14 consejos esenciales para proteger a Magento de las amenazas en línea

Ejecutar un sitio web de comercio electrónico es un desafío, y uno debe considerar hacer todo lo posible para protegerse de los ataques cibernéticos.


Las últimas previsiones dicen que el crecimiento global del comercio electrónico sería doble dígito hasta 2020.

Comercio electrónico está creciendo dramáticamente, miles de servidores individuales trabajan día y noche, y la información privada (incluyendo, por supuesto, datos financieros) es una tentación significativa para los hackers.

Los sitios de comercio electrónico son objetivos muy atractivos para los malhechores debido a los datos personales y de pago que se necesitan para realizar una venta..

Magento tiene más del 7% de cuota de mercado en la plataforma de comercio electrónico, y el último hallazgo de Astra revela que 62% de una tienda tiene al menos una vulnerabilidad.

En este artículo, consideraré el seguridad más importante y oportuna consejos para Magneto.

Por lo general, el atacante descifra sitios web de comercio electrónico:

  • utilizarlo para spam electrónico;
  • usarlo para phishing (el intento de recibir información confidencial como contraseñas o detalles de tarjetas de crédito);
  • para desfigurar o dañar su sitio web:
  • para robar información que puedan utilizar para su ventaja.

En primer lugar, debe defender su tienda Magento por la razón que debería proteger la información del cliente.

No hace falta decir que los piratas informáticos pueden querer obtener su información por alguna razón (por ejemplo, en el marco del espionaje industrial), pero lo primero es que no debe proporcionarles la información privada de los clientes, incluyendo detalles de la tarjeta de crédito.

Si estos datos son robados como consecuencia del ataque del hacker, puede dañar severamente tu reputación así como dañar a tus clientes.

Bienvenido a aplicar estas reglas de seguridad de Magento a su tienda.

Autorización de dos factores

Incluso la contraseña más segura no tiene valor si puede ser robada. Para aumentar el nivel de seguridad de su tienda, se recomienda encarecidamente utilizar cualquier segundo factor de autorización, como permitir el backend solo desde una IP particular, implementar la autenticación de dos facciones.

Para limitar el acceso al backend, agregue estas líneas a la sección VirtualHost de la configuración del servidor web Apache (tenga cuidado, si agrega las siguientes líneas al archivo .htaccess, causará un error):

Orden denegar, permitir
Negar todo
Permitir desde 192.168.100.182 # no olvide actualizar esto con su IP

Siéntase libre de revisar el Extensión Amasty, si está buscando una solución de autenticación de dos factores de Magento.

Actualizar software a tiempo

Las actualizaciones de software le brindan no solo nuevas funciones, sino también soluciones de errores y eliminación de puntos vulnerables. Por eso es excepcionalmente Es importante utilizar las últimas versiones de software disponibles en este momento.

Para actualizar su sistema, aplique los siguientes comandos lacónicos:

RHEL / CentOS

yum update

Debian / Ubuntu

apt-get update

Respaldar regularmente

Nadie puede protegerse de los ataques de los piratas informáticos, pero hay alguna forma de sentirse más seguro: las copias de seguridad periódicas pueden salvarlo de muchos problemas que pueden volverse críticos para su negocio.

Debe guardar copias de seguridad con regularidad, no intente mantenerlas en el servidor del sitio web original y, de vez en cuando, restaurar su copia de seguridad en un entorno limitado para verificar si funcionan correctamente.

Mantener su copia de seguridad en el servidor con su sitio web es peligroso no solo por el hecho de que su copia debe estar segura en caso de que su servidor se dañe, sino también porque si un hacker llega a su servidor, también tendrá acceso a la copia de seguridad copias, lo cual es, por supuesto, muy no deseado.

Usar contraseña compleja

Según SplashData, 123456 fue una de las contraseñas más comunes en 2013 (y, por supuesto, una de las más inseguras).

La contraseña de administrador es la clave de la seguridad de su tienda Magento. ¡Y debería ser lo suficientemente fuerte! Las condicionalidades fáciles se pueden descifrar fácilmente, así que solicite más de diez caracteres, con minúsculas y mayúsculas, y también caracteres especiales como ^ $ #% *, de esta manera su contraseña no será forzada ya que incluso con los programas más nuevos, llevará años descifrar.

Puedes usar el generador de contraseñas LastPass.

Usar cortafuegos

Hay dos tipos de firewall que puede usar para proteger su tienda Magento.

WAF (Servidor de seguridad de aplicaciones web): proteja su tienda en línea de las vulnerabilidades de seguridad web como SQLi, XSS, ataques de fuerza bruta, Bot, spam, malware, DD0S, etc..

Puede considerar usar WAF basado en la nube para protegerse de la capa 7.

Sistema / red Cortafuegos: prohíba el acceso público a todo excepto su servidor web. Si no posee una dirección IP permanente para acceder a ella a través del firewall, aplique VPN o Golpe de puerto tecnología.

En RHEL / CentOS puede encontrar la configuración del firewall en / etc / sysconfig / iptables; cuando se trata de Debian / Ubuntu, aplique iptables-persistent (/etc/iptables-persistent/rules.v4).

También puede considerar usar SUCURI para la supervisión continua de la seguridad & protección para su tienda en línea Magento.

No reutilice la contraseña en otro sitio

Este problema de seguridad de Magento funciona con toda la información protegida por contraseña que posee. Según lo informado por passwordresearch.com, más de El 15% de los usuarios aplican la misma contraseña para muchos servicios..

No mucha gente sabe que la aplicación de contraseñas idénticas para varios inicios de sesión, de hecho, conlleva el riesgo de perder todas sus cuentas de inmediato.

Una vez más: todas las contraseñas deben ser únicas, ninguna otra manera. Tenga cuidado, deje a un lado este artículo por un tiempo y cámbielos si no lo están. De lo contrario, corre el riesgo de lesionarse debido a su imprudencia.

Cambiar contraseña periódicamente                 

Sus contraseñas no deben ser constantes. Recomendamos encarecidamente cambiar contraseñas al menos cada seis meses.

Incluso si se ha robado una contraseña (e incluso si el pirata informático no la ha aplicado), los cambios constantes harán que la información filtrada anteriormente no tenga valor. Asegúrese también de que las contraseñas se cambien para todos los clientes que utilizan el sitio web.

No almacene la contraseña en su PC

Una gran parte del software troyano roba sus contraseñas guardadas. Debe tener cuidado con los navegadores y los clientes FTP, ya que las contraseñas se roban a través de estas aplicaciones con mayor frecuencia..

Debieras nunca guarde contraseñas aplicando este software sin usar la contraseña maestra (una contraseña que cifra el resto de las contraseñas mientras mantiene los detalles de acceso). Descuidar este consejo puede conducir fácilmente a fugas de datos.

Puede probar un administrador de contraseñas como se detalla aquí.

Preste atención a errores o actividades sospechosas

Realice una revisión de seguridad regularmente para verificar si hay signos de ataque, y también cuando los clientes se comuniquen con ellos por problemas de seguridad. Es posible que desee aplicar Extensión de Magento de acciones de administrador para este objetivo, y se ha actualizado con las siguientes características críticas para la seguridad web:

  • Puede configurar un anuncio para un intento exitoso de inicio de sesión desde un país inusual en comparación con inicios de sesión anteriores.
  • Puede configurar un anuncio para muchos intentos de inicio de sesión fallidos durante la última hora, lo que puede indicar un intento de intrusión.
  • Estado “403 prohibido” devuelto por la página de inicio de sesión fallida en el back-end, que facilita la integración con las herramientas de seguridad del servidor.

Además, puede usar un escáner de seguridad web para analizar su sitio web de comercio electrónico en busca de vulnerabilidades de forma automática y periódica.

Cambiar URL de backend

Este enfoque tiene más que ver con la seguridad por oscuridad, pero puede ser útil como un método adicional para luchar contra los robots y los ataques de fuerza bruta. Para cambiar la URL del backend, puede editar la aplicación / etc / local.xml (sección admin / routers / adminhtml).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map