Magento 2020, auditul de securitate și importanța acestuia.

În afară de migrarea și găzduire Magento, unul dintre cele mai importante lucruri despre un website Magento este securitatea online. Mai mulți oameni ca oricând se întreabă cum își pot păstra website-ul în siguranță. Mulți experți recomandă să efectuați un audit de securitate Magento sau o scanare Magento Security.

Există multe instrumente și servicii care vă pot ajuta să efectuați un audit Magento Security. Totodată vă puteți economisi bani și timp. Trebuie să vă asigurați măsurile de precauție adecvate pentru a vă păstra website-ul în siguranță.

Mai jos, voi enumera toate modalitățile prin care vă puteți proteja website-ul Magento în siguranță, împotriva atacurilor cibernetice.

Creați-vă propria scanare Magento 2020 Security:

Este mult de muncă pentru a vă păstra website-ul Magento în siguranță. Următoarele sfaturi vă vor ajuta să creați un audit de securitate Magento 2020 și vă păstrați website-ul în siguranță. Pentru informații adiționale puteți vedea și articolul despre securizare website.

Migrează către Magento 2 (.3)

Sprijinul pentru Magento 1 se va încheia în iunie 2020. Aceasta înseamnă că, începând cu iunie 2020, nu vor mai exista actualizări de securitate pentru Magento 1. Deci, proprietarii website-urilor vor fi lăsați să își asigure website-ul pe cont propriu.

Acest lucru poate cauza potențiale probleme proprietarilor de website-uri Magento 1. Prin urmare, website-urile lor vor fi mai predispuse la atacuri cibernetice.

Acum, că Magento nu va mai actualiza website-urile Magento 1, aceste website-uri vor rămâne cu tehnologie învechită. Hackerii vor învăța cum să treacă peste software-ul învechit și vor putea accesa website-ul dvs. din orice motiv.

Între timp, asistența pentru utilizatorii Magento 2.0.x s-a oprit în martie 2018. Dacă aveți o variantă Magento 2.0.x, website-ul dvs. nu a avut o actualizare de securitate în aproximativ un an. Aceasta înseamnă că website-ul dvs. nu a primit nicio noutate:

  • patch-uri de securitate;
  • corecții de calitate;
  • actualizări de documentare.

Cea mai bună modalitate de a vă proteja împotriva hackerilor este să migrați website-ul Magento 1 către Magento 2. Poate doriți chiar să migrați la cea mai recentă versiune a Magento 2, care este Magento 2.3. Acest lucru vă va asigura că website-ul dvs. își menține performanța, securitatea și conformitatea PCI. Unii pot spune că procesul este costisitor și necesită un specialist, dar este posibil să îl faci singur.

Este important de menționat că, după iunie 2020, Magento va înceta să ofere actualizări de securitate pentru Magento 1. Vor înceta de asemenea, să ofere suport tehnic proprietarilor de website-uri. Aceasta înseamnă că, dacă website-ul dvs. poate deveni ținta unui atac cibernetic.Singurul responsabil pentru remedierea website-ului veți fi dvs.

Asta înseamnă că migrarea către Magento 2 nu este o chestiune de dacă, ci o chestiune de când.

Mediu securizat de gazduire

Așa cum am menționat anterior, furnizorul dvs. de hosting Magento ar trebui să fie de încredere. Magento nu funcționează bine cu un plan de găzduire ieftin. Planurile de găzduire ieftine tind să vină cu o cantitate mică de spațiu. Atât pentru website-ul dvs., cât și pentru traficul dvs.

Pentru a avea o gamă largă de spații de care are nevoie un website Magento, cel mai bun lucru pe care îl puteți face este să investiți într-un plan premium partajat. Este posibil să luați în considerare o rețea VPS. Un VPS (Virtual Private Server) vă oferă propriul spațiu de server, astfel încât să puteți controla dimensiunea website-ului dvs.

Dacă aveți un VPS, vă puteți oferi mai multă libertate față de website-ul dvs. Cel mai bun beneficiu este că VPS nu vă solicită să utilizați un număr strict de programe software. În acest fel, puteți instala cu ușurință software-ul și configurați-vă serverul după cum doriți. Aceasta înseamnă că puteți utiliza programe precum APACHE și NGINX.

Un alt lucru cu adevărat important pe care ar trebui să îl aibă un website este un certificat SSL. Certificatele SSL sunt un standard pentru păstrarea website-ului dvs. protejat. Acestea sunt în esență lacăte care stabilesc o conexiune sigură de la browserul web la server. Acest lucru permite serverului să protejeze lucruri precum informațiile cardului de credit, transferurile de date și autentificările.

Certificatele SSL pentru Magento 2020

Certificatele SSL sunt în general ușor de obținut, dar vă sfătuiesc să obțineți unul gratuit. Certificatele SSL gratuite sunt de obicei certificate SSL, care sunt partajate de cei care folosesc același server. Certificatele SSL partajate nu pot fi validate de browserele utilizate pe scară largă. În timp ce aveți un certificat SSL, un browser poate afișa încă un avertisment ”nu este sigur” înainte de a afișa conținut către un utilizator. Certificatele SSL plătite, pe de altă parte, sunt de obicei acceptate de 99% din toate browserele.

Pentru un website Magento, cel mai bun certificat SSL este unul adaptat website-urilor de comerț electronic. În general, aceste certificate sunt certificate SSL plătite. Nu sunt ieftine, dar vă oferă și rețele de protecție DDOS. Acestea pot fi atacuri care amenință securitatea website-ului, confidențialitatea datelor și operațiunile de afaceri.

Patch-uri de securitate Magento 2020

Patch-urile de securitate Magento 2020 au fost concepute pentru a corecta vulnerabilitățile din sistemul Magento. Platforma recomandă să actualizați toate patch-urile de securitate care sunt disponibile.

Deoarece există diferite modalități de a găzdui un website, există diferite modalități de a accesa un server. Platforma a creat trei metode diferite pentru a instala un patch. Le voi explica mai jos:

Folosiți SSH:
Folosirea Secure Shell (SSH) pentru a instala un patch este ceea ce Magento 2020 vă recomandă să faceți. Dacă aveți nevoie de ajutor pentru configurarea SSH, trebuie să contactați furnizorul de găzduire.

Încărcați fișierele de plasture în folderul de instalare

Asigurați-vă că compilatorul magazinului este dezactivat

În consola SSH, executați următoarele comenzi

Extensie .sh:

sh patch_file_name.sh

Extensie de pachet:

patch - p0 <patch_file_name.patch

Descărcați sau vizualizați fișierul pentru a vă asigura că patch-ul a fost instalat (app / etc / appl.patches.list.)

Încărcați fișiere pre-patched:
Descărcați instalarea Magento pe unitatea dvs. locală

Aplicați plasturele local

Încărcați fișierele actualizate pe serverul dvs.

Această metodă este de fapt dificilă și necesită o înțelegere mai profundă a programării Magento 2020 pentru a fi realizată. Dacă aveți dificultăți cu celelalte două metode, un dezvoltator certificat Magento vă poate ajuta să instalați un patch prin această metodă.

Monitorizați toate activitățile website-ului

Urmărirea a ceea ce se întâmplă pe website-ul dvs. este incredibil de importantă pentru a preveni atacurile cibernetice. Magento 2020 are metode ușoare de monitorizare a activității website-ului dvs.

Dacă aveți Magento Commerce, puteți găsi un jurnal de acțiuni backend. Pentru a ajunge la ea, faceți următoarele:

Admin → Magazine → Setări → Configurare

Căutați ”Advanced” → Admin

Extindeți ”Logging Actions Admin”

Pentru a activa jurnalul de administrare (recomandat), marcați caseta

Pentru a dezactiva înregistrarea admin, debifați caseta

Când activați înregistrarea admin, vă asigurați că angajații dvs. sunt singurii care accesează website-ul.

Pentru a monitoriza activitatea website-ului pe Magento Community, există diferite extensii de jurnal de acțiuni backend din care să alegeți.

Limitați accesul la backend

Dacă aveți o companie mare, este important să vă asigurați că limitați cine are acces la ce. În backend-ul Magento 2.3, puteți atribui roluri accesând backend-ul și utilizând următoarele instrucțiuni:

Sistem → Permis → Roluri de utilizator → Faceți click pe ”Administratori” → Informații despre rol → Resurse pentru roluri → Acces roluri → Personalizate

De acolo, ar trebui să poți atribui roluri în funcție de ceea ce vrei să vadă echipa ta.

De exemplu:

Ați dori ca echipa dvs. financiară să poată vedea vânzări, rapoarte și facturi.

Ați dori ca echipa dvs. de marketing să se uite la marketing, conținut și rapoarte.

Ați dori ca echipa dvs. de servicii pentru clienți să aibă acces la catalog, clienți și la expedieri.

Cu toate acestea, nu ai dori niciodată ca niciuna dintre aceste echipe să vadă întreg conținutul website-ului tău.

Prin urmare, limitând accesul, vă asigurați că fiecare are informații despre ceea ce trebuie să știe.

Cu toate acestea, trebuie să remarc faptul că, după ce atribuiți un rol cuiva, vă va fi dificil să schimbați accesul la locul în care persoana are voie să meargă.

Deci, atunci când atribuiți un rol, verificați de două ori. Doar pentru a vă asigura, că persoana are acces la tot ceea ce are nevoie și asigurați-vă că atribuiți rolul persoanei corecte.

Monitorizați-vă baza de coduri și fișierele

Din momentul în care ați configurat website-ul dvs., vă recomand să vă monitorizați fișierele Magento 2020. Vizionarea fișierelor inițiale este importantă, deoarece puteți verifica imediat orice fișier nou sau modificat.

După actualizarea sau instalarea website-ului dvs. Magento, cereți găzduirii dvs. să configurați o notificare prin e-mail pentru fișierele dvs. În acest fel, dacă apare un nou fișier principal sau un fișier principal actual a fost modificat, veți primi imediat o notificare prin e-mail.

Dacă există un fișier neautorizat sau o modificare neautorizată a unui fișier, vă puteți simți liber să contactați furnizorul dvs. de găzduire și să îi ceri informații.

Configurare specifică de securitate Magento 2

Cea mai recentă versiune a Magento 2020, Magento 2.3, are o întreagă secțiune de configurare dedicată securității. Voi explica fiecare dintre cele mai importante caracteristici mai jos:

  • Resetări parolă

Magento are o mulțime de modalități de a se asigura că conturile de utilizator sunt protejate prin parolă. Mai jos, voi trece peste fiecare dintre caracteristicile de parolă din secțiunea de securitate și voi explica ce înseamnă toate acestea.

  • Tip resetare parolă

Această caracteristică vă permite să vă resetați parola prin e-mail sau prin adresa IP. De asemenea, este posibil să aveți opțiunea de a reseta parola prin ambele metode.

  • Perioada de expirare a legăturii de recuperare (ore)

Când un link de recuperare este trimis către dumneavoastră, Magento 2020 se asigură că utilizatorul are doar o anumită perioadă de timp pentru a putea utiliza linkul de recuperare. Dacă nu este utilizat în acest interval de timp, linkul pur și simplu nu va funcționa.

  • Numărul maxim de solicitări de resetare a parolei

Utilizatorii au permis numai un anumit număr de solicitări de parolă pe oră. Administratorul are control total asupra câtor cereri sunt permise.

  • Timpul minim între resetarea parolelor

Dacă ați solicitat o parolă nouă și aceasta nu a funcționat, administratorul dvs. poate solicita să așteptați cinci sau zece minute înainte de a cere din nou o parolă nouă.

  •  Durata de viață a parolei (zile)

Administratorul poate solicita echipei să își schimbe parola după o anumită perioadă de zile. Această metodă este de fapt destul de eficientă în prevenirea atacurilor cibernetice ale terților.

  • Schimbarea parolei

Această caracteristică va permite administratorului să vă asigurați că nu treceți pe pagina ”Modificați parola”, în cazul în care trebuie să schimbați parola. Dacă dezactivați această caracteristică, vi se va recomanda doar să modificați parola.

Securitatea contului pentru Magento 2020

Adăugați cheia secretă la adrese URL. Această caracteristică oferă URL-ului dvs. alte 16 caractere generate aleatoriu, astfel încât hackerii să nu poată intra în tabloul de bord doar cu adresa URL. La finalul acestei postări, vă explic de ce este importantă această caracteristică.

Logarea este sensibilă la litere minuscule. Această caracteristică face ca informațiile de conectare ale echipei tale să fie sensibile la majuscule.

Administrarea sesiunii (secunde). Administratorul dvs. are puterea de a controla cât timp puteți fi conectat la contul dvs. Minimul este de un minut, iar maximul de un an.

Eșecuri maxime de conectare la cont. Dacă nu sa autentificat o anumită perioadă de timp, administratorul poate bloca un membrul echipei din cont.

Timp de blocare (minute). Această caracteristică permite administratorului să aleagă cât timp acest membru al echipei poate fi blocat din cont.

Partajarea conturilor de administrator. Administratorul poate dezactiva această caracteristică pentru a permite angajaților să se autentifice în contul lor de pe mai multe dispozitive simultan. Dezactivarea contului îmbunătățește securitatea.

Adăugați Captcha la fiecare formular front-end pentru Magento 2020

Despre atacurile Spam și atacurile prin forță  nu se vorbește atât de des pe cât ar trebui să fie. Cu toate acestea, ele reprezintă încă o amenințare la adresa securității site-ului dvs.

O modalitate de a-ți apăra site-ul împotriva acestor atacuri este de a activa un captcha pentru fiecare formular redactabil pe care îl ai pe site-ul tău. Aceasta include:

  • formulare de contact;
  • formulare de înscriere prin e-mail;
  • confirmări ale comenzii;
  • conectări la clienți.

Pe Magento 2.3, captcha sunt caracteristici încorporate și pot fi găsite prin următoarele instrucțiuni:

Magazine → Configurare → Client → Configurare client → Captcha

Utilizați autentificarea cu doi factori pentru utilizatorii backend

În acest moment, această caracteristică este disponibilă doar pentru Magento 2.3. Autentificarea în doi factori a Magento asigură siguranța website-ului dvs. adăugând un pas suplimentar în procesul de conectare pentru a accesa administratorul Magento.

Ca proprietar al website-ului, autentificarea cu doi factori vă permite să:

  • gestionați setările de autentificare de oriunde;
  • gestionați setările de autentificare pentru orice utilizator;
  • Resetați autentificatorii oricând;
  • gestionați dispozitivele de încredere de la utilizatori.

Acești factori asigură că dețineți un control total asupra persoanelor care vin în backendul dvs. În același timp permite o autentificare sigură pentru angajații dvs.

Există patru autentificatori diferiți pe care îi puteți utiliza atunci când activați autentificarea cu doi factori.

  • Google Authenticator: generați și introduceți un cod din aplicația mobilă.
  • Authy: cod de număr, ID de atingere, apel telefonic.
  • Taste U2F: necesită un dispozitiv fizic pentru a activa autentificarea.
  • Duo Security: trimite o notificare SMS/Push

Păstrați un backup la îndemână

Păstrarea unei copii de rezervă a website-ului dvs. este esențială pentru a vă asigura că website-ul dvs. este securizat. Acum, un website de rezervă ar trebui privit ca o soluție temporară pentru website-ul dvs.

Dacă website-ul dvs. a fost piratat sau a fost redus din orice motiv, backup-ul dvs. ar trebui să poată prelua activitatea în timp ce problemele website-ului sunt rezolvate.

Dacă website-ul dvs. rulează Magento 2, există un sistem de backup integrat în program. Pentru a accesa funcția, trebuie doar să faceți următoarele:

Magazine → Configurare → Avansat → Sistem → Setări Backup

Ați observat că aveți opțiunea de a activa o copie de rezervă. Dar aveți și opțiunea de a programa când puteți face o copie de rezervă. Cu această opțiune, puteți crea un website de rezervă zilnic. Adică, website-ul dvs. va avea o copie de rezervă automată. Astfel, nu va trebui să vă faceți griji pentru a pierde atât de multe informații despre website.

Cu toate acestea, dacă vă simțiți mai confortabil făcând o copie de rezervă manuală, vi se oferă și această opțiune. Nu trebuie decât să mergi la:

Sistem → Instrumente → Copii de rezervă

Prevenirea XXS

XXS (cross-site scripting) este o vulnerabilitate a securității computerului care permite hackerilor să injecteze coduri dăunătoare în paginile web. Există trei tipuri vulnerabile principale de XXS. Este important să se evite introducerea vulnerabilităților în codurile Magento.

Cea mai bună modalitate de a preveni vulnerabilitățile XXS să ajungă pe website-ul dvs. este să aplicați cele mai recente corecții de securitate. Trebuie verificate toate extensiile website-urilor dvs. pentru vulnerabilitățile XXS.

Este important să vă amintiți că, chiar și un modul personalizat slab codificat vă poate deschide website-ul pentru atacuri cibernetice.

Protecția CSRF

Atacurile CSRF (Cross Site Request Forgery) asupra Magento au fost de fapt destul de frecvente în 2017. Din această cauză, Magento 2020 a implementat jetoane CSRF secrete pe orice formă redactabilă de pe website-ul Magento.

Token-urile CSRF fac imposibilă intrarea unui hacker pe un website fără să știe numărul de jeton.

Cheia pentru a vă păstra site-ul Magento în siguranță nu necesită să deveniți un hacker complet. Mai degrabă, vă cere să cunoașteți lucrurile simple pe care le puteți controla. Totul pentru a vă putea păstra website-ul Magento în siguranță.

Comentariile sunt închise.