راهنمای امنیتی مجنتو: چگونه وب سایت خود را در برابر هکرها ایمن کنید
14 سپتامبر 2020، روز عذاب بسیاری از تاجران مجنتو بود. بیش از 2,800 فروشگاه Magento 1 بودند هک برای سرقت جزئیات کارت اعتباری در بزرگترین کمپین مستند تا به امروز.
خراب کردن وب سایت های تجارت الکترونیک برای هکرها غیرعادی نیست. بدافزارهای کامپیوتری، ویروس ها، کرم ها، تروجان ها و بسیاری دیگر کلاهبرداری های تجارت الکترونیک... چیزهای ناخوشایند زیادی در اطراف شبکه شناور هستند. همیشه کسی وجود خواهد داشت که سعی می کند از یک سیستم آسیب پذیر استفاده کند یا با نیت مخرب به دسترسی غیرقانونی دست یابد.
اگر نمی خواهید بخشی از نقض امنیتی بعدی Magento شوید، این راهنما برای شما مناسب است. برای کشف آسیبپذیریهای امنیتی اصلی Magento و راههای جلوگیری از آنها بهمنظور ایمن بودن دادههای شما و مشتریانتان، ادامه مطلب را بخوانید.
اولین چیزها ابتدا، مشکل Magento 1 Security چیست؟
مشکل اصلی Magento 1 این است که دیگر پشتیبانی نمی شود. از 20 ژوئن 2020، Adobe پایان عمر محصول Magento 1 خود را اعلام کرد، بنابراین، نسخه پلتفرم را منسوخ و در برابر حملات سایبری آسیب پذیر کرد.
در آنجا دلیل حمله MageCart را دارید که قبلاً ذکر شد. فروشگاه های قدیمی Magento همچنان اهداف جذابی برای کسانی هستند که مصمم به سرقت اطلاعات شخصی و مالی از مشتریان آنلاین هستند.
هکرها به راحتی می توانند نسخه های قدیمی Magento را اسکن کنند و از ربات های خودکار برای دسترسی به آنها، آپلود اسکریپت های پوسته و نصب بدافزار اسکیمینگ کارت استفاده کنند. حملات skimming کارت توسط کاربران نهایی غیرقابل شناسایی هستند، بنابراین مسئولیت به روز رسانی سیستم های خود به آخرین نسخه Magento بر عهده اپراتورهای وب سایت است. در این مرحله، هر وبسایتی که از Magento 1.x استفاده میکند باید در معرض خطر قرار گیرد.
- پل بیشوف، مدافع حریم خصوصی با مقایسه.
به همین دلیل است که حفاظت از فروشگاه مجنتو باید اولویت شماره 1 برای بازرگانان باشد. Magento 1 امن نیست و هرگز نخواهد بود. اما Magento 2 شما را در دستان امن نگه می دارد.
درس های آموخته و پیاده سازی شده در Magento 2 Security
اگر شما توسط کنه گزیده شده اید، خارج کردن خود مانع عفونت نمی شود. در مورد مجنتو هم همین اتفاق افتاد. پس از پیدا شدن آسیبپذیری حیاتی در Magento، ارتقاء لازم بود. بنابراین Adobe کل سیستم را اصلاح کرد تا مشکلات امنیتی Magento را حذف کند و از تجار خود در برابر حملات مشابه در آینده محافظت کند.
در اینجا ویژگی های امنیتی Magento وجود دارد که Adobe پس از پایان عمر Magento 1 معرفی کرده است.
مدیریت رمز عبور پیشرفته
Magento 1 از سیستم ضعیف تری برای هش رمز عبور استفاده می کند (فرآیندی یک طرفه برای تبدیل رشته ای از کاراکترها به چیزی که به عنوان رمز عبور هش شناخته می شود). برای رفع این آسیبپذیری مجنتو، Magento 2 از Argon2ID13، یک الگوریتم هش قویتر از استاندارد طلایی قبلی - SHA-256، پشتیبانی میکند.
پیشگیری بهبود یافته از حملات XSS
مجنتو قوانین جدیدی را برای جلوگیری از حملات اسکریپت بین سایتی (XSS) با پیشفرض کردن دادههای فراری پیادهسازی کرده است.
حملات XSS نوعی تزریق اسکریپت مخرب است که در حملات فیشینگ، ورود به سیستم و سایر فعالیتهای غیرمجاز استفاده میشود.
مالکیت و مجوزهای سیستم فایل انعطاف پذیرتر
Magento با شروع نسخه 2.0.6 به کاربران این امکان را می دهد مجوزهای دسترسی به سیستم فایل را تنظیم کنید. توصیهها این است که فایلها و دایرکتوریهای خاصی در محیط توسعه فقط برای نوشتن و در محیط تولید فقط خواندنی باشند.
پیشگیری بهبود یافته از سوء استفاده های کلیک جک
Magento با استفاده از هدر درخواست HTTP X-Frame-Options از فروشگاه شما در برابر حملات کلیک جک محافظت می کند. برای اطلاعات بیشتر، سربرگ X-Frame-Options را ببینید.
تولید خودکار کلید رمزگذاری
Magento از یک کلید رمزگذاری برای محافظت از رمزهای عبور و داده های حساس استفاده می کند. در حال حاضر، مجنتو 2 از الگوریتم AES-256 استفاده میکند و میتوانید هر زمان که بخواهید از طریق پنل مدیریت، یک کلید تصادفی تولید کنید.
استفاده از URL غیر پیش فرض مدیریت Magento
هکرها از رباتهای حدسزن رمز عبور خودکار برای بازیابی اطلاعات شخصی خریداران و دسترسی بازرگانان به عملیات پشتیبان استفاده میکنند. برای جلوگیری از این نوع حمله، مجنتو به طور پیشفرض هنگام نصب محصول، یک Admin URI تصادفی ایجاد میکند.
وصله ها و به روز رسانی های امنیتی Magento 2 سازگار
بزرگترین دلیلی که امنیت Magento 2 بر مجنتو 1 برتری دارد، بهروزرسانیهای منظم است. آخرین وصله امنیتی Magento 1 Adobe در 22 ژوئن 2020 منتشر شد. در همین حال، تاجر Magento 2 وصلههای امنیتی خود را هر سه ماه یکبار در یک رسمی دریافت میکند. بولتن امنیتی Adobe.
چگونه مجنتو چگونه مجنتو تاثیر آسیب پذیری ها را به حداقل می رساند
علاوه بر معماری جدید و چارچوب امنیتی Magento 2، فرآیندهایی برای به حداقل رساندن تأثیر آسیب پذیری ها وجود دارد.
آنها عبارتند از:
- برنامه Bug Bounty - برای باگهایی که در Magento یافت میشوند، به توسعهدهندگان جوایز تا 10,000 دلار پاداش داده میشود. این یک راه عالی برای درگیر کردن جامعه در امنیت Magento است.
- مرکز امنیتی مجنتو - بهروزرسانیهای امنیتی جدید، وصلهها، بهترین روشها و موارد دیگر در این منبع یافت میشوند. چه به اطلاعات بیشتری در مورد یک وصله نیاز داشته باشید یا به دستورالعملهایی برای نصب وصلهها/بهروزرسانیها نیاز داشته باشید، این جایی است که باید بروید.
- رجیستری هشدار امنیتی - تیم مجنتو به آسیبپذیریها پاسخ میدهد و وصلهها و بهروزرسانیهایی را برای محافظت از فروشگاهها در برابر تهدیدات ارائه میکند. در رجیستری هشدار امنیتی مشترک شوید تا هر زمان که نسخه امنیتی جدیدی وجود دارد، ایمیل دریافت کنید.
- استانداردهای کیفیت کد - تیم توسعه هسته مجنتو از این استفاده می کند استاندارد کدنویسی مجنتو و توصیه می کند که توسعه دهندگانی که افزونه ها و سفارشی سازی های Magento را ایجاد می کنند نیز از این استاندارد استفاده کنند.
- برنامه کیفیت افزونه - همه برنامه های افزودنی ارسال شده به Magento Marketplace از طریق یک فرآیند بررسی چند مرحله ای انجام می شود: بررسی های فنی و بازاریابی. در صورت عدم تایید هر یک از این بررسی ها، پسوند اجازه انتشار نخواهد داشت.
چک لیست امنیتی Magento: چه استانداردهای امنیتی باید برای اطمینان از ایمن بودن سایت من وجود داشته باشد؟
چیزی به نام سایت غیرقابل هک وجود ندارد. حتی اگر بهترین توسعه دهندگان، مهندسان و کارشناسان امنیتی را استخدام کنید، باز هم احتمال هک شدن وجود دارد.
بنابراین، توصیه ما این است که یک گردش کار امنیتی سختگیرانه برای ورود و فعالیتهای روزانه اعمال کنید.
در اینجا راه هایی برای ایمن سازی Magento آمده است:
- روشهای امنیتی را در فرآیند ورود خود بگنجانید
اگر چه این ممکن است خود توضیحی به نظر برسد، اما اغلب توسط تیم های داخلی و خارجی نادیده گرفته می شود. اطمینان حاصل کنید که کارمندان جدید فروشگاه، کارمندان خارج از کار، و همه افرادی که در این بین قرار دارند، از طریق امنیت به کار رفته اند. ما توصیه می کنیم چک لیست استخدام جدید CISO. - حقوق دسترسی شدید را اعمال کنید
بخشی از فرآیند ورود به سیستم این است که بفهمیم یک کارمند برای انجام کار خود به چه حقوق دسترسی نیاز دارد. اجرای حقوق دسترسی به اطلاعات مهم است و ما همچنین توصیه میکنیم بررسیهای صحیح دسترسی را انجام دهید تا مطمئن شوید هیچ قانونی پشت سر شما نقض نمیشود. تو می توانی با این راهنما، نقش های کاربر را در Magento تنظیم کنید. - اطمینان حاصل کنید که با استانداردهای صنعت مطابقت دارید
این هم فنی و هم از نظر تجاری است. سایت شما و تمام کدهای استفاده شده در آن باید با استانداردهای کدنویسی PHP، استانداردهای آزمایشی مطابقت داشته باشد و همیشه با PCI سازگار باشد. ما یک چک لیست قابل اجرا در بخش بعدی به شما نشان خواهیم داد تا بتوانید با PCI سازگار شوید. - زیرساخت های اضافی شکست خورده داشته باشید
بله، ما میدانیم که شما یک متخصص امنیت نیستید، اما باید از هر کسی که مسئول امنیت است بپرسید که آیا برنامه پشتیبانگیری دارد (که باید شامل مواردی باشد که پشتیبانگیری میکنید، چند وقت یکبار پشتیبانگیری میکنید و چه زمانی باید از پشتیبانگیریها استفاده شود). نکته مهم: پشتیبان گیری باید خودکار باشد. - مؤلفه های شخص ثالث ایمن (ماژول ها، خدمات، برنامه های افزودنی، برنامه ها)
مانند بهترین روش های امنیتی Magento به عنوان مثال، مطمئن شوید که همه برنامه های در حال اجرا بر روی سرور شما ایمن هستند. از اجرای برنامههایی مانند وردپرس بر روی همان سرور Magento خودداری کنید، زیرا آسیبپذیری در یکی از این برنامهها میتواند به طور بالقوه اطلاعات Magento را افشا کند. ناگفته نماند که هرگز نباید افزونه ها را از منابع نامعتبر (مانند سایت های تورنت) نصب کنید. - از داده های خود محافظت کنید
آ. تفکیک زیرساخت
⇨ این در راستای ایمن سازی اجزای شخص ثالث است. تحت هیچ شرایطی نباید محیط های توسعه، مرحله بندی و تولید را روی یک نمونه سرور اجرا کنید.ب دسترسی محدود
⇨ نکته دیگری که به آن اشاره کردیم: حقوق دسترسی به توسعه دهندگان و سایر پرسنل فناوری اطلاعات گسترش می یابد. هیچ یک از اعضای تیم نباید تحت هیچ شرایطی از حقوق کامل مدیریت برخوردار باشند.ج. حفاظت از داده های شخصی
⇨ اگرچه ممکن است بدیهی به نظر برسد، بخشی از فرآیند نصب باید شامل وارد نکردن درایوهای USB و سایر دستگاههای ذخیرهسازی برای کار باشد. همچنین به یاد داشته باشید که روی لینک های مشکوک کلیک نکنید یا ایمیل های مشکوک را باز نکنید. هرگز رمز عبور خود را به کسی نگویید (مخصوصاً رمز عبور Magento Admin).
بنابراین، با وجود چیزهای خسته کننده، بیایید به ضد گلوله کردن فروشگاه Magento خود بپردازیم!
امنیت مجنتو ضد گلوله: نحوه ایمن سازی سایت مجنتو در 14 مرحله
مرحله شماره 1: ممیزی امنیتی
در امنیت مجنتو قطعات متحرک زیادی وجود دارد. هیچ توسعهدهنده، معمار، مدیر یا نقشهای دیگری نمیداند که بخشهای متحرک زیادی در امنیت Magento وجود دارد. بدون توسعه دهنده، معمار راه حل، مدیر یا سایر نقش ها خطرات امنیتی و همچنین یک متخصص امنیتی واجد شرایط را درک می کنند. به همین دلیل اولین قدم این است که سایت خود را توسط یک متخصص بررسی کنید. ترجیحاً باید حداقل سالی یک بار این کار را انجام دهید تا ایمن بمانید.
مرحله 2: اسکن امنیتی خودکار
خبر عالی، لازم نیست هر بار که میخواهید اسکن را اجرا کنید به شخص ثالث بروید. Magento اسکن امنیتی خود را رایگان ارائه می دهد.
Magento Security Scan به شما امکان می دهد تمام وب سایت های خود را (اگر بیش از یک وب سایت دارید) برای خطرات احتمالی نظارت کنید و وصله ها و به روز رسانی های مورد نیاز خود را برجسته می کند. برنامه ای تنظیم کنید (Magento اسکن را به صورت هفتگی توصیه می کند) و گزارش ها و اقدامات اصلاحی را برای هر آزمون ناموفق دریافت کنید. برای شروع، چک کردن این راهنمای.
همچنین ابزارهای اسکن رایگان مانند وجود دارد گزارش MageReport، اما به اندازه ابزار Magento عمیق نیست و اسکن خودکار یا برنامه ریزی شده را ارائه نمی دهد.
مرحله سوم: امنیت مدیریت مجنتو
مجنتو یک رویکرد چند لایه را توصیه می کند امنیت حساب مدیریت خود(ها)
تو می توانی:
- سطح امنیتی رمزهای عبور را تنظیم کنید
- تعداد تلاش برای ورود را تنظیم کنید
- مدت زمان عدم فعالیت صفحه کلید را قبل از انقضای جلسه پیکربندی کنید
- نیاز به نام کاربری و رمز عبور حساس به حروف کوچک و بزرگ
رمزهای عبور مدیریت
گزینه های رمز عبور برای مدیران
در نوار کناری Admin، به فروشگاهها > تنظیمات > پیکربندی.
در پنل سمت چپ زیر فناوری, Admin را انتخاب کنید
گسترش دوربین های مداربسته بخش.
URL پیش فرض Admin را تغییر دهید
بهتر است URL پیشفرض مدیریت را به چیز دیگری تغییر دهید تا کمتر مورد هدف هکرها قرار گیرد.
URL پایه پیش فرض: http://yourdomain.com/magento/
URL و مسیر پیش فرض مدیریت: http://yourdomain.com/magento/admin
یک راه ساده برای آدرس ادمین را تغییر دهید در پنل مدیریت موجود است، اما به خاطر داشته باشید، هر گونه اشتباهی سایت شما را برای همه مدیران غیر قابل دسترس می کند و تنها راه حل آن ویرایش فایل های پیکربندی سرور است (نه چیزی که شما می خواهید تجربه کنید، به ما اعتماد کنید).
لیست سفید IP
ممکن است در مورد لیست سیاه شنیده باشید - زمانی که دسترسی به سایت، آدرس IP یا شبکه خاصی را مسدود می کنید.
لیست سفید برعکس است - امکان دسترسی به اطلاعات خاص، سایتها، و در مورد ما، پنل مدیریت مجنتو، فقط به آدرسهای IP قابل اعتماد.
مرحله چهارم: نقش های کاربر را تنظیم کنید
مجنتو شامل گزینه هایی برای محدود کردن دسترسی مدیران است. به عبارت دیگر، شما می توانید مجوزهایی را برای محدود کردن آنچه یک مدیر سایت می بیند ایجاد کنید و به آنها دسترسی محدود بدهید.
با رفتن به نوار کناری Admin می توانید نقش های کاربر را تنظیم کنید. کلیک سیستم، زیر مجوزها، را انتخاب کنید نقشهای کاربر. در گوشه بالا سمت راست، کلیک کنید اضافه کردن نقش جدید.
پس از اختصاص یک نام نقش و با وارد کردن رمز عبور خود می توانید آن را تنظیم کنید محدوده نقش (تصویر زیر را ببینید).
Magento Commerce به شما این امکان را میدهد تا هر اقدامی که توسط ادمینها انجام میشود را ثبت کنید. میتوانید گزارشهای عملیات را با پیمایش به آن فعال کنید فروشگاهها > تنظیمات > پیکربندی. در پنل سمت چپ، گسترش پیشرفته و انتخاب کنید مدیر. گسترش ثبت عملیات مدیریت بخش را انتخاب کنید و کادر را انتخاب کنید ثبت ادمین را فعال کنید برای هر اقدامی که می خواهید وارد شوید.
مرحله پنجم: کپچا و گوگل reCaptcha را پیکربندی کنید
در مجنتو می توانید هر دو را راه اندازی کنید کد امنیتی و reCaptcha گوگل برای مدیران و مشتریان هر دو از شما در برابر هرزنامه و انواع دیگر سوء استفاده های خودکار محافظت می کنند.
کد امنیتی یک تست اعتبار سنجی انسانی است، یعنی حروف و اعدادی مبهم و نامفهوم که احتمالاً مجبور شده اید برای دیدن آن ها چشمک بزنید.
reCaptcha گوگل یک نوع برتر از اعتبارسنجی انسانی است، یعنی چک باکس "من یک ربات نیستم".
reCAPTCHA نامرئی (مجنتو توصیه می شود) - که تأیید می کند کاربر به طور خودکار و بدون هیچ گونه تعاملی انسان است. به نظر جادویی می رسد، اما گوگل توانست راهی برای انجام آن پیدا کند.
مرحله ششم: احراز هویت دو مرحله ای (6FA)
احراز هویت دو مرحله ای، یا به اختصار 2FA، روشی برای تایید هویت کاربر با تکمیل مرحله دوم فرآیند تأیید توسط کاربران است. Magento 2FA فقط برای کاربران Admin در دسترس است و به حساب های مشتری تعمیم داده نمی شود.
به این صورت می توانید 2FA را در مجنتو پیکربندی کنید:
در نوار کناری Admin، به فروشگاهها > تنظیمات > پیکربندی.
در پنل سمت چپ، Security را گسترش داده و 2FA را انتخاب کنید.
مرحله 7: کلید رمزگذاری
هنگامی که برای اولین بار Magento را روشن می کنید، سیستم به طور خودکار یک کلید رمزگذاری ایجاد می کند. این کلید برای محافظت از گذرواژهها و سایر دادههای حساس مانند اطلاعات کارت اعتباری و رمزهای عبور یکپارچه (ماژول پرداخت و حمل و نقل) استفاده میشود.
Magento توصیه می کند که این کلید را همیشه امن و مخفی نگه دارید. اگر با نقض داده مواجه شدید، میتوانید یک کلید رمزگذاری جدید ایجاد کنید تا از دسترسی هر کسی به دادهها با استفاده از کلید قدیمی جلوگیری کنید.
تو می توانی یک کلید جدید تولید کنید در پنل مدیریت برای تکرار، ما انجام این کار را به تنهایی توصیه نمی کنیم.
مرحله شماره 8: الزامات رمز عبور
Magento به حداقل هفت کاراکتر (هم حروف و هم اعداد) نیاز دارد. توصیه می کنیم از چیزی کمی قوی تر استفاده کنید - یک رمز عبور الفبایی 10-12 کاراکتری.
طرفدار نوک - خودتان به فکر رمز عبور نباشید. توصیه می کنیم استفاده کنید برنامه LastPass برای ایجاد تصادفی رمز عبور
گذرواژههای خود را تغییر دهید اگر مشکوک به نقض اطلاعات هستید، صرف نظر از اینکه حساب شما هک شده است یا خیر، و یک یادآوری برای تغییر رمز عبور خود سالی یک بار تنظیم کنید.
شما می توانید سطح امنیت رمزهای عبور استفاده شده توسط مشتریان و مدیران را مستقیماً در رابط مدیریت تنظیم کنید
گزینه های رمز عبور برای مشتریان
در نوار کناری Admin، به فروشگاهها > تنظیمات > پیکربندی.
در پنل سمت چپ، مشتریان را گسترش دهید و پیکربندی مشتری را انتخاب کنید.
گسترش گزینه های رمز عبور بخش.
مرحله نهم: انطباق با PCI
شرکتهای بزرگ کارت اعتباری استاندارد امنیت دادههای صنعت کارت پرداخت (PCI DSS) را ایجاد کردند تا اطمینان حاصل کنند که تجار اقدامات امنیتی حیاتی را اتخاذ میکنند. بازرگانانی که از الزامات PCI پیروی نمی کنند، می توانند انتظار جریمه های زیادی را داشته باشند، که همچنین می تواند منجر به از دست دادن توانایی آنها در پردازش پرداخت ها شود.
Magento سازگاری با PCI را برای بازرگانان آسان تر می کند - Magento Commerce Cloud دارای گواهی PCI است و Magento یکپارچه ارائه می دهد دروازه پرداخت مانند PayPal، Authorize.Net، و سایر مواردی که به طور ایمن اطلاعات کارت اعتباری را منتقل می کنند.
12 مورد نیاز برای PCI-DSS | |
ایجاد و حفظ یک شبکه امن | شرط 1: نصب و حفظ پیکربندی فایروال برای محافظت از داده های دارنده کارت شرط 2: از پیش فرض های ارائه شده توسط فروشنده برای رمزهای عبور سیستم و سایر پارامترهای امنیتی استفاده نکنید |
حفاظت از اطلاعات دارنده کارت | شرط 3: از داده های ذخیره شده دارنده کارت محافظت کنید شرط 4: رمزگذاری انتقال داده های دارنده کارت در شبکه های باز و عمومی |
یک برنامه مدیریت آسیب پذیری را حفظ کنید | شرط 5: از نرم افزارهای ضد ویروس استفاده کنید و به طور مرتب آن را به روز کنید شرط ششم: سیستم ها و برنامه های کاربردی ایمن را توسعه و نگهداری کنید |
اقدامات کنترل دسترسی قوی را اجرا کنید | الزام 7: محدود کردن دسترسی به داده های دارنده کارت توسط نیازهای کسب و کار شرط 8: به هر شخصی که به رایانه دسترسی دارد یک شناسه منحصر به فرد اختصاص دهید شرط 9: محدود کردن دسترسی فیزیکی به داده های دارنده کارت |
به طور منظم شبکه ها را نظارت و آزمایش کنید | پیش نیاز 10: همه دسترسی ها به منابع شبکه و داده های دارنده کارت را ردیابی و نظارت کنید شرط 11: سیستم ها و فرآیندهای امنیتی را به طور منظم آزمایش کنید |
یک خط مشی امنیت اطلاعات را حفظ کنید | شرط 12: سیاستی را حفظ کنید که به امنیت اطلاعات می پردازد |
نکته مهم: از آن استفاده نکنید ماژول کارت های اعتباری ذخیره شده در یک محیط تولیدی!
کارت های اعتباری ذخیره شده با PCI سازگار نیست و ممکن است اطلاعات کارت اعتباری مشتریان خود را افشا کنید.
مرحله 10: برنامه های افزودنی امنیتی را نصب کنید
هنگامی که عملکرد بومی کافی نیست، پسوندها به کمک می آیند. Magento یک مخزن غنی از برنامههای افزودنی امنیتی دارد - هم پولی و هم رایگان. در اینجا چند مورد وجود دارد که می توانید امتحان کنید:
مرحله 11: راه حل های اتوماسیون امنیتی
اتوماسیون امنیتی فرآیند مدیریت خودکار وظایف مرتبط با امنیت مانند اسکن آنتی ویروس، تشخیص نفوذ، ایجاد پشتیبان، تمدید گواهیهای SSL و موارد دیگر است.
آی بی ام یک کشف پیشگامانه انجام داد: سازمانهای بدون راهحلهای امنیتی خودکار، هزینههای نقض را 95 درصد بیشتر از سازمانهایی با اتوماسیون کاملاً مستقر کرده بودند.
مرحله دوازدهم: بیمه مسئولیت سایبری
درست مانند هر نوع بیمه دیگری (خودرو، خانه و غیره)، بیمه سایبری از کسب و کارها در برابر آسیب های ناشی از حملات سایبری محافظت می کند. به ویژه، مسئولیت سایبری را پوشش می دهد
- نقض داده ها به دنبال سرقت کارکنان و/یا نشت داده ها.
- وقفه در کسب و کار سایبری، مانند هک شخص ثالث یا وصله نرم افزاری ناموفق.
- نقض اطلاعات به دنبال هک
- خطاها و حذفیات منجر به نفوذ امنیتی.
مرحله 13: یک تیم و برنامه واکنش به حادثه ایجاد کنید
اگر طرح واکنش به حادثه ندارید (یا نمی دانید این چیست)، بیایید آن را ایجاد کنیم.
برای اینکه راحت تر بشه گرفتیم تالش سیپارسان الگوی طرح واکنش حادثه محور Magento-centric و یک صفحه گسترده گوگل ساخته شده است که می توانید برای استفاده خود کپی کنید.
پیش نیازهای استفاده از قالب:
- ایجاد یک تیم واکنش به حوادث (IRT) برای مقابله با حوادث امنیتی برای هر جنبه از راه حل تجارت الکترونیکی تعریف شده در این جدول.
- به طور معمول ترافیک شبکه و عملکرد سیستم را نظارت و تجزیه و تحلیل کنید.
- به طور معمول همه گزارشها و مکانیسمهای گزارشگیری، از جمله گزارشهای رویدادهای سیستم عامل، گزارشهای مربوط به برنامههای کاربردی و گزارشهای سیستم تشخیص نفوذ را بررسی کنید.
- مراحل پشتیبان گیری و بازیابی خود را تأیید کنید. باید از محل نگهداری پشتیبانها، افرادی که میتوانند به آنها دسترسی داشته باشند و روشهای بازیابی اطلاعات و بازیابی سیستم آگاه باشید. مطمئن شوید که به طور منظم پشتیبانگیریها و رسانهها را با بازیابی انتخابی دادهها تأیید میکنید.
آی بی ام دریافتند که شرکت های دارای IRT و آزمایش گسترده طرح های پاسخ آنها بیش از 1.2 میلیون دلار صرفه جویی کرد. به طور خاص، این مطالعه نشان داد که اثر ترکیبی IRT و آزمایش طرح واکنش به حادثه، از طریق تمرینها و شبیهسازیها، به تیمها کمک میکند سریعتر واکنش نشان دهند و نسبت به هر فرآیند امنیتی واحدی صرفهجویی بیشتری در هزینه داشته باشند.
مرحله 14: Magento را اصلاحشده و بهروز نگه دارید
هیچ بهانه ای برای نداشتن فروشگاه Magento وصله شده و کاملاً به روز شده وجود ندارد.
برای نصب وصله امنیتی Magento، باید
- از سیستم فایل، رسانه و پایگاه داده برای جلوگیری از از دست رفتن داده ها در صورت بروز مشکل، نسخه پشتیبان تهیه کنید.
- یک پچ (با نام مستعار هات فیکس) را از مرکز امنیتی مجنتو. توجه داشته باشید که برای دانلود یک پچ صحیح باید نسخه Magento خود را بشناسید.
- یک پچ از طریق اعمال کنید پچ کیفیت مجنتو (MQP).، خط فرمان یا Composer.
سایت خود را اسکن کنید، وصله هایی را که نیاز به نصب دارید شناسایی کنید و لطفاً اجازه ندهید هکرها از طریق آسیب پذیری به راحتی به آن دسترسی پیدا کنند. در رجیستری هشدار امنیتی Magento ثبت نام کنید و هر از گاهی برای آخرین اخبار و اطلاعات از مرکز امنیتی Magento بازدید کنید.
برای اینکه از دردسر خود نجات پیدا کنید، همچنین می توانید یک توسعه دهنده Magento استخدام کنید. آنها در کمترین زمان یک وصله امنیتی Magento را نصب می کنند - چه یک رفع فوری یا یک وصله سفارشی.
اگر وب سایت شما هک شده است چه باید کرد؟
وحشت نکنید. اگر نقض داده یا افشای اطلاعات وجود داشته باشد، راهی برای بازگرداندن آن اطلاعات وجود ندارد. اولویت شما باید شناسایی موارد افشا شده، جمع آوری شواهد و اطمینان از درز نکردن اطلاعات باشد.
برنامه واکنش به حادثه خود را دنبال کنید:
- یک ارزیابی اولیه انجام دهید
- واقعه را در میان بگذارید
- آسیب ها را محدود کنید و خطرات را به حداقل برسانید
- شدت مصالحه را مشخص کنید
- شواهد را حفظ کنید
- هرگونه اعلان خارجی را در میان بگذارید
- گردآوری و سازماندهی شواهد حادثه
تجربه Elogic با حملات سایبری
برای اینکه بدانیم توسعهدهندگان Elogic در کارشان با چه چیزهایی مواجه میشوند، از اطرافیان پرسیدیم و از دو داستان وحشیانه از نیت مخرب مطلع شدیم.
شکست ماینینگ بیت کوین
یکی از با تجربه ترین توسعه دهندگان فول استک ما در Elogic، Andriy Biloshytskiy، چند سال پیش تجربه جالبی داشت. برای یکی از پروژه هایی که او در آن زمان مشغول کار بود، اتفاق بسیار عجیبی افتاد.
آندری می گوید: هیچ به روز رسانی اخیری در سایت وجود ندارد، هیچ چیز تغییر نکرده است، به جز اینکه سایت کار نمی کند. بنابراین، من یک تحقیق گذرا انجام دادم و چیزی عجیب و جالب پیدا کردم - یک قطعه کد جاوا اسکریپت بدون برچسب بسته شدن وجود داشت که باعث خرابی شد. پس از جستجوی گوگل، متوجه شدم که این اسکریپت مخرب برای کاهش قدرت محاسباتی افرادی که از فروشگاه بازدید می کنند - برای استخراج بیت کوین است.
– Andriy Biloshytskiy، توسعه دهنده Full-stack در Elogic Commerce
عامل (احتمالاً مدیر فروشگاه) هرگز دستگیر نشد. فروشگاه گزارشهای مدیریتی نداشت، بنابراین هیچ راهی وجود نداشت که مطمئن شویم چه کسی مسئول است.
ویروس غیرمنتظره
وقتی توسعهدهندگان روی پروژهها کار میکنند، اغلب فروشگاه را روی رایانه یا سرور کاری خود شبیهسازی میکنند تا کد جدید را آزمایش کرده و بنویسند. این داستان پس از آن اتفاق افتاد که یکی از توسعهدهندگان ما یک فروشگاه را شبیهسازی کرد، اما بهجای اینکه مستقیماً وارد کار شود، یک پاپ آپ دید.
پاپ آپ یک هشدار از نرم افزار آنتی ویروس او بود و منبع عفونت نمونه Magento تازه نصب شده بود. پس از یافتن مکان فایل آلوده، یک فایل اصلی PHP، توسعه دهنده کد مخرب را حذف کرد و به کار خود ادامه داد.
اخلاقیات داستان این است: چه حمله هدفمند باشد، چه یک خطای انسانی، یا یک نقص/آسیب پذیری سیستم، شما می توانید با پیاده سازی و پیروی از استانداردهای امنیتی به جلوگیری از نقض ها کمک کنید.
آیا تجارت مجنتو از منبع باز مجنتو ایمن تر است؟
در حالی که انتخاب بین Magento 2 Commerce در مقابل Open Source، ممکن است فکر کرده باشید که کدام یک امن تر است. در حالی که درست است که هر دو نسخه Magento مجموعه ویژگی های برجسته ای را ارائه می دهند (البته بسته به نیازهای تجاری یک تاجر)، ما می توانیم امنیت Magento Commerce (معروف به Adobe Commerce) را تضمین کنیم.
در اینجا پنج مزیت امنیتی اصلی استفاده از Magento Commerce و Commerce Cloud وجود دارد.
انطباق PCI
انطباق با PCI یک ویژگی ذکر شده در منبع باز Magento نیست، اما در Magento Commerce وجود دارد. بهتر از آن، Magento Commerce Cloud دارای گواهینامه PCI به عنوان یک ارائه دهنده راه حل سطح 1 است، بنابراین بازرگانان می توانند از گواهی انطباق PCI Magento برای کمک به فرآیند صدور گواهینامه PCI خود استفاده کنند.
مسئولیت های امنیتی مشترک
Magento Commerce Cloud دارای یک مدل امنیتی مسئولیت مشترک جایی که شما، مجنتو و خدمات وب آمازون (بهترین خدمات ابری) مسئولیت های امنیت عملیاتی را به اشتراک می گذارید. شما مسئول آزمایش کد سفارشی و هر برنامه سفارشی هستید. مجنتو تضمین میکند که خود پلتفرم امن است و آمازون از امنیت فیزیکی سرورها و انطباق آن مراقبت میکند.
لاگ های اقدام
Magento Commerce به شما این امکان را می دهد که از هر تغییر (عملی) ایجاد شده توسط مدیری که در فروشگاه شما کار می کند، یک رکورد نگه دارید. اطلاعات ثبت شده شامل نام کاربر، اقدام و موفقیت آمیز بودن عملکرد است و همچنین آدرس IP و تاریخ را ثبت می کند.
فایروال برنامه وب (WAF)
درست مانند فایروال در رایانه شخصی، WAF با استفاده از مجموعه ای از قوانین امنیتی از ورود ترافیک مخرب به شبکه جلوگیری می کند. هر ترافیکی که قوانین را راهاندازی میکند، قبل از اینکه در سایت یا شبکه شما منتشر شود، مسدود میشود. Magento Commerce Cloud استفاده می کند سریع CDN برای خدمات WAF
شبکه تحویل محتوا (CDN) و حفاظت DDoS
Magento Commerce Cloud همچنین از Fastly CDN برای ویژگیهای امنیتی اضافی مانند حفاظت DDoS استفاده میکند که شامل کاهش لایههای ۳، ۴ و ۷ DDoS میشود.
نکات مهم - نکات امنیتی Magento و بهترین شیوه ها
امنیت سایت و به طور گسترده تر، امنیت سایبری، باید یکی از اولویت های اصلی شما باشد. شما فقط یک وبلاگ یا صفحه شخصی را اداره نمی کنید، بلکه مسئول حفاظت از اطلاعات محرمانه از جمله نام، آدرس، شماره تلفن و اطلاعات کارت اعتباری هستید.
یاد آوردن:
- حتی یک سایت کاملاً پچ شده و به روز شده را می توان هک کرد. به عنوان مثال، یک رمز عبور ضعیف مدیریت می تواند به صورت بی رحمانه ای اعمال شود و هکرها می توانند مستقیماً وارد آن شوند و هر چیزی را که می خواهند جمع آوری کنند. بنابراین به طور منظم بررسی های امنیتی Magento را انجام دهید.
- شما نمی توانید آسیب پذیری های جدید یا سوء استفاده های روز صفر را در نظر بگیرید (حمله سایبری که در همان روزی که یک نقطه ضعف رخ می دهد رخ می دهد). با این حال، یک برنامه واکنش قوی به حادثه می تواند به شما کمک کند یک قدم جلوتر بمانید.
- "یک اونس پیشگیری ارزش یک پوند درمان را دارد." حق با بن فرانکلین بود. اگر فروشگاه خود را با در نظر گرفتن امنیت پیکربندی کرده اید، به جریان کاری امنیت سایبری که توضیح دادیم پایبند بوده اید و فروشگاه خود را ضد گلوله کرده اید، می توانید از زمان و درد دل خود صرفه جویی کنید.
- در مورد امنیت سازش نکنید، در غیر این صورت عدم امنیت شما را به خطر می اندازد.
سوالات متداول امنیتی Magento
آیا مجنتو امن است؟
پس از شکست Magento 1، Adobe Magento 2 را به سطوح امنیتی جدیدی ارتقا داده است. معماری تجارت الکترونیک Magento برای ارائه یک محیط بسیار امن به لطف Web Application Firewall (WAF)، Fastly CDN برای حفاظت بیشتر DDoS و هش برای رمزگذاری داده ها طراحی شده است. وصله های امنیتی هر سه ماه یکبار منتشر می شوند و اسکنر امنیتی Magento در دسترس است. بازرگانان همچنین میتوانند از گواهیهای SSL، CAPTCHA، احراز هویت دو مرحلهای و سایر بهترین شیوههای امنیتی Magento برای محافظت از مشتریان خود استفاده کنند.
بنابراین به جرات می توان گفت که Magento یکی از امن ترین پلتفرم ها در میان پلتفرم های ارائه شده در بازار تجارت الکترونیک است.
چگونه سایت مجنتو را ایمن کنیم؟
برخی از بهترین شیوه ها برای ایمن سازی Magento شامل موارد زیر است:
- ممیزی های منظم امنیت Magento را ارائه دهید - چه با ابزار اسکن خودکار بدافزار Magento یا با کمک یک متخصص Magento.
- از اتصالات رمزگذاری شده (SSL/HTTPS) استفاده کنید.
- احراز هویت دو مرحله ای را فعال کنید.
- به طور منظم از وب سایت خود نسخه پشتیبان تهیه کنید.
- ارائه دهندگان هاست قابل اعتماد را انتخاب کنید
- از ویژگی های امنیتی Magento بومی استفاده کنید و هر زمان که نیاز بود افزونه های امنیتی را نصب کنید.
- برنامه اقدام خود را برای شرایط اضطراری سایبری ترسیم کنید.
چک لیست کامل امنیتی Magento را در بالا ببینید.
آیا Magento PCI سازگار است؟
سازگاری Magento PCI به نسخه آن بستگی دارد:
مجنته منبع باز سازگار با PCI نیست، بنابراین باید از یک روش پرداخت شخص ثالث استفاده کنید که شما را به سایت دیگری برای انجام تراکنش هدایت می کند (مانند PayPal، Authorize.net) یا یک روش پرداخت سازگار با SaaS PCI (CRE Secure).
Magento Commerce and Commerce Cloud دارای گواهینامه PCI به عنوان ارائه دهنده راه حل سطح 1 هستند.
منبع: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- دسترسی
- حساب
- عمل
- فعالیت ها
- اضافی
- مدیر سایت
- خشت
- مزیت - فایده - سود - منفعت
- مدافع
- الگوریتم
- معرفی
- اجازه دادن
- آمازون
- آمازون خدمات وب
- در میان
- اعلام کرد
- آنتی ویروس
- کاربرد
- برنامه های کاربردی
- معماری
- دور و بر
- حمله
- تصدیق
- خودکار
- اتوماسیون
- پشتیبان گیری
- پشتیبان گیری
- بهترین
- بهترین شیوه
- بزرگترین
- بیت
- بیت کوین
- استخراج بیت کوین
- بلاگ
- رباتها
- شکاف
- نقض
- اشکالات
- کسب و کار
- کسب و کار
- کمپین بین المللی حقوق بشر
- ماشین
- اهميت دادن
- گرفتار
- ایجاد می شود
- گواهینامه ها
- گواهی
- تغییر دادن
- بار
- چک
- ابر
- خدمات ابر
- رمز
- برنامه نویسی
- تجارت
- انجمن
- شرکت
- انطباق
- محاسبه
- قدرت پردازش
- اتصالات
- هزینه
- سقوط
- ایجاد
- اعتبار
- کارت اعتباری
- کارت های اعتباری
- علاج
- مشتریان
- سایبر
- حمله سایبری
- حملات سایبری
- امنیت سایبری
- داده ها
- نقض داده ها
- از دست رفتن داده ها
- امنیت داده ها
- پایگاه داده
- روز
- از DDoS
- مقدار
- تحویل
- کشف
- توسعه
- توسعه دهنده
- توسعه دهندگان
- پروژه
- دستگاه ها
- DID
- کشف
- کشف
- عذاب
- تجارت الکترونیک
- تجارت الکترونیک
- کارکنان
- رمزگذاری
- مورد تأیید
- محیط
- و غیره
- واقعه
- گسترش
- تجربه
- کارشناسان
- ضمیمهها
- ویژگی
- امکانات
- مالی
- اطلاعات مالی
- آتش
- نام خانوادگی
- رفع
- چارچوب
- رایگان
- کامل
- آینده
- GIF
- طلا
- خوب
- گوگل
- جستجوی گوگل
- بزرگ
- راهنمایی
- هک
- هکرها
- هک
- اداره
- حس کردن
- اینجا کلیک نمایید
- استخدام
- صفحه اصلی
- میزبانی وب
- چگونه
- چگونه
- HTTPS
- اندیشه
- شناسایی
- هویت
- تصویر
- تأثیر
- پاسخ حادثه
- از جمله
- صنعت
- عفونت
- اطلاعات
- اطلاعات
- امنیت اطلاعات
- شالوده
- بیمه
- ادغام
- قصد
- اثر متقابل
- تشخیص نفوذ
- تحقیق
- گرفتار
- IP
- IP آدرس
- مسائل
- IT
- جاوا اسکریپت
- کار
- نگهداری
- کلید
- بزرگ
- آخرین
- آخرین اخبار
- برجسته
- نشت
- یاد گرفتن
- آموخته
- سطح
- بدهی
- محدود شده
- لاین
- عمده
- ساخت
- نرم افزارهای مخرب
- مدیریت
- بازار
- بازار یابی (Marketing)
- بازار
- رسانه ها
- بازرگان
- بازرگانان
- استخراج معدن
- نام
- خالص
- شبکه
- ترافیک شبکه
- اخبار
- تعداد
- ارائه
- پیشنهادات
- رسمی
- شبانه روزی
- آنلاین
- باز کن
- منبع باز
- باز می شود
- عملیاتی
- سیستم عامل
- عملیات
- گزینه
- دیگر
- دیگران
- هراس
- کلمه عبور
- کلمه عبور
- وصله
- پچ های
- پرداخت
- مبلغ پرداختی
- پی پال
- PC
- PCI DSS
- مردم
- کارایی
- اطلاعات شخصی
- پرسنل
- فیشینگ
- حملات فیشینگ
- فیزیکی
- امنیت فیزیکی
- سکو
- سیستم عامل
- پلاگین
- سیاست
- قدرت
- پیشگیری
- خلوت
- محصول
- تولید
- پروژه ها
- محافظت از
- حفاظت
- عمومی
- کیفیت
- بهبود
- گزارش ها
- مورد نیاز
- منابع
- منابع
- پاسخ
- نتایج
- این فایل نقد می نویسید:
- بررسی
- قوانین
- دویدن
- در حال اجرا
- SAAS
- امن
- اسکن
- پویش
- جستجو
- تیم امنیت لاتاری
- سیستم های امنیتی
- به روز رسانی امنیتی
- می بیند
- خدمات
- تنظیم
- اشتراک گذاری
- صدف
- حمل
- کوتاه
- ساده
- سایت
- So
- نرم افزار
- مزایا
- اسپم
- صفحه گسترده
- استانداردهای
- آغاز شده
- ماندن
- ذخیره سازی
- opbevare
- پرده
- داستان
- مهاجرت تحصیلی
- ارسال
- موفق
- پشتیبانی
- پشتیبانی از
- سیستم
- سیستم های
- هدف
- فنی
- آزمون
- تست
- آینده
- پروژه ها
- منبع
- سرقت
- تهدید
- زمان
- نکات
- لحن
- مسیر
- ترافیک
- معامله
- اعتماد
- بروزرسانی
- به روز رسانی
- URI
- us
- USB
- کاربران
- تایید
- ویروس ها
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- وب
- خدمات وب
- سایت اینترنتی
- وب سایت
- هفتگی
- چه شده است
- WHO
- وردپرس
- کلمات
- مهاجرت کاری
- گردش کار
- با این نسخهها کار
- با ارزش
- X
- XSS
- سال
- سال