保護您的 Magento 商店的頂級安全策略

（這是我們朋友在 JetRails 的客座帖子，JetRails 是一家 Magento 託管服務提供商，在 AWS 雲中的專用服務器上提供客戶配置。）

您的 Magento 店面是黑客的高價值目標，需要嚴格的安全措施來最大限度地減少其漏洞。 作為專門的 Magento 託管服務提供商，JetRails 經常被要求作為應急響應者來對抗惡意攻擊。 對於安全漏洞可能對您的業務造成的災難性影響，我們擁有第一手經驗。

遵循安全最佳實踐和協議是保護您的 Magento 店面的最佳防禦措施。 將此清單用作針對最常見威脅的安全措施指南，包括惡意代碼注入、惡意軟件、暴力攻擊和可怕的 DDoS。

Magento 安全最佳實踐

請參閱我們的 Magento 安全最佳實踐清單，以確保您免受最常見的在線威脅。

保護默認位置

每個 Magento 安裝都有幾個用於管理目的的後端文件夾。 這些入口點默認位於 /admin、/downloader、/var 和各種 /rss 端點。 由於這些文件夾設置在特定且已知的位置，因此它們可能成為對您的站點進行惡意攻擊的入口。 對您的管理路徑進行暴力攻擊可能會給您的資源帶來巨大壓力——限制訪問者容量、影響速度並削弱穩定性。 這是一個與 Magento 1.x 安裝與 Magento 2.x 安裝（自動需要此安全協議）最密切相關的問題。 阻止訪問、自定義和保護管理路徑使黑客更難以利用此漏洞。

雙重身份驗證

雙因素身份驗證（也稱為 2FA）添加了第二級保護來驗證管理員用戶的登錄憑據，並且是 Magento 安全性的關鍵組件。 使用庫存的 Magento 安裝，用戶只能獲得一種具有安全限制的身份驗證方法。 添加雙重身份驗證已成為行業範圍內的最佳實踐，對於保護您的網站至關重要。 Magento 2FA 插件可以在 Magento Marketplace 上找到，包括 JetRails 的 Magento Two-Factor Authentication。

網絡應用防火牆

利用諸如 Cloudflare 之類的 Web 應用程序防火牆 (WAF)，您可以通過在惡意流量實際到達您的服務器之前阻止它來阻止安全漏洞。 WAF 可以根據您配置的特定規則過濾、監控和阻止傳入流量。 例如，地理封鎖允許您限制來自特定全球區域的機器人和/或人工訪問。 Cloudflare WAF 的另一個好處是集體智能，它不僅可以阻止您識別為惡意的流量，還可以阻止整個 Cloudflare 社區認為惡意的任何流量。 此外，WAF 可以針對未應用的 Magento 補丁提供一些保護。 但是，始終安裝最新的 Magento 安全補丁與完全依賴（甚至是非常複雜的）防火牆非常重要。

更新 Magento 補丁

Magento 的開源軟件為電子商務社區提供了極大的靈活性來定制他們的網站並滿足客戶的需求。 但是，遵守安全協議、更新安全補丁和阻止漏洞的責任需要店面所有者和開發團隊採取行動。

當發現安全漏洞時，Magento 開發人員會對特定的代碼行進行微小的更改。 Magento 將代碼中的這種調整作為安全補丁發送出去，以便自行安裝。 黑客也意識到了這些漏洞，這意味著安全補丁一發布就應該安裝。 一個很好的資源是 MageReport，它將檢查您的站點以確定是否需要安裝任何 Magento 補丁程序。 補丁安全更新也可以在 Magento 安全中心找到。 您的技術合作夥伴應該會在補丁可用時提醒您。

第三方插件

Magento 的第三方插件可以為改善您的店面和客戶體驗創造無窮無盡的選擇。 但是，添加功能也可能導致意外漏洞。 為確保在安裝第三方插件後保持安全性，您的開發人員將需要手動檢查所有供應商和應用程序的更新。 當漏洞暴露時，必須仔細監控和修補第三方插件。 Magento Marketplace 在審查 Magento 2 插件方面變得更加嚴格，但同樣的原則適用於 Magento 1 和 Magento 2。

操作系統/PHP 版本

就像您的 Magento 安裝一樣，您的服務器操作系統必須使用最新的內核和安全補丁保持最新。 如果不這樣做，可能會導致重大安全漏洞，例如 2018 年初暴露的 Meltdown 和 Spectre 漏洞，這些漏洞允許惡意代碼讀取內核內存。

PHP 也是如此，它讀取並執行 Magento 源代碼。 PHP 的每一次新迭代都會保護後續版本中暴露的漏洞。 此外，較舊的 PHP 版本將無法通過 PCI 合規性掃描。

與負責維護整個軟件堆棧（包括內核和相關服務）的託管服務提供商合作至關重要。

PCI合規性

支付卡行業數據安全標準 (PCI DSS) 適用於接受信用卡支付的任何規模的公司。 由於大多數 Magento 店面都處理客戶帳戶，因此謹慎的做法是滿足 PCI 合規標準。 如果您的公司打算接受卡付款並處理客戶持卡人數據，您還需要使用符合 PCI 的託管服務提供商安全地託管您的數據。 通過 Trustwave 等經批准的供應商運行 PCI 掃描可以發現可能阻礙您獲得 PCI 合規性的安全挑戰。

最小權限訪問

保護 Magento 網站免受惡意行為影響的另一個重要設計考慮因素是最小權限訪問的概念。 該原則要求用戶僅被授予對執行特定任務所需的最小功能子集的訪問權限。 例如，運輸部門的員工應該只能訪問運輸功能； 同樣，那些在計費中的人應該只有影響計費的能力。 通過結合使用只讀權限和分離部門，您的敏感客戶數據的安全性將得到增強。

訪問安全

密碼應定期更改，不應共享。 練習良好的密碼協議對安全至關重要。 請勿以明文電子郵件、SMS、IM、支持票證或任何其他未加密的方式發送密碼。 對於系統訪問，允許對 shell 或 SFTP 用戶進行密碼驗證通常不是一個好主意。 盡可能使用 SSH 密鑰而不是密碼。

安全存儲密碼的一個很好的資源是 LastPass，這是一個適用於所有瀏覽器和移動設備的免費管理系統。 它還可以生成安全密碼並提供目前可用的最強加密標準。

保護您的開發環境

限制開發人員以外的任何人對您的開發環境的所有訪問非常重要。 請記住，您的開發環境是生產（實時）站點的鏡像，其中包含同樣有價值的信息。 通常，開發人員會在 dev 和 prod 中重複使用密碼和 SSH 密鑰，因此在兩種環境中保持相同嚴格的安全協議至關重要。

與一個偉大的團隊一起包圍自己

這些步驟中的每一個都提供不同的保護層，並且可以合併到安全策略中，以幫助您降低風險並消除對 Magento 店面的威脅。 與優秀的託管公司和可靠的開發團隊合作是實現可靠安全計劃的基礎。 歸根結底，保護您的電子商務網站就是保護您的資產、客戶和聲譽。

關於作者：JetRails 營銷總監 Davida Wexler

Davida Wexler 是 JetRails 的營銷總監，JetRails 是一家 Magento 託管服務提供商，在專用服務器和 AWS 雲中提供自定義配置。 JetRails 在芝加哥設有辦事處，專注於電子商務平台的安全、加速和性能。 該公司熱衷於幫助客戶成長並推動 Magento 取得成功。 歸根結底，他們認為電子商務是關於人而不是服務器的。 *Davida 不是 nChannel 的員工。 她是一位客座博主。