14 pagrindinių patarimų, kaip apsaugoti „Magento“ nuo internetinių grėsmių

Tvarkyti el. Prekybos svetainę yra sudėtinga, todėl reikėtų apsvarstyti galimybę padaryti viską, ko reikia norint apsisaugoti nuo kibernetinių atakų.


Naujausios prognozės sako, kad pasaulinės e-komercijos augimas paspartės dviženklį skaičių iki 2020 m.

Elektroninė komercija dramatiškai auga, tūkstančiai individualių serverių dirba dieną ir naktį, o privati ​​informacija (įskaitant, žinoma, finansinius duomenis) yra didelė pagundų įsilaužėliams..

Dėl asmeninių ir mokėjimo duomenų, kurių reikia norint parduoti, el. Prekybos svetainės yra labai patrauklios blogybės dalyviams.

„Magento“ užima daugiau kaip 7% rinkos e-komercijos platformoje, ir tai rodo naujausi „Astra“ duomenys 62 proc. parduotuvės turi bent vieną pažeidžiamumą.

Šiame straipsnyje apžvelgsiu svarbiausias ir tinkamai nustatytas saugumas patarimai Magneto.

Paprastai užpuolikas nulaužia elektroninės prekybos svetaines:

  • panaudoti jį elektroniniam šlamštui;
  • naudoti ją sukčiavimui (bandymas gauti neskelbtiną informaciją, tokią kaip slaptažodžiai ar kreditinių kortelių informacija);
  • pažeminti ar pakenkti savo svetainei:
  • pavogti informaciją, kurią jie gali panaudoti savo naudai.

Visų pirma, jūs turite ginti savo „Magento“ parduotuvę dėl tos priežasties, kurią turėtumėte apsaugoti kliento informaciją.

Savaime suprantama, kad įsilaužėliai dėl kokių nors priežasčių gali norėti gauti jūsų informaciją (pavyzdžiui, pramoninio šnipinėjimo srityje), tačiau pirmas dalykas yra tas, kad jūs neturėtumėte jiems suteikti asmeninės klientų informacijos, įskaitant kredito kortelės duomenys.

Jei šie duomenys pavogti dėl įsilaužėlio užpuolimo, tai gali smarkiai pakenkti jūsų reputacijai taip pat sugadinti savo klientus.

Kviečiame pritaikyti šias „Magento“ saugos taisykles savo parduotuvėje.

Dviejų veiksnių leidimas

Net pats saugiausias slaptažodis yra bevertis, jei jį galima pavogti. Norint padidinti jūsų parduotuvės saugumo lygį, labai rekomenduojama naudoti bet kurį antrą autorizacijos koeficientą, tokias, kurios leidžia užprogramuoti tik iš tam tikro IP, įgyvendinant dviejų frakcijų autentifikavimą.

Norėdami apriboti prieigą prie programos, pridėkite šias eilutes prie „VirtualHost“ „Apache“ serverio konfigūracijos skilties (būkite atsargūs – jei pridėsite šias eilutes prie .htaccess failo, tai sukels klaidą):

Užsakyk paneigti, leisti
Neigti iš visų
Leiskite nuo 192.168.100.182 # nepamiršti atnaujinti šio savo IP

Nesivaržykite patikrinti Geras pratęsimas, jei ieškote „Magento“ dviejų faktorių autentifikavimo sprendimo.

Laiku atnaujinkite programinę įrangą

Programinės įrangos atnaujinimai suteikia ne tik naujų funkcijų, bet ir pašalina klaidas bei pašalina pažeidžiamus taškus. Štai kodėl taip yra išimtinai svarbu naudoti naujausias šiuo metu prieinamas programinės įrangos versijas.

Norėdami atnaujinti savo sistemą, naudokite šias lakoniškas komandas:

RHEL / CentOS

Yum atnaujinimas

„Debian“ / „Ubuntu“

„apt-get“ atnaujinimas

Reguliariai kurti atsarginę kopiją

Niekas negali būti apsaugotas nuo įsilaužėlių atakų, tačiau yra tam tikras būdas jaustis saugiau: periodinės atsarginės kopijos gali išgelbėti jus nuo daugelio problemų, kurios gali tapti svarbios jūsų verslui.

Turėtumėte reguliariai saugoti atsargines kopijas, nebandykite jų laikyti originalios svetainės serveryje ir retkarčiais atkurkite atsarginę kopiją smėlio dėžėje, kad patikrintumėte, ar jos veikia tinkamai..

Turėti atsarginę kopiją serveryje savo svetainėje yra pavojinga ne tik todėl, kad jūsų kopija turėtų būti saugi tuo atveju, jei serveris sugenda, bet ir todėl, kad jei įsilaužėlis pateks į jūsų serverį, jis taip pat gaus prieigą prie atsarginės kopijos. kopijų, o tai, be abejo, labai nepageidautina.

Naudokite sudėtingą slaptažodį

„SplashData“ duomenimis, 123456 buvo vienas iš labiausiai paplitusių slaptažodžių 2013 m. (Ir, žinoma, vienas nesaugiausių).

Administratoriaus slaptažodis yra jūsų Magento parduotuvės saugumo akmuo. Ir jis turėtų būti pakankamai stiprus! Paprastus paauglius galima lengvai nulaužti, todėl tepkite daugiau nei dešimt simbolių su mažosiomis ir mažosiomis raidėmis, taip pat specialieji simboliai, tokie kaip ^ $ #% *, tokiu būdu jūsų slaptažodis nebus verčiamas, nes net naudojant naujausias programas nugriauti reikės metų.

Galite naudoti „LastPass“ slaptažodžių generatorių.

Naudokite užkardą

Yra du ugniasienių tipai, kuriuos galite naudoti „Magento“ parduotuvės apsaugai.

WAF („Web Application Firewall“) – apsaugokite savo internetinę parduotuvę nuo interneto saugumo pažeidžiamumų, tokių kaip SQLi, XSS, „Brute-Force“ išpuoliai, „Bot“, šlamštas, kenkėjiškos programos, DD0S ir kt..

Galite apsvarstyti galimybę naudoti debesų pagrindu sukurtą WAF, kad apsaugotumėte nuo 7 sluoksnio.

Sistema / tinklas Ugniasienė – uždrausti viešą prieigą prie visko, išskyrus jūsų žiniatinklio serverį. Jei neturite nuolatinio IP adreso, kad galėtumėte prieiti prie jo per užkardą, pritaikykite VPN arba Uosto beldimas technologija.

RHEL / CentOS galite rasti ugniasienės nustatymus aplanke / etc / sysconfig / iptables; kalbėdami apie „Debian“ / „Ubuntu“, taikykite „iptables-persistent“ (/etc/iptables-persistent/rules.v4).

Taip pat galite apsvarstyti galimybę naudoti SUCURI nuolatiniam saugumo stebėjimui & apsaugą jūsų „Magento“ internetinėje parduotuvėje.

Nenaudokite slaptažodžio kitoje svetainėje

Ši „Magento“ saugos problema veikia su visa jūsų slaptažodžiu apsaugota informacija. Kaip pranešė passwordresearch.com, daugiau nei 15% vartotojų naudoja tą patį slaptažodį daugeliui paslaugų.

Nedaug žmonių žino, kad pritaikius tapačius slaptažodžius keliems prisijungimams iš tikrųjų kyla rizika iškart prarasti visas savo paskyras.

Dar kartą: visi slaptažodžiai turi būti unikalūs, niekaip kitaip. Būkite atsargūs, kurį laiką atidėkite šį straipsnį ir pakeiskite juos, jei jų nėra. Priešingu atveju rizikuojate susižeisti dėl savo neapdairumo.

Periodiškai keiskite slaptažodį                 

Jūsų slaptažodžiai neturėtų būti pastovūs. Mes labai rekomenduojame pakeisti slaptažodžiai mažiausiai kas šešis mėnesius.

Net jei slaptažodis buvo pavogtas (ir net jei įsilaužėlis jo netaikė), nuolatiniai pakeitimai pavers ankstesnę informaciją, kurios nutekėjo, neverta. Taip pat įsitikinkite, kad visų klientų, kurie naudojasi svetaine, slaptažodžiai yra pakeisti.

Nenaudokite slaptažodžio savo kompiuteryje

Didelė Trojos programinės įrangos dalis vagia išsaugotus slaptažodžius. Turėtumėte būti atsargūs su naršyklėmis ir FTP klientais, nes slaptažodžiai per šias programas pavogiami dažniau.

Tu turėtum Niekada neišsaugokite slaptažodžių taikydami šią programinę įrangą nenaudodami pagrindinio slaptažodžio (slaptažodis, kuris užkoduoja likusius slaptažodžius, išlaikant prieigos informaciją). Jei nepaisysite šio patarimo, lengvai nutekės duomenys.

Galite išbandyti čia pateiktą slaptažodžių tvarkytuvę.

Atkreipkite dėmesį į klaidą ar įtartiną veiklą

Reguliariai atlikite saugumo patikrinimą, kad patikrintumėte, ar nėra užpuolimo požymių, taip pat kai su jais susisiekia klientai, turintys saugumo problemų. Galbūt norėsite kreiptis Administratoriaus veiksmų žurnalas „Magento“ plėtinys šiam tikslui pasiekti, ir jis buvo atnaujintas naudojant kitas interneto saugumui būtinas funkcijas:

  • Galite nustatyti pranešimą apie sėkmingą bandymą prisijungti iš neįprastos šalies, palyginti su ankstesniais prisijungimais.
  • Galite nustatyti pranešimą apie daugelį nesėkmingų prisijungimo bandymų per pastarąją valandą, kurie gali reikšti, kad bandoma įsilaužti..
  • „403 Forbidden“ būsena grąžinama nepavykusio prisijungimo puslapio fone, palengvinančio integraciją su serverio saugos priemonėmis.

Be to, galite naudoti interneto saugos skaitytuvą, kad automatiškai ir periodiškai analizuotumėte savo el. Prekybos svetainę dėl pažeidžiamumo.

Pakeisti pagrindinio puslapio URL

Šis požiūris labiau susijęs su saugumu, kurį užgožia neaiškumas, tačiau jis gali būti naudingas kaip papildomas kovos su botais ir brutalios jėgos išpuoliais metodas. Norėdami pakeisti programos URL, galite redaguoti programą / etc / local.xml (admin / maršrutizatoriai / adminhtml skyrius).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map