14 bistvenih nasvetov za zaščito Magento pred spletnimi grožnjami

Upravljanje spletnega mesta za e-trgovino je zahtevno in razmisliti morate o vsem, kar je potrebno, da se zaščitite pred kibernetskimi napadi.


Najnovejše napovedi kažejo, da bo rast svetovne e-trgovine že mimo dvomestno do leta 2020.

Elektronsko trgovanje drastično raste, na tisoče posameznih strežnikov dela dan in noč, zasebni podatki (vključno s finančnimi podatki) pa so za hekerje velika skušnjava.

Spletna mesta e-trgovine so za privlačne osebe zelo privlačna tarča zaradi osebnih in plačilnih podatkov, ki so potrebni za prodajo.

Magento ima več kot 7-odstotni tržni delež na platformi za e-poslovanje, najnovejša ugotovitev Astre pa to razkriva 62% trgovina ima vsaj eno ranljivost.

V tem članku bom razmislil o najpomembnejša in pravočasna varnost nasvet za Magneto.

Običajno napadalec pokvari spletna mesta za e-trgovino:

  • uporabljati ga za elektronsko neželeno pošto;
  • uporabljati ga za lažno predstavljanje (poskus prejemanja občutljivih informacij, kot so gesla ali podatki o kreditnih karticah);
  • za črtanje ali poškodovanje spletnega mesta:
  • ukrasti podatke, ki jih lahko uporabijo v svojo korist.

V prvi vrsti morate braniti svojo Magento trgovino iz razloga, ki bi jo morali zaščiti podatke stranke.

Ni treba reči, da bodo hekerji morda želeli pridobiti vaše podatke iz nekega razloga (na primer v okviru industrijskega vohunjenja), toda prva stvar je, da jim ne smete dajati zasebnih podatkov strank, vključno z podatki o kreditni kartici.

Če so ti podatki ukradeni zaradi hekerskega napada, lahko močno škodi vašemu ugledu kot tudi škodo strankam.

Dobrodošli, da v svoji trgovini uporabite ta varnostna pravila Magento.

Dvofaktorska avtorizacija

Tudi najbolj varno geslo je brez vrednosti, če ga je mogoče ukrasti. Za večjo raven varnosti vaše trgovine je zelo priporočljivo uporabi kateri koli drugi faktor dovoljenja, na primer dovoljujejo zaledje samo iz določenega IP-ja in izvajajo dvofrekcijsko overjanje.

Če želite omejiti dostop do zaledja, dodajte te vrstice v razdelek VirtualHost konfiguracije spletnega strežnika Apache (bodite previdni – če dodate naslednje vrstice v datoteko .htaccess, bo to povzročilo napako):

Naročite zavrni, dovoli
Zavrni od vseh
Dovoli od 192.168.100.182 # ne pozabi tega posodobiti s svojim IP

Prosto preverite Amasty podaljšek, če iščete rešitev Magento z dvema faktorjema za preverjanje pristnosti.

Čas posodobite programsko opremo

Posodobitve programske opreme vam omogočajo ne le nove funkcije, temveč tudi popravke napak in odstranjevanje ranljivih točk. Zato je tako izjemoma Pomembno je uporabljati najnovejše različice programske opreme, ki so na voljo v tem trenutku.

Če želite nadgraditi sistem, uporabite naslednje lakonske ukaze:

RHEL / CentOS

posodobitev

Debian / Ubuntu

apt-get update

Redno varnostno kopirajte

Nihče se ne more zavarovati pred napadi hekerjev, vendar se na neki način počuti varneje: občasne varnostne kopije vas lahko rešijo številnih težav, ki lahko postanejo kritične za vaše podjetje.

Redno shranjujte varnostne kopije, ne poskušajte jih hraniti na strežniku izvirnega spletnega mesta in občasno obnovite varnostne kopije v peskovniku, da preverite, ali delujejo pravilno.

Shranjevanje varnostne kopije na strežniku s svojim spletnim mestom je nevarno ne samo zaradi razloga, da bi morala biti vaša kopija varna, če se vaš strežnik pokvari, ampak tudi zato, če bo heker do vašega strežnika, dobil tudi dostop do varnostne kopije kopije, kar je seveda zelo nezaželeno.

Uporabite zapleteno geslo

Po podatkih SplashData je bilo v letu 2013 123456 eno najpogostejših gesel (in seveda eno najbolj nezanesljivih).

Skrbniško geslo je temeljni kamen vaše varnosti v Magento trgovini. In mora biti dovolj močna! Enostavno parole je mogoče enostavno pokvariti, zato se prijavite več kot deset znakov z malimi in velikimi črkami ter tudi posebni znaki, kot je ^ $ #% *, na ta način vaše geslo ne bo vsiljeno, saj tudi pri najnovejših programih traja nekaj let.

Lahko uporabite generator gesel LastPass.

Uporabite požarni zid

Obstajata dve vrsti požarnega zidu, ki ju lahko uporabite za zaščito svoje Magento trgovine.

WAF (Požarni zid za spletne aplikacije) – zaščitite spletno trgovino pred ranljivostmi v spletni varnosti, kot so SQLi, XSS, napadi brutalne sile, Bot, neželena pošta, zlonamerna programska oprema, DD0S itd..

Za zaščito pred plastjo 7 lahko razmislite o uporabi WAF na oblaku.

Sistem / omrežje Požarni zid – prepove javni dostop do vsega, razen do vašega spletnega strežnika. Če nimate stalnega naslova IP, da bi mu omogočili dostop prek požarnega zidu, uporabite VPN ali Port Knocking tehnologija.

V RHEL / CentOS lahko najdete nastavitve požarnega zidu v / etc / sysconfig / iptables; ko gre za Debian / Ubuntu, uporabite iptables-persistent (/etc/iptables-persistent/rules.v4).

Razmislite tudi o uporabi SUCURI za stalno spremljanje varnosti & zaščito vaše spletne trgovine Magento.

Ne uporabljajte gesla na drugem mestu

Ta varnostna težava Magento deluje z vsemi informacijami, ki so zaščitene z geslom. Kot poroča passwordresearch.com, več kot 15% uporabnikov uporablja isto geslo za številne storitve.

Marsikdo ne ve, da uporaba identičnih geslov za več prijav dejansko pomeni, da takoj izgubite vse svoje račune.

Samo še enkrat: vsa gesla morajo biti edinstvena, nobenega drugega načina. Bodite previdni, odložite ta članek za nekaj časa in jih spremenite, če niso. V nasprotnem primeru tvegate, da se boste poškodovali zaradi svoje nepazljivosti.

Občasno spremenite geslo                 

Vaša gesla ne smejo biti stalna. Zelo priporočamo spremembo gesla vsaj na vsakih šest mesecev.

Tudi če je bilo ukradeno geslo (in četudi ga heker ni uporabil), bodo nenehna spreminjanja prejšnjih prepuščenih informacij brez vrednosti. Prepričajte se tudi, da so gesla spremenjena za vse stranke, ki uporabljajo spletno mesto.

Na računalniku ne shranjujte gesla

Velik del programske opreme Trojan ukrade shranjena gesla. Bodite previdni pri brskalnikih in odjemalcih FTP, saj se gesla v teh aplikacijah pogosteje ukradejo.

Moral bi nikoli ne shranite gesel, ki uporabljajo to programsko opremo, brez uporabe glavnega gesla (geslo, ki šifrira preostala gesla ob hranjenju podatkov o dostopu). Če zanemarite ta nasvet, lahko zlahka pride do uhajanja podatkov.

Poskusite lahko upravitelja gesel, kot je navedeno tukaj.

Bodite pozorni na napake ali sumljive dejavnosti

Redno preverjajte varnost, da preverite, ali obstajajo znaki napada, pa tudi, ko se stranke obrnejo na varnost. Morda se želite prijaviti Razširitev dnevnika Magento Dejavnosti Administratorja v ta namen in je bil posodobljen z naslednjimi funkcijami, ki so ključne za spletno varnost:

  • Lahko nastavite napoved za uspešen poskus prijave iz nenavadne države v primerjavi s prejšnjimi prijavami.
  • V zadnji uri lahko nastavite napoved za veliko neuspelih poskusov prijave, kar lahko kaže na poskus vloma..
  • Stanje »403 Forbidden«, ki ga vrne napačna stran za prijavo v zaledju, kar olajša integracijo z varnostnimi orodji strežnika.

Poleg tega lahko s spletnim varnostnim skenerjem avtomatično in občasno analizirate ranljivost spletnega mesta.

Spremenite URL za zaledje

Ta pristop je bolj povezan z varnostjo zaradi nejasnosti, lahko pa je koristen kot dodatna metoda boja proti botom in brutalnim napadom. Če želite spremeniti nadomestni URL, lahko uredite app / etc / local.xml (razdelek admin / usmerjevalniki / adminhtml).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map