14 основных советов по защите Magento от интернет-угроз

Работать на сайте электронной коммерции сложно, и нужно подумать о том, чтобы сделать все возможное для защиты от кибератак..


Последние прогнозы говорят о том, что глобальный рост электронной торговли будет двузначный до 2020 года.

Электронная коммерция резко растет, тысячи отдельных серверов работают днем ​​и ночью, и частная информация (включая, конечно, финансовые данные) является значительным соблазном для хакеров.

Сайты электронной коммерции являются очень привлекательными объектами для злоумышленников из-за личных и платежных данных, необходимых для совершения продажи..

Magento занимает более 7% рынка в платформе электронной коммерции, и последние данные Astra показывают, что 62% магазина есть как минимум одна уязвимость.

В этой статье я рассмотрю самая важная и своевременная безопасность совет для магнето.

Обычно злоумышленник взламывает сайты электронной коммерции:

  • использовать его для электронного спама;
  • использовать его для фишинга (попытка получить конфиденциальную информацию, такую ​​как пароли или данные кредитных карт);
  • чтобы испортить или повредить ваш сайт:
  • украсть информацию, которую они могут использовать в своих интересах.

Во-первых, вы должны защищать свой магазин Magento по той причине, что вы должны защитить информацию клиента.

Само собой разумеется, что хакеры могут хотеть получить вашу информацию по какой-то причине (например, в рамках промышленного шпионажа), но первое, что вы не должны предоставлять им личную информацию клиентов, в том числе данные кредитной карты.

Если эти данные были украдены в результате хакерской атаки, это может серьезно повредить вашей репутации а также повредить ваши клиенты.

Добро пожаловать, чтобы применить эти правила безопасности Magento к вашему магазину.

Двухфакторная авторизация

Даже самый надежный пароль бесполезен, если его можно украсть. Чтобы повысить уровень безопасности вашего магазина, настоятельно рекомендуется использовать любой второй фактор авторизации, например, разрешить серверную часть только с определенного IP-адреса, реализуя аутентификацию с двумя фракциями.

Чтобы ограничить внутренний доступ, добавьте эти строки в раздел VirtualHost конфигурации веб-сервера Apache (будьте осторожны – если вы добавите следующие строки в файл .htaccess, это вызовет ошибку):

Заказать Запретить, Разрешить
Запретить от всех
Разрешить с 192.168.100.182 # не забудьте обновить это с вашим IP

Не стесняйтесь проверить Amasty Extension, если вы ищете решение для двухфакторной аутентификации Magento.

Обновление программного обеспечения во времени

Обновления программного обеспечения предоставляют вам не только новые функции, но и исправления ошибок и удаление уязвимых точек. Вот почему это исключительно важно использовать последние версии программного обеспечения, доступные в настоящее время.

Чтобы обновить вашу систему, примените следующие лаконичные команды:

RHEL / CentOS

ням обновление

Debian / Ubuntu

apt-get update

Резервное копирование регулярно

Никто не может быть защищен от атак хакеров, но есть способ чувствовать себя безопаснее: периодическое резервное копирование может спасти вас от многих проблем, которые могут стать критическими для вашего бизнеса.

Вы должны регулярно сохранять резервные копии, не пытайтесь хранить их на сервере исходного веб-сайта и время от времени восстанавливать резервную копию в песочнице, чтобы проверить, работают ли они правильно..

Хранение резервной копии на сервере с вашим веб-сайтом опасно не только по той причине, что ваша копия должна быть безопасной в случае отказа вашего сервера, но также и потому, что если хакер попадет на ваш сервер, он также получит доступ к резервной копии копии, что, конечно, очень нежелательно.

Использовать сложный пароль

Согласно SplashData, 123456 был одним из самых распространенных паролей в 2013 году (и, конечно, одним из самых небезопасных).

Пароль администратора – залог безопасности вашего магазина Magento. И это должно быть достаточно сильным! Легкие пароли могут быть легко взломаны, поэтому применять более десяти символов в нижнем и верхнем регистре, а также специальные символы, такие как ^ $ #% *, таким образом, ваш пароль не будет взломан, так как даже с новейшими программами взломать потребуются годы.

Вы можете использовать генератор паролей LastPass.

Использовать брандмауэр

Существует два типа брандмауэра, которые вы можете использовать для защиты своего магазина Magento..

WAF (Брандмауэр веб-приложений) – защитите свой интернет-магазин от уязвимостей веб-безопасности, таких как SQLi, XSS, взломы, боты, спам, вредоносное ПО, DD0S и т. Д..

Вы можете рассмотреть возможность использования облачного WAF для защиты от уровня 7.

Система / Сеть Брандмауэр – запретить публичный доступ ко всему, кроме вашего веб-сервера. Если у вас нет постоянного IP-адреса для доступа к нему через брандмауэр, используйте VPN или Порт стучит технологии.

В RHEL / CentOS вы можете найти настройки брандмауэра в / etc / sysconfig / iptables; когда дело доходит до Debian / Ubuntu, примените iptables-persistent (/etc/iptables-persistent/rules.v4).

Вы также можете рассмотреть возможность использования SUCURI для постоянного мониторинга безопасности. & защита вашего интернет-магазина Magento.

Не используйте пароль на другом сайте

Эта проблема безопасности Magento работает со всей вашей информацией, защищенной паролем. Как сообщает passwordresearch.com, более 15% пользователей применяют один и тот же пароль для многих сервисов.

Мало кто знает, что применение одинаковых паролей для нескольких входов в систему действительно может привести к потере сразу всех ваших учетных записей..

Еще один раз: все пароли должны быть уникальными, Другого пути нет. Будьте осторожны, отложите эту статью на некоторое время и измените их, если они не. В противном случае вы рискуете получить травму из-за своей неосторожности.

Периодически меняйте пароль                 

Ваши пароли не должны быть постоянными. Мы настоятельно рекомендуем изменить пароли минимум каждые шесть месяцев.

Даже если пароль был украден (и даже если хакер не применил его), постоянные изменения сделают ранее просочившуюся информацию бесполезной. Также убедитесь, что пароли изменены для всех клиентов, которые используют веб-сайт.

Не храните пароль на вашем компьютере

Большая часть троянского программного обеспечения ворует ваши сохраненные пароли. Вы должны быть осторожны с браузерами и FTP-клиентами, так как пароли кражи через эти приложения чаще.

Вам следует никогда не сохраняйте пароли с помощью этого программного обеспечения без использования мастер-пароля (пароль, который шифрует остальные пароли, сохраняя при этом данные доступа). Пренебрежение этим советом может легко привести к утечке данных.

Вы можете попробовать менеджер паролей, как указано здесь.

Обратите внимание на ошибки или подозрительные действия

Регулярно проводите проверку безопасности, чтобы проверить наличие признаков атаки, а также при обращении клиентов с проблемами безопасности. Вы можете подать заявку Админка Журнал Расширение Magento для этой цели, и он был обновлен следующими функциями, критически важными для веб-безопасности:

  • Вы можете настроить объявление для успешной попытки входа из необычной страны по сравнению с предыдущими входами.
  • Вы можете настроить объявление для множества неудачных попыток входа в систему за последний час, что может указывать на попытку взлома.
  • Статус «403 Forbidden» возвращается неудачной страницей входа в бэкэнд, что облегчает интеграцию с инструментами безопасности сервера.

Кроме того, вы можете использовать сканер веб-безопасности для автоматического и периодического анализа вашего веб-сайта электронной коммерции на предмет уязвимости..

Изменить внутренний URL

Этот подход больше относится к безопасности от неизвестности, но он может быть полезен в качестве дополнительного метода борьбы с ботами и атаками грубой силы. Чтобы изменить внутренний URL-адрес, вы можете отредактировать приложение / etc / local.xml (раздел admin / routers / adminhtml).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map