14 основни съвета за защита на Magento от онлайн заплахите

Стартирането на уебсайт за електронна търговия е предизвикателно и трябва да помислите как да направите всичко необходимо, за да се предпазите от кибератаки.


Последните прогнози казват, че глобалният растеж на електронната търговия ще бъде с двуцифрен до 2020 г..

Електронна търговия нараства драстично, хиляди отделни сървъри работят ден и нощ, а частната информация (включително, разбира се, финансови данни) е значително изкушение за хакерите.

Сайтовете за електронна търговия са много привлекателни цели за злоупотреби заради личните данни и данните за плащане, необходими за извършване на продажба.

Magento има над 7% пазарен дял в платформата за електронна търговия, а най-новата находка на Astra разкрива това 62% на магазин има поне една уязвимост.

В тази статия ще разгледам най-важната и навременна сигурност съвет за Магнето.

Обикновено нападателят разбива уебсайтове за електронна търговия:

  • да го използва за електронна спам;
  • да го използвате за фишинг (опит за получаване на чувствителна информация като пароли или данни за кредитни карти);
  • за оскверняване или увреждане на вашия уебсайт:
  • да откраднат информация, която могат да използват в своя полза.

На първо място трябва да защитите вашия магазин Magento по причината, поради която трябва защита на информацията на клиента.

От само себе си се разбира, че хакерите може да искат да получат вашата информация по някаква причина (например в рамките на индустриалния шпионаж), но първото нещо е, че не трябва да им давате лична информация на клиентите, включително данни за кредитна карта.

Ако тези данни са откраднати вследствие на хакерската атака, това може сериозно да нарани репутацията ви както и да повредите клиентите си.

Добре дошли да приложите тези правила за сигурност Magento във вашия магазин.

Двуфакторно разрешение

Дори и най-сигурната парола е безполезна, ако може да бъде открадната. За да увеличите нивото на сигурност на вашия магазин, силно се препоръчва да използвайте всеки втори фактор на разрешение, като например позволяват връщане само от определен IP, осъществявайки двуфазова автентификация.

За да ограничите достъпа, добавете тези редове към секцията VirtualHost на конфигурацията на уеб сървъра Apache (моля, бъдете внимателни – ако добавите следните редове към .htaccess файл, това ще доведе до грешка):

Поръчайте Отказ, Разрешете
Отказ от всички
Разрешаване от 192.168.100.182 # не забравяйте да актуализирате това с вашия IP

Чувствайте се свободни да проверите Удивително разширение, ако търсите решение за удостоверяване на две фактори Magento.

Актуализирайте софтуера навреме

Актуализациите на софтуера ви дават не само нови функции, но и корекции на грешки и отстраняване на уязвими точки. Ето защо е така изключително Важно е да се използват най-новите софтуерни версии, налични в момента.

За да надстроите системата си, приложете следните лаконични команди:

RHEL / CentOS

yum актуализация

Debian / Ubuntu

apt-get актуализация

Резервно копие редовно

Никой не може да бъде защитен от хакерски атаки, но има някакъв начин да се почувствате по-сигурни: периодичното архивиране може да ви спести от много проблеми, които могат да станат критични за вашия бизнес.

Трябва редовно да запазвате резервни копия, не се опитвайте да ги съхранявате на сървъра на оригиналния уеб сайт и периодично да възстановявате резервните си копия в пясъчна кутия, за да проверите дали работят правилно.

Запазването на резервното копие на сървъра с вашия уебсайт е опасно не само поради причината, че вашето копие трябва да е безопасно в случай, че сървърът ви се повреди, но и защото, ако хакер стигне до вашия сървър, той също ще получи достъп до резервното копие копия, което, разбира се, е много нежелано.

Използвайте сложна парола

Според SplashData, 123456 беше една от най-често срещаните пароли през 2013 г. (и, разбира се, една от най-несигурните).

Администраторската парола е основен камък на сигурността на вашия магазин Magento. И трябва да е достатъчно силен! Лесните пароли могат лесно да се напукат, затова прилагайте повече от десет знака с малки и малки букви, както и специални символи като ^ $ #% *, по този начин паролата ви няма да бъде принудена, тъй като дори и при най-новите програми ще са нужни години, за да се пробие.

Можете да използвате генератора на пароли LastPass.

Използвайте защитна стена

Има два вида защитна стена, които можете да използвате, за да защитите вашия магазин Magento.

WAF (Защитна стена на уеб приложение) – защита на вашия онлайн магазин от уязвимости в мрежата за сигурност като SQLi, XSS, брутални атаки, Bot, спам, зловреден софтуер, DD0S и т.н..

Можете да обмислите използването на облачен базиран WAF за защита от слой 7.

Система / Network Защитна стена – забранете публичния достъп до всичко, освен до вашия уеб сървър. Ако нямате постоянен IP адрес, за да дадете достъп до него чрез защитната стена, приложете VPN или Port Knocking технология.

В RHEL / CentOS можете да намерите настройките на защитната стена в / etc / sysconfig / iptables; когато става въпрос за Debian / Ubuntu, прилагайте iptables-persistent (/etc/iptables-persistent/rules.v4).

Можете също така да обмислите използването на SUCURI за непрекъснат мониторинг на сигурността & защита на вашия онлайн магазин Magento.

Не използвайте отново парола на друг сайт

Този проблем за сигурността на Magento работи с цялата информация, защитена с парола, която притежавате. Както се съобщава от passwordresearch.com, повече от 15% от потребителите прилагат една и съща парола за много услуги.

Не много хора знаят, че прилагането на идентични пароли за няколко влизания всъщност съдържа риск от загуба на всичките ви акаунти веднага.

Още веднъж: всички пароли трябва да бъдат уникални, няма друг начин. Внимавайте, оставете тази статия за известно време и ги променете, ако не са. В противен случай рискувате да се нараните поради вашата неблагоразумие.

Периодично сменяйте паролата                 

Вашите пароли не трябва да бъдат постоянни. Силно препоръчваме промяна пароли най-малко на всеки шест месеца.

Дори ако е била открадната парола (и дори хакерът да не я е приложил), постоянните промени ще направят ненужната по-рано изтекла информация. Уверете се също, че паролите са променени за всички клиенти, които използват уебсайта.

Не съхранявайте паролата на вашия компютър

Голяма част от софтуера Trojan открадва вашите запазени пароли. Трябва да сте предпазливи с браузърите и FTP клиентите, тъй като паролите се открадват чрез тези приложения по-често.

Ти трябва никога не записвайте пароли, прилагащи този софтуер, без да използвате главната парола (парола, която шифрова останалите пароли, като запазва данните за достъп). Пренебрегването на този съвет може лесно да доведе до течове на данни.

Можете да опитате мениджър на пароли, както е посочено тук.

Обърнете внимание на грешка или подозрителна активност

Правете редовен преглед на сигурността, за да проверите за признаци на атака, а също и при контакт с клиенти със загриженост. Може да искате да кандидатствате Разширение Log Log с Magento за тази цел и е актуализиран със следващите функции, критични за сигурността в мрежата:

  • Можете да настроите съобщение за успешен опит за влизане от необичайна страна в сравнение с предишни влизания.
  • Можете да настроите съобщение за много неуспешни опити за влизане през изминалия час, което може да показва опит за пробив.
  • Статус „Забранено“, върнат от неуспешна страница за вход в задния ред, което улеснява интеграцията със средства за защита на сървъра.

Освен това можете да използвате скенер за уеб сигурност, за да анализирате вашия уебсайт за електронна търговия автоматично и периодично уязвимост.

Промяна на Backend URL

Този подход е свързан повече със сигурността чрез неизвестност, но може да бъде полезен като допълнителен метод за борба срещу ботове и груби атаки. За да промените резервния URL адрес, можете да редактирате app / etc / local.xml (секция администратор / рутери / администратор).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map