Die bestuur van ‘n e-handelswebwerf is uitdagend, en ‘n mens moet dit oorweeg om alles te doen wat nodig is om kuberaanvalle te beveilig.


Volgens die jongste voorspellings sal die groei in e-handel wêreldwyd wees tweesyfer tot 2020.

Elektroniese handel groei dramaties, duisende individuele bedieners werk dag en nag, en privaat inligting (insluitend natuurlik finansiële data) is ‘n belangrike versoeking vir hackers.

E-handelswebwerwe is baie aantreklike teikens vir kwaaddoeners vanweë die persoonlike en betalingsdata wat nodig is om ‘n verkoop te doen.

Magento het meer as 7% markaandeel in die e-handelsplatform, en die jongste bevinding deur Astra onthul dit 62% ten minste een kwesbaarheid.

In hierdie artikel sal ek die belangrikste sekuriteit en tydsberekening advies vir Magneto.

Gewoonlik kraak aanvaller e-handelswebwerwe in:

  • om dit vir elektroniese strooipos te gebruik;
  • om dit vir phishing te gebruik (die poging om sensitiewe inligting soos wagwoorde of kredietkaartebesonderhede te ontvang);
  • om u webwerf te ontsier of te benadeel:
  • om inligting wat hulle kan benut tot hul voordeel te steel.

In die eerste plek moet u u Magento-winkel verdedig om die rede wat u moet doen beskerm die kliënt se inligting.

Dit is vanselfsprekend dat hackers om een ​​of ander rede u inligting wil bekom (byvoorbeeld in die raamwerk van industriële spioenasie), maar die eerste ding is dat u hulle nie die privaat inligting van kliënte moet gee nie, insluitend kredietkaartbesonderhede.

As hierdie data gesteel word as gevolg van die hacker-aanval, dit kan u reputasie ernstig beseer sowel as skade aan u kliënte.

Welkom om hierdie Magento-veiligheidsreëls op u winkel toe te pas.

Tweefaktor-magtiging

Selfs die veiligste wagwoord is waardeloos as dit gesteel kan word. Dit word sterk aanbeveel om die veiligheidsvlak van u winkel te verhoog gebruik enige tweede magtigingsfaktor, soos om slegs die backend vanaf ‘n spesifieke IP toe te laat, met die implementering van twee-faksie-verifikasie.

Om toegang tot backend te beperk, voeg hierdie reëls by tot die VirtualHost-afdeling van die Apache-webbediener-konfigurasie (wees asseblief versigtig – as u die volgende reëls by die .htaccess-lêer voeg, sal dit ‘n fout veroorsaak):

Bestel ontken, laat toe
Weier van almal
Laat dit van 192.168.100.182 # nie vergeet om dit met u IP op te dateer nie

Kyk gerus na die Amasty-verlenging, as u op soek is na ‘n Magento-tweefaktor-verifikasie-oplossing.

Dateer sagteware betyds op

Sagteware-opdaterings gee u nie net nuwe funksies nie, maar ook foutoplossings en verwydering van kwesbare punte. Dit is waarom dit so is buitengewoon Dit is belangrik om die nuutste sagteware weergawes op hierdie tydstip te gebruik.

Gebruik die volgende lakoniese opdragte om u stelsel op te gradeer:

RHEL / CentOS

yum-opdatering

Debian / Ubuntu

geskik om opdatering te kry

Rugsteun gereeld

Niemand kan teen aanvalle van hackers beskerm word nie, maar daar is ‘n manier om veiliger te voel: periodieke rugsteun kan u red van baie probleme wat van kritieke belang vir u besigheid kan wees.

U moet gereeld rugsteunkopieë stoor, moenie probeer om dit op die bediener van die oorspronklike webwerf te hou nie en u rugsteun van tyd tot tyd in ‘n sandkas te herstel om te kyk of dit reg werk.

Om u rugsteun op die bediener met u webwerf te hou, is gevaarlik, nie net omdat u kopie veilig moet wees in geval u bediener breek nie, maar ook as ‘n hacker na u bediener kom, sal hy ook toegang tot die rugsteun kry. kopieë, wat natuurlik baie ongewens is.

Gebruik komplekse wagwoord

Volgens SplashData was 123456 een van die mees algemene wagwoorde in 2013 (en natuurlik een van die onveiligste).

Die admin-wagwoord is die sleutelsteen van u Magento-sekuriteit. En dit moet sterk genoeg wees! Maklike paroles kan maklik gekraak word, so pas toe meer as tien karakters, met hoofletters en hoofletters, en ook spesiale karakters soos ^ $ #% *, op hierdie manier sal u wagwoord nie gedwing word nie, want selfs met die nuutste programme sal dit jare duur om te kraak.

U kan die LastPass-wagwoordgenerator gebruik.

Gebruik Firewall

Daar is twee soorte firewall wat u kan gebruik om u Magento-winkel te beskerm.

WAF (Web Application Firewall) – beskerm u aanlynwinkel teen kwesbaarhede met betrekking tot webveiligheid soos SQLi, XSS, aanvalle van die magte, bot, spam, malware, DD0S, ens..

U kan dit oorweeg om ‘n wolk-gebaseerde WAF te gebruik om teen laag 7 te beskerm.

Stelsel / Network Firewall – verbied toegang van die publiek tot alles behalwe u webbediener. As u nie ‘n permanente IP-adres het om toegang daartoe via die firewall te gee nie, pas dan VPN of Port Knocking tegnologie.

In RHEL / CentOS vind u die firewall-instellings in / etc / sysconfig / iptables; in Debian / Ubuntu, gebruik iptables-persistent (/etc/iptables-persistent/rules.v4).

U kan dit ook oorweeg om SUCURI te gebruik vir deurlopende sekuriteitsmonitering & beskerming aan u Magento-aanlynwinkel.

Moenie die wagwoord op ‘n ander webwerf hergebruik nie

Hierdie Magento-beveiligingskwessie werk met alle wagwoordbeskermde inligting wat u besit. Soos gerapporteer deur passwordresearch.com, is meer as 15% van die gebruikers gebruik dieselfde wagwoord vir baie dienste.

Nie baie mense weet dat die toepassing van identiese wagwoorde vir verskeie aanmeldings die risiko inhou om onmiddellik al u rekeninge te verloor nie.

Nog een keer: alle wagwoorde moet uniek wees, geen ander manier nie. Wees versigtig, sit hierdie artikel ‘n rukkie opsy en verander dit as dit nie so is nie. Andersins loop u die risiko om beseer te word as gevolg van u onverskilligheid.

Verander periodiek wagwoord                 

U wagwoorde moenie konstant wees nie. Ons beveel sterk aan dat u verander wagwoorde ten minste elke ses maande.

Selfs as ‘n wagwoord gesteel is (en selfs as die hacker dit nie toegepas het nie), sal die inligting wat vroeër gelek het, waardeloos wees. Sorg ook dat wagwoorde verander word vir al die kliënte wat die webwerf gebruik.

Stoor nie wagwoord op u rekenaar nie

‘N Groot deel van die Trojan-sagteware steel u gestoorde wagwoorde. U moet versigtig wees vir blaaiers en FTP-kliënte, aangesien wagwoorde meer gereeld deur hierdie toepassings gesteel word.

Jy behoort stoor nooit wagwoorde wat hierdie sagteware toepas sonder om die hoofwagwoord te gebruik nie (‘n wagwoord wat die res van die wagwoorde omring terwyl die toegangsbesonderhede behou word). Om hierdie advies te verontagsaam, kan maklik tot lekkasies van data lei.

Probeer ‘n wagwoordbestuurder soos hier gelys.

Let op foute of verdagte aktiwiteite

Doen gereeld ‘n sekuriteitsoorsig om na te gaan of daar tekens van aanvalle is, en ook wanneer kliënte met veiligheidskwessies gekontak word. Miskien wil u aansoek doen Adminaksies Log Magento-uitbreiding vir hierdie doel, en dit is opgedateer met die volgende funksies wat krities is vir websekuriteit:

  • U kan ‘n aankondiging opstel vir ‘n suksesvolle aanmeldpoging van ‘n ongewone land in vergelyking met vorige aanmeldings.
  • U kan die afgelope uur ‘n aankondiging opstel vir baie onsuksesvolle aanmeldpogings, wat kan dui op ‘n inbraakpoging.
  • ‘403 verbode’ status word teruggestuur deur mislukte aanmeldbladsye in die backend, wat die integrasie met bedienersekuriteitsinstrumente vergemaklik.

Boonop kan u ‘n webbeveiligingsskandeerder gebruik om u e-handelswebwerf outomaties en periodiek vir kwesbaarheid te ontleed.

Verander URL van die agterkant

Hierdie benadering handel meer oor veiligheid deur verduistering, maar dit kan nuttig wees as ‘n ekstra metode om teen bots en brute kragaanvalle te veg. Om die backend-URL te verander, kan u app / etc / local.xml (admin / routers / adminhtml-afdeling) wysig.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]