14 olulist näpunäidet Magento kaitsmiseks veebiohtude eest

E-kaubanduse veebisaidi haldamine on keeruline ja tuleks kaaluda kõike, mis on küberrünnakute eest kaitsmiseks vajalik.


Värskeimate prognooside kohaselt oleks e-kaubanduse globaalne kasv praegu käes kahekohaline number 2020. aastani.

E-kaubandus kasvab dramaatiliselt, tuhanded individuaalsed serverid töötavad päeval ja öösel ning privaatne teave (sealhulgas muidugi ka finantsandmed) on häkkerite jaoks märkimisväärne kiusatus.

E-kaubanduse saidid on pahatahtlikele tegijatele väga atraktiivsed sihtrühmad, kuna müügi tegemiseks on vaja isiklikke ja makseandmeid.

Magento turuosa e-kaubanduse platvormil on üle 7% ja Astra uusim avastus näitab seda 62% vähemalt ühel haavatavusel.

Selles artiklis vaatlen järgmist: kõige olulisem ja hästi ajastatud turvalisus Magneto jaoks nõu.

Tavaliselt purustab ründaja e-kaubanduse veebisaite:

  • kasutada seda elektrooniliseks rämpspostiks;
  • kasutada seda andmepüügiks (katse saada tundlikku teavet, näiteks paroole või krediitkaardiandmeid);
  • oma veebisaidi rüvetamiseks või kahjustamiseks:
  • varastada teavet, mida nad saavad enda huvides ära kasutada.

Esiteks peate oma Magento poodi kaitsma põhjusel, mida peaksite tegema kaitsta kliendi teavet.

On ütlematagi selge, et häkkerid võivad teie andmeid hankida mingil põhjusel (näiteks tööstusspionaaži raames), kuid esimene asi on see, et te ei peaks andma neile klientide privaatset teavet, sealhulgas krediitkaardi andmed.

Kui need andmed varastatakse häkkerirünnaku tagajärjel, see võib teie mainet tõsiselt kahjustada samuti kahjustada teie kliente.

Tere tulemast rakendama neid Magento turvareegleid oma kaupluses.

Kahefaktoriline autoriseerimine

Isegi kõige turvalisem parool on väärtusetu, kui selle saab varastada. Teie poe turvalisuse taseme tõstmiseks on tungivalt soovitatav kasutada mõnda teist autoriseerimistegurit, näiteks lubada taustaprogrammi ainult konkreetselt IP-lt, rakendades kaheastmelist autentimist.

Taustprogrammi juurdepääsu piiramiseks lisage need read Apache veebiserveri konfiguratsiooni jaotisse VirtualHost (olge ettevaatlik – kui lisate .htaccess-faili järgmised read, põhjustab see tõrke):

Telli keelata, luba
Keeldu kõigist
Luba alates 192.168.100.182 # ärge unustage seda oma IP-ga värskendada

Vaadake julgesti Imeline pikendus, kui otsite Magento kahefaktorilist autentimislahendust.

Tarkvara värskendamine õigel ajal

Tarkvarauuendused pakuvad teile mitte ainult uusi funktsioone, vaid ka veaparandusi ja haavatavate punktide eemaldamist. Sellepärast see nii on erandkorras oluline kasutada uusimaid tarkvaraversioone, mis on sel ajal saadaval.

Süsteemi värskendamiseks rakendage järgmisi lakoonilisi käske:

RHEL / CentOS

yum värskendus

Debian / Ubuntu

apt-get värskendus

Varundage regulaarselt

Kedagi ei saa häkkerite rünnakute eest kaitsta, kuid on olemas mõni viis, kuidas end turvalisemalt tunda: perioodilised varukoopiad võivad päästa teid paljudest probleemidest, mis võivad teie ettevõttele kriitiliseks muutuda.

Peaksite regulaarselt varukoopiaid salvestama, ärge proovige neid originaalsaidi veebisaidi serveris hoida ja aeg-ajalt varukoopiaid liivakasti taastama, et kontrollida, kas need töötavad õigesti..

Varundamine oma veebisaidil serveris on ohtlik mitte ainult põhjusel, et teie koopia peaks serveri rikke korral olema ohutu, vaid ka seetõttu, et kui teie serverisse satub häkker, pääseb ta juurde ka varukoopiale koopiad, mis on muidugi väga soovimatu.

Kasuta keerulist parooli

SplashData andmetel oli 123456 2013. aastal üks levinumaid paroole (ja muidugi üks ebakindlamaid).

Administraatori parool on teie Magento poe turvalisuse nurgakivi. Ja see peaks olema piisavalt tugev! Lihtsaid paroole saab kergesti lõhestada, nii et rakendage rohkem kui kümme tähemärki, väiketähed ja ka erimärgid, näiteks ^ $ #% *, sel moel ei sunnita teie parooli, sest isegi kõige uuemate programmide korral kulub selle hävitamiseks aastaid.

Võite kasutada parooligeneraatorit LastPass.

Kasutage tulemüüri

Magento poe kaitsmiseks saate kasutada kahte tüüpi tulemüüre.

WAF (Veebirakenduse tulemüür) – kaitske oma veebipoodi selliste veebiturbehaavatavuste eest nagu SQLi, XSS, jõhkra jõu rünnakud, robot, rämpspost, pahavara, DD0S jne..

7. kihi eest kaitsmiseks võite kaaluda pilvepõhise WAF-i kasutamist.

Süsteem / võrk Tulemüür – keelake avalik juurdepääs kõigele, välja arvatud teie veebiserver. Kui teil pole püsivat IP-aadressi, et sellele tulemüüri kaudu juurde pääseda, rakendage VPN või Port koputab tehnoloogia.

RHEL / CentOS-ist leiate tulemüüri sätted kataloogist / etc / sysconfig / iptables; kui tegemist on Debianiga / Ubuntu, siis rakenda iptables-persistent (/etc/iptables-persistent/rules.v4).

Samuti võite kaaluda SUCURI kasutamist pideva turbekontrolli jaoks & kaitse teie Magento veebipoele.

Ärge kasutage parooli teisel saidil uuesti

See Magento turbeprobleem töötab kogu teie parooliga kaitstud teabega. Nagu teatas salasõnaotsing.com, rohkem kui 15% kasutajatest rakendab sama parooli paljude teenuste jaoks.

Mitte paljud ei tea, et mitme sisselogimise korral identsete paroolide rakendamine hõlmab tõepoolest riski kaotada kohe kõik teie kontod.

Veel üks kord: kõik paroolid peavad olema kordumatud, ei muud moodi. Olge ettevaatlik, pange see artikkel mõneks ajaks kõrvale ja muutke neid, kui neid pole. Vastasel juhul riskite oma ettevaatlikkuse tõttu vigastada.

Parooli vahetage perioodiliselt                 

Teie paroolid ei tohiks olla püsivad. Soovitame tungivalt vahetada paroolid vähemasti iga kuue kuu tagant.

Isegi kui parool on varastatud (ja isegi kui häkker pole seda rakendanud), muudavad pidevad vahetused varasema lekitatud teabe väärtusetuks. Veenduge ka, et kõigi veebisaiti kasutavate klientide paroolid oleksid muudetud.

Ärge hoidke parooli arvutis

Suur osa Trooja tarkvara varastab teie salvestatud paroolid. Peaksite olema brauserite ja FTP-klientide suhtes ettevaatlik, kuna paroolid varastatakse nende rakenduste kaudu sagedamini.

Sa peaksid Ärge kunagi salvestage paroole, rakendades seda tarkvara ilma peaparooli kasutamata (parool, mis kopeerib ülejäänud paroolid, säilitades samal ajal juurdepääsu üksikasjad). Selle nõuande tähelepanuta jätmine võib hõlpsalt põhjustada andmete leket.

Võite proovida siin loetletud paroolihaldurit.

Pöörake tähelepanu veale või kahtlasele tegevusele

Tehke regulaarselt turvakontrolli, et kontrollida rünnaku tunnuseid, ja ka siis, kui turvaprobleemidega kliendid on nendega ühendust võtnud. Võite taotleda Administraatori toimingute logi Magento laiendus sellel eesmärgil ja seda on värskendatud järgmiste veebiturbe jaoks kriitiliste funktsioonidega:

  • Võrreldes varasemate sisselogimistega saate luua teate ebahariliku riigi eduka sisselogimiskatse kohta.
  • Viimase tunni jooksul saate seadistada teadaande paljudele ebaõnnestunud sisselogimiskatsetele, mis võib osutada sissetungimiskatsele.
  • Taustal ebaõnnestunud sisselogimislehe abil tagastatud olek „403 Keelatud”, mis hõlbustab integreerimist serveri turberiistadega.

Lisaks saate veebiturvaskanneri abil oma e-kaubanduse veebisaiti automaatselt ja perioodiliselt haavatavuse analüüsimiseks kasutada.

Muutke taustprogrammi URL-i

See lähenemisviis puudutab rohkem varjamatust tagavat turvalisust, kuid see võib olla kasulik lisameetodina võitluses robotite ja julma jõu rünnakute vastu. Taustprogrammi URL-i muutmiseks saate redigeerida rakendust / etc / local.xml (jaotis admin / ruuterid / adminhtml).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map