Magento Security Guide: Sådan sikrer du dit websted mod hackere
14. september 2020 blev undergangsdagen for mange Magento-købmænd. Over 2,800 Magento 1-butikker var hacket at stjæle kreditkortoplysninger i den største dokumenterede kampagne til dato.
Det er ikke usædvanligt for hackere at skabe kaos på tværs af e-handelswebsteder. Computer malware, vira, orme, trojanske heste og mange andre e-handelssvig… der flyder en masse grimme ting rundt på nettet. Der vil altid være nogen, der forsøger at drage fordel af et sårbart system eller får ulovlig adgang med ondsindet hensigt.
Hvis du ikke ønsker at blive en del af det næste Magento-sikkerhedsbrud, er denne guide noget for dig. Læs videre for at opdage de vigtigste Magento-sikkerhedssårbarheder og måder at forhindre dem på, så dine data og dine kunders data er sikre.
Første ting først, hvad er problemet med Magento 1-sikkerhed?
Det primære problem med Magento 1 er, at det ikke længere understøttes. Fra 20. juni 2020 annoncerede Adobe udløbet af deres Magento 1-produkt, hvilket gjorde platformudgaven forældet og sårbar over for cyberangreb.
Der har du grunden til et MageCart-angreb nævnt tidligere. Forældede Magento-butikker er fortsat attraktive mål for dem, der er fast besluttet på at stjæle personlige og økonomiske data fra onlinekunder.
Hackere kan nemt scanne for forældede versioner af Magento og bruge automatiserede bots til at få adgang til dem, uploade shell-scripts og installere kortet, der skimmer malware. Kortskimmingsangreb er uopdagelige af slutbrugere, så ansvaret påhviler webstedsoperatører for at opdatere deres systemer til den nyeste version af Magento. På dette tidspunkt bør enhver hjemmeside, der bruger Magento 1.x, antages at være kompromitteret.
- Paul Bischoff, en privatlivsforkæmper med Comparitech.
Det er grunden til, at Magento butiksbeskyttelse bør være den første prioritet for handlende. Magento 1 er ikke sikker og vil aldrig være det. Men Magento 1 vil holde dig i trygge hænder.
Lektioner lært og implementeret i Magento 2-sikkerhed
Hvis du bliver bidt af en skovflåt, vil det ikke stoppe infektionen at fjerne dig selv. Det samme skete med Magento. Efter at den kritiske sårbarhed blev fundet i Magento, var en opgradering nødvendig. Så Adobe fornyede hele systemet for at eliminere Magento-sikkerhedsproblemer og beskytte deres forhandlere mod lignende angreb i fremtiden.
Her er Magento-sikkerhedsfunktioner, som Adobe har introduceret efter Magento 1's end-of-life.
Forbedret adgangskodestyring
Magento 1 bruger et svagere system til hashing af adgangskoder (en envejsproces, hvor en streng af tegn omdannes til det, der kaldes en hashed adgangskode). For at løse denne Magento-sårbarhed understøtter Magento 2 Argon2ID13, en stærkere hashing-algoritme end den tidligere guldstandard - SHA-256.
Forbedret forebyggelse af XSS-angreb
Magento har implementeret nye regler for at forhindre cross-site scripting (XSS) angreb ved at gøre escaped data til standard.
XSS-angreb er en type ondsindet script-injektion, der bruges til phishing-angreb, logning af tastetryk og andre uautoriserede aktiviteter.
Mere fleksibelt filsystemejerskab og tilladelser
Fra version 2.0.6 tillader Magento brugere at indstille filsystemers adgangstilladelser. Anbefalingerne er, at visse filer og mapper er skrivebeskyttet i et udviklingsmiljø og skrivebeskyttet i et produktionsmiljø.
Forbedret forebyggelse af Clickjacking-udnyttelse
Magento beskytter din butik mod clickjacking-angreb ved at bruge en X-Frame-Options HTTP-anmodningsheader. For mere information, se X-Frame-Options overskriften.
Automatisk generering af krypteringsnøgle
Magento bruger en krypteringsnøgle til at beskytte adgangskoder og følsomme data. I øjeblikket bruger Magento 2 AES-256-algoritmen, og du kan til enhver tid vælge at generere en tilfældig nøgle gennem adminpanelet.
Brug af ikke-standard Magento Admin URL
Hackere bruger automatiserede robotter til at gætte adgangskoder til at hente shoppers personlige data og handlendes adgang til back-office-operationerne. For at forhindre denne type angreb opretter Magento som standard en tilfældig Admin URI, når du installerer produktet.
Konsekvente Magento 2 sikkerhedsrettelser og opdateringer
Den største grund til, at Magento 2-sikkerhed overtrumfer Magento 1, er regelmæssige opdateringer. Adobes sidste Magento 1-sikkerhedspatch blev udgivet den 22. juni 2020. I mellemtiden får Magento 2-forhandleren deres sikkerhedsrettelser hvert kvartal i en officiel Adobe Sikkerhedsbulletin.
Hvordan Magento Hvordan Magento minimerer virkningen af sårbarheder
Ud over den nye arkitektur og sikkerhedsramme for Magento 2 er der processer på plads for at minimere virkningen af sårbarheder.
De omfatter:
- Bug Bounty Program — Udviklere bliver belønnet med dusører på op til $10,000 for fejl fundet i Magento. Dette er en fantastisk måde at få samfundet involveret i Magento-sikkerhed.
- Magento sikkerhedscenter — Nye sikkerhedsopdateringer, patches, bedste praksis og meget mere kan findes på denne ressource. Uanset om du har brug for mere information om en patch eller har brug for instruktioner til at installere patches/opdateringer, er dette stedet at gå hen.
- Sikkerhedsalarmregister — Magento-teamet reagerer på sårbarheder og leverer patches og opdateringer for at beskytte butikker mod trusler. Abonner på Security Alert Registry for at modtage e-mails, hver gang der er en ny sikkerhedsudgivelse.
- Kode kvalitetsstandarder — Magento-kerneudviklingsteamet bruger Magento kodningsstandard og anbefaler, at udviklere, der opretter Magento-udvidelser og -tilpasninger, også bruger denne standard.
- Udvidelse kvalitetsprogram — Alle udvidelser, der indsendes til Magento Marketplace, gennemgår en flertrinsgennemgang: tekniske og marketinggennemgange. Hvis en af anmeldelserne ikke er bestået, vil forlængelsen ikke få lov til at blive offentliggjort.
Magento sikkerhedstjekliste: Hvilke sikkerhedsstandarder bør være på plads for at sikre, at mit websted er sikkert?
Der er ikke sådan noget som et websted, der ikke kan hackes. Selvom du hyrer de bedste af de bedste udviklere, ingeniører og sikkerhedseksperter, er der stadig mulighed for at blive hacket.
Så vores anbefaling er at håndhæve en streng sikkerhedsworkflow for onboarding og daglige aktiviteter.
Her er måder at sikre Magento på:
- Inkluder sikkerhedspraksis i din onboarding-proces
Selvom dette kan virke selvforklarende, bliver det ofte overset af både interne og eksterne teams. Sørg for, at nye butiksmedarbejdere, udestående medarbejdere og alle derimellem går gennem sikkerhedsonboarding. Vi anbefaler CISO's tjekliste til onboarding af nye ansættelser. - Håndhæve strenge adgangsrettigheder
En del af onboarding-processen er at finde ud af, hvilke adgangsrettigheder en medarbejder skal bruge for at udføre deres arbejde. Det er vigtigt at håndhæve adgangsrettigheder til information, og vi anbefaler også, at du foretager gennemgang af adgangsrettigheder for at sikre, at ingen regler bliver overtrådt bag din ryg. Du kan opsæt brugerroller i Magento med denne vejledning. - Sørg for, at du overholder industristandarder
Dette er både teknisk og forretningsmæssigt. Dit websted og al den kode, der bruges på den, skal overholde PHP-kodningsstandarder, teststandarder og til enhver tid være PCI-kompatibel. Vi viser dig en handlingsvenlig tjekliste i næste afsnit, så du kan blive PCI-kompatibel. - Har redundant failover-infrastruktur
Ja, vi forstår, at du ikke er sikkerhedsekspert, men du skal spørge den, der er ansvarlig for sikkerheden, om de har en sikkerhedskopieringsplan (som skal dække, hvad du sikkerhedskopierer, hvor ofte du sikkerhedskopierer, og hvornår backups skal bruges). Vigtig bemærkning: sikkerhedskopiering skal være automatiseret. - Sikre tredjepartskomponenter (moduler, tjenester, udvidelser, applikationer)
Ligesom Magento sikkerhed bedste praksis sige, sørg for, at alle applikationer, der kører på din server, er sikre. Undgå at køre applikationer som WordPress på samme server som Magento, fordi en sårbarhed i en af disse applikationer potentielt kan afsløre information fra Magento. Det siger sig selv, at du aldrig bør installere udvidelser fra upålidelige kilder (som torrent-websteder). - Beskyt dine data
en. Adskillelse af infrastruktur
⇨ Dette er i overensstemmelse med sikring af tredjepartskomponenter. Du bør under ingen omstændigheder have udviklings-, iscenesættelses- og produktionsmiljøer kørende på den samme serverinstans.b. Begrænset adgang
⇨ Et andet punkt, vi kom ind på: adgangsrettigheder omfatter udviklerne og andet it-personale. Hvert medlem af teamet bør under ingen omstændigheder have fulde administratorrettigheder.c. Persondatabeskyttelse
⇨ Selvom det kan virke indlysende, bør en del af onboarding-processen omfatte ikke at bringe USB-drev og andre lagerenheder ind for at fungere. Husk også ikke at klikke på mistænkelige links eller åbne mistænkelige e-mails. Fortæl aldrig nogen din adgangskode (især Magento Admin-adgangskoden).
Så med de kedelige ting af vejen, lad os gå i gang med at skudsikre din Magento-butik!
Bulletproof Magento Security: Sådan sikrer du Magento-webstedet i 14 trin
Trin #1: Sikkerhedsrevision
Der er mange bevægelige dele i Magento-sikkerhed. Ingen udvikler, arkitekt, leder eller andre roller forstår Der er mange bevægelige dele i Magento-sikkerhed. Ingen udvikler, løsningsarkitekt, leder eller andre roller forstår sikkerhedsrisici samt en kvalificeret sikkerhedsekspert. Derfor er det første skridt at få dit websted kæmmet igennem af en ekspert. Du bør helst få dette gjort mindst en gang om året for at forblive sikker.
Trin #2: Automatiseret sikkerhedsscanning
Gode nyheder, du behøver ikke at gå til en tredjepart, hver gang du vil køre en scanning. Magento tilbyder sin sikkerhedsscanning gratis.
Magento Security Scan giver dig mulighed for at overvåge alle dine websteder (hvis du har mere end én) for mulige risici og fremhæver de patches og opdateringer, du har brug for. Indstil en tidsplan (Magento anbefaler scanning på ugebasis) og modtag rapporter og korrigerende handlinger for hver mislykket test. For at komme i gang, tjek denne vejledning.
Der er også gratis scanningsværktøjer derude som MageReport, men det er ikke så dybdegående som Magentos værktøj og tilbyder ikke automatisk eller planlagt scanning.
Trin #3: Magento Admin Security
Magento anbefaler en flerlags tilgang til sikring af din administratorkonto(S).
Du kan:
- Indstil sikkerhedsniveauet for adgangskoder
- Indstil antallet af loginforsøg
- Konfigurer varigheden af tastaturinaktivitet, før sessionen udløber
- Kræv store og små bogstaver i brugernavne og adgangskoder
Admin adgangskoder
Adgangskodemuligheder for administratorer
Gå til administratorsidebjælken Butikker > Indstillinger > Konfiguration.
I venstre panel under Avanceret, vælg Admin.
Udvid Sikkerhed sektion.
Skift standard Admin URL
Det er en god idé at ændre standardadmin-URL'en til noget andet for at gøre den mindre af et mål for hackere.
Standard base-URL: http://ditdomæne.com/magento/
Standard Admin URL og sti: http://ditdomæne.com/magento/admin
Der er en enkel måde at gøre det på ændre admin URL tilgængelig i administratorpanelet, men husk på, at eventuelle fejl vil gøre dit websted utilgængeligt for alle administratorer, og den eneste måde at rette det på er ved at redigere serverkonfigurationsfiler (ikke noget du vil opleve, stol på os).
IP-hvidlistning
Du har måske hørt om sortlistning - når du blokerer adgang til et bestemt websted, IP-adresse eller netværk.
whitelisting er det modsatte - tillader kun adgang til visse oplysninger, websteder og i vores tilfælde Magento-administrationspanelet til betroede IP-adresser.
Trin #4: Indstil brugerroller
Magento indeholder muligheder for at begrænse adgangen for administratorer. Med andre ord kan du oprette tilladelser for at begrænse, hvad en webstedsadministrator ser og give dem begrænset adgang.
Du kan konfigurere brugerroller ved at gå til Admin-sidebjælken. Klik Systemkrav, under Tilladelser, vælge Brugerroller. Klik i øverste højre hjørne Tilføj ny rolle.
Efter at have tildelt en Rollenavn og indtaste din adgangskode kan du konfigurere Rolleomfang (se billedet nedenfor).
Magento Commerce giver dig mulighed for at logge alle handlinger udført af administratorer. Du kan aktivere handlingslogfiler ved at navigere til Butikker > Indstillinger > Konfiguration. I venstre panel, udvide Avanceret Og vælg Admin. Udvid Logning af administratorhandlinger og marker afkrydsningsfeltet aktivere administratorlogning for hver handling, du vil logge.
Trin #5: Konfigurer Captcha og Google reCaptcha
I Magento kan du konfigurere begge dele Captcha , Google reCaptcha for administratorer og kunder. Begge beskytter dig mod spam og andre former for automatisk misbrug.
Captcha er en menneskelig valideringstest, dvs. de slørede, snoede bogstaver og tal, du sikkert har været nødt til at skele for at se.
Google reCaptcha er en overlegen type menneskelig validering, dvs. afkrydsningsfeltet "I Am Not A Robot".
Invisible reCAPTCHA (Magento anbefales) — som bekræfter, at en bruger er menneskelig automatisk uden interaktion. Det lyder som magi, men Google formåede at finde en måde at gøre det på.
Trin #6: To-faktor-godkendelse (2FA)
Two-Factor Authentication, eller kort sagt 2FA, er en metode til at bekræfte en brugers identitet ved at få brugerne til at fuldføre et andet trin i verifikationsprocessen. Magento 2FA er kun tilgængelig for administratorbrugere og udvides ikke til kundekonti.
Sådan kan du konfigurere 2FA i Magento:
Gå til administratorsidebjælken Butikker > Indstillinger > Konfiguration.
I venstre panel, udvid Sikkerhed og vælg 2FA.
Trin #7: Krypteringsnøgle
Når du starter Magento første gang, genererer systemet automatisk en krypteringsnøgle. Denne nøgle bruges til at beskytte adgangskoder og andre følsomme data som kreditkortoplysninger og integrationsadgangskoder (betalings- og forsendelsesmodul).
Magento anbefaler at holde denne nøgle sikkert og skjult til enhver tid. Hvis du oplever et databrud, kan du oprette en ny krypteringsnøgle for at forhindre nogen i at få adgang til data ved hjælp af den gamle nøgle.
Du kan generere en ny nøgle i administratorpanelet. For at gentage, anbefaler vi ikke at gøre dette på egen hånd.
Strin #8: Adgangskodekrav
Magento kræver minimum syv tegn (både bogstaver og tal). Vi anbefaler at bruge noget lidt mere robust - en alfanumerisk adgangskode på 10-12 tegn.
Pro tip - Forsøg ikke selv at tænke på en adgangskode. Vi anbefaler at bruge LastPass at tilfældigt generere en adgangskode.
Skift dine adgangskoder, hvis du har mistanke om, at der er et databrud, uanset om din konto blev hacket eller ej, og indstil en påmindelse om at ændre din adgangskode en gang om året.
Du kan indstille sikkerhedsniveauet for adgangskoder, der bruges af både kunder og administratorer, direkte i admin-grænsefladen
Adgangskodemuligheder for kunder
Gå til administratorsidebjælken Butikker > Indstillinger > Konfiguration.
I panelet til venstre, udvide kunder , vælg Kundekonfiguration.
Udvid Adgangskodeindstillinger sektion.
Trin #9: PCI-overholdelse
De store kreditkortselskaber skabte Payment Card Industry Data Security Standard (PCI DSS) for at sikre, at handlende vedtager kritiske sikkerhedsforanstaltninger. Forhandlere, der ikke overholder PCI-kravene, kan forvente store bøder, som også kan resultere i at miste deres evne til at behandle betalinger.
Magento gør det nemmere for handlende at blive PCI-kompatible — Magento Commerce Cloud er PCI-certificeret og Magento tilbyder integreret betaling gateways som PayPal, Authorize.Net og andre, der sikkert overfører kreditkortoplysninger.
12 Krav til PCI-DSS | |
Byg og vedligehold et sikkert netværk | Krav 1: Installer og vedligehold en firewall-konfiguration for at beskytte kortholderdata Krav 2: Brug ikke leverandørens standardindstillinger for systemadgangskoder og andre sikkerhedsparametre |
Beskyt kortholderdata | Krav 3: Beskyt gemte kortholderdata Krav 4: Krypter transmission af kortholderdata på tværs af åbne, offentlige netværk |
Vedligehold et sårbarhedsstyringsprogram | Krav 5: Brug og opdater regelmæssigt antivirussoftware Krav 6: Udvikle og vedligeholde sikre systemer og applikationer |
Implementer stærke adgangskontrolforanstaltninger | Krav 7: Begræns adgangen til kortholders data af virksomhedens behov for at vide Krav 8: Tildel et unikt ID til hver person med computeradgang Krav 9: Begræns fysisk adgang til kortholders data |
Overvåg og test netværk regelmæssigt | Krav 10: Spor og overvåg al adgang til netværksressourcer og kortholderdata Krav 11: Test jævnligt sikkerhedssystemer og processer |
Oprethold en informationssikkerhedspolitik | Krav 12: Oprethold en politik, der omhandler informationssikkerhed |
Vigtig bemærkning: BRUG IKKE Gemte kreditkortmodul i et produktionsmiljø!
Gemte kreditkort er ikke PCI-kompatible og du afslører muligvis dine kunders kreditkortoplysninger.
Trin #10: Installer sikkerhedsudvidelser
Når native funktionalitet ikke er nok, kommer udvidelser til undsætning. Magento har et rigt lager af sikkerhedsudvidelser - både betalt og gratis. Her er et par stykker, du kan prøve:
Trin #11: Sikkerhedsautomatiseringsløsninger
Sikkerhedsautomatisering er processen med automatisk håndtering af sikkerhedsrelaterede opgaver som antivirusscanning, indtrængningsdetektion, oprettelse af sikkerhedskopier, fornyelse af SSL-certifikater og meget mere.
IBM gjort en banebrydende opdagelse: organisationer uden automatiserede sikkerhedsløsninger oplevede brudomkostninger, der var 95 % højere end organisationer med fuldt implementeret automatisering.
Trin #12: Cyberansvarsforsikring
Ligesom enhver anden type forsikring (bil, bolig osv.) beskytter cyberforsikring virksomheder mod skader forårsaget af cyberangreb. Især dækker cyberansvar
- Databrud efter medarbejdertyveri og/eller datalæk.
- Cyberforretningsafbrydelse, som et tredjepartshack eller mislykket softwarepatch.
- Databrud efter hacking.
- Fejl og udeladelser, der fører til sikkerhedsindtrængen.
Trin #13: Opret et Incident Response Team & Plan
Hvis du ikke har en hændelsesplan (eller du ikke ved, hvad dette er), lad os oprette en.
For at gøre det lettere tog vi Talesh Seeparsans Magento-centreret Incident Response Plan Template og lavet et Google-regneark, som du kan kopiere til eget brug.
Forudsætninger for at bruge skabelonen:
- Opret et Incident Response Team (IRT) til at håndtere sikkerhedshændelser for hvert aspekt af e-handelsløsningen defineret i denne tabel.
- Overvåg og analyser rutinemæssigt netværkstrafik og systemydelse.
- Kontroller rutinemæssigt alle logfiler og logningsmekanismer, herunder operativsystemhændelseslogfiler, applikationsspecifikke logfiler og systemlogfiler til indtrængendetektering.
- Bekræft din sikkerhedskopiering og gendannelsesprocedurer. Du skal være opmærksom på, hvor sikkerhedskopier vedligeholdes, hvem der har adgang til dem, og dine procedurer for datagendannelse og systemgendannelse. Sørg for, at du regelmæssigt verificerer sikkerhedskopier og medier ved selektivt at gendanne data.
IBM fandt det virksomheder med en IRT og omfattende test af deres reaktionsplaner sparet over 1.2 millioner dollars. Mere specifikt viste undersøgelsen, at den kombinerede effekt af IRT og test af hændelsesresponsplanen, gennem øvelser og simuleringer, hjalp teams med at reagere hurtigere og producere større omkostningsbesparelser end nogen enkelt sikkerhedsproces.
Trin #14: Hold Magento opdateret og opdateret
Der er ingen undskyldninger for ikke at have en lappet og fuldt opdateret Magento-butik.
For at installere en Magento-sikkerhedspatch skal du
- Sikkerhedskopier filsystemet, mediet og databasen for at forhindre tab af data, hvis noget går galt.
- Download en patch (alias hotfix) fra Magento sikkerhedscenter. Husk at du skal kende din Magento-version for at downloade en korrekt patch.
- Påfør et plaster via Magento Quality Patch (MQP) pakke, kommandolinje eller Composer.
Scan dit websted, identificer eventuelle patches, du skal installere, og lad venligst ikke hackere få nem adgang gennem en sårbarhed. Tilmeld dig Magento Security Alert Registry og gør et punkt for at besøge Magento Security Center fra tid til anden for at få de seneste nyheder og oplysninger.
For at spare dig selv for nogle problemer, kan du også ansæt en Magento-udvikler. De vil installere en Magento-sikkerhedspatch på ingen tid - det være sig et hotfix eller en brugerdefineret patch.
Hvad skal man gøre, hvis dit websted er blevet hacket
Gå ikke i panik. Hvis der var et databrud eller informationseksponering, er der ingen måde at få disse oplysninger tilbage på. Din prioritet bør være at identificere, hvad der blev afsløret, indsamle beviser og sikre, at data ikke lækker.
Følg din hændelsesresponsplan:
- Lav en indledende vurdering
- Kommuniker hændelsen
- Inddæm skaden og minimer risiciene
- Identificer alvoren af kompromiset
- Bevar beviser
- Kommuniker eventuelle eksterne meddelelser
- Kompilér og organiser hændelsesbeviser
Elogisk erfaring med cyberangreb
For at lære, hvad Elogic-udviklere møder i deres arbejde, spurgte vi rundt og hørte om to vilde historier om ondsindet hensigt.
Bitcoin Mining Fiasco
En af vores mest erfarne full-stack udviklere hos Elogic, Andriy Biloshytskiy, havde en interessant oplevelse for et par år siden. Der skete noget meget mærkeligt med et af de projekter, han arbejdede med på det tidspunkt.
Der var ingen seneste opdateringer på webstedet, intet var ændret, bortset fra at webstedet ikke fungerede," siger Andriy. "Så jeg lavede en overfladisk undersøgelse og fandt noget både mærkeligt og morsomt - der var et stykke JavaScript-kode uden lukketags, som forårsagede nedbruddet. Efter en Google-søgning fandt jeg ud af, at det ondsindede script var beregnet til at overvinde computerkraften hos folk, der besøgte butikken - at mine Bitcoin.
– Andriy Biloshytskiy, Full-stack-udvikler hos Elogic Commerce
Gerningsmanden (muligvis en butiksadministrator) blev aldrig fanget. Butikken havde ikke administratorlogfiler, så der var ingen måde at vide med sikkerhed, hvem der var ansvarlig.
Den uventede virus
Når udviklere arbejder på projekter, kloner de ofte butikken på deres arbejds-pc eller server for at teste og skrive ny kode. Denne historie skete, efter at en af vores udviklere klonede en butik, men i stedet for at komme i gang med det samme, så han en pop-up.
Pop op-vinduet var en advarsel fra hans antivirussoftware, og kilden til infektionen var den nyinstallerede Magento-instans. Efter at have fundet den inficerede fil, en PHP-kernefil, slettede udvikleren den ondsindede kode og gik i gang med sit arbejde.
Moralen i historien er: uanset om angrebet er målrettet, en menneskelig fejl eller en systemfejl/sårbarhed, kan du hjælpe med at forhindre brud ved at implementere og følge sikkerhedsstandarder.
Er Magento Commerce mere sikker end Magento Open Source?
Mens man vælger mellem Magento 2 Commerce vs Open Source, har du måske spekuleret på, hvilken der er mere sikker. Selvom det er rigtigt, at begge Magento-udgaver leverer fremragende funktionssæt (selvfølgelig afhængigt af en forhandlers forretningsbehov), kan vi stå inde for sikkerheden ved Magento Commerce (alias Adobe Commerce).
Her er fem store sikkerhedsfordele ved at bruge Magento Commerce og Commerce Cloud.
PCI-overholdelse
PCI-overholdelse er ikke en funktion, der er angivet i Magento Open Source, men det er i Magento Commerce. Endnu bedre, Magento Commerce Cloud er PCI-certificeret som en Level 1 Solution Provider, så forhandlere kan bruge Magento's PCI Attestation of Compliance til at hjælpe deres egen PCI-certificeringsproces.
Fælles sikkerhedsansvar
Magento Commerce Cloud har en sikkerhedsmodel med fælles ansvar hvor du, Magento og Amazon Web Services (best-of-breed cloud-tjenester) deler ansvaret for driftssikkerhed. Du er ansvarlig for at teste tilpasset kode og eventuelle tilpassede applikationer. Magento sikrer, at selve platformen er sikker, og Amazon sørger for fysisk sikkerhed for servere og compliance.
Handlingslogs
Magento Commerce giver dig mulighed for at føre en fortegnelse over hver ændring (handling) foretaget af en administrator, der arbejder i din butik. De loggede oplysninger inkluderer navnet på brugeren, handlingen og om handlingen var vellykket, og den logger også IP-adressen og datoen.
Web Application Firewall (WAF)
Ligesom en firewall på en pc forhindrer en WAF ondsindet trafik i at komme ind på et netværk ved at bruge et sæt sikkerhedsregler. Enhver trafik, der udløser reglerne, blokeres, før den frigiver sig selv på dit websted eller netværk. Magento Commerce Cloud bruger Hurtigt CDN til WAF-tjenester.
Content Delivery Network (CDN) & DDoS-beskyttelse
Magento Commerce Cloud bruger også Fastly CDN til yderligere sikkerhedsfunktioner som DDoS-beskyttelse, som inkluderer Layer 3, 4 og 7 DDoS-reduktion
Takeaways — Magento sikkerhedstip og bedste praksis
Sitesikkerhed og mere generelt cybersikkerhed bør være en af dine hovedprioriteter. Du driver ikke kun en blog eller en personlig side, du er ansvarlig for at beskytte fortrolige oplysninger, herunder navne, adresser, telefonnumre og kreditkortoplysninger.
Husk:
- Selv et fuldt patchet og opdateret websted kan blive hacket. For eksempel kan en svag admin-adgangskode være brute-forced, og hackere kan slentre lige ind og samle alt, hvad de ønsker. Så udfør Magento sikkerhedstjek regelmæssigt.
- Du kan ikke redegøre for nye sårbarheder eller zero-day exploits (et cyberangreb, der opstår samme dag, som en svaghed opdages). En stærk hændelsesresponsplan kan dog hjælpe dig med at være et skridt foran.
- "En ounce forebyggelse er et halvt kilo kur værd." Ben Franklin havde ret. Hvis du har konfigureret din butik med sikkerhed i tankerne, overholdt den cybersikkerhedsarbejdsgang, vi har skitseret, og skudsikret din butik, kan du spare dig selv for masser af tid og hjertesorg.
- Gå ikke på kompromis med sikkerheden, ellers vil din mangel på sikkerhed kompromittere dig.
Magento Security FAQ
Er Magento sikkert?
Efter Magento 1-fiaskoen har Adobe opgraderet Magento 2 til nye sikkerhedsniveauer. Magento e-handelsarkitektur er designet til at give et meget sikkert miljø takket være Web Application Firewall (WAF), Fastly CDN for ekstra DDoS-beskyttelse og hashing for at kryptere data. Sikkerhedsrettelser frigives hvert kvartal, og Magento Security Scanner er tilgængelig. Sælgere kan desuden bruge SSL-certifikater, CAPTCHA, to-faktor-godkendelse og andre bedste praksisser for Magento-sikkerhed for at beskytte deres kunder.
Så det er sikkert at sige, at Magento er en af de mest sikre platforme blandt dem, der tilbydes på e-handelsmarkedet.
Hvordan sikrer man Magento-webstedet?
Nogle bedste fremgangsmåder til at sikre Magento inkluderer følgende:
- Sørg for regelmæssige revisioner af Magento-sikkerhed - det være sig med et automatisk Magento-malware-scanningsværktøj eller med hjælp fra en Magento-professionel.
- Brug krypterede forbindelser (SSL/HTTPS).
- Aktiver to-faktor-godkendelse.
- Sikkerhedskopier din hjemmeside regelmæssigt.
- Vælg pålidelige hostingudbydere
- Gør brug af de indbyggede Magento-sikkerhedsfunktioner, og installer sikkerhedsudvidelser, når det er nødvendigt.
- Udarbejd din handlingsplan for en cybernødsituation.
Se en komplet Magento sikkerhedstjekliste ovenfor.
Er Magento PCI kompatibel?
Magento PCI-overensstemmelse afhænger af dens udgave:
Magento Open Source er ikke PCI-kompatibel, så du bliver nødt til at anvende enten en tredjeparts betalingsmetode, der omdirigerer dig til et andet websted for at foretage transaktionen (som PayPal, Authorize.net) eller en SaaS PCI-kompatibel betalingsmetode (CRE Secure).
Magento Commerce og Commerce Cloud er PCI-certificeret som Level 1 Solution Provider.
Kilde: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- adgang
- Konto
- Handling
- aktiviteter
- Yderligere
- admin
- Adobe
- Fordel
- fortaler
- algoritme
- Alle
- tillade
- Amazon
- Amazon Web Services
- blandt
- annoncerede
- antivirus
- Anvendelse
- applikationer
- arkitektur
- omkring
- Angreb
- Godkendelse
- Automatiseret
- Automation
- backup
- sikkerhedskopier
- BEDSTE
- bedste praksis
- Største
- Bit
- Bitcoin
- Bitcoin minedrift
- Blog
- bots
- brud
- brud
- bugs
- virksomhed
- virksomheder
- Kampagne
- bil
- hvilken
- fanget
- forårsagede
- certifikater
- Certificering
- lave om
- afgift
- Kontrol
- Cloud
- cloud-tjenester
- kode
- Kodning
- Handel
- samfund
- Virksomheder
- Compliance
- computing
- computerkraft
- Tilslutninger
- Omkostninger
- Crash
- Oprettelse af
- kredit
- kreditkort
- Kreditkort
- helbrede
- Kunder
- Cyber
- Cyberangreb
- cyberangreb
- Cybersecurity
- data
- bruddet
- datatab
- datasikkerhed
- Database
- dag
- DDoS
- deal
- levering
- Detektion
- udvikle
- Udvikler
- udviklere
- Udvikling
- Enheder
- DID
- opdaget
- opdagelse
- Doom
- e-handel
- ecommerce
- medarbejdere
- kryptering
- Ingeniører
- Miljø
- etc.
- begivenhed
- Udvid
- erfaring
- eksperter
- udvidelser
- Feature
- Funktionalitet
- finansielle
- finansielle data
- Brand
- Fornavn
- Fix
- Framework
- Gratis
- fuld
- fremtiden
- gif
- Guld
- godt
- Google Search
- stor
- vejlede
- hack
- hackere
- hacking
- Håndtering
- hashing
- link.
- leje
- Home
- Hosting
- Hvordan
- How To
- HTTPS
- idé
- identificere
- Identity
- billede
- KIMOs Succeshistorier
- hændelsesrespons
- Herunder
- industrien
- infektion
- info
- oplysninger
- informationssikkerhed
- Infrastruktur
- forsikring
- integration
- hensigt
- interaktion
- afsløring indbrud
- undersøgelse
- involverede
- IP
- IP-adresse
- spørgsmål
- IT
- JavaScript
- Job
- holde
- Nøgle
- stor
- seneste
- Seneste Nyheder
- førende
- Lækager
- LÆR
- lærte
- Niveau
- ansvar
- Limited
- Line (linje)
- større
- Making
- malware
- ledelse
- Marked
- Marketing
- markedsplads
- Medier
- Merchant
- Merchants
- Mining
- navne
- netto
- netværk
- netværkstrafik
- nyheder
- numre
- tilbyde
- Tilbud
- officiel
- onboarding
- online
- åbent
- open source
- åbner
- drift
- operativsystem
- Produktion
- Indstillinger
- Andet
- Andre
- Panic
- Adgangskode
- Nulstilling/ændring af adgangskoder
- patch
- Patches
- betaling
- betalinger
- PayPal
- PC
- PCI DSS
- Mennesker
- ydeevne
- Personlig data
- Personale
- Phishing
- phishing-angreb
- fysisk
- Fysisk sikkerhed
- perron
- Platforme
- plugin
- politik
- magt
- Forebyggelse
- Beskyttelse af personlige oplysninger
- Produkt
- produktion
- projekter
- beskytte
- beskyttelse
- offentlige
- kvalitet
- opsving
- Rapporter
- Krav
- ressource
- Ressourcer
- svar
- Resultater
- gennemgå
- Anmeldelser
- regler
- Kør
- kører
- SaaS
- sikker
- scanne
- scanning
- Søg
- sikkerhed
- sikkerhedssystemer
- sikkerhedsopdateringer
- Sees
- Tjenester
- sæt
- Del
- Shell
- Levering
- Kort
- Simpelt
- Websteder
- So
- Software
- Løsninger
- spam
- regneark
- standarder
- påbegyndt
- forblive
- opbevaring
- butik
- forhandler
- Historier
- Studere
- indsendt
- vellykket
- Understøttet
- Understøtter
- systemet
- Systemer
- mål
- Teknisk
- prøve
- Test
- Fremtiden
- Projekterne
- The Source
- tyveri
- trusler
- tid
- tips
- tons
- spor
- Trafik
- transaktion
- Stol
- Opdatering
- opdateringer
- URI
- us
- usb
- brugere
- Verifikation
- vira
- Sårbarheder
- sårbarhed
- Sårbar
- web
- webservices
- Hjemmeside
- websites
- ugentlig
- Hvad er
- WHO
- WordPress
- ord
- Arbejde
- workflow
- virker
- værd
- X
- XSS
- år
- år