14 Wichtige Tipps zum Schutz von Magento vor Online-Bedrohungen

Das Betreiben einer E-Commerce-Website ist eine Herausforderung, und man sollte überlegen, alles zu tun, um sich vor Cyber-Angriffen zu schützen.


Die neuesten Prognosen gehen davon aus, dass das globale E-Commerce-Wachstum vorbei sein wird zweistellig bis 2020.

E-Commerce wächst dramatisch, Tausende einzelner Server arbeiten Tag und Nacht und private Informationen (einschließlich natürlich Finanzdaten) sind eine erhebliche Versuchung für Hacker.

E-Commerce-Websites sind aufgrund der persönlichen Daten und Zahlungsdaten, die für einen Verkauf erforderlich sind, sehr attraktive Ziele für Übeltäter.

Magento hat einen Marktanteil von mehr als 7% an der E-Commerce-Plattform, und die neuesten Erkenntnisse von Astra zeigen dies 62% eines Geschäfts hat mindestens eine Sicherheitslücke.

In diesem Artikel werde ich das betrachten wichtigste und zeitlich gut abgestimmte Sicherheit Beratung für Magneto.

Normalerweise knackt ein Angreifer E-Commerce-Websites:

  • um es für elektronischen Spam zu nutzen;
  • um es für Phishing zu verwenden (der Versuch, vertrauliche Informationen wie Passwörter oder Kreditkartendaten zu erhalten);
  • um Ihre Website zu verunstalten oder zu beschädigen:
  • Informationen zu stehlen, die sie zu ihrem Vorteil nutzen können.

Zunächst müssen Sie Ihren Magento-Shop aus dem Grund verteidigen, den Sie sollten Schützen Sie die Informationen des Kunden.

Es versteht sich von selbst, dass Hacker Ihre Informationen aus irgendeinem Grund erhalten möchten (z. B. im Rahmen von Industriespionage), aber das erste ist, dass Sie ihnen keine privaten Informationen von Kunden geben sollten, einschließlich Kreditkartendetails.

Wenn diese Daten infolge des Hackerangriffs gestohlen werden, es kann Ihren Ruf schwer verletzen sowie Ihren Kunden Schaden zufügen.

Willkommen, um diese Magento-Sicherheitsregeln auf Ihren Shop anzuwenden.

Zwei-Faktor-Autorisierung

Selbst das sicherste Passwort ist wertlos, wenn es gestohlen werden kann. Um das Sicherheitsniveau für Ihr Geschäft zu erhöhen, wird dringend empfohlen, Verwenden Sie einen zweiten Autorisierungsfaktor, B. das Backend nur von einer bestimmten IP aus zulassen und die Zwei-Fraktionen-Authentifizierung implementieren.

Um den Backend-Zugriff einzuschränken, fügen Sie diese Zeilen zum Abschnitt VirtualHost der Apache-Webserver-Konfiguration hinzu (bitte seien Sie vorsichtig – wenn Sie der .htaccess-Datei die folgenden Zeilen hinzufügen, wird ein Fehler verursacht):

Order Deny, Allow
Abgelehnt von allen
Zulassen ab 192.168.100.182 # Vergessen Sie nicht, dies mit Ihrer IP zu aktualisieren

Fühlen Sie sich frei, die zu überprüfen Amasty Erweiterung, Wenn Sie nach einer Magento-Zwei-Faktor-Authentifizierungslösung suchen.

Software rechtzeitig aktualisieren

Software-Updates bieten Ihnen nicht nur neue Funktionen, sondern auch Fehlerbehebungen und das Entfernen anfälliger Punkte. Deshalb ist es so außergewöhnlich Es ist wichtig, die aktuellsten verfügbaren Softwareversionen zu verwenden.

Wenden Sie die folgenden lakonischen Befehle an, um Ihr System zu aktualisieren:

RHEL / CentOS

yum Update

Debian / Ubuntu

apt-get update

Regelmäßig sichern

Niemand kann vor Angriffen von Hackern geschützt werden, aber es gibt eine Möglichkeit, sich sicherer zu fühlen: Regelmäßige Sicherungen können Sie vor vielen Problemen bewahren, die für Ihr Unternehmen von entscheidender Bedeutung sein können.

Sie sollten regelmäßig Sicherungskopien speichern, nicht versuchen, sie auf dem Server der ursprünglichen Website zu speichern, und von Zeit zu Zeit Ihre Sicherung in einer Sandbox wiederherstellen, um zu überprüfen, ob sie ordnungsgemäß funktioniert.

Das Speichern Ihres Backups auf dem Server mit Ihrer Website ist nicht nur deshalb gefährlich, weil Ihre Kopie für den Fall eines Serverausfalls sicher sein sollte, sondern auch, weil ein Hacker, der auf Ihren Server gelangt, Zugriff auf das Backup erhält Kopien, was natürlich sehr unerwünscht ist.

Verwenden Sie ein komplexes Passwort

Laut SplashData war 123456 2013 eines der häufigsten Passwörter (und natürlich eines der unsichersten)..

Das Administratorkennwort ist der Grundstein für die Sicherheit Ihres Magento-Shops. Und es sollte stark genug sein! Leichte Bewährungshelfer können leicht geknackt werden mehr als zehn Zeichen mit Klein- und Großbuchstaben sowie Sonderzeichen wie ^ $ #% *, Auf diese Weise wird Ihr Passwort nicht erzwungen, da es selbst mit den neuesten Programmen Jahre dauern wird, bis es geknackt ist.

Sie können den LastPass-Passwortgenerator verwenden.

Verwenden Sie die Firewall

Es gibt zwei Arten von Firewall, mit denen Sie Ihren Magento-Store schützen können.

WAF (Web Application Firewall) – Schützen Sie Ihren Online-Shop vor Sicherheitslücken im Internet wie SQLi, XSS, Brute-Force-Angriffen, Bot, Spam, Malware, DD0S usw..

Sie können Cloud-basiertes WAF verwenden, um sich vor Layer 7 zu schützen.

System / Netzwerk Firewall – Verbieten Sie den öffentlichen Zugriff auf alles außer auf Ihren Webserver. Wenn Sie keine permanente IP-Adresse besitzen, um über die Firewall darauf zuzugreifen, wenden Sie VPN oder an Port Knocking Technologie.

In RHEL / CentOS finden Sie die Firewall-Einstellungen in / etc / sysconfig / iptables; Wenn es um Debian / Ubuntu geht, wenden Sie iptables-persistent an (/etc/iptables-persistent/rules.v4)..

Sie können auch SUCURI für die kontinuierliche Sicherheitsüberwachung verwenden & Schutz für Ihren Magento Online-Shop.

Verwenden Sie das Passwort auf einer anderen Website nicht erneut

Dieses Magento-Sicherheitsproblem funktioniert mit allen kennwortgeschützten Informationen, die Sie besitzen. Wie von passwordresearch.com berichtet, mehr als 15% der Benutzer wenden für viele Dienste dasselbe Kennwort an.

Nicht viele Menschen wissen, dass das Anwenden identischer Passwörter für mehrere Anmeldungen tatsächlich das Risiko birgt, alle Ihre Konten sofort zu verlieren.

Ein Mal noch: Alle Passwörter müssen eindeutig sein, kein anderer Weg. Seien Sie vorsichtig, legen Sie diesen Artikel für eine Weile beiseite und ändern Sie sie, wenn dies nicht der Fall ist. Andernfalls besteht die Gefahr, dass Sie sich aufgrund Ihrer Unvorsichtigkeit verletzen.

Passwort regelmäßig ändern                 

Ihre Passwörter sollten nicht konstant sein. Wir empfehlen dringend zu ändern Passwörter mindestens alle sechs Monate.

Selbst wenn ein Passwort gestohlen wurde (und selbst wenn der Hacker es nicht angewendet hat), werden die zuvor durchgesickerten Informationen durch ständige Änderungen wertlos. Stellen Sie außerdem sicher, dass die Kennwörter für alle Clients geändert werden, die die Website verwenden.

Speichern Sie das Passwort nicht auf Ihrem PC

Ein großer Teil der Trojaner-Software stiehlt Ihre gespeicherten Passwörter. Sie sollten mit Browsern und FTP-Clients vorsichtig sein, da Kennwörter über diese Anwendungen häufiger gestohlen werden.

Du solltest Speichern Sie niemals Passwörter, die diese Software anwenden, ohne das Hauptkennwort zu verwenden (Ein Passwort, das den Rest der Passwörter verschlüsselt und gleichzeitig die Zugangsdaten beibehält). Das Nichtbeachten dieses Hinweises kann leicht zu Datenlecks führen.

Sie können einen Passwort-Manager wie hier aufgeführt ausprobieren.

Achten Sie auf Fehler oder verdächtige Aktivitäten

Führen Sie regelmäßig eine Sicherheitsüberprüfung durch, um nach Anzeichen eines Angriffs zu suchen, und auch, wenn Kunden mit Sicherheitsbedenken Kontakt aufnehmen. Vielleicht möchten Sie sich bewerben Admin Actions Log Magento-Erweiterung Zu diesem Zweck wurde es mit den nächsten für die Websicherheit wichtigen Funktionen aktualisiert:

  • Sie können eine Ankündigung für einen erfolgreichen Anmeldeversuch aus einem ungewöhnlichen Land im Vergleich zu früheren Anmeldungen einrichten.
  • Sie können eine Ansage für viele erfolglose Anmeldeversuche in der letzten Stunde einrichten, die auf einen Einbruchsversuch hinweisen können.
  • Der Status “403 Verboten” wird von der fehlgeschlagenen Anmeldeseite im Backend zurückgegeben, was die Integration in Server-Sicherheitstools erleichtert.

Darüber hinaus können Sie einen Web-Sicherheitsscanner verwenden, um Ihre E-Commerce-Website automatisch und regelmäßig auf Sicherheitslücken zu analysieren.

Ändern Sie die Backend-URL

Bei diesem Ansatz geht es mehr um Sicherheit durch Dunkelheit, aber er kann als zusätzliche Methode zur Bekämpfung von Bots und Brute-Force-Angriffen nützlich sein. Um die Backend-URL zu ändern, können Sie die Datei app / etc / local.xml (Abschnitt admin / routers / adminhtml) bearbeiten..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map