10 dicas para tornar sua loja online Magento mais segura
Estima-se que 240.000 lojas de comércio eletrônico usem o Magento para suas operações online, o que representa quase 30% do mercado da plataforma de comércio eletrônico. Infelizmente, isso não apenas deixa claro que o Magento é um programa que vale a pena, mas deixa algo mais claro: é uma área de foco para criminosos cibernéticos em todo o mundo.
Autor
Amanda DiSilvestro
Data de publicação
14 de setembro de 2017
Categorias
Indústria
Estima-se que 240.000 lojas de comércio eletrônico usem o Magento para suas operações online, o que representa quase 30% do mercado da plataforma de comércio eletrônico .
Infelizmente, isso não apenas deixa claro que o Magento é um programa que vale a pena, mas deixa algo mais claro: é uma área de foco para criminosos cibernéticos em todo o mundo. Acrescente a isso o fato de ser uma plataforma de comércio eletrônico e está claro o quão crítica seria a segurança de qualquer loja virtual Magento.
O Magento continua lançando patches de segurança para manter os sites dos clientes seguros; no entanto, a responsabilidade de fazer todo o possível para proteger sua loja Magento também recai sobre você, o cliente.
Existem várias personalizações, configurações de segurança e práticas recomendadas adicionais que você precisa conhecer para tornar sua loja virtual baseada em Magento segura. Esta peça abordará 10 dicas que podem ajudar você a tornar sua loja de comércio eletrônico mais segura do que antes.
Desde sugestões muito técnicas para proteger seu acesso de administrador até práticas gerais de segurança que manterão sua loja segura, a seguir, abordamos tudo.
O óbvio: verifique se você tem uma política de senha forte em vigor
O maior pecado do qual a maioria dos administradores e proprietários de lojas virtuais Magento é culpada é ter uma senha de rotina, fraca e fácil de quebrar. Espera-se, no entanto, considerar todo o seu foco em fazer as coisas acontecerem quando você configura o Magento inicialmente. No entanto, na ausência de políticas de senha automatizadas via Magento, você precisa implementar suas próprias. Abaixo estão as práticas recomendadas para lembrar:
Sua senha deve ter 10 ou mais caracteres
A senha deve incluir pelo menos um símbolo, um número e um alfabeto maiúsculo
Não inclua o nome da sua empresa ou qualquer palavra do dicionário na sua senha
Altere a senha a cada 90 dias ou mais cedo
Isso também pode ser aprimorado com a autenticação segura em duas etapas . Isso ajuda você a cobrir suas bases se você der sua senha a outro funcionário que possa precisar de privilégios de administrador em um determinado momento.
O não tão óbvio: Modifique o caminho do administrador
Provavelmente, você nunca se incomodou com o caminho admin / padrão. No entanto, o caminho padrão, infelizmente, facilita muito para os cibercriminosos decifrar suas credenciais de login usando técnicas de força bruta. Alterando o caminho padrão do administrador, você adiciona outra camada de proteção para manter a credencial de login da sua loja segura. Aqui estão algumas maneiras de alterar o caminho padrão do administrador.
1. Vá para o administrador back-end. Aqui, vá para Sistema e, em seguida, Config. Nas opções, clique em Admin e, em seguida, em URL da base de administradores. Selecione a opção 'Usar caminho do administrador personalizado' e clique em Sim.
2. O outro método envolve manipular algum código no arquivo local.xml da sua loja Magento. Você pode acessar o arquivo local.xml seguindo o caminho a seguir: app / etc / local.xml.
Recursos
Desenvolvimento Melhorando o relacionamento com SEO e desenvolvedor
Analytics Como fazer a análise online do concorrente
SEO SEO para redesenho e migração de sites
GoalPosts em constante mudança do Google Analytics - desafios de SEO e como superá-los
Abra o arquivo e procure o seguinte código.
<admin>
<routers>
<adminhtml>
<args>
<frontName> <! [CDTA [admin]] </frontName>
</args>
</routers>
</admin>
Aqui, você precisa substituir [admin] pelo novo caminho. Uma vez feito, salve o arquivo, atualize o cache e pronto!
Mantenha uma vigilância forte e controle sobre os usuários administrativos
Para todos os usuários administrativos que possuem funções de privilégio de administrador atribuídas a seus IDs, é necessário criar um mecanismo para visualizar seus logs de atividades e remover seus privilégios se detectar algo incomum. Isso pode ser feito no Magento a partir deste caminho:
Sistema> Permissão> Usuário e Funções
Certifique-se de fornecer apenas privilégios de administrador a um usuário apenas quando absolutamente necessário e apenas por um período de tempo necessário.
Criptografar páginas críticas
Você simplesmente não pode enviar informações confidenciais, como suas credenciais, por conexões não criptografadas, considerando o quão comum se tornou para hackers roubar informações através de conexões não seguras. A solução para este grave problema - URLs seguros . O Magento fornece uma configuração para ajudar aqui.
Vá para Sistema, Configuração e Web. Aqui, selecione a guia Seguro e especifique Sim para as opções de 'Usar URLs seguros no Frontend' e 'Usar URLs seguros no Admin'.
Por fim, lembre-se de que é obrigatório ter URLs seguros para o processamento de transações financeiras. O Magento permite adicionar SSL para sua loja virtual, portanto, certifique-se de usá-lo.
Pergunte a si mesmo: Estou usando a versão Magento mais segura, atualizada e corrigida?
Lembre-se de que é sua responsabilidade e requisito fornecer experiências de compra 100% seguras em sua loja virtual. O tipo de mancha de marca que um vazamento de dados do cliente traz pode prejudicar a empresa. Para garantir que você não deixe falhas de segurança, é importante que você sempre atualize para a versão mais recente do Magento sempre que essas atualizações forem lançadas. Além disso, entre as atualizações de versão, o Magento continua lançando patches de segurança quando necessário. É essencial que você instale essas atualizações de segurança assim que estiverem disponíveis, porque são oferecidas com precisão para combater as ameaças de segurança mais recentes.
Caminho: Sistema -> Magento Connect -> Magento Connect Manager
Obviamente, você receberá notificações quando houver um patch de segurança crítico em oferta ou quando houver uma atualização de versão. Você também pode verificar no site do Magento a palavra sobre quaisquer atualizações planejadas e patches de segurança.
Garantindo a segurança do ambiente do servidor
O ambiente seguro do servidor é essencial para a segurança saudável do seu site Magento. No entanto, é um dos aspectos frequentemente ignorados da segurança dos sites Magento. Para iniciantes, fale com o seu provedor de hospedagem e entenda o tipo de protocolos de segurança em vigor. Nenhum software desnecessário deve estar em execução no servidor. Em seguida, verifique se apenas protocolos seguros estão em uso para comunicações (protocolos como HTTPS , SFTP e SSH).
As portas no servidor não devem ser abertas de uma só vez devido à alta superfície de ataque que ele cria. O Magento vem com arquivos .htaccess que ajudam na proteção de arquivos do sistema quando o servidor da web Apache está em uso. No entanto, se você estiver usando um servidor Web como o Nginx, verifique se os diretórios e arquivos estão protegidos.
Aqui está um experimento - tente acessar este endereço: https: //www.yourMagentowebsite/app/atc/local.xml .
Se estiver acessível, seu site estará em risco e você precisará alterar as configurações do servidor. O acesso ao arquivo cron.php deve ser muito restrito; lembre-se de usar o planejador cron do sistema para executar o comando sempre.
Use um mecanismo confiável de varreduras em execução para o seu site Magento
Imagine uma situação onde um 3 rd party plug-in faz com que um risco de segurança em seu site Magento, eo scanner servidor nem sequer é capaz de detectá-lo! Para evitar esses problemas, é importante executar verificações de rotina em seu site Magento. Serviços de digitalização on-line, como MageReport e ForeGenix, digitalizam seu site Magento completamente e enviam uma lista dos possíveis problemas, além do relatório de digitalização, para o seu ID de email. Abaixo está uma captura de tela de como é um relatório típico de varredura do MageReport:
Use extensões de segurança confiáveis para Magento
Existem riscos de segurança demais para todos os tipos de sites, incluindo as lojas virtuais Magento. Felizmente, o Magento oferece algum tempo testado e extensões eficazes comprovadas que podem cuidar de todos os tipos de problemas de segurança. Explore as extensões mais bem classificadas para funções como bloquear ameaças à segurança, verificar vulnerabilidades, bloquear códigos maliciosos, registrar atividades, aplicar políticas de senha fortes e implementar firewalls. Algumas das extensões de segurança confiáveis do Magento que valem a pena verificar são:
ET IP Security: Oferece limitações de acesso baseadas em IP para acesso ao site.
MegaSecure: Analisa a sua loja Magento em busca de vulnerabilidades
Spam Killer: Integrado ao Akismet para oferecer remoção de comentários de spam de classe mundial
Mega Firewall: violadores de segurança da lista negra, implementam as regras de segurança do NinjaFirewall e bloqueiam todos os tipos de ataques na web.
Nota: Sempre execute todas as extensões através de verificações antivírus. As extensões Magento podem facilmente infectar malware no seu site, especialmente se você não tiver certeza da fonte ou da confiabilidade dos desenvolvedores. Para evitar bagunça, execute cada extensão através do antivírus do sistema operacional antes de instalá-lo.
Mais importante, sempre escolha uma extensão depois de ler as resenhas e fazer um julgamento inteligente com base na reputação e no registro anterior da agência em desenvolvimento. Certifique-se de escolher as extensões feitas por desenvolvedores que parecem comprometidos com o trabalho deles, porque, daqui a alguns anos, você não gostaria de ficar preso a uma extensão importante que não é mais suportada ou atualizada.
Preparar backup
Para garantir que seu site permaneça ativo, mesmo quando ocorrer uma violação de segurança, faça backups regulares e armazene-os na nuvem, bem como na forma de uma cópia offline, para que você possa rapidamente levar seu site de volta a um estado conhecido. do passado muito recente, sempre que necessário. Você pode encontrar facilmente extensões confiáveis do Magento para isso .
O takeaway
Sua loja Magento merece toda a sua atenção, não apenas do ponto de vista de desenvolvimento e gerenciamento de negócios , mas também do ponto de vista de segurança. No ambiente de cibersegurança altamente volátil e incerto de hoje, a responsabilidade da segurança do seu site Magento repousa completamente em seus ombros. Confie nessas 10 práticas discutidas acima para garantir os aspectos mais críticos da sua loja virtual.
Há algo que você adicionaria à lista? Você teve uma experiência pessoal com sua loja Magento? Deixe-nos saber seus pensamentos e sua história na seção de comentários abaixo.
Autor
Amanda DiSilvestro
Data de publicação
14 de setembro de 2017
Categorias
Indústria
Estima-se que 240.000 lojas de comércio eletrônico usem o Magento para suas operações online, o que representa quase 30% do mercado da plataforma de comércio eletrônico .
Infelizmente, isso não apenas deixa claro que o Magento é um programa que vale a pena, mas deixa algo mais claro: é uma área de foco para criminosos cibernéticos em todo o mundo. Acrescente a isso o fato de ser uma plataforma de comércio eletrônico e está claro o quão crítica seria a segurança de qualquer loja virtual Magento.
O Magento continua lançando patches de segurança para manter os sites dos clientes seguros; no entanto, a responsabilidade de fazer todo o possível para proteger sua loja Magento também recai sobre você, o cliente.
Existem várias personalizações, configurações de segurança e práticas recomendadas adicionais que você precisa conhecer para tornar sua loja virtual baseada em Magento segura. Esta peça abordará 10 dicas que podem ajudar você a tornar sua loja de comércio eletrônico mais segura do que antes.
Desde sugestões muito técnicas para proteger seu acesso de administrador até práticas gerais de segurança que manterão sua loja segura, a seguir, abordamos tudo.
O óbvio: verifique se você tem uma política de senha forte em vigor
O maior pecado do qual a maioria dos administradores e proprietários de lojas virtuais Magento é culpada é ter uma senha de rotina, fraca e fácil de quebrar. Espera-se, no entanto, considerar todo o seu foco em fazer as coisas acontecerem quando você configura o Magento inicialmente. No entanto, na ausência de políticas de senha automatizadas via Magento, você precisa implementar suas próprias. Abaixo estão as práticas recomendadas para lembrar:
Sua senha deve ter 10 ou mais caracteres
A senha deve incluir pelo menos um símbolo, um número e um alfabeto maiúsculo
Não inclua o nome da sua empresa ou qualquer palavra do dicionário na sua senha
Altere a senha a cada 90 dias ou mais cedo
Isso também pode ser aprimorado com a autenticação segura em duas etapas . Isso ajuda você a cobrir suas bases se você der sua senha a outro funcionário que possa precisar de privilégios de administrador em um determinado momento.
O não tão óbvio: Modifique o caminho do administrador
Provavelmente, você nunca se incomodou com o caminho admin / padrão. No entanto, o caminho padrão, infelizmente, facilita muito para os cibercriminosos decifrar suas credenciais de login usando técnicas de força bruta. Alterando o caminho padrão do administrador, você adiciona outra camada de proteção para manter a credencial de login da sua loja segura. Aqui estão algumas maneiras de alterar o caminho padrão do administrador.
1. Vá para o administrador back-end. Aqui, vá para Sistema e, em seguida, Config. Nas opções, clique em Admin e, em seguida, em URL da base de administradores. Selecione a opção 'Usar caminho do administrador personalizado' e clique em Sim.
2. O outro método envolve manipular algum código no arquivo local.xml da sua loja Magento. Você pode acessar o arquivo local.xml seguindo o caminho a seguir: app / etc / local.xml.
Recursos
Desenvolvimento Melhorando o relacionamento com SEO e desenvolvedor
Analytics Como fazer a análise online do concorrente
SEO SEO para redesenho e migração de sites
GoalPosts em constante mudança do Google Analytics - desafios de SEO e como superá-los
Abra o arquivo e procure o seguinte código.
<admin>
<routers>
<adminhtml>
<args>
<frontName> <! [CDTA [admin]] </frontName>
</args>
</routers>
</admin>
Aqui, você precisa substituir [admin] pelo novo caminho. Uma vez feito, salve o arquivo, atualize o cache e pronto!
Mantenha uma vigilância forte e controle sobre os usuários administrativos
Para todos os usuários administrativos que possuem funções de privilégio de administrador atribuídas a seus IDs, é necessário criar um mecanismo para visualizar seus logs de atividades e remover seus privilégios se detectar algo incomum. Isso pode ser feito no Magento a partir deste caminho:
Sistema> Permissão> Usuário e Funções
Certifique-se de fornecer apenas privilégios de administrador a um usuário apenas quando absolutamente necessário e apenas por um período de tempo necessário.
Criptografar páginas críticas
Você simplesmente não pode enviar informações confidenciais, como suas credenciais, por conexões não criptografadas, considerando o quão comum se tornou para hackers roubar informações através de conexões não seguras. A solução para este grave problema - URLs seguros . O Magento fornece uma configuração para ajudar aqui.
Vá para Sistema, Configuração e Web. Aqui, selecione a guia Seguro e especifique Sim para as opções de 'Usar URLs seguros no Frontend' e 'Usar URLs seguros no Admin'.
Por fim, lembre-se de que é obrigatório ter URLs seguros para o processamento de transações financeiras. O Magento permite adicionar SSL para sua loja virtual, portanto, certifique-se de usá-lo.
Pergunte a si mesmo: Estou usando a versão Magento mais segura, atualizada e corrigida?
Lembre-se de que é sua responsabilidade e requisito fornecer experiências de compra 100% seguras em sua loja virtual. O tipo de mancha de marca que um vazamento de dados do cliente traz pode prejudicar a empresa. Para garantir que você não deixe falhas de segurança, é importante que você sempre atualize para a versão mais recente do Magento sempre que essas atualizações forem lançadas. Além disso, entre as atualizações de versão, o Magento continua lançando patches de segurança quando necessário. É essencial que você instale essas atualizações de segurança assim que estiverem disponíveis, porque são oferecidas com precisão para combater as ameaças de segurança mais recentes.
Caminho: Sistema -> Magento Connect -> Magento Connect Manager
Obviamente, você receberá notificações quando houver um patch de segurança crítico em oferta ou quando houver uma atualização de versão. Você também pode verificar no site do Magento a palavra sobre quaisquer atualizações planejadas e patches de segurança.
Garantindo a segurança do ambiente do servidor
O ambiente seguro do servidor é essencial para a segurança saudável do seu site Magento. No entanto, é um dos aspectos frequentemente ignorados da segurança dos sites Magento. Para iniciantes, fale com o seu provedor de hospedagem e entenda o tipo de protocolos de segurança em vigor. Nenhum software desnecessário deve estar em execução no servidor. Em seguida, verifique se apenas protocolos seguros estão em uso para comunicações (protocolos como HTTPS , SFTP e SSH).
As portas no servidor não devem ser abertas de uma só vez devido à alta superfície de ataque que ele cria. O Magento vem com arquivos .htaccess que ajudam na proteção de arquivos do sistema quando o servidor da web Apache está em uso. No entanto, se você estiver usando um servidor Web como o Nginx, verifique se os diretórios e arquivos estão protegidos.
Aqui está um experimento - tente acessar este endereço: https: //www.yourMagentowebsite/app/atc/local.xml .
Se estiver acessível, seu site estará em risco e você precisará alterar as configurações do servidor. O acesso ao arquivo cron.php deve ser muito restrito; lembre-se de usar o planejador cron do sistema para executar o comando sempre.
Use um mecanismo confiável de varreduras em execução para o seu site Magento
Imagine uma situação onde um 3 rd party plug-in faz com que um risco de segurança em seu site Magento, eo scanner servidor nem sequer é capaz de detectá-lo! Para evitar esses problemas, é importante executar verificações de rotina em seu site Magento. Serviços de digitalização on-line, como MageReport e ForeGenix, digitalizam seu site Magento completamente e enviam uma lista dos possíveis problemas, além do relatório de digitalização, para o seu ID de email. Abaixo está uma captura de tela de como é um relatório típico de varredura do MageReport:
Use extensões de segurança confiáveis para Magento
Existem riscos de segurança demais para todos os tipos de sites, incluindo as lojas virtuais Magento. Felizmente, o Magento oferece algum tempo testado e extensões eficazes comprovadas que podem cuidar de todos os tipos de problemas de segurança. Explore as extensões mais bem classificadas para funções como bloquear ameaças à segurança, verificar vulnerabilidades, bloquear códigos maliciosos, registrar atividades, aplicar políticas de senha fortes e implementar firewalls. Algumas das extensões de segurança confiáveis do Magento que valem a pena verificar são:
ET IP Security: Oferece limitações de acesso baseadas em IP para acesso ao site.
MegaSecure: Analisa a sua loja Magento em busca de vulnerabilidades
Spam Killer: Integrado ao Akismet para oferecer remoção de comentários de spam de classe mundial
Mega Firewall: violadores de segurança da lista negra, implementam as regras de segurança do NinjaFirewall e bloqueiam todos os tipos de ataques na web.
Nota: Sempre execute todas as extensões através de verificações antivírus. As extensões Magento podem facilmente infectar malware no seu site, especialmente se você não tiver certeza da fonte ou da confiabilidade dos desenvolvedores. Para evitar bagunça, execute cada extensão através do antivírus do sistema operacional antes de instalá-lo.
Mais importante, sempre escolha uma extensão depois de ler as resenhas e fazer um julgamento inteligente com base na reputação e no registro anterior da agência em desenvolvimento. Certifique-se de escolher as extensões feitas por desenvolvedores que parecem comprometidos com o trabalho deles, porque, daqui a alguns anos, você não gostaria de ficar preso a uma extensão importante que não é mais suportada ou atualizada.
Preparar backup
Para garantir que seu site permaneça ativo, mesmo quando ocorrer uma violação de segurança, faça backups regulares e armazene-os na nuvem, bem como na forma de uma cópia offline, para que você possa rapidamente levar seu site de volta a um estado conhecido. do passado muito recente, sempre que necessário. Você pode encontrar facilmente extensões confiáveis do Magento para isso .
O takeaway
Sua loja Magento merece toda a sua atenção, não apenas do ponto de vista de desenvolvimento e gerenciamento de negócios , mas também do ponto de vista de segurança. No ambiente de cibersegurança altamente volátil e incerto de hoje, a responsabilidade da segurança do seu site Magento repousa completamente em seus ombros. Confie nessas 10 práticas discutidas acima para garantir os aspectos mais críticos da sua loja virtual.
Há algo que você adicionaria à lista? Você teve uma experiência pessoal com sua loja Magento? Deixe-nos saber seus pensamentos e sua história na seção de comentários abaixo.
Comentários
Postar um comentário