14 nauðsynleg ráð til að verja Magento gegn ógnum á netinu

Að keyra vefsíðu eCommerce er krefjandi og það ætti að íhuga að gera allt sem þarf til að tryggja netárásir.


Nýjustu spár segja að vöxtur í e-verslun á heimsvísu væri liðinn tveggja stafa tölu til og með 2020.

Rafræn viðskipti fjölgar verulega, þúsundir einstakra netþjóna vinna dag og nótt og persónulegar upplýsingar (þ.mt auðvitað fjárhagsleg gögn) eru mikil freisting fyrir tölvusnápur.

Netvettvangssíður eru mjög aðlaðandi markmið illvirkja vegna persónulegra gagna og greiðslugagna sem þarf til að selja.

Magento er með meira en 7% markaðshlutdeild á vettvangi rafrænna viðskipta og nýjasta niðurstaða Astra leiðir það í ljós 62% í verslun hefur að minnsta kosti eitt varnarleysi.

Í þessari grein mun ég fjalla um mikilvægast og vel tímasett öryggi ráð fyrir Magneto.

Venjulega sprungur árásarmaður vefsíður í e-verslun:

  • að nota það fyrir rafræn ruslpóst;
  • að nota það til phishing (tilraunin til að fá viðkvæmar upplýsingar, svo sem lykilorð eða upplýsingar um kreditkort);
  • til að koma í veg fyrir eða skaða vefsíðuna þína:
  • að stela upplýsingum sem þeir geta nýtt sér í þágu þeirra.

Í fyrsta lagi verður þú að verja Magento verslunina þína af þeirri ástæðu sem þú ættir vernda upplýsingar viðskiptavinarins.

Það segir sig sjálft að tölvuþrjótar geta viljað afla upplýsinga þinna af einhverjum ástæðum (til dæmis innan ramma iðnaðar njósna), en það fyrsta er að þú ættir ekki að veita þeim persónulegar upplýsingar viðskiptavina, þ.m.t. upplýsingar um kreditkort.

Ef þessum gögnum er stolið í kjölfar árásarinnar, það getur skaðað mannorð þitt verulega auk þess að skemma viðskiptavini þína.

Velkomið að beita þessum Magento öryggisreglum í versluninni þinni.

Tvíþáttaheimild

Jafnvel öruggt lykilorð er einskis virði ef hægt er að stela því. Það er mjög mælt með því til að auka öryggi verslunarinnar þinnar notaðu hvaða annan heimildarstuðul sem er, svo sem að leyfa stuðning aðeins frá tiltekinni IP og innleiða staðfestingu tveggja flokka.

Til að takmarka aðgang að stuðningi skaltu bæta þessum línum við VirtualHost hluta Apache netþjónsstillingar (vinsamlegast vertu varkár – ef þú bætir eftirfarandi línum við .htaccess skrá mun það valda villu):

Pantaðu neitaðu, leyfðu
Neita frá öllum
Leyfa frá 192.168.100.182 # ekki gleyma að uppfæra þetta með IP þinni

Feel frjáls til að athuga Amasty framlenging, ef þú ert að leita að tveggja þátta auðkenningarlausn Magento.

Uppfærðu hugbúnað í tíma

Hugbúnaðaruppfærslur veita þér ekki aðeins nýja eiginleika heldur einnig villuleiðréttingar og fjarlægingu viðkvæmra punkta. Þess vegna er það undantekningarlaust mikilvægt að nota nýjustu hugbúnaðarútgáfurnar sem eru í boði á þessum tíma.

Notaðu eftirfarandi laconic skipanir til að uppfæra kerfið:

RHEL / CentOS

Yum uppfærsla

Debian / Ubuntu

viðeigandi að fá uppfærslu

Afritun reglulega

Engum er hægt að tryggja frá árásum tölvusnápur, en það er einhver leið til að líða öruggari: Reglulegar afrit geta bjargað þér frá mörgum vandamálum sem geta skipt sköpum fyrir fyrirtæki þitt.

Þú ættir að vista reglulega afrit, ekki reyna að geyma þau á netþjóni upprunalegu vefsíðunnar og af og til endurheimta afritið í sandkassa til að athuga hvort þeir virka rétt.

Að halda öryggisafriti þínu á netþjóninum með vefsíðunni þinni er hættulegt ekki aðeins af ástæðunni að afritið þitt ætti að vera öruggt ef netþjónninn brotnar niður, heldur einnig vegna þess að ef tölvusnápur kemur á netþjóninn þinn mun hann einnig fá aðgang að afritinu eintök, sem er auðvitað mjög óæskilegt.

Notaðu flókið lykilorð

Samkvæmt SplashData var 123456 eitt af algengustu lykilorðunum árið 2013 (og auðvitað eitt það óöruggasta).

Admin lykilorð er lykilsteinninn í öryggi Magento búðarinnar þinnar. Og það ætti að vera nógu sterkt! Auðvelt er að klikka á auðveldum kollum, svo gilda meira en tíu stafir, með lágstöfum og hástöfum, og einnig sértákn eins og ^ $ #% *, á þennan hátt verður lykilorð þitt ekki þvingað þar sem jafnvel með nýjustu forritunum mun það taka mörg ár að sprunga.

Þú getur notað LastPass lykilorð rafall.

Notaðu Firewall

Það eru tvær tegundir af eldvegg sem þú getur notað til að vernda Magento verslunina þína.

WAF (Vefur umsókn Firewall) – vernda netverslun þína gegn varnarleysi á vefnum eins og SQLi, XSS, Brute-Force árásum, Bot, ruslpósti, malware, DD0S osfrv..

Þú getur íhuga að nota ský-undirstaða WAF til að vernda gegn lagi 7.

Kerfið / netið Firewall – banna aðgang almennings að öllu nema vefþjóninum þínum. Ef þú hefur ekki varanlegt IP-tölu til að veita aðgang að henni í gegnum eldvegginn skaltu beita VPN eða Högg banka tækni.

Í RHEL / CentOS er að finna eldveggsstillingarnar í / etc / sysconfig / iptables; þegar kemur að Debian / Ubuntu skaltu nota iptables-persistent (/etc/iptables-persistent/rules.v4).

Þú gætir líka íhugað að nota SUCURI fyrir stöðugt öryggiseftirlit & vernd Magento netverslun þinnar.

Ekki nota lykilorð á öðrum vef

Þetta öryggisatriði Magento virkar með öllum þeim lykilorðsvernduðum upplýsingum sem þú átt. Eins og greint var frá af passwordresearch.com, meira en 15% notenda nota sama lykilorð fyrir margar þjónustur.

Ekki margir vita að það að nota sams konar lykilorð fyrir nokkrar innskráningar er í raun hættan á að tapa öllum reikningum þínum strax.

Einu sinni enn: öll lykilorð verða að vera einstök, engin önnur leið. Vertu varkár, settu þessa grein til hliðar í smá stund og breyttu þeim ef þær eru það ekki. Annars áttu á hættu að slasast vegna ósjálfstæðis þíns.

Skiptu um lykilorð reglulega                 

Lykilorð þín ættu ekki að vera stöðug. Við mælum mjög með því að breyta lykilorð minnst á sex mánaða fresti.

Jafnvel þó að lykilorði hafi verið stolið (og jafnvel þó að tölvusnápurinn hafi ekki notað það), munu stöðugar skiptingar gera upplýsingarnar sem lekið hefur áður verðlausar. Gakktu úr skugga um að lykilorðum sé breytt fyrir alla viðskiptavini sem nota vefsíðuna.

Ekki geyma lykilorð á tölvunni þinni

Stór hluti af Trojan hugbúnaðinum stelur vistuðum lykilorðum þínum. Þú ættir að vera varkár við vafra og FTP viðskiptavini þar sem lykilorðum er stolið í gegnum þessi forrit oftar.

Þú ættir vistaðu aldrei lykilorð sem nota þennan hugbúnað án þess að nota aðal lykilorðið (lykilorð sem umkringir restina af lykilorðunum meðan gögnum er haldið). Vanræksla þessa ráðleggingar getur auðveldlega leitt til gagnaleka.

Þú gætir prófað lykilorðastjóra eins og hér er skráð.

Fylgstu með villu eða grunsamlegum athöfnum

Gerðu öryggisskoðun reglulega til að athuga hvort merki séu um árás og einnig þegar haft er samband við viðskiptavini með áhyggjur af öryggi. Þú gætir viljað sækja um Aðgerðir stjórnanda Log Magento viðbót í þessu skyni og það hefur verið uppfært með næstu aðgerðum sem eru mikilvægar fyrir veföryggi:

  • Þú getur sett upp tilkynningu um árangursríka innskráningartilraun frá óvenjulegu landi miðað við fyrri innskráningar.
  • Þú getur sett upp tilkynningu um mikið af misheppnuðum innskráningartilraunum sem misheppnast síðastliðna klukkustund, sem getur bent til innbrots tilraunar.
  • „403 Forbidden“ staða skilað af misheppnuðri innskráningarsíðu í backend sem auðveldar samþættingu við öryggisverkfæri netþjónanna.

Þar að auki geturðu notað veföryggisskannann til að greina vefsíðuna þína um netverslun sjálfkrafa og reglulega.

Breyta slóð URL

Þessi nálgun snýst meira um öryggi með óskýrleika, en hún getur verið gagnleg sem viðbótaraðferð til að berjast gegn vélmenni og árásum skepna. Til að breyta slóð á afturenda geturðu breytt app / etc / local.xml (admin / routers / adminhtml hlutanum).

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    [ware_item id=87][/ware_item]
    Like this post? Please share to your friends:
    Adblock
    detector
    map