14 טיפים חיוניים להגנה על מג’נטו מפני איומים ברשת

הפעלת אתר מסחר אלקטרוני היא מאתגרת, ויש לשקול לעשות כל מה שנדרש כדי להבטיח מפני התקפות סייבר.


התחזיות האחרונות טוענות כי צמיחת המסחר האלקטרוני העולמי תגיע דו ספרתי עד 2020.

מסחר אלקטרוני גדל באופן דרמטי, אלפי שרתים בודדים עובדים יום ולילה, ומידע פרטי (כולל כמובן נתונים פיננסיים) מהווה פיתוי משמעותי עבור האקרים..

אתרי סחר אלקטרוני הם יעדים מאוד אטרקטיביים עבור גורמים מזיקים בגלל הנתונים האישיים והתשלום הדרושים לביצוע מכירה.

למג’נטו נתח שוק של יותר מ -7% בפלטפורמת המסחר האלקטרוני, והממצא האחרון של אסטרה מגלה זאת 62% של חנות יש לפחות פגיעות אחת.

במאמר זה, אדון בסעיף האבטחה החשובה והמתוזמנת ביותר עצה למגנטו.

בדרך כלל, התוקף סדוק אתרי מסחר אלקטרוני:

  • להשתמש בו לצורך ספאם אלקטרוני;
  • להשתמש בו לצורך דיוג (הניסיון לקבל מידע רגיש כגון סיסמאות או פרטי כרטיסי אשראי);
  • כדי להחליף או לפגוע באתר שלך:
  • לגנוב מידע שהם יכולים להשתמש בהם לטובתם.

מלכתחילה, אתה צריך להגן על חנות מג’נטו שלך מהסיבה שאתה צריך להגן על פרטי הלקוח.

למותר לציין כי ההאקרים עשויים לרצות להשיג את המידע שלך מסיבה כלשהי (למשל, במסגרת ריגול תעשייתי), אך הדבר הראשון הוא שאסור למסור להם את המידע הפרטי של הלקוחות, כולל פרטי כרטיס אשראי.

אם נתונים אלה נגנבים כתוצאה מהתקפת ההאקר, זה יכול לפגוע קשה במוניטין שלך כמו כן לפגוע בלקוחות שלך.

מוזמן להחיל את כללי האבטחה של מג’נטו על החנות שלך.

אישור דו-גורמי

אפילו הסיסמה המאובטחת ביותר היא חסרת ערך אם ניתן לגנוב אותה. כדי להגדיל את רמת האבטחה של החנות שלך, מומלץ מאוד לעשות זאת השתמש בכל גורם הרשאה שני, כגון להתיר את ה- backend רק מ- IP מסוים, ליישם אימות דו-פלגי.

כדי להגביל את הגישה לאחור, הוסף שורות אלה למקטע VirtualHost בתצורת שרת האינטרנט של Apache (אנא היזהר – אם תוסיף את השורות הבאות לקובץ .htaccess זה יגרום לשגיאה):

להזמין דחה, אפשר
להכחיש מכל
אפשר מ- 192.168.100.182 # אל תשכח לעדכן זאת באמצעות ה- IP שלך

אל תהסס לבדוק את סיומת אמסטי, אם אתה מחפש פיתרון אימות דו-גורמי של מג’נטו.

עדכן תוכנה בזמן

עדכוני תוכנה נותנים לך לא רק תכונות חדשות אלא גם תיקוני שגיאות והסרת נקודות פגיעות. זו הסיבה שכן באופן חריג חשוב להשתמש בגרסאות התוכנה העדכניות ביותר הזמינות כעת.

כדי לשדרג את המערכת, החל את הפקודות הלאקוניות הבאות:

RHEL / CentOS

עדכון יאם

דביאן / אובונטו

עדכון מתאים

גיבוי באופן קבוע

אף אחד לא יכול להיות מוגן מפני התקפות של האקרים, אבל יש דרך להרגיש בטוחים יותר: גיבויים תקופתיים יכולים להציל אותך מבעיות רבות שעלולות להפוך לקריטיות עבור העסק שלך.

עליכם לשמור עותקי גיבוי באופן קבוע, אל תנסו לשמור אותם בשרת של האתר המקורי ומדי פעם לשחזר את הגיבוי בארגז חול כדי לבדוק אם הם עובדים כראוי..

שמירת הגיבוי שלך בשרת עם אתר האינטרנט שלך היא מסוכנת לא רק מהסיבה שהעותק שלך אמור להיות בטוח למקרה אם השרת שלך יתקלקל, אלא גם מכיוון שאם האקר יגיע לשרת שלך, הוא גם יקבל גישה לגיבוי. עותקים, וזה כמובן מאוד לא רצוי.

השתמש בסיסמה מורכבת

על פי SplashData, 123456 הייתה אחת הסיסמאות הנפוצות ביותר בשנת 2013 (וכמובן, אחת הבלתי בטוחות ביותר).

סיסמת הניהול היא אבן המפתח לביטחון בחנות מג’נטו שלך. וזה צריך להיות חזק מספיק! תוכניות קלות ניתן לפיצוח בקלות, אז יש למרוח יותר מעשרה תווים, עם אותיות קטנות וגדולות, וגם תווים מיוחדים כמו ^ $ #% *, בדרך זו הסיסמה שלך לא תיאלץ מכיוון שאפילו עם תוכניות חדשות ביותר ייקח שנים לפצח.

אתה יכול להשתמש במחולל הסיסמאות של LastPass.

השתמש בחומת האש

ישנם שני סוגים של חומת אש שבהם אתה יכול להשתמש כדי להגן על חנות מג’נטו שלך.

WAF (חומת אש ליישומי אינטרנט) – הגן על החנות המקוונת שלך מפני פגיעויות באבטחת רשת כמו SQLi, XSS, התקפות כוח-זריעה, בוט, דואר זבל, תוכנות זדוניות, DD0S וכו ‘..

אתה יכול לשקול להשתמש ב- WAF מבוסס ענן כדי להגן מפני שכבה 7.

מערכת / רשת חומת אש – אסור על גישה ציבורית לכל דבר פרט לשרת האינטרנט שלך. אם אין ברשותך כתובת IP קבועה בכדי לתת לה גישה דרך חומת האש, החל VPN או דופק נמל טכנולוגיה.

ב- RHEL / CentOS אתה יכול למצוא את הגדרות חומת האש ב- / etc / sysconfig / iptables; כשמדובר ב- Debian / Ubuntu, החל ב- iptables-persistent (/etc/iptables-persistent/rules.v4).

תוכל גם לשקול להשתמש ב- SUCURI לניטור אבטחה רציף & הגנה לחנות המקוונת שלך במג’נטו.

אל תשתמש שוב בסיסמה באתר אחר

בעיית אבטחה זו של מג’נטו עובדת עם כל המידע המוגן בסיסמה שבבעלותך. כפי שדווח על ידי passwordresearch.com, יותר מ- 15% מהמשתמשים משתמשים באותה סיסמה בשירותים רבים.

לא רבים יודעים כי החלת סיסמאות זהות למספר כניסות אכן כוללת את הסיכון לאבד את כל החשבונות שלך מייד.

עוד פעם אחת: כל הסיסמאות חייבות להיות ייחודיות, אין דרך אחרת. היזהר, הניח מאמר זה לזמן מה ושנה אותו אם הוא לא. אחרת, אתה מסתכן להיפצע בגלל חוצפתך.

שנה סיסמא מעת לעת                 

הסיסמאות שלך לא צריכות להיות קבועות. אנו ממליצים מאוד לשנות סיסמאות לפחות כל חצי שנה.

אפילו אם נגנבה סיסמה (וגם אם ההאקר לא החיל אותה), החלפות מתמדת יהפכו את המידע שהודלף קודם לחסר ערך. וודא גם ששינוי הסיסמאות עבור כל הלקוחות המשתמשים באתר.

אל תאחסן סיסמא במחשב האישי שלך

חלק גדול מתוכנת הטרויאנים גונב את הסיסמאות השמורות שלך. עליך להיזהר בדפדפנים ולקוחות FTP מאחר וסיסמאות נגנבות דרך יישומים אלה לעתים קרובות יותר.

אתה צריך לעולם אל תשמור סיסמאות ביישום תוכנה זו מבלי להשתמש בסיסמת האב (סיסמה שמצפינה את שאר הסיסמאות תוך שמירה על פרטי גישה). הזנחה של עצה זו יכולה בקלות להוביל לדליפות נתונים.

אתה יכול לנסות מנהל סיסמאות כמפורט כאן.

שימו לב לטעות או לפעילות חשודה

ערוך בדיקת אבטחה באופן קבוע כדי לבדוק אם יש סימני תקיפה, וגם כאשר אתה פונה ללקוחות עם חששות ביטחוניים. יתכן שתרצה להגיש בקשה פעולות מנהל מערכת יומן הרחבת מג’נטו למטרה זו, והיא עודכנה בתכונות הבאות קריטיות לאבטחת רשת:

  • אתה יכול להגדיר הודעה לניסיון כניסה מוצלח ממדינה לא שגרתית בהשוואה להתחברות קודמות.
  • אתה יכול להגדיר הודעה על הרבה ניסיונות כניסה לא מוצלחים במהלך השעה האחרונה, מה שיכול להעיד על ניסיון פריצה.
  • סטטוס “403 אסור” שהוחזר על ידי עמוד כניסה נכשל בנדנד, שמקל על השילוב עם כלי אבטחת השרת.

יתר על כן, אתה יכול להשתמש בסורק אבטחת אינטרנט כדי לנתח את אתר האינטרנט שלך למסחר אלקטרוני בפגיעות באופן אוטומטי ומדי פעם.

שנה את כתובת האתר לאחור

גישה זו עוסקת יותר בביטחון על ידי ערפול, אך היא יכולה להיות שימושית כשיטה נוספת להילחם נגד בוטים והתקפות כוח סוער. כדי לשנות את כתובת האתר לאחור, באפשרותך לערוך אפליקציה / etc / local.xml (קטע מנהל / נתבים / adminhtml).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map