14 Petua Penting untuk Melindungi Magento dari Ancaman Dalam Talian

Menjalankan laman web eCommerce memang mencabar, dan seseorang harus mempertimbangkan untuk melakukan semua yang diperlukan untuk melindungi dari serangan siber.


Ramalan terbaru mengatakan bahawa pertumbuhan e-dagang global akan menjelang dua digit hingga tahun 2020.

Perdagangan elektronik berkembang secara mendadak, beribu-ribu pelayan individu berfungsi siang dan malam, dan maklumat peribadi (termasuk, tentu saja, data kewangan) adalah godaan yang signifikan bagi penggodam.

Laman web e-dagang adalah sasaran yang sangat menarik bagi lelaki kerana data peribadi dan pembayaran yang diperlukan untuk membuat penjualan.

Magento mempunyai lebih daripada 7% bahagian pasaran dalam platform e-Dagang, dan penemuan terbaru oleh Astra menunjukkan bahawa 62% kedai mempunyai sekurang-kurangnya satu kelemahan.

Dalam artikel ini, saya akan mempertimbangkan keselamatan yang paling penting dan tepat pada masanya nasihat untuk Magneto.

Biasanya, penyerang memecahkan laman web e-dagang:

  • untuk menggunakannya untuk spam elektronik;
  • menggunakannya untuk pancingan data (percubaan untuk menerima maklumat sensitif seperti kata laluan atau butiran kad kredit);
  • untuk mencacatkan atau merosakkan laman web anda:
  • untuk mencuri maklumat yang dapat mereka gunakan untuk keuntungan mereka.

Pertama, anda harus mempertahankan kedai Magento anda dengan alasan yang sepatutnya melindungi maklumat pelanggan.

Tidak perlu dikatakan bahawa penggodam mungkin ingin mendapatkan maklumat anda atas sebab tertentu (misalnya, dalam rangka pengintipan industri), tetapi perkara pertama adalah anda tidak harus memberikan maklumat peribadi pelanggan, termasuk butiran kad kredit.

Sekiranya data ini dicuri akibat serangan penggodam, ia boleh merosakkan reputasi anda serta merosakkan pelanggan anda.

Selamat datang untuk menerapkan peraturan keselamatan Magento ini di kedai anda.

Kebenaran Dua Faktor

Bahkan kata laluan yang paling selamat tidak bernilai jika dapat dicuri. Untuk meningkatkan tahap keselamatan kedai anda, sangat disarankan untuk gunakan sebarang faktor kebenaran kedua, seperti membenarkan backend hanya dari IP tertentu, melaksanakan pengesahan dua faksi.

Untuk menghadkan akses backend, tambahkan baris ini ke bahagian VirtualHost dari konfigurasi server web Apache (harap berhati-hati – jika anda menambahkan baris berikut ke fail .htaccess, ia akan menyebabkan ralat):

Pesanan Tolak, Benarkan
Tolak dari Semua
Benarkan dari 192.168.100.182 # jangan lupa untuk mengemas kini ini dengan IP anda

Jangan ragu untuk memeriksa Sambungan yang bagus, jika anda mencari penyelesaian pengesahan dua faktor Magento.

Kemas kini Perisian dalam Masa

Kemas kini perisian memberi anda bukan sahaja ciri baru tetapi juga memperbaiki ralat dan penghapusan titik yang rentan. Itulah sebabnya sangat penting untuk menggunakan versi perisian terkini yang ada pada masa ini.

Untuk menaik taraf sistem anda, gunakan arahan laconic berikut:

RHEL / CentOS

yum kemas kini

Debian / Ubuntu

apt-get kemas kini

Sandarkan Secara Berkala

Tidak ada yang dapat dilindungi dari serangan penggodam, tetapi ada beberapa cara untuk merasa lebih selamat: sandaran berkala dapat menyelamatkan anda dari banyak masalah yang mungkin menjadi kritikal untuk perniagaan anda.

Anda harus menyimpan salinan sandaran secara berkala, jangan cuba menyimpannya di pelayan laman web asal dan dari semasa ke semasa mengembalikan sandaran anda di kotak pasir untuk memeriksa sama ada ia berfungsi dengan betul.

Menyimpan sandaran anda di pelayan dengan laman web anda adalah berbahaya bukan hanya kerana salinan anda harus selamat sekiranya pelayan anda rosak, tetapi juga kerana jika penggodam sampai ke pelayan anda, dia juga akan mendapat akses ke sandaran salinan, yang tentunya sangat tidak diingini.

Gunakan Kata Laluan Kompleks

Menurut SplashData, 123456 adalah salah satu kata laluan yang paling biasa pada tahun 2013 (dan, tentu saja, salah satu kata laluan yang paling tidak selamat).

Kata laluan pentadbir adalah kunci keselamatan kedai Magento anda. Dan semestinya cukup kuat! Parol mudah boleh retak dengan mudah, jadi terapkan lebih daripada sepuluh aksara, dengan huruf kecil dan besar, dan juga watak khas seperti ^ $ #% *, dengan cara ini kata laluan anda tidak akan dipaksa kerana walaupun dengan program terbaru, ia akan memerlukan masa bertahun-tahun untuk retak.

Anda boleh menggunakan penjana kata laluan LastPass.

Gunakan Firewall

Terdapat dua jenis firewall yang boleh anda gunakan untuk melindungi kedai Magento anda.

WAF (Firewall Aplikasi Web) – melindungi kedai dalam talian anda dari kerentanan keselamatan web seperti SQLi, XSS, serangan Brute-force, Bot, spam, malware, DD0S, dll..

Anda boleh mempertimbangkan untuk menggunakan WAF berasaskan awan untuk melindungi dari lapisan 7.

Sistem / Rangkaian Firewall – melarang akses awam ke semua perkara kecuali pelayan web anda. Sekiranya anda tidak memiliki alamat IP tetap untuk memberikan akses kepadanya melalui firewall, terapkan VPN atau Mengetuk Pelabuhan teknologi.

Di RHEL / CentOS anda boleh menemui tetapan firewall di / etc / sysconfig / iptables; ketika datang ke Debian / Ubuntu, terapkan iptables-persistent (/etc/iptables-persistent/rules.v4).

Anda juga boleh mempertimbangkan untuk menggunakan SUCURI untuk pemantauan keselamatan berterusan & perlindungan ke kedai dalam talian Magento anda.

Jangan Gunakan Kata Laluan di Laman Lain

Masalah keselamatan Magento ini berfungsi dengan semua maklumat yang dilindungi kata laluan yang anda miliki. Seperti yang dilaporkan oleh passwordresearch.com, lebih daripada 15% pengguna menggunakan kata laluan yang sama untuk banyak perkhidmatan.

Tidak banyak orang tahu bahawa menerapkan kata laluan yang sama untuk beberapa log masuk, memang mengandungi risiko kehilangan semua akaun anda dengan segera.

Sekali lagi: semua kata laluan mesti unik, tiada jalan lain. Hati-hati, ketepikan artikel ini sebentar dan ubah jika tidak. Jika tidak, anda berisiko cedera kerana kecurangan anda.

Tukar Kata Laluan Secara Berkala                 

Kata laluan anda tidak boleh tetap. Kami sangat mengesyorkan menukar kata laluan sekurang-kurangnya setiap enam bulan.

Walaupun kata laluan telah dicuri (dan walaupun penggodam belum menggunakannya), pertukaran berterusan akan menjadikan maklumat yang dibocorkan sebelumnya tidak bernilai. Pastikan juga kata laluan diubah untuk semua pelanggan yang menggunakan laman web.

Jangan Simpan Kata Laluan Di PC Anda

Sebahagian besar perisian Trojan mencuri kata laluan yang anda simpan. Anda harus berhati-hati dengan penyemak imbas dan klien FTP kerana kata laluan dicuri melalui aplikasi ini lebih kerap.

Kamu patut jangan sekali-kali menyimpan kata laluan yang menggunakan perisian ini tanpa menggunakan kata laluan induk (kata laluan yang merangkumi kata laluan yang lain sambil menyimpan maklumat akses). Mengabaikan nasihat ini boleh menyebabkan kebocoran data dengan mudah.

Anda boleh mencuba pengurus kata laluan seperti yang disenaraikan di sini.

Perhatikan Kesalahan atau Aktiviti Mencurigakan

Lakukan tinjauan keselamatan secara berkala untuk memeriksa tanda-tanda serangan, dan juga ketika dihubungi oleh pelanggan yang mempunyai masalah keselamatan. Anda mungkin mahu memohon Sambungan Magento Log Tindakan Pentadbiran untuk tujuan ini, dan ia telah dikemas kini dengan ciri-ciri seterusnya yang penting untuk keselamatan web:

  • Anda boleh membuat pengumuman untuk percubaan masuk yang berjaya dari negara luar biasa berbanding dengan log masuk sebelumnya.
  • Anda boleh membuat pengumuman untuk banyak percubaan masuk yang tidak berjaya sejak satu jam yang lalu, yang dapat menunjukkan percubaan pecah masuk.
  • Status “403 Dilarang” dikembalikan oleh halaman log masuk yang gagal di bahagian belakang, yang memudahkan penyatuan dengan alat keselamatan pelayan.

Selain itu, anda boleh menggunakan pengimbas keselamatan web untuk menganalisis laman web eCommerce anda untuk kerentanan secara automatik dan berkala.

Tukar URL Backend

Pendekatan ini lebih mementingkan keselamatan dengan ketidakjelasan, tetapi dapat berguna sebagai kaedah tambahan untuk memerangi bot dan serangan kekerasan. Untuk menukar URL backend, anda boleh mengedit app / etc / local.xml (bahagian admin / router / adminhtml).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map