Οδηγός ασφαλείας Magento: Πώς να προστατέψετε τον ιστότοπό σας από χάκερ
Η 14η Σεπτεμβρίου 2020 έγινε η ημέρα της καταστροφής για πολλούς εμπόρους Magento. Υπήρχαν πάνω από 2,800 καταστήματα Magento 1 hacked για κλοπή στοιχείων πιστωτικής κάρτας στη μεγαλύτερη τεκμηριωμένη καμπάνια μέχρι σήμερα.
Δεν είναι ασυνήθιστο για τους χάκερ να προκαλούν όλεθρο σε ιστότοπους ηλεκτρονικού εμπορίου. Κακόβουλο λογισμικό υπολογιστή, ιοί, σκουλήκια, trojans και πολλά άλλα απάτες ηλεκτρονικού εμπορίου… υπάρχουν πολλά άσχημα πράγματα που επιπλέουν γύρω από το δίχτυ. Πάντα θα υπάρχει κάποιος που προσπαθεί να εκμεταλλευτεί ένα ευάλωτο σύστημα ή να αποκτήσει παράνομη πρόσβαση με κακόβουλη πρόθεση.
Εάν δεν θέλετε να γίνετε μέρος της επόμενης παραβίασης ασφάλειας του Magento, αυτός ο οδηγός είναι για εσάς. Διαβάστε παρακάτω για να ανακαλύψετε τις κύριες ευπάθειες ασφαλείας του Magento και τρόπους αποτροπής τους, ώστε τα δεδομένα σας και τα δεδομένα των πελατών σας να είναι ασφαλή.
Πρώτα πράγματα Πρώτα, ποιο είναι το πρόβλημα με το Magento 1 Security;
Το κύριο πρόβλημα του Magento 1 είναι ότι δεν υποστηρίζεται πλέον. Από τις 20 Ιουνίου 2020, η Adobe ανακοίνωσε το τέλος της ζωής του προϊόντος της Magento 1, καθιστώντας έτσι την έκδοση της πλατφόρμας ξεπερασμένη και ευάλωτη σε κυβερνοεπιθέσεις.
Εδώ έχετε τον λόγο για μια επίθεση MageCart που αναφέρθηκε προηγουμένως. Τα ξεπερασμένα καταστήματα Magento παραμένουν ελκυστικοί στόχοι για όσους είναι αποφασισμένοι να κλέψουν προσωπικά και οικονομικά δεδομένα από διαδικτυακούς πελάτες.
Οι χάκερ μπορούν εύκολα να πραγματοποιήσουν σάρωση για ξεπερασμένες εκδόσεις του Magento και να χρησιμοποιήσουν αυτοματοποιημένα ρομπότ για να αποκτήσουν πρόσβαση σε αυτά, να ανεβάσουν σενάρια κελύφους και να εγκαταστήσουν το κακόβουλο λογισμικό κάρτας skimming. Οι επιθέσεις skimming κάρτας δεν μπορούν να ανιχνευθούν από τους τελικούς χρήστες, επομένως η ευθύνη βαρύνει τους χειριστές του ιστότοπου να ενημερώσουν τα συστήματά τους στην πιο πρόσφατη έκδοση του Magento. Σε αυτό το σημείο, οποιοσδήποτε ιστότοπος που χρησιμοποιεί Magento 1.x θα πρέπει να θεωρείται ότι έχει παραβιαστεί.
— Paul Bischoff, υπέρμαχος της ιδιωτικής ζωής με Συγκρίσεις.
Γι' αυτό η προστασία του καταστήματος Magento θα πρέπει να είναι η #1 προτεραιότητα για τους εμπόρους. Το Magento 1 δεν είναι ασφαλές και δεν θα είναι ποτέ. Αλλά το Magento 2 θα σας κρατήσει σε ασφαλή χέρια.
Μαθήματα που αντλήθηκαν και εφαρμόστηκαν στο Magento 2 Security
Εάν σας τσιμπήσει ένα τσιμπούρι, η αφαίρεση του εαυτού σας δεν θα σταματήσει τη μόλυνση. Το ίδιο συνέβη και με τον Magento. Αφού βρέθηκε η κρίσιμη ευπάθεια στο Magento, ήταν απαραίτητη μια αναβάθμιση. Έτσι, η Adobe αναβάθμισε ολόκληρο το σύστημα για να εξαλείψει τα ζητήματα ασφάλειας του Magento και να προστατεύσει τους εμπόρους της από παρόμοιες επιθέσεις στο μέλλον.
Ακολουθούν τα χαρακτηριστικά ασφαλείας του Magento που εισήγαγε η Adobe μετά το τέλος του κύκλου ζωής του Magento 1.
Βελτιωμένη διαχείριση κωδικών πρόσβασης
Το Magento 1 χρησιμοποιεί ένα πιο αδύναμο σύστημα κατακερματισμού κωδικού πρόσβασης (μια μονόδρομη διαδικασία μετατροπής μιας σειράς χαρακτήρων σε αυτό που είναι γνωστό ως κατακερματισμένος κωδικός πρόσβασης). Για την αντιμετώπιση αυτής της ευπάθειας του Magento, το Magento 2 υποστηρίζει Argon2ID13, έναν ισχυρότερο αλγόριθμο κατακερματισμού από τον προηγούμενο χρυσό πρότυπο — SHA-256.
Βελτιωμένη πρόληψη επιθέσεων XSS
Το Magento έχει εφαρμόσει νέους κανόνες για να αποτρέψει τις επιθέσεις μεταξύ δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) καθιστώντας τα δεδομένα διαφυγής ως προεπιλογή.
Οι επιθέσεις XSS είναι ένας τύπος κακόβουλης ένεσης σεναρίου που χρησιμοποιείται σε επιθέσεις phishing, καταγραφή πληκτρολογήσεων και άλλες μη εξουσιοδοτημένες δραστηριότητες.
Πιο ευέλικτη ιδιοκτησία και δικαιώματα συστήματος αρχείων
Ξεκινώντας από την έκδοση 2.0.6, το Magento επιτρέπει στους χρήστες να ορίστε δικαιώματα πρόσβασης συστημάτων αρχείων. Οι συστάσεις είναι ορισμένα αρχεία και κατάλογοι να είναι μόνο εγγραφής σε ένα περιβάλλον ανάπτυξης και μόνο για ανάγνωση σε περιβάλλον παραγωγής.
Βελτιωμένη πρόληψη των Clickjacking Exploits
Το Magento προστατεύει το κατάστημά σας από επιθέσεις clickjacking χρησιμοποιώντας μια κεφαλίδα αιτήματος HTTP X-Frame-Options. Για περισσότερες πληροφορίες, ανατρέξτε στην κεφαλίδα X-Frame-Options.
Αυτόματη δημιουργία κλειδιού κρυπτογράφησης
Το Magento χρησιμοποιεί ένα κλειδί κρυπτογράφησης για την προστασία κωδικών πρόσβασης και ευαίσθητων δεδομένων. Επί του παρόντος, το Magento 2 χρησιμοποιεί τον αλγόριθμο AES-256 και μπορείτε να επιλέξετε να δημιουργήσετε ένα τυχαίο κλειδί ανά πάσα στιγμή μέσω του πίνακα διαχείρισης.
Χρήση μη προεπιλεγμένης διεύθυνσης URL διαχειριστή Magento
Οι χάκερ χρησιμοποιούν αυτοματοποιημένα ρομπότ εικασίας κωδικών πρόσβασης για να ανακτήσουν τα προσωπικά δεδομένα των αγοραστών και την πρόσβαση των εμπόρων στις λειτουργίες του back-office. Για να αποτρέψει αυτόν τον τύπο επίθεσης, το Magento δημιουργεί από προεπιλογή ένα τυχαίο URI διαχειριστή κατά την εγκατάσταση του προϊόντος.
Συνεπείς ενημερώσεις και ενημερώσεις κώδικα ασφαλείας Magento 2
Ο μεγαλύτερος λόγος για τον οποίο η ασφάλεια του Magento 2 υπερτερεί του Magento 1 είναι οι τακτικές ενημερώσεις. Η τελευταία ενημέρωση κώδικα ασφαλείας Magento 1 της Adobe κυκλοφόρησε στις 22 Ιουνίου 2020. Εν τω μεταξύ, ο έμπορος του Magento 2 λαμβάνει τις ενημερώσεις κώδικα ασφαλείας κάθε τρίμηνο σε έναν επίσημο Adobe Security Bulletin.
Πώς Magento Πώς το Magento ελαχιστοποιεί τον αντίκτυπο των τρωτών σημείων
Εκτός από τη νέα αρχιτεκτονική και πλαίσιο ασφαλείας του Magento 2, υπάρχουν διαδικασίες για την ελαχιστοποίηση του αντίκτυπου των τρωτών σημείων.
Αυτά περιλαμβάνουν:
- Πρόγραμμα Bounty Bug — Οι προγραμματιστές ανταμείβονται με δώρα έως και 10,000 $ για σφάλματα που βρέθηκαν στο Magento. Αυτός είναι ένας πολύ καλός τρόπος για να εμπλακεί η κοινότητα στην ασφάλεια του Magento.
- Κέντρο Ασφαλείας Magento — Σε αυτόν τον πόρο μπορείτε να βρείτε νέες ενημερώσεις ασφαλείας, ενημερώσεις κώδικα, βέλτιστες πρακτικές και πολλά άλλα. Είτε χρειάζεστε περισσότερες πληροφορίες σχετικά με μια ενημερωμένη έκδοση κώδικα είτε χρειάζεστε οδηγίες για την εγκατάσταση ενημερώσεων κώδικα/ενημέρωσης, αυτό είναι το μέρος που πρέπει να πάτε.
- Μητρώο ειδοποιήσεων ασφαλείας — Η ομάδα του Magento ανταποκρίνεται σε ευπάθειες και παρέχει ενημερώσεις κώδικα και ενημερώσεις για την προστασία των καταστημάτων από απειλές. Εγγραφείτε στο Μητρώο Ειδοποιήσεων Ασφαλείας για να λαμβάνετε μηνύματα ηλεκτρονικού ταχυδρομείου κάθε φορά που υπάρχει νέα έκδοση ασφαλείας.
- Πρότυπα ποιότητας κώδικα — Η βασική ομάδα ανάπτυξης του Magento χρησιμοποιεί το Πρότυπο κωδικοποίησης Magento και συνιστά στους προγραμματιστές που δημιουργούν επεκτάσεις και προσαρμογές Magento να χρησιμοποιούν επίσης αυτό το πρότυπο.
- Πρόγραμμα ποιότητας επέκτασης — Όλες οι επεκτάσεις που υποβάλλονται στο Magento Marketplace περνούν από μια διαδικασία αναθεώρησης πολλαπλών βημάτων: τεχνικές κριτικές και αξιολογήσεις μάρκετινγκ. Εάν καμία αξιολόγηση δεν περάσει, δεν θα επιτρέπεται η δημοσίευση της επέκτασης.
Λίστα ελέγχου ασφαλείας Magento: Ποια πρότυπα ασφαλείας πρέπει να υπάρχουν για να βεβαιωθείτε ότι ο ιστότοπός μου είναι ασφαλής;
Δεν υπάρχει τέτοιο πράγμα όπως μη παραβιασμένος ιστότοπος. Ακόμα κι αν προσλάβετε τους καλύτερους προγραμματιστές, μηχανικούς και ειδικούς σε θέματα ασφάλειας, εξακολουθεί να υπάρχει πιθανότητα να σας παραβιάσουν.
Επομένως, η σύστασή μας είναι να επιβάλετε μια αυστηρή ροή εργασιών ασφαλείας για την ενσωμάτωση και τις καθημερινές δραστηριότητες.
Ακολουθούν τρόποι διασφάλισης του Magento:
- Συμπεριλάβετε πρακτικές ασφαλείας στη διαδικασία ενσωμάτωσης
Αν και αυτό μπορεί να φαίνεται αυτονόητο, συχνά παραβλέπεται τόσο από εσωτερικές όσο και από εξωτερικές ομάδες. Βεβαιωθείτε ότι οι νέοι υπάλληλοι του καταστήματος, οι υπάλληλοι που δεν διαθέτουν προσωπικό και όλοι οι ενδιάμεσοι υπάλληλοι περνούν από την ενσωμάτωση ασφαλείας. Συνιστούμε το Λίστα ελέγχου ενσωμάτωσης νέων προσλήψεων της CISO. - Επιβολή αυστηρών δικαιωμάτων πρόσβασης
Μέρος της διαδικασίας ενσωμάτωσης είναι να καταλάβουμε ποια δικαιώματα πρόσβασης θα χρειαστεί ένας εργαζόμενος για να κάνει τη δουλειά του. Η επιβολή των δικαιωμάτων πρόσβασης σε πληροφορίες είναι σημαντική και συνιστούμε επίσης να κάνετε ελέγχους σωστών πρόσβασης για να βεβαιωθείτε ότι δεν παραβιάζονται κανόνες πίσω από την πλάτη σας. Μπορείς ρυθμίστε τους ρόλους χρήστη στο Magento με αυτόν τον οδηγό. - Βεβαιωθείτε ότι συμμορφώνεστε με τα πρότυπα του κλάδου
Αυτό είναι τόσο τεχνικό όσο και επιχειρηματικό. Ο ιστότοπός σας και όλος ο κώδικας που χρησιμοποιείται σε αυτόν θα πρέπει να συμμορφώνεται με τα πρότυπα κωδικοποίησης PHP, τα πρότυπα δοκιμών και να είναι συμβατό με PCI ανά πάσα στιγμή. Θα σας δείξουμε μια λίστα ελέγχου με δυνατότητα δράσης στην επόμενη ενότητα, ώστε να γίνετε συμβατοί με το PCI. - Διαθέτουν περιττή υποδομή
Ναι, καταλαβαίνουμε ότι δεν είστε ειδικός σε θέματα ασφάλειας, αλλά πρέπει να ρωτήσετε όποιον είναι υπεύθυνος για την ασφάλεια εάν έχει ένα Backup Plan (το οποίο θα πρέπει να καλύπτει τι δημιουργείτε αντίγραφα ασφαλείας, πόσο συχνά δημιουργείτε αντίγραφα ασφαλείας και πότε πρέπει να χρησιμοποιούνται αντίγραφα ασφαλείας). Σημαντική σημείωση: τα αντίγραφα ασφαλείας πρέπει να είναι αυτοματοποιημένα. - Ασφαλή στοιχεία τρίτων (ενότητες, υπηρεσίες, επεκτάσεις, εφαρμογές)
Όπως το Βέλτιστες πρακτικές Magento Security ας πούμε, βεβαιωθείτε ότι όλες οι εφαρμογές που εκτελούνται στον διακομιστή σας είναι ασφαλείς. Αποφύγετε την εκτέλεση εφαρμογών όπως το WordPress στον ίδιο διακομιστή με το Magento, επειδή μια ευπάθεια σε μία από αυτές τις εφαρμογές μπορεί ενδεχομένως να εκθέσει πληροφορίες από το Magento. Είναι αυτονόητο ότι δεν πρέπει ποτέ να εγκαταστήσετε επεκτάσεις από μη αξιόπιστες πηγές (όπως τοποθεσίες torrent). - Προστατέψτε τα δεδομένα σας
ένα. Διαχωρισμός υποδομών
⇨ Αυτό είναι σύμφωνο με την ασφάλιση εξαρτημάτων τρίτων. Σε καμία περίπτωση δεν πρέπει να έχετε περιβάλλοντα ανάπτυξης, σταδιοποίησης και παραγωγής που εκτελούνται στην ίδια παρουσία διακομιστή.σι. Περιορισμένη πρόσβαση
⇨ Ένα άλλο σημείο που θίξαμε: τα δικαιώματα πρόσβασης επεκτείνονται στους προγραμματιστές και το άλλο προσωπικό πληροφορικής. Σε καμία περίπτωση δεν πρέπει κάθε μέλος της ομάδας να έχει πλήρη δικαιώματα διαχειριστή.ντο. Προστασία προσωπικών δεδομένων
⇨ Αν και μπορεί να φαίνεται προφανές, μέρος της διαδικασίας ενσωμάτωσης θα πρέπει να περιλαμβάνει τη μη τοποθέτηση μονάδων USB και άλλων συσκευών αποθήκευσης σε λειτουργία. Επίσης, θυμηθείτε να μην κάνετε κλικ σε ύποπτους συνδέσμους ή να μην ανοίξετε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου. Ποτέ μην πείτε σε κανέναν τον κωδικό πρόσβασής σας (ειδικά τον κωδικό πρόσβασης διαχειριστή Magento).
Με τα βαρετά πράγματα λοιπόν, ας αρχίσουμε να αλεξίσφαιρα το κατάστημά σας Magento!
Αλεξίσφαιρα Magento Security: Πώς να ασφαλίσετε τον ιστότοπο Magento σε 14 βήματα
Βήμα #1: Έλεγχος ασφαλείας
Υπάρχουν πολλά κινούμενα μέρη στην ασφάλεια Magento. Κανένας προγραμματιστής, αρχιτέκτονας, διευθυντής ή άλλοι ρόλοι δεν καταλαβαίνουν Υπάρχουν πολλά κινούμενα μέρη στην ασφάλεια του Magento. Κανένας προγραμματιστής, αρχιτέκτονας λύσεων, διευθυντής ή άλλοι ρόλοι κατανοούν τους κινδύνους ασφαλείας καθώς και ειδικευμένοι εμπειρογνώμονες ασφαλείας. Γι' αυτό το πρώτο βήμα είναι να ελέγξετε τον ιστότοπό σας από έναν ειδικό. Κατά προτίμηση, θα πρέπει να το κάνετε αυτό τουλάχιστον μία φορά το χρόνο για να παραμείνετε ασφαλείς.
Βήμα #2: Αυτοματοποιημένη σάρωση ασφαλείας
Καλά νέα, δεν χρειάζεται να πηγαίνετε σε τρίτο μέρος κάθε φορά που θέλετε να εκτελέσετε μια σάρωση. Το Magento προσφέρει τη Σάρωση Ασφαλείας του δωρεάν.
Το Magento Security Scan σάς επιτρέπει να παρακολουθείτε όλους τους ιστότοπούς σας (αν έχετε περισσότερους από έναν) για πιθανούς κινδύνους και επισημαίνει τις ενημερώσεις κώδικα και τις ενημερώσεις που χρειάζεστε. Ορίστε ένα πρόγραμμα (το Magento συνιστά σάρωση σε εβδομαδιαία βάση) και λάβετε αναφορές και διορθωτικές ενέργειες για κάθε αποτυχημένη δοκιμή. Για να ξεκινήσετε, ελέγξτε έξω αυτό τον οδηγό.
Υπάρχουν επίσης δωρεάν εργαλεία σάρωσης εκεί έξω όπως MageReport, αλλά δεν είναι τόσο σε βάθος όσο το εργαλείο του Magento και δεν προσφέρει αυτοματοποιημένη ή προγραμματισμένη σάρωση.
Βήμα #3: Ασφάλεια διαχειριστή Magento
Η Magento συνιστά μια πολυεπίπεδη προσέγγιση διασφάλιση του λογαριασμού διαχειριστή σας(S).
You Can:
- Ορίστε το επίπεδο ασφαλείας για τους κωδικούς πρόσβασης
- Ορίστε τον αριθμό των προσπαθειών σύνδεσης
- Διαμορφώστε τη διάρκεια της αδράνειας του πληκτρολογίου πριν από τη λήξη της περιόδου λειτουργίας
- Απαιτούνται ονόματα χρήστη και κωδικοί πρόσβασης με διάκριση πεζών-κεφαλαίων
Κωδικοί πρόσβασης διαχειριστή
Επιλογές κωδικού πρόσβασης για διαχειριστές
Στην πλαϊνή γραμμή διαχειριστή, μεταβείτε στο Καταστήματα > Ρυθμίσεις > Διαμόρφωση.
Στον αριστερό πίνακα κάτω Προηγμένη, επιλέξτε Διαχειριστής.
Αναπτύξτε το Ασφάλεια τμήμα.
Αλλαγή προεπιλεγμένης διεύθυνσης URL διαχειριστή
Είναι καλή ιδέα να αλλάξετε την προεπιλεγμένη διεύθυνση URL διαχειριστή σε κάτι άλλο για να γίνει λιγότερο στόχος για τους χάκερ.
Προεπιλεγμένη διεύθυνση URL βάσης: http://yourdomain.com/magento/
Προεπιλεγμένη διεύθυνση URL και διαδρομή διαχειριστή: http://yourdomain.com/magento/admin
Υπάρχει ένας απλός τρόπος αλλάξτε τη διεύθυνση URL διαχειριστή διατίθεται στον πίνακα διαχείρισης, αλλά έχετε υπόψη ότι τυχόν λάθη θα καταστήσουν τον ιστότοπό σας απρόσιτο σε όλους τους διαχειριστές και ο μόνος τρόπος για να το διορθώσετε είναι με την επεξεργασία αρχείων διαμόρφωσης διακομιστή (όχι κάτι που θέλετε να ζήσετε, εμπιστευτείτε μας).
Λίστα επιτρεπόμενων IP
Μπορεί να έχετε ακούσει για τη μαύρη λίστα — όταν αποκλείετε την πρόσβαση σε έναν συγκεκριμένο ιστότοπο, διεύθυνση IP ή δίκτυο.
Λίστα επιτρεπόμενων είναι το αντίθετο — επιτρέποντας την πρόσβαση σε ορισμένες πληροφορίες, ιστότοπους και στην περίπτωσή μας, στον πίνακα διαχείρισης του Magento, μόνο σε αξιόπιστες διευθύνσεις IP.
Βήμα #4: Ορισμός ρόλων χρήστη
Το Magento περιλαμβάνει επιλογές για περιορισμό της πρόσβασης για διαχειριστές. Με άλλα λόγια, μπορείτε να δημιουργήσετε δικαιώματα για να περιορίσετε το τι βλέπει ένας διαχειριστής ιστότοπου και να του παραχωρήσετε περιορισμένη πρόσβαση.
Μπορείτε να ορίσετε ρόλους χρήστη μεταβαίνοντας στην πλαϊνή γραμμή διαχειριστή. Κάντε κλικ σύστημα, κάτω από Άδειες, Choose Ρόλοι χρηστών. Στην επάνω δεξιά γωνία, κάντε κλικ Προσθήκη νέου ρόλου.
Μετά την ανάθεση α Όνομα ρόλου και εισάγοντας τον κωδικό πρόσβασής σας μπορείτε να ορίσετε το Πεδίο ρόλων (δείτε την παρακάτω εικόνα).
Το Magento Commerce σάς επιτρέπει να καταγράφετε τυχόν ενέργειες που εκτελούνται από διαχειριστές. Μπορείτε να ενεργοποιήσετε τα αρχεία καταγραφής ενεργειών μεταβαίνοντας σε Καταστήματα > Ρυθμίσεις > Διαμόρφωση. Στον αριστερό πίνακα, επέκταση Για προχωρημένους Και επιλέξτε Διαχειριστής. Αναπτύξτε το Καταγραφή ενεργειών διαχειριστή ενότητα και επιλέξτε το πλαίσιο ελέγχου ενεργοποιήστε την καταγραφή διαχειριστή για κάθε ενέργεια που θέλετε να καταγράψετε.
Βήμα #5: Διαμορφώστε το Captcha και το Google reCaptcha
Στο Magento, μπορείτε να ρυθμίσετε και τα δύο Captcha και Google reCaptcha για διαχειριστές και πελάτες. Και τα δύο σας προστατεύουν από ανεπιθύμητα μηνύματα και άλλους τύπους αυτοματοποιημένης κατάχρησης.
Captcha είναι ένα τεστ επικύρωσης για τον άνθρωπο, δηλαδή τα θολά, τραχιά γράμματα και οι αριθμοί που πιθανότατα έπρεπε να κοιτάξετε για να δείτε.
Google reCaptcha είναι ένας ανώτερος τύπος ανθρώπινης επικύρωσης, π.χ. το πλαίσιο ελέγχου "I Am Not A Robot".
Αόρατο reCAPTCHA (συνιστάται Magento) — που επαληθεύει ότι ένας χρήστης είναι άνθρωπος αυτόματα, χωρίς καμία αλληλεπίδραση. Ακούγεται σαν μαγικό, αλλά η Google κατάφερε να βρει έναν τρόπο να το κάνει.
Βήμα #6: Έλεγχος ταυτότητας δύο παραγόντων (2FA)
Ο έλεγχος ταυτότητας δύο παραγόντων, ή 2FA για συντομία, είναι μια μέθοδος επιβεβαίωσης της ταυτότητας ενός χρήστη κάνοντας τους χρήστες να ολοκληρώσουν ένα δεύτερο βήμα στη διαδικασία επαλήθευσης. Magento 2FA είναι διαθέσιμη μόνο για χρήστες διαχειριστή και δεν επεκτείνεται σε λογαριασμούς πελατών.
Έτσι μπορείτε να διαμορφώσετε το 2FA στο Magento:
Στην πλαϊνή γραμμή διαχειριστή, μεταβείτε στο Καταστήματα > Ρυθμίσεις > Διαμόρφωση.
Στον αριστερό πίνακα, αναπτύξτε την ασφάλεια και επιλέξτε 2FA.
Βήμα #7: Κλειδί κρυπτογράφησης
Όταν ενεργοποιείτε για πρώτη φορά το Magento, το σύστημα δημιουργεί αυτόματα ένα κλειδί κρυπτογράφησης. Αυτό το κλειδί χρησιμοποιείται για την προστασία κωδικών πρόσβασης και άλλων ευαίσθητων δεδομένων, όπως στοιχεία πιστωτικής κάρτας και κωδικούς πρόσβασης ενοποίησης (μονάδα πληρωμής και αποστολής).
Η Magento συνιστά να διατηρείτε αυτό το κλειδί ασφαλές και κρυμμένο ανά πάσα στιγμή. Εάν αντιμετωπίσετε παραβίαση δεδομένων, μπορείτε να δημιουργήσετε ένα νέο κλειδί κρυπτογράφησης για να εμποδίσετε οποιονδήποτε να έχει πρόσβαση στα δεδομένα χρησιμοποιώντας το παλιό κλειδί.
Μπορείς να δημιουργήσετε ένα νέο κλειδί στον πίνακα διαχείρισης. Για να επαναλάβουμε, δεν συνιστούμε να το κάνετε μόνοι σας.
Βήμα SS # 8: Απαιτήσεις κωδικού πρόσβασης
Το Magento απαιτεί τουλάχιστον επτά χαρακτήρες (τόσο γράμματα όσο και αριθμούς). Συνιστούμε να χρησιμοποιήσετε κάτι λίγο πιο ισχυρό - έναν αλφαριθμητικό κωδικό πρόσβασης 10-12 χαρακτήρων.
Pro-tip — Μην προσπαθήσετε να σκεφτείτε μόνοι σας κωδικό πρόσβασης. Συνιστούμε τη χρήση LastPass για να δημιουργήσετε τυχαία έναν κωδικό πρόσβασης.
Αλλάξτε τους κωδικούς πρόσβασής σας εάν υποψιάζεστε ότι υπάρχει παραβίαση δεδομένων, ανεξάρτητα από το εάν ο λογαριασμός σας παραβιάστηκε ή όχι, και ορίστε μια υπενθύμιση για να αλλάζετε τον κωδικό πρόσβασής σας μία φορά το χρόνο.
Μπορείτε να ορίσετε το επίπεδο ασφάλειας για τους κωδικούς πρόσβασης που χρησιμοποιούνται τόσο από πελάτες όσο και από διαχειριστές απευθείας στη διεπαφή διαχειριστή
Επιλογές κωδικού πρόσβασης για πελάτες
Στην πλαϊνή γραμμή διαχειριστή, μεταβείτε στο Καταστήματα > Ρυθμίσεις > Διαμόρφωση.
Στον πίνακα στα αριστερά, διευρύνουν τους πελάτες και επιλέξτε Customer Configuration.
Αναπτύξτε το Επιλογές κωδικού πρόσβασης τμήμα.
Βήμα #9: Συμμόρφωση PCI
Οι μεγάλες εταιρείες πιστωτικών καρτών δημιούργησαν το Πρότυπο Ασφάλειας Δεδομένων Βιομηχανίας Πληρωμών (PCI DSS) για να διασφαλίσουν ότι οι έμποροι υιοθετούν κρίσιμα μέτρα ασφαλείας. Οι έμποροι που δεν συμμορφώνονται με τις απαιτήσεις PCI μπορούν να αναμένουν μεγάλα πρόστιμα, τα οποία μπορεί επίσης να έχουν ως αποτέλεσμα να χάσουν την ικανότητά τους να διεκπεραιώνουν πληρωμές.
Το Magento διευκολύνει τους εμπόρους να γίνουν συμβατοί με PCI — Το Magento Commerce Cloud είναι πιστοποιημένο με PCI και το Magento προσφέρει ολοκληρωμένες μέθοδοι πληρωμής όπως το PayPal, το Authorize.Net και άλλα που μεταδίδουν με ασφάλεια πληροφορίες πιστωτικών καρτών.
12 Απαιτήσεις για PCI-DSS | |
Δημιουργήστε και διατηρήστε ένα ασφαλές δίκτυο | Απαίτηση 1: Εγκαταστήστε και διατηρήστε μια διαμόρφωση τείχους προστασίας για την προστασία των δεδομένων κατόχου κάρτας Απαίτηση 2: Μην χρησιμοποιείτε προεπιλογές που παρέχονται από τον προμηθευτή για κωδικούς πρόσβασης συστήματος και άλλες παραμέτρους ασφαλείας |
Προστασία δεδομένων κατόχου κάρτας | Απαίτηση 3: Προστασία αποθηκευμένων δεδομένων κατόχου κάρτας Απαίτηση 4: Κρυπτογράφηση μετάδοσης δεδομένων κατόχου κάρτας σε ανοιχτά, δημόσια δίκτυα |
Διατηρήστε ένα πρόγραμμα διαχείρισης ευπάθειας | Απαίτηση 5: Χρησιμοποιήστε και ενημερώνετε τακτικά λογισμικό προστασίας από ιούς Απαίτηση 6: Ανάπτυξη και διατήρηση ασφαλών συστημάτων και εφαρμογών |
Εφαρμογή ισχυρών μέτρων ελέγχου πρόσβασης | Απαίτηση 7: Περιορισμός της πρόσβασης στα δεδομένα κατόχου κάρτας από επιχειρηματικές ανάγκες Απαίτηση 8: Εκχωρήστε ένα μοναδικό αναγνωριστικό σε κάθε άτομο με πρόσβαση σε υπολογιστή Απαίτηση 9: Περιορισμός της φυσικής πρόσβασης στα δεδομένα του κατόχου της κάρτας |
Τακτική παρακολούθηση και δοκιμή δικτύων | Απαίτηση 10: Παρακολούθηση και παρακολούθηση όλης της πρόσβασης σε πόρους δικτύου και δεδομένα κατόχου κάρτας Απαίτηση 11: Ελέγχετε τακτικά συστήματα και διαδικασίες ασφαλείας |
Διατηρήστε μια Πολιτική Ασφάλειας Πληροφοριών | Απαίτηση 12: Διατηρήστε μια πολιτική που αφορά την ασφάλεια των πληροφοριών |
Σημαντική σημείωση: ΜΗ ΧΡΗΣΙΜΟΠΟΙΕΙΤΕ το Αποθηκευμένη ενότητα πιστωτικών καρτών σε περιβάλλον παραγωγής!
Οι αποθηκευμένες πιστωτικές κάρτες δεν είναι συμβατές με το PCI και μπορεί να εκθέτετε τα στοιχεία της πιστωτικής κάρτας των πελατών σας.
Βήμα #10: Εγκαταστήστε τις επεκτάσεις ασφαλείας
Όταν η εγγενής λειτουργικότητα δεν είναι αρκετή, οι επεκτάσεις έρχονται στη διάσωση. Το Magento διαθέτει ένα πλούσιο αποθετήριο επεκτάσεων ασφαλείας — τόσο επί πληρωμή όσο και δωρεάν. Εδώ είναι μερικά που μπορείτε να δοκιμάσετε:
Βήμα #11: Λύσεις αυτοματισμού ασφαλείας
Η αυτοματοποίηση ασφαλείας είναι η διαδικασία αυτόματης διαχείρισης εργασιών που σχετίζονται με την ασφάλεια, όπως σάρωση προστασίας από ιούς, ανίχνευση εισβολής, δημιουργία αντιγράφων ασφαλείας, ανανέωση πιστοποιητικών SSL και πολλά άλλα.
IBM έκανε μια πρωτοποριακή ανακάλυψη: Οι οργανισμοί χωρίς αυτοματοποιημένες λύσεις ασφάλειας αντιμετώπισαν κόστος παραβίασης που ήταν 95% υψηλότερο από τους οργανισμούς με πλήρως αναπτυγμένο αυτοματισμό.
Βήμα #12: Ασφάλιση αστικής ευθύνης στον κυβερνοχώρο
Όπως κάθε άλλο είδος ασφάλισης (αυτοκίνητο, σπίτι, κ.λπ.), η ασφάλεια στον κυβερνοχώρο προστατεύει τις επιχειρήσεις από ζημιές που προκαλούνται από κυβερνοεπιθέσεις. Ειδικότερα, καλύπτει την ευθύνη στον κυβερνοχώρο
- Παραβιάσεις δεδομένων μετά από κλοπή εργαζομένων ή/και διαρροές δεδομένων.
- Διακοπή επιχείρησης στον κυβερνοχώρο, όπως παραβίαση τρίτου μέρους ή αποτυχημένη ενημέρωση κώδικα λογισμικού.
- Παραβιάσεις δεδομένων μετά από hacking.
- Λάθη και παραλείψεις που οδηγούν σε εισβολή ασφαλείας.
Βήμα #13: Δημιουργήστε μια ομάδα και σχέδιο αντιμετώπισης περιστατικών
Εάν δεν έχετε σχέδιο αντιμετώπισης περιστατικών (ή δεν ξέρετε τι είναι αυτό), ας δημιουργήσουμε ένα.
Για να το κάνουμε πιο εύκολο, πήραμε Talesh Seeparsan's Πρότυπο σχεδίου απόκρισης περιστατικών με επίκεντρο Magento και δημιούργησε ένα υπολογιστικό φύλλο Google που μπορείτε να αντιγράψετε για δική σας χρήση.
Προϋποθέσεις για τη χρήση του προτύπου:
- Δημιουργήστε μια ομάδα αντιμετώπισης περιστατικών (IRT) για την αντιμετώπιση περιστατικών ασφαλείας για κάθε πτυχή της λύσης ηλεκτρονικού εμπορίου που ορίζεται στο αυτόν τον πίνακα.
- Παρακολουθήστε και αναλύστε τακτικά την κίνηση του δικτύου και την απόδοση του συστήματος.
- Ελέγχετε τακτικά όλα τα αρχεία καταγραφής και τους μηχανισμούς καταγραφής, συμπεριλαμβανομένων των αρχείων καταγραφής συμβάντων του λειτουργικού συστήματος, των αρχείων καταγραφής για συγκεκριμένη εφαρμογή και των αρχείων καταγραφής συστημάτων ανίχνευσης εισβολής.
- Επαληθεύστε τις διαδικασίες δημιουργίας αντιγράφων ασφαλείας και επαναφοράς. Θα πρέπει να γνωρίζετε πού διατηρούνται τα αντίγραφα ασφαλείας, ποιος μπορεί να έχει πρόσβαση σε αυτά και τις διαδικασίες σας για την επαναφορά δεδομένων και την ανάκτηση συστήματος. Βεβαιωθείτε ότι επαληθεύετε τακτικά τα αντίγραφα ασφαλείας και τα μέσα επαναφέροντας επιλεκτικά δεδομένα.
IBM ανακάλυψα ότι εταιρείες με IRT και εκτενείς δοκιμές των σχεδίων απόκρισής τους εξοικονόμησε πάνω από 1.2 εκατομμύρια δολάρια. Πιο συγκεκριμένα, η μελέτη έδειξε ότι η συνδυασμένη επίδραση του IRT και της δοκιμής του σχεδίου απόκρισης περιστατικού, μέσω ασκήσεων και προσομοιώσεων, βοήθησε τις ομάδες να ανταποκριθούν ταχύτερα και να εξοικονομήσουν μεγαλύτερο κόστος από οποιαδήποτε διαδικασία ασφαλείας.
Βήμα #14: Διατηρήστε το Magento επιδιορθωμένο και ενημερωμένο
Δεν υπάρχουν δικαιολογίες για να μην έχετε ένα επιδιορθωμένο και πλήρως ενημερωμένο κατάστημα Magento.
Για να εγκαταστήσετε μια ενημερωμένη έκδοση κώδικα ασφαλείας Magento, θα πρέπει
- Δημιουργήστε αντίγραφα ασφαλείας του συστήματος αρχείων, των μέσων και της βάσης δεδομένων για να αποτρέψετε την απώλεια δεδομένων σε περίπτωση που κάτι πάει στραβά.
- Κατεβάστε μια ενημέρωση κώδικα (γνωστή και ως επείγουσα επιδιόρθωση) από Κέντρο ασφαλείας Magento. Λάβετε υπόψη ότι θα πρέπει να γνωρίζετε την έκδοση Magento για να κατεβάσετε μια σωστή ενημέρωση κώδικα.
- Εφαρμόστε ένα έμπλαστρο μέσω Πακέτο Magento Quality Patch (MQP)., γραμμή εντολών ή Composer.
Σαρώστε τον ιστότοπό σας, εντοπίστε τυχόν ενημερώσεις κώδικα που χρειάζεστε να εγκαταστήσετε και μην αφήνετε τους χάκερ να έχουν εύκολη πρόσβαση μέσω μιας ευπάθειας. Εγγραφείτε στο Μητρώο Ειδοποιήσεων Ασφαλείας Magento και φροντίστε να επισκέπτεστε κατά διαστήματα το Κέντρο Ασφαλείας Magento για τα πιο πρόσφατα νέα και πληροφορίες.
Για να γλιτώσεις από κόπο, μπορείς επίσης προσλάβετε έναν προγραμματιστή Magento. Θα εγκαταστήσουν μια ενημερωμένη έκδοση κώδικα ασφαλείας Magento σε χρόνο μηδέν — είτε πρόκειται για επείγουσα επιδιόρθωση είτε για προσαρμοσμένη ενημέρωση κώδικα.
Τι να κάνετε εάν ο ιστότοπός σας έχει παραβιαστεί
Μην πανικοβάλλεστε. Εάν υπήρξε παραβίαση δεδομένων ή έκθεση πληροφοριών, δεν υπάρχει τρόπος να ανακτήσετε αυτές τις πληροφορίες. Η προτεραιότητά σας θα πρέπει να είναι να προσδιορίσετε τι αποκαλύφθηκε, να συγκεντρώσετε στοιχεία και να βεβαιωθείτε ότι τα δεδομένα δεν διαρρέουν.
Ακολουθήστε το Σχέδιο Αντιμετώπισης Συμβάντων:
- Κάντε μια αρχική εκτίμηση
- Κοινοποιήστε το περιστατικό
- Περιορίστε τη ζημιά και ελαχιστοποιήστε τους κινδύνους
- Προσδιορίστε τη σοβαρότητα του συμβιβασμού
- Διατήρηση στοιχείων
- Επικοινωνήστε τυχόν εξωτερικές ειδοποιήσεις
- Συγκεντρώστε και οργανώστε αποδεικτικά στοιχεία συμβάντων
Elogic Experience με Cyberattacks
Για να μάθουμε τι αντιμετωπίζουν οι προγραμματιστές της Elogic στη δουλειά τους, ρωτήσαμε και μάθαμε για δύο άγριες ιστορίες κακόβουλης πρόθεσης.
Το φιάσκο εξόρυξης Bitcoin
Ένας από τους πιο έμπειρους full-stack προγραμματιστές μας στην Elogic, ο Andriy Biloshytskiy, είχε μια ενδιαφέρουσα εμπειρία πριν από μερικά χρόνια. Κάτι πολύ περίεργο συνέβη σε ένα από τα έργα που δούλευε εκείνη την εποχή.
Δεν υπήρχαν πρόσφατες ενημερώσεις στον ιστότοπο, τίποτα δεν είχε αλλάξει, εκτός από το ότι ο ιστότοπος δεν λειτουργούσε», λέει ο Andriy. «Έτσι, έκανα μια πρόχειρη έρευνα και βρήκα κάτι παράξενο και διασκεδαστικό – υπήρχε ένα κομμάτι κώδικα JavaScript χωρίς ετικέτες κλεισίματος, το οποίο προκάλεσε τη συντριβή. Μετά από μια αναζήτηση στο Google, ανακάλυψα ότι το κακόβουλο σενάριο είχε σκοπό να αποσπάσει την υπολογιστική ισχύ των ατόμων που επισκέπτονται το κατάστημα - για την εξόρυξη Bitcoin.
– Andriy Biloshytskiy, προγραμματιστής Full-stack στην Elogic Commerce
Ο δράστης (πιθανόν διαχειριστής καταστήματος) δεν πιάστηκε ποτέ. Το κατάστημα δεν είχε αρχεία καταγραφής διαχειριστή, οπότε δεν υπήρχε τρόπος να γνωρίζουμε με βεβαιότητα ποιος ήταν υπεύθυνος.
Ο Απροσδόκητος Ιός
Όταν οι προγραμματιστές εργάζονται σε έργα, συχνά κλωνοποιούν το κατάστημα στον υπολογιστή ή τον διακομιστή εργασίας τους για να δοκιμάσουν και να γράψουν νέο κώδικα. Αυτή η ιστορία συνέβη αφού ένας από τους προγραμματιστές μας κλωνοποίησε ένα κατάστημα, αλλά αντί να πάει αμέσως στη δουλειά, είδε ένα αναδυόμενο παράθυρο.
Το αναδυόμενο παράθυρο ήταν μια προειδοποίηση από το λογισμικό προστασίας από ιούς και η πηγή της μόλυνσης ήταν το πρόσφατα εγκατεστημένο παράδειγμα Magento. Αφού εντόπισε το μολυσμένο αρχείο, ένα βασικό αρχείο PHP, ο προγραμματιστής διέγραψε τον κακόβουλο κώδικα και συνέχισε τη δουλειά του.
Το ηθικό δίδαγμα της ιστορίας είναι: είτε η επίθεση είναι στοχευμένη, ανθρώπινο λάθος ή σφάλμα/ευπάθεια συστήματος, μπορείτε να βοηθήσετε στην αποφυγή παραβιάσεων εφαρμόζοντας και ακολουθώντας πρότυπα ασφαλείας.
Είναι το Magento Commerce πιο ασφαλές από το Magento Open Source;
Ενώ επιλέγετε μεταξύ Magento 2 Commerce vs Open Source, ίσως έχετε αναρωτηθεί ποιο είναι πιο ασφαλές. Αν και είναι αλήθεια ότι και οι δύο εκδόσεις Magento προσφέρουν εξαιρετικά σύνολα χαρακτηριστικών (ανάλογα με τις επιχειρηματικές ανάγκες ενός εμπόρου, φυσικά), μπορούμε να εγγυηθούμε για την ασφάλεια του Magento Commerce (γνωστός και ως Adobe Commerce).
Ακολουθούν πέντε σημαντικά πλεονεκτήματα ασφάλειας για τη χρήση του Magento Commerce και του Commerce Cloud.
Συμμόρφωση PCI
Η συμμόρφωση PCI δεν είναι μια δυνατότητα που αναφέρεται στο Magento Open Source, αλλά είναι στο Magento Commerce. Ακόμα καλύτερα, το Magento Commerce Cloud έχει πιστοποίηση PCI ως πάροχος λύσεων επιπέδου 1, επομένως οι έμποροι μπορούν να χρησιμοποιήσουν τη Βεβαίωση Συμμόρφωσης PCI της Magento για να βοηθήσουν τη δική τους διαδικασία πιστοποίησης PCI.
Κοινές ευθύνες ασφάλειας
Το Magento Commerce Cloud έχει ένα μοντέλο ασφάλειας κοινής ευθύνης όπου εσείς, το Magento και οι Υπηρεσίες Ιστού της Amazon (οι καλύτερες υπηρεσίες cloud) μοιράζεστε τις ευθύνες για λειτουργική ασφάλεια. Είστε υπεύθυνοι για τη δοκιμή προσαρμοσμένου κώδικα και τυχόν προσαρμοσμένων εφαρμογών. Το Magento διασφαλίζει ότι η ίδια η πλατφόρμα είναι ασφαλής και η Amazon φροντίζει για τη φυσική ασφάλεια των διακομιστών και τη συμμόρφωση.
Αρχεία καταγραφής ενεργειών
Το Magento Commerce σάς δίνει τη δυνατότητα να διατηρείτε αρχείο για κάθε αλλαγή (ενέργεια) που γίνεται από έναν διαχειριστή που εργάζεται στο κατάστημά σας. Οι καταγεγραμμένες πληροφορίες περιλαμβάνουν το όνομα του χρήστη, την ενέργεια και εάν η ενέργεια ήταν επιτυχής, ενώ καταγράφει επίσης τη διεύθυνση IP και την ημερομηνία.
Τείχος προστασίας εφαρμογών Ιστού (WAF)
Ακριβώς όπως ένα τείχος προστασίας σε έναν υπολογιστή, ένα WAF αποτρέπει την είσοδο κακόβουλης κυκλοφορίας σε ένα δίκτυο χρησιμοποιώντας ένα σύνολο κανόνων ασφαλείας. Οποιαδήποτε επισκεψιμότητα που ενεργοποιεί τους κανόνες αποκλείεται προτού απελευθερωθεί στον ιστότοπο ή το δίκτυό σας. Χρήσεις του Magento Commerce Cloud Γρήγορα CDN για υπηρεσίες WAF.
Δίκτυο παράδοσης περιεχομένου (CDN) & Προστασία DDoS
Το Magento Commerce Cloud χρησιμοποιεί επίσης το Fastly CDN για πρόσθετες λειτουργίες ασφαλείας, όπως η προστασία DDoS, η οποία περιλαμβάνει τον μετριασμό των επιπέδων 3, 4 και 7 DDoS
Συμβουλές ασφαλείας και βέλτιστες πρακτικές Magento
Η ασφάλεια του ιστότοπου και γενικότερα, η ασφάλεια στον κυβερνοχώρο, θα πρέπει να είναι μία από τις κύριες προτεραιότητές σας. Δεν εκτελείτε απλώς ένα ιστολόγιο ή μια προσωπική σελίδα, αλλά είστε υπεύθυνοι για την προστασία των εμπιστευτικών πληροφοριών, συμπεριλαμβανομένων ονομάτων, διευθύνσεων, αριθμών τηλεφώνου και στοιχείων πιστωτικής κάρτας.
Θυμάμαι:
- Ακόμη και ένας πλήρως επιδιορθωμένος και ενημερωμένος ιστότοπος μπορεί να παραβιαστεί. Για παράδειγμα, ένας αδύναμος κωδικός πρόσβασης διαχειριστή μπορεί να είναι βίαιος και οι χάκερ μπορούν να περπατήσουν και να συλλέξουν όλα όσα θέλουν. Επομένως, εκτελείτε τακτικά ελέγχους ασφαλείας Magento.
- Δεν μπορείτε να λογοδοτήσετε για νέα τρωτά σημεία ή εκμεταλλεύσεις zero-day (μια επίθεση στον κυβερνοχώρο που συμβαίνει την ίδια ημέρα που ανακαλύπτεται μια αδυναμία). Ωστόσο, ένα ισχυρό σχέδιο αντιμετώπισης περιστατικών μπορεί να σας βοηθήσει να παραμείνετε ένα βήμα μπροστά.
- «Μια ουγγιά πρόληψης αξίζει μια λίβρα θεραπείας». Ο Μπεν Φράνκλιν είχε δίκιο. Εάν έχετε διαμορφώσει το κατάστημά σας έχοντας κατά νου την ασφάλεια, τηρείτε τη ροή εργασιών για την ασφάλεια στον κυβερνοχώρο που περιγράψαμε και αλεξίσφαιρα το κατάστημά σας, μπορείτε να εξοικονομήσετε χρόνο και πόνο στον εαυτό σας.
- Μην συμβιβάζεστε με την ασφάλεια, διαφορετικά η έλλειψη ασφάλειας θα σας θέσει σε κίνδυνο.
Magento Security FAQ
Είναι το Magento ασφαλές;
Μετά το φιάσκο του Magento 1, η Adobe αναβάθμισε το Magento 2 σε νέα επίπεδα ασφαλείας. Η αρχιτεκτονική ηλεκτρονικού εμπορίου Magento έχει σχεδιαστεί για να παρέχει ένα εξαιρετικά ασφαλές περιβάλλον χάρη στο Τείχος προστασίας εφαρμογών Web (WAF), το Fastly CDN για επιπλέον προστασία DDoS και τον κατακερματισμό για την κρυπτογράφηση δεδομένων. Οι ενημερώσεις κώδικα ασφαλείας κυκλοφορούν κάθε τρίμηνο και το Magento Security Scanner είναι διαθέσιμο. Οι έμποροι μπορούν επιπλέον να χρησιμοποιούν πιστοποιητικά SSL, CAPTCHA, έλεγχο ταυτότητας δύο παραγόντων και άλλες βέλτιστες πρακτικές ασφάλειας Magento για την προστασία των πελατών τους.
Επομένως, είναι ασφαλές να πούμε ότι το Magento είναι μια από τις πιο ασφαλείς πλατφόρμες μεταξύ αυτών που προσφέρονται στην αγορά ηλεκτρονικού εμπορίου.
Πώς να ασφαλίσετε τον ιστότοπο Magento;
Ορισμένες βέλτιστες πρακτικές για την εξασφάλιση του Magento περιλαμβάνουν τα ακόλουθα:
- Παρέχετε τακτικούς ελέγχους της ασφάλειας του Magento — είτε με αυτόματο εργαλείο σάρωσης κακόβουλου λογισμικού Magento είτε με τη βοήθεια επαγγελματία της Magento.
- Χρησιμοποιήστε κρυπτογραφημένες συνδέσεις (SSL/HTTPS).
- Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων.
- Δημιουργήστε αντίγραφα ασφαλείας του ιστοτόπου σας τακτικά.
- Επιλέξτε αξιόπιστους παρόχους φιλοξενίας
- Χρησιμοποιήστε τις εγγενείς δυνατότητες ασφαλείας του Magento και εγκαταστήστε επεκτάσεις ασφαλείας όποτε χρειάζεται.
- Καταρτίστε το σχέδιο δράσης σας για έκτακτη ανάγκη στον κυβερνοχώρο.
Δείτε μια πλήρη λίστα ελέγχου ασφαλείας Magento παραπάνω.
Είναι συμβατό το Magento PCI;
Η συμμόρφωση του Magento PCI εξαρτάται από την έκδοσή του:
Magento Open Source δεν είναι συμβατό με το PCI, επομένως θα πρέπει να υιοθετήσετε είτε μια μέθοδο πληρωμής τρίτου μέρους που σας ανακατευθύνει σε άλλο ιστότοπο για να πραγματοποιήσετε τη συναλλαγή (όπως PayPal, Authorize.net) είτε μια μέθοδο πληρωμής συμβατή με SaaS PCI (CRE Secure).
Magento Commerce and Commerce Cloud διαθέτουν πιστοποίηση PCI ως πάροχος λύσεων επιπέδου 1.
Πηγή: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- πρόσβαση
- Λογαριασμός
- Ενέργειες
- δραστηριοτήτων
- Πρόσθετος
- διαχειριστής
- πλίθα
- Πλεονέκτημα
- συνήγορος
- αλγόριθμος
- Όλα
- Επιτρέποντας
- Amazon
- Amazon υπηρεσίες Web
- μεταξύ των
- ανακοίνωσε
- προστασίας από ιούς
- Εφαρμογή
- εφαρμογές
- αρχιτεκτονική
- γύρω
- Επιθέσεις
- Πιστοποίηση
- Αυτοματοποιημένη
- Αυτοματοποίηση
- εφεδρικός
- αντιγράφων ασφαλείας
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- Μεγαλύτερη
- Κομμάτι
- Bitcoin
- Bitcoin εξόρυξη
- Μπλοκ
- bots
- παραβίαση
- παραβιάσεις
- σφάλματα
- επιχείρηση
- επιχειρήσεις
- Εκστρατεία
- αυτοκίνητο
- ο οποίος
- αλιεύονται
- προκαλούνται
- πιστοποιητικά
- Πιστοποίηση
- αλλαγή
- χρέωση
- έλεγχοι
- Backup
- υπηρεσίες cloud
- κωδικός
- Κωδικοποίηση
- Εμπόριο
- κοινότητα
- Εταιρείες
- Συμμόρφωση
- χρήση υπολογιστή
- υπολογιστική ισχύ
- Διασυνδέσεις
- Δικαστικά έξοδα
- Crash
- δημιουργία
- μονάδες
- πιστωτική κάρτα
- Πιστωτικές κάρτες
- θεραπεία
- Πελάτες
- στον κυβερνοχώρο
- Ηλεκτρονική επίθεση
- cyberattacks
- Κυβερνασφάλεια
- ημερομηνία
- παραβιάσεων δεδομένων
- Απώλεια δεδομένων
- την ασφάλεια των δεδομένων
- βάση δεδομένων
- ημέρα
- DDoS
- συμφωνία
- διανομή
- Ανίχνευση
- ανάπτυξη
- Εργολάβος
- προγραμματιστές
- Ανάπτυξη
- Συσκευές
- DID
- ανακάλυψαν
- ανακάλυψη
- χαμός
- e-commerce
- ηλεκτρονικού εμπορίου
- υπαλλήλους
- κρυπτογράφηση
- Μηχανικοί
- Περιβάλλον
- κ.λπ.
- Συμβάν
- Ανάπτυξη
- εμπειρία
- εμπειρογνώμονες
- επεκτάσεις
- Χαρακτηριστικό
- Χαρακτηριστικά
- οικονομικός
- ΟΙΚΟΝΟΜΙΚΑ ΣΤΟΙΧΕΙΑ
- Φωτιά
- Όνομα
- σταθερός
- Πλαίσιο
- Δωρεάν
- πλήρη
- μελλοντικός
- gif
- Χρυσό
- καλός
- Αναζήτηση Google
- εξαιρετική
- καθοδηγήσει
- σιδηροπρίονο
- χάκερ
- hacking
- Χειρισμός
- κατακερματισμός
- εδώ
- ενοικίαση
- Αρχική
- φιλοξενία
- Πως
- Πώς να
- HTTPS
- ιδέα
- προσδιορίσει
- Ταυτότητα
- εικόνα
- Επίπτωση
- απάντηση περιστατικού
- Συμπεριλαμβανομένου
- βιομηχανία
- λοίμωξη
- πληροφορίες
- πληροφορίες
- την ασφάλεια των πληροφοριών
- Υποδομή
- ασφάλιση
- ολοκλήρωση
- πρόθεση
- αλληλεπίδραση
- Intrusion Detection
- έρευνα
- συμμετέχουν
- IP
- Διεύθυνση IP
- θέματα
- IT
- το JavaScript
- Δουλειά
- τήρηση
- Κλειδί
- large
- αργότερο
- Τελευταια νεα
- που οδηγεί
- Διαρροές
- ΜΑΘΑΊΝΩ
- μάθει
- Επίπεδο
- ευθύνη
- Περιωρισμένος
- γραμμή
- μεγάλες
- Κατασκευή
- malware
- διαχείριση
- αγορά
- Μάρκετινγκ
- αγορά
- Εικόνες / Βίντεο
- Εμπορος
- Οι έμποροι
- Εξόρυξη
- ονόματα
- καθαρά
- δίκτυο
- επισκεψιμότητα δικτύου
- νέα
- αριθμοί
- προσφορά
- προσφορές
- επίσημος ανώτερος υπάλληλος
- Επί του σκάφους
- διαδικτυακά (online)
- ανοίξτε
- ανοικτού κώδικα
- ανοίγει
- λειτουργίας
- το λειτουργικό σύστημα
- λειτουργίες
- Επιλογές
- ΑΛΛΑ
- Άλλα
- Πανικός
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- Patch
- Patches
- πληρωμή
- πληρωμές
- PayPal
- PC
- PCI DSS
- People
- επίδοση
- προσωπικά δεδομένα
- Προσωπικό
- Phishing
- επιθέσεις ηλεκτρονικού ψαρέματος
- φυσικός
- Σωματική ασφάλεια
- πλατφόρμες
- Πλατφόρμες
- συνδέω
- πολιτική
- δύναμη
- Πρόληψη
- μυστικότητα
- Προϊόν
- παραγωγή
- έργα
- προστασία
- προστασία
- δημόσιο
- ποιότητα
- ανάκτηση
- Εκθέσεις
- απαιτήσεις
- πόρος
- Υποστηρικτικό υλικό
- απάντησης
- Αποτελέσματα
- ανασκόπηση
- Κριτικές
- κανόνες
- τρέξιμο
- τρέξιμο
- SaaS
- ένα ασφαλές
- σάρωση
- σάρωσης
- Αναζήτηση
- ασφάλεια
- συστήματα ασφαλείας
- ενημερώσεις ασφαλείας
- βλέπει
- Υπηρεσίες
- σειρά
- Κοινοποίηση
- κέλυφος
- Shipping
- Κοντά
- Απλούς
- Sites
- So
- λογισμικό
- Λύσεις
- το spam
- Υπολογιστικό φύλλο
- πρότυπα
- ξεκίνησε
- παραμονή
- χώρος στο δίσκο
- κατάστημα
- καταστήματα
- ιστορίες
- Μελέτη
- υποβάλλονται
- επιτυχής
- υποστηριζόνται!
- Υποστηρίζει
- σύστημα
- συστήματα
- στόχος
- Τεχνικός
- δοκιμή
- Δοκιμές
- Το μέλλον
- Οι εργασίες
- Η Πηγη
- κλοπή
- απειλές
- ώρα
- συμβουλές
- τόνους
- τροχιά
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- συναλλαγή
- Εμπιστευθείτε
- Ενημέρωση
- ενημερώσεις
- URI
- us
- usb
- Χρήστες
- Επαλήθευση
- ιούς
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- ιστός
- διαδικτυακές υπηρεσίες
- Ιστοσελίδα : www.example.gr
- ιστοσελίδες
- εβδομαδιαίος
- Τι είναι
- Ο ΟΠΟΊΟΣ
- WordPress
- λόγια
- Εργασία
- ροής εργασίας
- λειτουργεί
- αξία
- X
- XSS
- έτος
- χρόνια