14 Alapvető tanács a Magento online veszélyekkel szembeni védelmére

Az e-kereskedelemmel foglalkozó weboldal működtetése kihívást jelent, és fontolóra kell venni mindent, amit a számítógépes támadások elkerülése érdekében megtesz.


A legfrissebb előrejelzések szerint a globális e-kereskedelem növekedése már eléri kétszámjegyű 2020-ig.

Az elektronikus kereskedelem drámai módon növekszik, egyedi szerverek ezrei dolgoznak éjjel-nappal, és a magáninformációk (természetesen pénzügyi adatokkal együtt) jelentős kísértés a hackerek számára.

Az e-kereskedelmi webhelyek nagyon vonzó célokat jelentenek a rosszindulatú szereplők számára az eladáshoz szükséges személyes és fizetési adatok miatt.

A Magento több mint 7% -os piaci részesedéssel rendelkezik az e-kereskedelem platformon, és az Astra legfrissebb megállapítása azt mutatja 62% a bolt legalább egy sebezhetőségével rendelkezik.

Ebben a cikkben megvizsgálom a a legfontosabb és a megfelelő időben beállított biztonság tanácsok Magneto számára.

Általában a támadó feltöri az e-kereskedelmi webhelyeket:

  • elektronikus spamként történő felhasználása;
  • adathalászathoz való felhasználás (érzékeny információk – például jelszavak vagy hitelkártya-adatok – fogadásának kísérlete);
  • rágalmazni vagy károsítani webhelyét:
  • ellopni az információkat, amelyeket felhasználhatnak az előnyeikre.

Mindenekelőtt meg kell védenie a Magento üzletét azért, mert kéne védi az ügyfél adatait.

Magától értetődik, hogy a hackerek valamilyen oknál fogva szeretnék megszerezni az Ön adatait (például ipari kémkedés keretében), de az első dolog az, hogy ne adja meg nekik az ügyfelek személyes adatait, ideértve a következőket: bankkártya adatok.

Ha ezeket az adatokat ellopták a hackertámadás eredményeként, súlyosan megsértheti hírnevét valamint károsíthatja ügyfeleit.

Üdvözöljük a Magento biztonsági szabályok alkalmazásában az üzletben.

Két faktor engedélyezése

Még a legbiztonságosabb jelszó is értéktelen, ha ellopják. A bolt biztonságának fokozása érdekében erősen ajánlott használjon bármilyen második engedélyezési tényezőt, például lehetővé teszi a háttér használatát csak egy adott IP-től, kétfázisú hitelesítés végrehajtásával.

A háttér elérésének korlátozása érdekében adja hozzá ezeket a vonalakat az Apache webszerver konfigurációjának VirtualHost szakaszához (legyen óvatos – ha a .htaccess fájlba a következő sorokat adja, akkor ez hibát okoz):

Rendelje tagadást, engedélyezze
Tagadja az összes
Engedje meg, hogy 192.168.100.182 # -tól ne felejtse el frissíteni ezt az IP-vel

Nyugodtan ellenőrizze a Jó kiterjesztés, ha Magento kétfaktoros hitelesítési megoldást keres.

Frissítse a szoftvert időben

A szoftverfrissítések nemcsak új funkciókat kínálnak, hanem a hibajavításokat és a sebezhető pontok eltávolítását is. Ezért van az kivételesen Fontos a jelenleg elérhető legfrissebb szoftververziók használata.

A rendszer frissítéséhez használja a következő lakonikus parancsokat:

RHEL / CentOS

yum frissítés

Debian / Ubuntu

apt-get frissítés

Rendszeresen készítsen biztonsági másolatot

Senkit sem lehet megvédeni a hackerek támadásaitól, de van valami módja annak, hogy biztonságosabbnak érezzük magunkat: az időszakos biztonsági mentések sok olyan problémától megmenthetnek, amelyek kritikus jelentőségűvé válhatnak vállalkozása számára.

Rendszeresen mentsen biztonsági másolatot, ne próbáljon megtartani az eredeti webhely szerverén, és időről időre visszaállítsa a biztonsági másolatát egy homokozóba, hogy ellenőrizze, hogy megfelelően működnek-e..

A biztonsági másolat megőrzése a szerveren a webhelyén veszélyes nem csak azért, mert a másolatának biztonságosnak kell lennie, ha a szerver meghibásodik, hanem azért is, mert ha egy hackert eljut a szerverére, akkor a biztonsági másolathoz is hozzáférést kap. másolatokat, ami természetesen nagyon nem kívánt.

Használjon komplex jelszót

A SplashData szerint a 123456 volt az egyik leggyakoribb jelszó 2013-ban (és természetesen az egyik legbiztonságosabb).

Az admin jelszó a Magento üzlet biztonságának kulcseleme. És elég erősnek kell lennie! Az egyszerű párosok könnyen megrepedhetnek, ezért alkalmazza több mint tíz karakter, kis- és nagybetűkkel, valamint speciális karakterek, például ^ $ #% *, így a jelszavát nem kényszerítik, mivel még a legújabb programok esetén évekig is szükség lesz a feltörésre.

Használhatja a LastPass jelszógenerátort.

Használja a tűzfalat

Kétféle tűzfalat használhat a Magento áruházának védelmére.

WAF (Webes alkalmazások tűzfala) – védi online áruházát az olyan internetes biztonsági résekkel szemben, mint az SQLi, XSS, Brute-Force támadások, Bot, spam, rosszindulatú programok, DD0S stb..

Fontolhatja a felhő alapú WAF használatát a 7. rétegtől való védelem érdekében.

System / Network Tűzfal – tiltsa le a nyilvános hozzáférést mindenhez, kivéve a webszervert. Ha nincs állandó IP-címe ahhoz, hogy a tűzfalon keresztül hozzáférjen ehhez, akkor használja a VPN vagy Port kopogtat technológia.

Az RHEL / CentOS mappában megtalálhatja a tűzfal beállításait az / etc / sysconfig / iptables könyvtárban; a Debian / Ubuntu esetében az iptable-persistent alkalmazást kell alkalmazni (/etc/iptables-persistent/rules.v4).

Megfontolhatja a SUCURI használatát a folyamatos biztonsági figyeléshez is & a Magento online áruházának védelme.

Ne használja újra a Jelszót más webhelyeken

Ez a Magento biztonsági probléma az összes birtokában lévő jelszóval védett információval együtt működik. Amint a passwordresearch.com jelent, több mint A felhasználók 15% -a ugyanazt a jelszót használja sok szolgáltatáshoz.

Nem sokan tudják, hogy azonos jelszavak használata több bejelentkezéshez valóban azzal a kockázattal jár, hogy elveszíti az összes fiókját.

Még egyszer: minden jelszónak egyedinek kell lennie, nincs más mód. Vigyázzon, tegye félre egy ideig ezt a cikket, és ha nem, cserélje ki őket. Ellenkező esetben meggondolatlanságának köszönhetően megsérülhet.

Rendszeresen változtassa meg a jelszót                 

A jelszavak nem lehetnek állandóak. Nagyon javasoljuk a cserét jelszavak legalább félévente.

Még ha egy jelszót elloptak is (és még akkor is, ha a hacker nem alkalmazta azt), a folyamatos átváltások értéktelenné teszik a korábban kiszivárogtatott információkat. Ügyeljen arra is, hogy a jelszavak megváltoztak minden olyan ügyfélnél, amely a webhelyet használja.

Ne tárolja a jelszavakat a számítógépén

A trójai szoftver nagy része ellopja az elmentett jelszavakat. Óvatosan kell eljárnia a böngészőkkel és az FTP-ügyfelekkel, mivel a jelszavakat gyakrabban lopják ezen alkalmazásokon keresztül.

Neked kellene Soha ne mentsen el jelszavakat a szoftver alkalmazásával a fő jelszó használata nélkül (egy olyan jelszó, amely a többi jelszót titkosítja, miközben megőrzi a hozzáférési adatokat). Ennek a tanácsnak a figyelmen kívül hagyása könnyen szivároghat.

Kipróbálhatja az itt felsorolt ​​jelszókezelőket.

Vigyázzon a hibára vagy gyanús tevékenységre

Rendszeresen végezzen biztonsági felülvizsgálatot, hogy ellenőrizze a támadás jeleit, és amikor a biztonsági problémákkal küzdő ügyfelek is kapcsolatba lépnek velük. Érdemes lehet jelentkeznie Rendszergazda műveletek Napló Magento kiterjesztése erre a célra, és a következő, az internetes biztonság szempontjából kritikus funkciókkal frissítettük:

  • Beállíthat egy értesítést egy szokatlan ország sikeres bejelentkezési kísérletéről az előző bejelentkezéshez képest.
  • Beállíthat egy bejelentést az elmúlt órában bekövetkezett sok sikertelen bejelentkezési kísérletre, amely behatolási kísérletre utalhat..
  • A „403 Forbidden” állapot visszaadása a háttérkép sikertelen bejelentkezési oldalával, amely megkönnyíti a kiszolgáló biztonsági eszközeivel történő integrációt.

Ezenkívül egy webbiztonsági szkenner segítségével automatikusan és időszakonként elemezheti e-kereskedelmi webhelyét a sebezhetőség szempontjából.

Háttér URL módosítása

Ez a megközelítés inkább a homályos biztonság általi biztonságról szól, de hasznos lehet a botok és a brutális erő elleni támadások elleni küzdelem további módjaként. A háttér URL megváltoztatásához szerkesztheti az app / etc / local.xml alkalmazást (admin / útválasztók / adminhtml szakasz).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map