如何保護您的 MAGENTO 商店免受黑客攻擊

已發表: 2020-02-04

Magento 是世界上最大的開源電子商務平台之一,成為惡意黑客的眼球。 無論致力於保護這個平台的工作量有多大,黑客都會不斷嘗試想出新的方法來規避安全措施。

儘管 Magento 有自己的安全功能(它們是最好的之一),但您仍然需要積極主動並採取預防措施,例如安全審計和測試,以評估所有漏洞。

進行定期監控和及時更新是最大程度地減少 Magento 商店被黑客入侵的可能性的最佳方式。

作為 Magento 專家,我們收到了許多來自 Magento 電子商務所有者的請求,這些請求需要防止他們的商店在未來遭受可能危及其用戶數據的黑客攻擊。

所以情況是這樣的:安全問題總是存在的,我們為什麼要與您分享一組審核以及您可以採取的保護您的在線商店免受黑客攻擊的重要步驟的原因。

本文列出了商店所有者、營銷經理、電子商務經理等可以實施基本 Magento 安全措施的方式。

選擇安全的託管基礎設施

選擇託管服務提供商時,請確保他們擁有安全的軟件開發生命週期,並且他們的工作符合行業標準(即 OWASP 安全最佳實踐)。

如果您正在構建新網站,請通過 HTTPS 啟動該網站。 這將安全地加密您的網站,並幫助它獲得更高的 Google 排名。 對於現有網站,我們建議您升級網站以在 HTTPS 上運行。

安全的環境

使所有軟件保持最新並應用所有推薦的安全補丁。 Magento 會定期以補丁的形式發布修復,因此建議檢查您的系統上是否安裝了所有最新補丁。

禁用 FTP並僅使用安全通信 (SSH/SFTP/HTTPS) 來管理文件。 之所以建議這樣做是因為普通 FTP 以明文形式傳輸數據,這意味著可以輕鬆獲取用戶的用戶名和密碼等敏感信息。

如果您使用的服務器與 Apache Web 服務器不同,請確保所有系統文件和目錄都受到保護

僅允許列入白名單的 IP 地址訪問管理面板。 如果您不確定如何管理此權限,請閱讀此內容。

為管理員登錄實施雙重身份驗證。 這將提供額外的安全性,需要在您的手機上生成額外的密碼。

定期更新您的防病毒軟件並使用惡意軟件掃描程序來保護您用於訪問 Magento Admin Dashboard 的計算機。

此外,為確保服務器操作系統安全,請確保服務器上沒有運行不必要的軟件

安全的 Magento

為減少接觸可能試圖通過您的管理員 URL 侵入的腳本,請使用不易猜到的唯一管理員 URL

為 Magento 管理員帳戶使用強密碼。 您永遠不應該為 Magento 管理員使用簡單的密碼(出生日期、姓名、姓氏等),並且大約每月更改一次密碼。 此外,請勿與第三方共享您的密碼。 如果需要向開發人員提供訪問權限,請為他們創建一個單獨的用戶,並在工作完成後將其刪除。

定期檢查管理員用戶,以確保只有合適的人才能訪問商店管理面板。 這可能是刪除/刪除舊用戶的好時機。

檢查適當的權限級別至關重要,以防止任何進一步未經請求的訪問您的 Magento 電子商務。 此檢查可確保所有用戶組僅被授予預期的訪問權限。

遵守 Magento 的 Admin Security、Password Options 和 CAPTCHA 的安全相關配置設置。

使用最新版本的 Magento享受最新的安全增強功能。 否則,請按照 Magento 的建議安裝所有安全補丁。

最後,一些 Magento 擴展不需要或不再由其創建者維護,因此存在漏洞。 請務必查看您的附加組件列表並檢查它們是否是最新的。 這有助於刪除廢棄的擴展並卸載它們。

監控被黑的 Magento 網站的跡像或症狀

網上商店不可用:如果您的商店經常不可用,或被託管服務阻止,您可能是拒絕服務攻擊的受害者。 這種類型的攻擊會干擾您的在線狀態,但不會威脅您的數據安全。

管理面板和內容問題:如果您發現有一個尚未創建的具有管理員權限的新用戶,請注意對您的商店內容所做的更改,或者您甚至無法登錄,您可能會遭受嚴重的痛苦對您的網站和業務的危險攻擊(管理員面板闖入)

性能不佳:Hacked Redirect 攻擊旨在獲取您商店的流量並將您的客戶暴露於惡意軟件、網絡釣魚攻擊或廣告垃圾郵件。 如果您發現您的商店沒有出現在搜索引擎上,或者它被重定向到未經請求的頁面,請採取行動,您可能已被黑客入侵。

報告的數據盜竊:如果您的客戶報告其帳戶的可疑活動,或者他們的信用卡憑證被盜,您就會遭受這種攻擊。 這些是基於電子郵件的攻擊,目的是數據訪問和身份盜竊。

無需說明這可能會對您的電子商務網站造成多麼嚴重的影響。

  • 定期查看服務器日誌以查找任何可疑活動。
  • 檢查是否已創建任何未經授權的管理員用戶。 您可以監控管理員操作日誌。
  • 檢查服務器上文件的數據完整性,以避免潛在的惡意軟件安裝。
  • 監控所有系統登錄(FTP、SFTP、SSH)的意外活動、上傳或命令

制定恢復計劃

即使您已經應用了嚴格的安全措施,也要為最壞的情況制定恢復/業務連續性計劃。 備份整個網絡商店數據至關重要。 這將有助於在數據丟失的情況下恢復您的網上商店。

確保在外部位置存在數據庫和服務器文件的現有備份。 確保這些備份正確進行並且可以恢復。

如果發生攻擊,無論多麼小,重置所有憑據,包括數據庫、文件訪問、支付網關加密密鑰、Web 服務和 Magento 管理員登錄、FTP、SSH 等。