如何保护您的 MAGENTO 商店免受黑客攻击

已发表: 2020-02-04

Magento 是世界上最大的开源电子商务平台之一,成为恶意黑客的眼球。 无论致力于保护这个平台的工作量有多大,黑客都会不断尝试想出新的方法来规避安全措施。

尽管 Magento 有自己的安全功能(它们是最好的之一),但您仍然需要积极主动并采取预防措施,例如安全审计和测试,以评估所有漏洞。

进行定期监控和及时更新是最大程度地减少 Magento 商店被黑客入侵的可能性的最佳方式。

作为 Magento 专家,我们收到了许多来自 Magento 电子商务所有者的请求,这些请求需要防止他们的商店在未来遭受可能危及其用户数据的黑客攻击。

所以情况是这样的:安全问题总是存在的,我们为什么要与您分享一组审核以及您可以采取的保护您的在线商店免受黑客攻击的重要步骤的原因。

本文列出了商店所有者、营销经理、电子商务经理等可以实施基本 Magento 安全措施的方式。

选择安全的托管基础​​设施

选择托管服务提供商时,请确保他们拥有安全的软件开发生命周期,并且他们的工作符合行业标准(即 OWASP 安全最佳实践)。

如果您正在构建新网站,请通过 HTTPS 启动该网站。 这将安全地加密您的网站,并帮助它获得更高的 Google 排名。 对于现有网站,我们建议您升级网站以在 HTTPS 上运行。

安全的环境

使所有软件保持最新并应用所有推荐的安全补丁。 Magento 会定期以补丁的形式发布修复,因此建议检查您的系统上是否安装了所有最新补丁。

禁用 FTP并仅使用安全通信 (SSH/SFTP/HTTPS) 来管理文件。 之所以建议这样做是因为普通 FTP 以明文形式传输数据,这意味着可以轻松获取用户的用户名和密码等敏感信息。

如果您使用的服务器与 Apache Web 服务器不同,请确保所有系统文件和目录都受到保护

仅允许列入白名单的 IP 地址访问管理面板。 如果您不确定如何管理此权限,请阅读此内容。

为管理员登录实施双重身份验证。 这将提供额外的安全性,需要在您的手机上生成额外的密码。

定期更新您的防病毒软件并使用恶意软件扫描程序来保护您用于访问 Magento Admin Dashboard 的计算机。

此外,为确保服务器操作系统安全,请确保服务器上没有运行不必要的软件

安全的 Magento

为减少接触可能试图通过您的管理员 URL 侵入的脚本,请使用不易猜到的唯一管理员 URL

为 Magento 管理员帐户使用强密码。 您永远不应该为 Magento 管理员使用简单的密码(出生日期、姓名、姓氏等),并且大约每月更改一次密码。 此外,请勿与第三方共享您的密码。 如果需要向开发人员提供访问权限,请为他们创建一个单独的用户,并在工作完成后将其删除。

定期检查管理员用户,以确保只有合适的人才能访问商店管理面板。 这可能是删除/删除旧用户的好时机。

检查适当的权限级别至关重要,以防止任何进一步未经请求的访问您的 Magento 电子商务。 此检查可确保所有用户组仅被授予预期的访问权限。

遵守 Magento 的 Admin Security、Password Options 和 CAPTCHA 的安全相关配置设置。

使用最新版本的 Magento享受最新的安全增强功能。 否则,请按照 Magento 的建议安装所有安全补丁。

最后,一些 Magento 扩展不需要或不再由其创建者维护,因此存在漏洞。 请务必查看您的附加组件列表并检查它们是否是最新的。 这有助于删除废弃的扩展并卸载它们。

监控被黑的 Magento 网站的迹象或症状

网上商店不可用:如果您的商店经常不可用,或被托管服务阻止,您可能是拒绝服务攻击的受害者。 这种类型的攻击会干扰您的在线状态,但不会威胁您的数据安全。

管理面板和内容问题:如果您发现有一个尚未创建的具有管理员权限的新用户,请注意对您的商店内容所做的更改,或者您甚至无法登录,您可能会遭受严重的痛苦对您的网站和业务的危险攻击(管理员面板闯入)

性能不佳:Hacked Redirect 攻击旨在获取您商店的流量并将您的客户暴露于恶意软件、网络钓鱼攻击或广告垃圾邮件。 如果您发现您的商店没有出现在搜索引擎上,或者它被重定向到未经请求的页面,请采取行动,您可能已被黑客入侵。

报告的数据盗窃:如果您的客户报告其帐户的可疑活动,或者他们的信用卡凭证被盗,您就会遭受这种攻击。 这些是基于电子邮件的攻击,目的是数据访问和身份盗窃。

无需说明这可能会对您的电子商务网站造成多么严重的影响。

  • 定期查看服务器日志以查找任何可疑活动。
  • 检查是否已创建任何未经授权的管理员用户。 您可以监控管理员操作日志。
  • 检查服务器上文件的数据完整性,以避免潜在的恶意软件安装。
  • 监控所有系统登录(FTP、SFTP、SSH)的意外活动、上传或命令

制定恢复计划

即使您已经应用了严格的安全措施,也要为最坏的情况制定恢复/业务连续性计划。 备份整个网络商店数据至关重要。 这将有助于在数据丢失的情况下恢复您的网上商店。

确保在外部位置存在数据库和服务器文件的现有备份。 确保这些备份正确进行并且可以恢复。

如果发生攻击,无论多么小,重置所有凭据,包括数据库、文件访问、支付网关加密密钥、Web 服务和 Magento 管理员登录、FTP、SSH 等。