14 suggerimenti essenziali per proteggere Magento dalle minacce online

La gestione di un sito Web di e-commerce è una sfida e si dovrebbe considerare di fare tutto il necessario per proteggersi dagli attacchi informatici.


Le ultime previsioni indicano che la crescita globale dell’e-commerce sarebbe avvenuta doppia cifra fino al 2020.

Commercio elettronico sta crescendo drasticamente, migliaia di singoli server lavorano giorno e notte e le informazioni private (inclusi, ovviamente, i dati finanziari) sono una tentazione significativa per gli hacker.

I siti di e-commerce sono obiettivi molto interessanti per i malfattori a causa dei dati personali e di pagamento necessari per effettuare una vendita.

Magento detiene una quota di mercato superiore al 7% nella piattaforma di e-commerce e lo rivela l’ultima scoperta di Astra 62% di un negozio ha almeno una vulnerabilità.

In questo articolo, prenderò in considerazione il sicurezza più importante e tempestiva consiglio per Magneto.

Di solito, un utente malintenzionato crea siti Web di e-commerce

  • utilizzarlo per lo spam elettronico;
  • usarlo per phishing (il tentativo di ricevere informazioni sensibili come password o dettagli delle carte di credito);
  • per deturpare o danneggiare il tuo sito Web:
  • rubare informazioni che possono utilizzare a loro vantaggio.

In primo luogo, devi difendere il tuo negozio Magento per il motivo che dovresti proteggere le informazioni del cliente.

Va da sé che gli hacker potrebbero voler ottenere le tue informazioni per qualche motivo (ad esempio, nel quadro dello spionaggio industriale), ma la prima cosa è che non dovresti fornire loro informazioni private dei clienti, tra cui dettagli della carta di credito.

Se questi dati vengono rubati in conseguenza dell’attacco hacker, può danneggiare gravemente la tua reputazione oltre a danneggiare i tuoi clienti.

Benvenuto per applicare queste regole di sicurezza Magento al tuo negozio.

Autorizzazione a due fattori

Anche la password più sicura è inutile se può essere rubata. Per aumentare il livello di sicurezza del tuo negozio, si consiglia vivamente di farlo utilizzare qualsiasi secondo fattore di autorizzazione, come consentire il backend solo da un determinato IP, implementando l’autenticazione a due fazioni.

Per limitare l’accesso back-end, aggiungi queste righe alla sezione VirtualHost della configurazione del server web Apache (fai attenzione – se aggiungi le seguenti righe al file .htaccess causerà un errore):

Ordina Nega, Consenti
Negato da tutti
Consenti da 192.168.100.182 # non dimenticare di aggiornare questo con il tuo IP

Sentiti libero di controllare il Estensione Amasty, se stai cercando una soluzione di autenticazione a due fattori Magento.

Aggiorna software in tempo

Gli aggiornamenti software offrono non solo nuove funzionalità, ma anche correzioni di errori e rimozione di punti vulnerabili. Ecco perché lo è eccezionalmente importante utilizzare le ultime versioni del software disponibili in questo momento.

Per aggiornare il sistema, applicare i seguenti comandi laconici:

RHEL / CentOS

aggiornamento yum

Debian / Ubuntu

apt-get update

Eseguire il backup regolarmente

Nessuno può essere protetto dagli attacchi degli hacker, ma c’è un modo per sentirsi più sicuri: backup periodici possono salvarti da molti problemi che possono diventare critici per la tua azienda.

Dovresti salvare regolarmente copie di backup, non cercare di mantenerle sul server del sito Web originale e di volta in volta ripristinare il backup su una sandbox per verificare se funzionano correttamente.

Mantenere il backup sul server con il tuo sito Web è pericoloso non solo per il motivo per cui la tua copia dovrebbe essere sicura nel caso in cui il tuo server si rompa, ma anche perché se un hacker arriva al tuo server, otterrà anche l’accesso al backup copie, che ovviamente sono molto indesiderate.

Usa password complessa

Secondo SplashData, 123456 è stata una delle password più comuni nel 2013 (e, ovviamente, una delle più insicure).

La password dell’amministratore è la chiave di volta per la sicurezza del tuo negozio Magento. E dovrebbe essere abbastanza forte! Le parole facili possono essere facilmente incrinate, quindi applica più di dieci caratteri, con lettere minuscole e maiuscole e anche caratteri speciali come ^ $ #% *, in questo modo la tua password non sarà forzata poiché anche con i programmi più recenti ci vorranno anni per decifrare.

È possibile utilizzare il generatore di password LastPass.

Usa il firewall

Esistono due tipi di firewall che puoi utilizzare per proteggere il tuo negozio Magento.

WAF (Web Application Firewall): proteggi il tuo negozio online da vulnerabilità della sicurezza web come SQLi, XSS, attacchi di forza bruta, Bot, spam, malware, DD0S, ecc..

Puoi prendere in considerazione l’utilizzo di WAF basato su cloud per proteggere dal livello 7.

Sistema / Rete Firewall: vietare l’accesso del pubblico a tutto tranne il server Web. Se non possiedi un indirizzo IP permanente per consentirne l’accesso tramite il firewall, applica VPN o Bussare alla porta tecnologia.

In RHEL / CentOS puoi trovare le impostazioni del firewall in / etc / sysconfig / iptables; quando si tratta di Debian / Ubuntu, applicare iptables-persistent (/etc/iptables-persistent/rules.v4).

È inoltre possibile considerare l’utilizzo di SUCURI per il monitoraggio continuo della sicurezza & protezione per il tuo negozio online Magento.

Non riutilizzare la password su un altro sito

Questo problema di sicurezza di Magento funziona con tutte le informazioni protette da password di tua proprietà. Come riportato da passwordresearch.com, più di Il 15% degli utenti applica la stessa password per molti servizi.

Non molte persone sanno che l’applicazione di password identiche per diversi accessi, infatti, comporta il rischio di perdere immediatamente tutti i tuoi account.

Un’altra volta: tutte le password devono essere uniche, nessun altro modo. Fai attenzione, metti da parte questo articolo per un po ‘e cambiali se non lo sono. Altrimenti, rischi di ferirti a causa della tua imprudenza.

Cambia password periodicamente                 

Le tue password non dovrebbero essere costanti. Consigliamo vivamente di cambiare password almeno ogni sei mesi.

Anche se una password è stata rubata (e anche se l’hacker non l’ha applicata), i cambi costanti renderanno inutili le informazioni trapelate in precedenza. Assicurarsi inoltre che le password vengano modificate per tutti i client che utilizzano il sito Web.

Non memorizzare la password sul tuo PC

Una gran parte del software Trojan ruba le tue password salvate. Dovresti essere cauto con i browser e i client FTP poiché le password vengono rubate attraverso queste applicazioni più spesso.

Dovresti non salvare mai le password applicando questo software senza usare la password principale (una password che codifica il resto delle password mantenendo i dettagli di accesso). Trascurare questo consiglio può facilmente portare a perdite di dati.

Puoi provare un gestore di password come elencato qui.

Prestare attenzione a errori o attività sospette

Esegui regolarmente una revisione della sicurezza per verificare la presenza di segni di attacco e anche quando contattato dai clienti con problemi di sicurezza. Potresti voler fare domanda Estensione Magento per il registro delle azioni dell’amministratore a questo scopo, ed è stato aggiornato con le seguenti funzionalità fondamentali per la sicurezza Web:

  • È possibile impostare un annuncio per un tentativo di accesso riuscito da un paese insolito rispetto agli accessi precedenti.
  • Puoi impostare un annuncio per molti tentativi di accesso non riusciti nell’ultima ora, il che può indicare un tentativo di rodaggio.
  • Lo stato “403 proibito” restituito dalla pagina di accesso non riuscita nel back-end, che facilita l’integrazione con gli strumenti di sicurezza del server.

Inoltre, è possibile utilizzare uno scanner di sicurezza Web per analizzare la vulnerabilità del sito Web e-commerce automaticamente e periodicamente.

Cambia URL back-end

Questo approccio riguarda maggiormente la sicurezza mediante l’oscurità, ma può essere utile come ulteriore metodo di lotta contro i robot e gli attacchi di forza bruta. Per modificare l’URL back-end, è possibile modificare l’app / etc / local.xml (sezione admin / routers / adminhtml).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map