14 mẹo cần thiết để bảo vệ Magento khỏi các mối đe dọa trực tuyến

Điều hành một trang web thương mại điện tử là một thách thức và người ta nên xem xét làm tất cả những gì cần thiết để bảo mật khỏi các cuộc tấn công mạng.


Các dự báo mới nhất nói rằng tăng trưởng thương mại điện tử toàn cầu sẽ là hai chữ số đến năm 2020.

Thương mại điện tử đang phát triển mạnh mẽ, hàng ngàn máy chủ cá nhân hoạt động cả ngày lẫn đêm và thông tin cá nhân (tất nhiên bao gồm cả dữ liệu tài chính) là một cám dỗ đáng kể cho tin tặc.

Các trang web thương mại điện tử là mục tiêu rất hấp dẫn đối với nam giới vì dữ liệu cá nhân và thanh toán cần thiết để bán hàng.

Magento có hơn 7% thị phần trong nền tảng Thương mại điện tử và phát hiện mới nhất của Astra tiết lộ rằng 62% của một cửa hàng có ít nhất một lỗ hổng.

Trong bài viết này, tôi sẽ xem xét an ninh quan trọng nhất và đúng thời gian lời khuyên cho Magneto.

Thông thường, kẻ tấn công bẻ khóa các trang web thương mại điện tử:

  • sử dụng nó cho thư rác điện tử;
  • để sử dụng nó để lừa đảo (cố gắng nhận thông tin nhạy cảm như mật khẩu hoặc chi tiết thẻ tín dụng);
  • để làm mất hoặc làm hại trang web của bạn:
  • đánh cắp thông tin mà họ có thể sử dụng để lợi thế của họ.

Ở nơi đầu tiên, bạn phải bảo vệ cửa hàng Magento của mình vì lý do mà bạn nên bảo vệ thông tin khách hàng.

Không cần phải nói rằng tin tặc có thể muốn lấy thông tin của bạn vì một số lý do (ví dụ, trong khuôn khổ gián điệp công nghiệp), nhưng điều đầu tiên là bạn không nên cung cấp cho họ khách hàng thông tin cá nhân, bao gồm chi tiết thẻ tín dụng.

Nếu dữ liệu này bị đánh cắp do cuộc tấn công của tin tặc, nó có thể làm tổn hại nghiêm trọng đến danh tiếng của bạn cũng như làm hỏng khách hàng của bạn.

Chào mừng bạn đến áp dụng các quy tắc bảo mật Magento này cho cửa hàng của bạn.

Ủy quyền hai yếu tố

Ngay cả mật khẩu an toàn nhất cũng vô giá trị nếu nó có thể bị đánh cắp. Để tăng mức độ bảo mật cho cửa hàng của bạn, chúng tôi khuyên bạn nên sử dụng bất kỳ yếu tố ủy quyền thứ hai, chẳng hạn như chỉ cho phép phụ trợ từ một IP cụ thể, thực hiện xác thực hai phe.

Để giới hạn quyền truy cập phụ trợ, hãy thêm các dòng này vào phần Virtualhost trong cấu hình máy chủ web Apache (xin lưu ý – nếu bạn thêm các dòng sau vào tệp .htaccess, nó sẽ gây ra lỗi):

Từ chối đặt hàng, cho phép
Tư chôi tât cả
Cho phép từ 192.168.100.182 # đừng quên cập nhật thông tin này với IP của bạn

Hãy kiểm tra Mở rộng thú vị, nếu bạn đang tìm kiếm một giải pháp xác thực hai yếu tố Magento.

Cập nhật phần mềm kịp thời

Cập nhật phần mềm cung cấp cho bạn không chỉ các tính năng mới mà còn sửa lỗi và loại bỏ các điểm dễ bị tổn thương. Đó là lý do tại sao ngoại lệ quan trọng để sử dụng các phiên bản phần mềm mới nhất có sẵn tại thời điểm này.

Để nâng cấp hệ thống của bạn, hãy áp dụng các lệnh laconic sau:

RHEL / CentOS

cập nhật yum

Debian / Ubuntu

cập nhật apt-get

Sao lưu thường xuyên

Không ai có thể được bảo mật khỏi các cuộc tấn công của hacker, nhưng có một số cách để cảm thấy an toàn hơn: sao lưu định kỳ có thể cứu bạn khỏi nhiều vấn đề có thể trở nên quan trọng đối với doanh nghiệp của bạn.

Bạn nên lưu các bản sao lưu thường xuyên, đừng cố giữ chúng trên máy chủ ban đầu của trang web và thỉnh thoảng khôi phục lại bản sao lưu của bạn trên hộp cát để kiểm tra xem chúng có hoạt động chính xác không.

Giữ bản sao lưu của bạn trên máy chủ với trang web của bạn rất nguy hiểm không chỉ vì lý do bản sao của bạn sẽ an toàn trong trường hợp máy chủ của bạn bị hỏng mà còn bởi vì nếu có tin tặc xâm nhập vào máy chủ của bạn, anh ta cũng sẽ có quyền truy cập vào bản sao lưu bản sao, tất nhiên, rất không mong muốn.

Sử dụng mật khẩu phức tạp

Theo SplashData, 123456 là một trong những mật khẩu phổ biến nhất trong năm 2013 (và tất nhiên, là một trong những mật khẩu không an toàn nhất).

Mật khẩu quản trị viên là chìa khóa của bảo mật cửa hàng Magento của bạn. Và nó phải đủ mạnh! Paroles dễ dàng có thể dễ dàng bị nứt, vì vậy áp dụng hơn mười ký tự, với chữ thường và chữ hoa và cả các ký tự đặc biệt như ^ $ #% *, bằng cách này, mật khẩu của bạn đã thắng, bị ép buộc vì ngay cả với các chương trình mới nhất, sẽ mất nhiều năm để bẻ khóa.

Bạn có thể sử dụng trình tạo mật khẩu LastPass.

Sử dụng tường lửa

Có hai loại tường lửa bạn có thể sử dụng để bảo vệ cửa hàng Magento của mình.

WAF (Tường lửa ứng dụng web) – bảo vệ cửa hàng trực tuyến của bạn khỏi các lỗ hổng bảo mật web như SQLi, XSS, tấn công Brute-force, Bot, spam, phần mềm độc hại, DD0S, v.v..

Bạn có thể xem xét sử dụng WAF dựa trên đám mây để bảo vệ khỏi lớp 7.

Hệ thống / Mạng Tường lửa – cấm truy cập công khai vào mọi thứ trừ máy chủ web của bạn. Nếu bạn không có sở hữu một địa chỉ IP vĩnh viễn để cấp quyền truy cập thông qua tường lửa, hãy áp dụng VPN hoặc Cổng gõ Công nghệ.

Trong RHEL / CentOS, bạn có thể tìm thấy các cài đặt tường lửa trong / etc / sysconfig / iptables; khi nói đến Debian / Ubuntu, hãy áp dụng iptables-continent (/etc/iptables-persistent/rules.v4).

Bạn cũng có thể cân nhắc sử dụng SUCURI để theo dõi bảo mật liên tục & bảo vệ cửa hàng trực tuyến Magento của bạn.

Don Liên sử dụng lại mật khẩu trên trang web khác

Vấn đề bảo mật Magento này hoạt động với tất cả các thông tin được bảo vệ bằng mật khẩu mà bạn sở hữu. Theo báo cáo của passwordresearch.com, nhiều hơn 15% người dùng áp dụng cùng một mật khẩu cho nhiều dịch vụ.

Không nhiều người biết rằng việc áp dụng mật khẩu giống hệt nhau cho một số lần đăng nhập, thực sự, có nguy cơ mất tất cả tài khoản của bạn ngay lập tức.

Một lần nữa: tất cả mật khẩu phải là duy nhất, không con cach nao khac. Hãy cẩn thận, để dành bài viết này trong một thời gian và thay đổi chúng nếu chúng phát sinh. Nếu không, bạn có nguy cơ bị thương vì sự bất cẩn của bạn.

Thay đổi mật khẩu định kỳ                 

Mật khẩu của bạn không nên liên tục. Chúng tôi khuyên bạn nên thay đổi mật khẩu tối thiểu sáu tháng một lần.

Ngay cả khi mật khẩu đã bị đánh cắp (và ngay cả khi tin tặc đã áp dụng mật khẩu), việc thay đổi liên tục sẽ khiến thông tin bị rò rỉ trước đó trở nên vô giá trị. Đảm bảo rằng mật khẩu cũng được thay đổi cho tất cả các khách hàng đang sử dụng trang web.

Mật khẩu lưu trữ mật khẩu trên PC của bạn

Một phần lớn của phần mềm Trojan đánh cắp mật khẩu đã lưu của bạn. Bạn nên thận trọng với các trình duyệt và ứng dụng khách FTP vì mật khẩu bị đánh cắp thông qua các ứng dụng này thường xuyên hơn.

Bạn nên không bao giờ lưu mật khẩu khi áp dụng phần mềm này mà không sử dụng mật khẩu chính (một mật khẩu mã hóa phần còn lại của mật khẩu trong khi vẫn giữ chi tiết truy cập). Việc bỏ qua lời khuyên này có thể dễ dàng dẫn đến rò rỉ dữ liệu.

Bạn có thể thử một trình quản lý mật khẩu như được liệt kê ở đây.

Chú ý đến lỗi hoặc hoạt động đáng ngờ

Thường xuyên kiểm tra bảo mật để kiểm tra các dấu hiệu tấn công và cả khi khách hàng liên hệ với các vấn đề bảo mật. Bạn có thể muốn áp dụng Hành động quản trị Nhật ký mở rộng Magento cho mục đích này và nó đã được cập nhật với các tính năng tiếp theo quan trọng đối với bảo mật web:

  • Bạn có thể thiết lập thông báo cho lần thử đăng nhập thành công từ một quốc gia khác thường so với lần đăng nhập trước.
  • Bạn có thể thiết lập một thông báo cho rất nhiều lần thử đăng nhập không thành công trong một giờ qua, điều này có thể cho thấy nỗ lực đột nhập.
  • Cấm 403 Bị cấm Trạng thái bị trả về bởi trang đăng nhập thất bại trong phần phụ trợ, tạo điều kiện tích hợp với các công cụ bảo mật máy chủ.

Hơn nữa, bạn có thể sử dụng trình quét bảo mật web để phân tích trang web Thương mại điện tử của mình để biết lỗ hổng tự động và định kỳ.

Thay đổi URL cuối cùng

Cách tiếp cận này liên quan nhiều hơn đến bảo mật bằng cách che khuất, nhưng nó có thể hữu ích như một phương pháp bổ sung để chống lại bot và các cuộc tấn công vũ phu. Để thay đổi URL phụ trợ, bạn có thể chỉnh sửa ứng dụng / etc / local.xml (phần quản trị / bộ định tuyến / adminhtml).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map