekirdek belleği okumasına izin veren Meltdown ve Spectre açıkları gibi büyük güvenlik açıklarına neden olabilir.

Bu, Magento kaynak kodunu okuyan ve yürüten PHP için de geçerlidir. PHP'nin her yeni yinelemesi, sonraki sürümlerde ortaya çıkan güvenlik açıklarını korur. Ek olarak, eski PHP sürümleri PCI Uyumluluk taramalarını geçemez.

Çekirdek ve ilgili hizmetler de dahil olmak üzere tüm yazılım yığınının bakımından sorumlu olacak bir yönetilen hizmet sağlayıcıyla çalışmak hayati önem taşır.

PCI Uyumluluğu

Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), kredi kartı ödemelerini kabul eden her büyüklükteki şirket için geçerlidir. Magento mağazalarının çoğu müşteri hesaplarıyla ilgilendiğinden, PCI uyumluluk standartlarını karşılamak ihtiyatlıdır. Şirketiniz kart ödemesini kabul etmek ve müşteri kart sahibi verilerini işlemek istiyorsa, verilerinizi PCI uyumlu bir barındırma sağlayıcısı ile de güvenli bir şekilde barındırmanız gerekir. Trustwave gibi onaylı bir satıcı aracılığıyla bir PCI taraması yapmak, PCI Uyumluluğu kazanma yeteneğinizi engelleyebilecek güvenlik zorluklarını ortaya çıkarabilir.

En Az Ayrıcalıklı Erişim

Magento web sitenizi kötü niyetli davranışlardan korumaya yönelik bir diğer önemli tasarım düşüncesi, En Az Ayrıcalık Erişimi kavramıdır. Bu ilke, kullanıcılara yalnızca belirli bir görevi gerçekleştirmek için gereken minimum işlev alt kümesine erişim izni verilmesini gerektirir. Örneğin, sevkiyat departmanındaki çalışanların yalnızca sevkiyat işlevine erişimi olmalıdır; aynı şekilde, faturalandırmadakiler yalnızca faturalandırmayı etkileme yeteneğine sahip olmalıdır. Salt okunur izinlerin ve departmanların ayrılmasının bir kombinasyonunu kullanarak, hassas müşteri verilerinizin güvenliği artırılacaktır.

Erişim Güvenliği

Şifreler düzenli olarak değiştirilmeli ve paylaşılmamalıdır. İyi şifre protokolleri uygulamak, güvenlik için çok önemlidir. Şifreleri açık metin e-postaları, SMS, IM, destek biletleri veya diğer şifrelenmemiş yöntemlerle göndermeyin. Sistem erişimi için, kabuk veya SFTP kullanıcıları için parola doğrulamasına izin vermek genellikle iyi bir fikir değildir. Mümkün olduğunda, şifreler yerine SSH Anahtarlarını kullanın.

Şifreleri güvenli bir şekilde saklamak için harika bir kaynak, her tarayıcıda ve mobil cihazda çalışan ücretsiz bir yönetim sistemi olan LastPass'tir. Ayrıca güvenli parolalar oluşturabilir ve şu anda mevcut olan en güçlü şifreleme standartlarını sunar.

Geliştirme Ortamınızı Koruyun

Geliştirme ortamınıza tüm erişimi geliştiricileriniz dışında herhangi birinden sınırlamak çok önemlidir. Geliştirme ortamınızın, eşit derecede değerli bilgilerle üretim (canlı) sitenizin bir aynası olduğunu unutmayın. Geliştiriciler genellikle hem geliştirmede hem de üründe parolaları ve SSH anahtarlarını yeniden kullanır, bu nedenle her iki ortamda da aynı katı güvenlik protokollerini sürdürmek çok önemlidir.

Harika Bir Ekiple Kendinizi Çevreleyin

Bu adımların her biri farklı bir koruma katmanı sağlar ve riskleri azaltmanıza ve Magento vitrininize yönelik tehditleri ortadan kaldırmanıza yardımcı olmak için bir güvenlik stratejisine dahil edilebilir. Sağlam bir güvenlik planına ulaşmak için iyi bir barındırma şirketi ve sağlam bir geliştirme ekibiyle çalışmak esastır. Günün sonunda, e-ticaret sitenizin güvenliğini sağlamak, varlıklarınızı, müşterilerinizi ve itibarınızı korumakla ilgilidir.

Yazar Hakkında: Davida Wexler, JetRails Pazarlama Direktörü

Davida Wexler, adanmış sunucularda ve AWS Cloud'da özel yapılandırmalar sunan bir Magento barındırma sağlayıcısı olan JetRails için Pazarlama Direktörüdür. Chicago'daki ofisleri ile JetRails, e-ticaret platformları için güvenlik, hızlandırma ve performansa odaklanıyor. Şirket, müşterilerinin büyümesine ve Magento'nun başarısını sürdürmesine yardımcı olma konusunda tutkulu. Günün sonunda, e-ticaretin sunucularla değil insanlarla ilgili olduğuna inanıyorlar. *Davida, nChannel'ın bir çalışanı değildir. Kendisi misafir blogger.