Magento Security Guide: Kuinka suojata verkkosivustosi hakkereilta
14 tuli monelle Magento-kauppiaalle tuomion päivä. Magento 2020 -myymälää oli yli 2,800 1 hakkeroitu varastaa luottokorttitietoja tähän mennessä suurimmassa dokumentoidussa kampanjassa.
Ei ole epätavallista, että hakkerit aiheuttavat tuhoa verkkokauppasivustoille. Tietokoneen haittaohjelmat, virukset, madot, troijalaiset ja monet muut verkkokaupan huijaukset… verkossa kelluu paljon ilkeää tavaraa. Aina on joku, joka yrittää käyttää hyväkseen haavoittuvaa järjestelmää tai saada laittoman pääsyn vahingolliseen tarkoitukseen.
Jos et halua tulla osaksi seuraavaa Magento-tietoturvaloukkausta, tämä opas on sinua varten. Lue eteenpäin löytääksesi tärkeimmät Magento-tietoturvahaavoittuvuudet ja tapoja estää ne, jotta tietosi ja asiakkaidesi tiedot ovat turvassa.
Ensinnäkin, mikä Magento 1 -turvallisuuden ongelma on?
Magento 1:n suurin ongelma on, että sitä ei enää tueta. 20. kesäkuuta 2020 Adobe ilmoitti Magento 1 -tuotteensa käyttöiän päättymisestä, mikä tekee alustaversiosta vanhentuneen ja alttiin kyberhyökkäyksille.
Siinä sinulla on syy aiemmin mainittuun MageCart-hyökkäykseen. Vanhentuneet Magento-myymälät ovat edelleen houkuttelevia kohteita niille, jotka ovat päättäneet varastaa henkilö- ja taloustietoja verkkoasiakkailta.
Hakkerit voivat helposti skannata vanhentuneita Magenton versioita ja käyttää automaattisia robotteja päästäkseen niihin käsiksi, lataamaan komentosarjoja ja asentamaan korttihaittaohjelmia. Loppukäyttäjät eivät pysty havaitsemaan korttien luimaa koskevia hyökkäyksiä, joten verkkosivujen ylläpitäjillä on vastuu päivittää järjestelmänsä uusimpaan Magenton versioon. Tässä vaiheessa kaikkien Magento 1.x -versiota käyttävien verkkosivustojen pitäisi olettaa vaarantuneen.
- Paul Bischoff, yksityisyyden puolestapuhuja Comparitech.
Siksi Magento-myymälän suojauksen tulisi olla kauppiaiden ykkösprioriteetti. Magento 1 ei ole turvallinen eikä koskaan tule olemaan. Mutta Magento 1 pitää sinut turvallisissa käsissä.
Magento 2 -tietoturvasta opitut ja toteutetut opetukset
Jos sinua puree punkki, itsesi poistaminen ei pysäytä tartuntaa. Sama tapahtui Magenton kanssa. Kun kriittinen haavoittuvuus löydettiin Magentosta, päivitys oli tarpeen. Joten Adobe uudisti koko järjestelmän poistaakseen Magento-tietoturvaongelmat ja suojellakseen kauppiaita vastaavilta hyökkäyksiltä tulevaisuudessa.
Tässä ovat Magento-suojausominaisuudet, jotka Adobe on ottanut käyttöön Magento 1:n käyttöiän päätyttyä.
Parannettu salasananhallinta
Magento 1 käyttää heikompaa salasanan hajautusjärjestelmää (yksisuuntainen prosessi, jossa merkkijono muunnetaan ns. hajautetuksi salasanaksi). Tämän Magento-haavoittuvuuden korjaamiseksi Magento 2 tukee Argon2ID13:a, vahvempaa hajautusalgoritmia kuin edellinen kultastandardi SHA-256.
XSS-hyökkäysten parannettu esto
Magento on ottanut käyttöön uusia sääntöjä estääkseen cross-site scripting (XSS) -hyökkäykset tekemällä pakotetuista tiedoista oletuksena.
XSS-hyökkäykset ovat eräänlaisia haitallisia komentosarjoja, joita käytetään tietojenkalasteluhyökkäyksissä, näppäinpainallusten kirjaamisessa ja muissa luvattomissa toimissa.
Joustavampi tiedostojärjestelmän omistusoikeus ja käyttöoikeudet
Versiosta 2.0.6 alkaen Magento antaa käyttäjille mahdollisuuden asettaa tiedostojärjestelmien käyttöoikeudet. Suositukset ovat, että tietyt tiedostot ja hakemistot ovat vain kirjoitettavat kehitysympäristössä ja vain luku -muotoiset tuotantoympäristössä.
Parannettu napsautushyökkäyksien estäminen
Magento suojaa kauppaasi napsautushyökkäyksiltä käyttämällä X-Frame-Options HTTP-pyyntöotsikkoa. Lisätietoja on X-Frame-Options-otsikossa.
Automaattisesti luova salausavain
Magento käyttää salausavainta salasanojen ja arkaluonteisten tietojen suojaamiseen. Tällä hetkellä Magento 2 käyttää AES-256-algoritmia, ja voit valita satunnaisen avaimen luomisen milloin tahansa hallintapaneelin kautta.
Muun kuin oletusarvoisen Magento-järjestelmänvalvojan URL-osoitteen käyttö
Hakkerit käyttävät automaattisia salasanan arvausbotteja hakeakseen ostajien henkilökohtaisia tietoja ja kauppiaiden pääsyn taustatoimintoihin. Tämän tyyppisten hyökkäysten estämiseksi Magento luo oletuksena satunnaisen järjestelmänvalvojan URI:n, kun asennat tuotteen.
Johdonmukaiset Magento 2 -tietoturvakorjaukset ja -päivitykset
Suurin syy siihen, miksi Magento 2 -turvallisuus voittaa Magento 1:n, ovat säännölliset päivitykset. Adoben viimeinen Magento 1 -tietoturvakorjaus julkaistiin 22. kesäkuuta 2020. Sillä välin Magento 2 -kauppias saa tietoturvakorjauksensa neljännesvuosittain virallisella Adoben tietoturvatiedote.
Kuinka Magento Miten Magento minimoi haavoittuvuuksien vaikutuksen
Magento 2:n uuden arkkitehtuurin ja suojauskehyksen lisäksi käytössä on prosesseja haavoittuvuuksien minimoimiseksi.
Niihin kuuluvat:
- Bug Bounty Program - Kehittäjät saavat palkkioita jopa 10,000 XNUMX dollaria Magentosta löydetyistä vioista. Tämä on loistava tapa saada yhteisö mukaan Magento-tietoturvaan.
- Magento Security Center — Tästä resurssista löytyy uusia tietoturvapäivityksiä, korjaustiedostoja, parhaita käytäntöjä ja paljon muuta. Tarvitsetpa sitten lisätietoja korjaustiedostosta tai ohjeita korjaustiedostojen/päivitysten asentamiseen, tämä on oikea paikka.
- Turvahälytysrekisteri — Magento-tiimi reagoi haavoittuvuuksiin ja tarjoaa korjaustiedostoja ja päivityksiä suojellakseen kauppoja uhilta. Tilaa tietoturvavaroitusrekisteri saadaksesi sähköpostiviestejä aina, kun uusi tietoturvajulkaisu julkaistaan.
- Koodin laatustandardit — Magenton ydinkehitystiimi käyttää Magento-koodausstandardi ja suosittelee, että kehittäjät, jotka luovat Magento-laajennuksia ja mukautuksia, käyttävät myös tätä standardia.
- Laajennuksen laatuohjelma — Kaikki Magento Marketplaceen lähetetyt laajennukset käyvät läpi monivaiheisen tarkistusprosessin: tekniset ja markkinointitarkastukset. Jos jompaakumpaa tarkistusta ei läpäise, laajennusta ei sallita julkaista.
Magento-suojauksen tarkistuslista: Mitä turvallisuusstandardeja tulisi noudattaa varmistaakseni, että sivustoni on turvallinen?
Ei ole olemassa sellaista asiaa kuin hakkerointikelvoton sivusto. Vaikka palkkaisit parhaista parhaista kehittäjiä, insinöörejä ja tietoturvaasiantuntijoita, on silti mahdollisuus joutua hakkerointiin.
Suosittelemme siis noudattamaan tiukkaa turvatyönkulkua perehdyttämisessä ja päivittäisessä toiminnassa.
Tässä on tapoja varmistaa Magento:
- Sisällytä tietoturvakäytännöt perehdytysprosessiisi
Vaikka tämä saattaa tuntua itsestään selvältä, niin sisäiset kuin ulkoiset tiimit jättävät sen usein huomiotta. Varmista, että myymälän uudet työntekijät, henkilöstöön jääneet työntekijät ja kaikki siltä väliltä käyvät läpi turvatarkastuksen. Suosittelemme CISO:n uusi palkkaamisen tarkistuslista. - Täytä tiukat käyttöoikeudet
Osa perehdytysprosessia on selvittää, mitä käyttöoikeuksia työntekijä tarvitsee työssään. Tietojen käyttöoikeuksien valvominen on tärkeää, ja suosittelemme myös käyttöoikeuksien tarkistamista varmistaaksesi, ettei sääntöjä rikota selkäsi takana. Sinä pystyt määritä käyttäjärooleja Magentoon tämän oppaan avulla. - Varmista, että noudatat alan standardeja
Tämä on sekä teknistä että liiketoiminnallista. Sivustosi ja kaiken siinä käytetyn koodin tulee noudattaa PHP-koodausstandardeja, testausstandardeja ja olla aina PCI-yhteensopivia. Näytämme sinulle toimivan tarkistuslistan seuraavassa osiossa, jotta voit tulla PCI-yhteensopivaksi. - Käytössäsi on vikasietoinen infrastruktuuri
Kyllä, ymmärrämme, että et ole tietoturvaasiantuntija, mutta sinun on kysyttävä turvallisuudesta vastaavalta henkilöltä, onko heillä varmuuskopiointisuunnitelma (jonka pitäisi kattaa se, mitä varmuuskopioit, kuinka usein varmuuskopioit ja milloin varmuuskopioita tulisi käyttää). Tärkeä huomautus: varmuuskopioiden tulee olla automaattisia. - Suojatut kolmannen osapuolen komponentit (moduulit, palvelut, laajennukset, sovellukset)
Kuten Magento Securityn parhaat käytännöt eli varmista, että kaikki palvelimellasi käynnissä olevat sovellukset ovat suojattuja. Vältä käyttämästä WordPressin kaltaisia sovelluksia samalla palvelimella kuin Magento, koska jonkin näistä sovelluksista oleva haavoittuvuus voi mahdollisesti paljastaa Magenton sisältämiä tietoja. On sanomattakin selvää, että sinun ei pitäisi koskaan asentaa laajennuksia epäluotettavista lähteistä (kuten torrent-sivustoista). - Suojaa tietojasi
a. Infrastruktuurin erottelu
⇨ Tämä on linjassa kolmannen osapuolen komponenttien suojaamisen kanssa. Kehitys-, vaiheistus- ja tuotantoympäristöjä ei saa missään tapauksessa käyttää samassa palvelinesiintymässä.b. Rajoitettu pääsy
⇨ Toinen asia, jota käsittelimme: käyttöoikeudet ulottuvat kehittäjille ja muulle IT-henkilöstölle. Jokaisella tiimin jäsenellä ei missään tapauksessa saa olla täydellisiä järjestelmänvalvojan oikeuksia.c. Henkilötietojen suoja
⇨ Vaikka se saattaa tuntua itsestään selvältä, osa käyttöönottoprosessia tulisi sisältää USB-asemien ja muiden tallennuslaitteiden toimittamatta jättäminen. Muista myös, että et klikkaa epäilyttäviä linkkejä tai avaa epäilyttäviä sähköposteja. Älä koskaan kerro kenellekään salasanaasi (etenkään Magento Adminin salasanaa).
Joten kun tylsät tavarat ovat poissa tieltä, ryhdytään Magento-myymäläsi luodinkestävään!
Luodinkestävä Magento-suojaus: Kuinka suojata Magento-sivusto 14 vaiheessa
Vaihe 1: Turvatarkastus
Magento-turvajärjestelmässä on paljon liikkuvia osia. Kukaan kehittäjä, arkkitehti, johtaja tai muu rooli ei ymmärrä Magento-tietoturvassa on paljon liikkuvia osia. Ei kehittäjää, ratkaisuarkkitehti, johtaja tai muut roolit ymmärtävät turvallisuusriskit sekä pätevän tietoturvaasiantuntijan. Siksi ensimmäinen askel on saada asiantuntijan kampaamaan sivustosi läpi. Sinun tulisi mieluiten tehdä tämä vähintään kerran vuodessa pysyäksesi turvassa.
Vaihe 2: Automaattinen suojaustarkistus
Hyviä uutisia, sinun ei tarvitse kääntyä kolmannen osapuolen puoleen joka kerta, kun haluat suorittaa tarkistuksen. Magento tarjoaa turvaskannauksen ilmaiseksi.
Magento Security Scanin avulla voit tarkkailla kaikkia verkkosivustojasi (jos sinulla on useampi kuin yksi) mahdollisten riskien varalta ja korostaa tarvitsemasi korjaustiedostot ja päivitykset. Aseta aikataulu (Magento suosittelee skannausta viikoittain) ja vastaanota raportteja ja korjaavia toimenpiteitä jokaisesta epäonnistuneesta testistä. Aloita katso tämä opas.
Siellä on myös ilmaisia skannaustyökaluja, kuten MageReport, mutta se ei ole niin syvällinen kuin Magenton työkalu, eikä se tarjoa automaattista tai ajoitettua tarkistusta.
Vaihe 3: Magento Admin Security
Magento suosittelee monitasoista lähestymistapaa järjestelmänvalvojan tilisi suojaaminen(S).
You Can:
- Aseta salasanojen suojaustaso
- Aseta sisäänkirjautumisyritysten määrä
- Määritä näppäimistön käyttämättömyyden pituus ennen istunnon päättymistä
- Vaadi kirjainkoolla erottelevia käyttäjätunnuksia ja salasanoja
Järjestelmänvalvojan salasanat
Salasanavaihtoehdot järjestelmänvalvojille
Siirry järjestelmänvalvojan sivupalkissa kohtaan Kaupat > Asetukset > Määritykset.
Vasemmassa paneelissa alla Lisää, valitse Admin.
Laajenna Turvallisuus osiossa.
Vaihda oletusjärjestelmänvalvojan URL-osoite
On hyvä idea vaihtaa oletusjärjestelmänvalvojan URL-osoite joksikin muuksi, jotta se ei ole hakkereiden kohde.
Oletusperus-URL-osoite: http://yourdomain.com/magento/
Oletusjärjestelmänvalvojan URL-osoite ja polku: http://yourdomain.com/magento/admin
On yksinkertainen tapa muuta järjestelmänvalvojan URL-osoitetta saatavilla hallintapaneelissa, mutta muista, että kaikki virheet tekevät sivustostasi kaikkien järjestelmänvalvojien ulottumattomissa, ja ainoa tapa korjata se on muokata palvelimen määritystiedostoja (ei jotain, jonka haluat kokea, luota meihin).
IP sallittujen luettelo
Olet ehkä kuullut mustasta listasta – kun estät pääsyn tiettyyn sivustoon, IP-osoitteeseen tai verkkoon.
Sallittujen luetteloon lisääminen on päinvastoin - sallien pääsyn tiettyihin tietoihin, sivustoihin ja meidän tapauksessamme Magento-hallintapaneeliin vain luotetuille IP-osoitteille.
Vaihe 4: Aseta käyttäjäroolit
Magento sisältää vaihtoehtoja järjestelmänvalvojien pääsyn rajoittamiseen. Toisin sanoen voit luoda käyttöoikeuksia rajoittaaksesi sitä, mitä sivuston järjestelmänvalvoja näkee, ja myöntää heille rajoitetut käyttöoikeudet.
Voit määrittää käyttäjärooleja järjestelmänvalvojan sivupalkissa. Klikkaus järjestelmä, alla Käyttöoikeudet, valita Käyttäjän roolit. Napsauta oikeassa yläkulmassa Lisää uusi rooli.
Kun olet antanut a Roolinimi ja syöttämällä salasanasi voit määrittää Roolin laajuus (katso kuva alla).
Magento Commercen avulla voit kirjata kaikki järjestelmänvalvojien suorittamat toiminnot. Voit ottaa toimintalokit käyttöön siirtymällä kohtaan Kaupat > Asetukset > Määritykset. Vasemmassa paneelissa laajenna Lisäasetukset Ja valitse Admin. Laajenna Järjestelmänvalvojan toimintojen kirjaaminen -osio ja valitse valintaruutu ota järjestelmänvalvojan kirjaus käyttöön jokaiselle kirjattavalle toiminnolle.
Vaihe 5: Määritä Captcha ja Google reCaptcha
Magentossa voit määrittää molemmat Captcha ja Google reCaptcha ylläpitäjille ja asiakkaille. Molemmat suojaavat sinua roskapostilta ja muunlaiselta automaattiselta väärinkäytöltä.
Captcha on ihmisen validointitesti eli epäselvät, kiemurtelevat kirjaimet ja numerot, jotka sinun on luultavasti täytynyt vilkaista nähdäksesi.
Google reCaptcha on ylivertainen inhimillisen validoinnin tyyppi eli "I Am Not A Robot" -valintaruutu.
Näkymätön reCAPTCHA (Magento suositellaan) — joka varmistaa, että käyttäjä on ihminen automaattisesti, ilman vuorovaikutusta. Se kuulostaa taikalta, mutta Google onnistui löytämään tavan tehdä se.
Vaihe 6: Kaksitekijäinen todennus (2FA)
Two-Factor Authentication tai lyhennettynä 2FA on tapa vahvistaa käyttäjän henkilöllisyys pakottamalla käyttäjät suorittamaan vahvistusprosessin toisen vaiheen. Magento 2FA on saatavilla vain järjestelmänvalvojille, eikä sitä ole laajennettu asiakastileihin.
Näin voit määrittää 2FA:n Magentossa:
Siirry järjestelmänvalvojan sivupalkissa kohtaan Kaupat > Asetukset > Määritykset.
Vasemmassa paneelissa laajenna Suojaus ja valitse 2FA.
Vaihe 7: Salausavain
Kun käynnistät Magenton ensimmäisen kerran, järjestelmä luo automaattisesti salausavaimen. Tätä avainta käytetään salasanojen ja muiden arkaluontoisten tietojen, kuten luottokorttitietojen ja integrointi- (maksu- ja toimitusmoduulin) salasanojen suojaamiseen.
Magento suosittelee pitämään tämän avaimen aina turvassa ja piilossa. Jos kohtaat tietomurron, voit luoda uuden salausavaimen estääksesi ketään pääsemästä tietoihin vanhalla avaimella.
Sinä pystyt luoda uusi avain hallintapaneelissa. Toistan, emme suosittele tämän tekemistä yksin.
SVaihe #8: Salasanavaatimukset
Magento vaatii vähintään seitsemän merkkiä (sekä kirjaimia että numeroita). Suosittelemme käyttämään jotain hieman kestävämpää – 10-12 merkin pituista aakkosnumeerista salasanaa.
Vinkki – Älä yritä keksiä salasanaa itse. Suosittelemme käyttöä LastPass luodaksesi satunnaisesti salasanan.
Vaihda salasanasi, jos epäilet tietomurron tapahtuneen, riippumatta siitä, onko tilisi hakkeroitu vai ei, ja aseta muistutus salasanan vaihtamisesta kerran vuodessa.
Voit asettaa sekä asiakkaiden että järjestelmänvalvojien käyttämien salasanojen suojaustason suoraan järjestelmänvalvojan käyttöliittymässä
Salasanavaihtoehdot asiakkaille
Siirry järjestelmänvalvojan sivupalkissa kohtaan Kaupat > Asetukset > Määritykset.
Vasemmalla olevassa paneelissa laajentaa asiakkaita ja valitse Asiakasmääritykset.
Laajenna Salasanan asetukset osiossa.
Vaihe 9: PCI-yhteensopivuus
Suuret luottokorttiyhtiöt loivat Payment Card Industry Data Security Standardin (PCI DSS) varmistaakseen, että kauppiaat ottavat käyttöön kriittisiä turvatoimia. Kauppiaita, jotka eivät noudata PCI-vaatimuksia, voidaan odottaa suuria sakkoja, jotka voivat myös johtaa maksujen käsittelykykynsä menettämiseen.
Magento helpottaa kauppiaiden PCI-yhteensopivuutta – Magento Commerce Cloud on PCI-sertifioitu ja Magento tarjoaa integroituja maksuväylät kuten PayPal, Authorize.Net ja muut, jotka välittävät luottokorttitietoja turvallisesti.
12 PCI-DSS:n vaatimukset | |
Rakenna ja ylläpidä suojattua verkkoa | Vaatimus 1: Asenna ja ylläpidä palomuurikokoonpano kortinhaltijan tietojen suojaamiseksi Vaatimus 2: Älä käytä toimittajan toimittamia oletusasetuksia järjestelmän salasanoissa ja muissa suojausparametreissa |
Suojaa kortinhaltijan tiedot | Vaatimus 3: Suojaa tallennetut kortinhaltijan tiedot Vaatimus 4: Salaa kortinhaltijatietojen siirto avoimissa julkisissa verkoissa |
Ylläpidä haavoittuvuuden hallintaohjelmaa | Vaatimus 5: Käytä ja päivitä säännöllisesti virustentorjuntaohjelmistoa Vaatimus 6: Kehittää ja ylläpitää turvallisia järjestelmiä ja sovelluksia |
Ota käyttöön vahvoja kulunvalvontatoimenpiteitä | Vaatimus 7: Rajoita pääsyä kortinhaltijatietojen tietoihin yrityksen tarpeiden mukaan Vaatimus 8: Määritä yksilöllinen tunnus jokaiselle henkilölle, jolla on tietokoneen käyttöoikeus Vaatimus 9: Rajoita fyysistä pääsyä kortinhaltijan tietoihin |
Tarkkaile ja testaa verkkoja säännöllisesti | Vaatimus 10: Seuraa ja valvo kaikkia pääsyä verkkoresursseihin ja kortinhaltijatietoihin Vaatimus 11: Testaa säännöllisesti turvajärjestelmiä ja prosesseja |
Ylläpidä tietoturvapolitiikkaa | Vaatimus 12: Ylläpidä tietoturvaa koskevaa politiikkaa |
Tärkeä huomautus: ÄLÄ KÄYTÄ Tallennettujen luottokorttien moduuli tuotantoympäristössä!
Tallennetut luottokortit eivät ole PCI-yhteensopivia ja saatat paljastaa asiakkaidesi luottokorttitiedot.
Vaihe 10: Asenna suojauslaajennukset
Kun alkuperäiset toiminnot eivät riitä, laajennukset tulevat apuun. Magentolla on rikas tietoturvalaajennusten arkisto – sekä maksullisia että ilmaisia. Tässä on muutamia, joita voit kokeilla:
Vaihe 11: Turvallisuusautomaatioratkaisut
Suojausautomaatio on prosessi, jossa käsitellään automaattisesti turvallisuuteen liittyviä tehtäviä, kuten virustarkistus, tunkeutumisen havaitseminen, varmuuskopioiden luominen, SSL-sertifikaattien uusiminen ja paljon muuta.
IBM teki uraauurtavan löydön: organisaatioissa, joissa ei ollut automaattisia tietoturvaratkaisuja, rikkoutumiskustannukset olivat 95 % korkeammat kuin organisaatioissa, joissa automaatio oli täysin käytössä.
Vaihe 12: Verkkovastuuvakuutus
Kuten kaikki muutkin vakuutukset (auto-, kotivakuutus jne.), kybervakuutus suojaa yrityksiä kyberhyökkäysten aiheuttamilta vahingoilta. Erityisesti kybervastuu kattaa
- Tietoturvaloukkaukset työntekijän varkauksien ja/tai tietovuotojen seurauksena.
- Verkkoliiketoiminnan keskeytys, kuten kolmannen osapuolen hakkerointi tai epäonnistunut ohjelmistokorjaus.
- Tietomurrot hakkeroinnin jälkeen.
- Virheet ja puutteet, jotka johtavat tietoturvamurtoihin.
Vaihe 13: Luo hätätilanneryhmä ja -suunnitelma
Jos sinulla ei ole tapaussuunnitelmaa (tai et tiedä mikä se on), luodaan sellainen.
Helpottaaksemme otimme Talesh Seeparsanin Magento-keskeinen Incident Response Plan -malli ja loi Google-laskentataulukon, jonka voit kopioida omaan käyttöösi.
Mallin käytön edellytykset:
- Luo Incident Response Team (IRT) käsittelemään tietoturvahäiriöitä jokaiselle kohdassa määritellylle verkkokaupparatkaisun osa-alueelle. tämä taulukko.
- Tarkkaile ja analysoi säännöllisesti verkkoliikennettä ja järjestelmän suorituskykyä.
- Tarkista rutiininomaisesti kaikki lokit ja lokimekanismit, mukaan lukien käyttöjärjestelmän tapahtumalokit, sovelluskohtaiset lokit ja tunkeutumisen havaitsemisjärjestelmän lokit.
- Tarkista varmuuskopiointi- ja palautusmenettelyt. Sinun tulee olla tietoinen siitä, missä varmuuskopioita ylläpidetään, kuka voi käyttää niitä ja sinun menettelysi tietojen palauttamiseksi ja järjestelmän palauttamiseksi. Varmista, että tarkistat varmuuskopiot ja mediat säännöllisesti palauttamalla tiedot valikoivasti.
IBM todettiin, että yritykset, joilla on IRT ja heidän vastaussuunnitelmiensa laaja testaus säästi yli 1.2 miljoonaa dollaria. Tarkemmin sanottuna tutkimus osoitti, että IRT:n ja vaaratilanteiden reagointisuunnitelman testauksen yhteisvaikutus harjoitusten ja simulaatioiden avulla auttoi tiimejä reagoimaan nopeammin ja tuottamaan suurempia kustannussäästöjä kuin mikään yksittäinen tietoturvaprosessi.
Vaihe 14: Pidä Magento korjattu ja ajan tasalla
Ei ole tekosyitä sille, ettei sinulla ole korjattua ja täysin päivitettyä Magento-kauppaa.
Asenna Magento-tietoturvakorjaus
- Varmuuskopioi tiedostojärjestelmä, media ja tietokanta estääksesi tietojen katoamisen, jos jokin menee pieleen.
- Lataa korjaustiedosto (alias hotfix-korjaus) osoitteesta Magenton turvakeskus. Muista, että sinun on tiedettävä Magento-versiosi ladataksesi oikean korjaustiedoston.
- Kiinnitä laastari kautta Magento Quality Patch (MQP) -paketti, komentorivi tai säveltäjä.
Tarkista sivustosi, tunnista asennettavat korjaustiedostot ja älä anna hakkereiden päästä helposti käsiksi haavoittuvuuden kautta. Rekisteröidy Magento Security Alert -rekisteriin ja käy aika ajoin Magento Security Centerissä saadaksesi viimeisimmät uutiset ja tiedot.
Voit myös säästää vaivelta palkata Magento-kehittäjä. He asentavat Magento-tietoturvakorjauksen hetkessä – olipa kyseessä hotfix tai mukautettu korjaustiedosto.
Mitä tehdä, jos verkkosivustollesi on hakkeroitu
Älä panikoi. Jos tapahtui tietomurto tai tietoihin altistuminen, tietoja ei voi saada takaisin. Ensisijaisena tavoitteenasi tulisi olla paljastetun tunnistaminen, todisteiden kerääminen ja sen varmistaminen, että tiedot eivät vuoda.
Noudata tapaussuunnitelmaasi:
- Tee alustava arvio
- Ilmoita tapahtumasta
- Rajoita vaurioita ja minimoi riskit
- Tunnista kompromissin vakavuus
- Säilytä todisteet
- Kommunikoi mahdollisista ulkoisista ilmoituksista
- Kokoa ja järjestä tapahtumien todisteet
Eloginen kokemus kyberhyökkäyksistä
Saadaksemme tietää, mitä Elogic-kehittäjät kohtaavat työssään, kysyimme ympäriltä ja saimme tietää kahdesta villistä tarinasta ilkeämielistä.
Bitcoin Mining Fiasco
Yksi kokeneimmista täyden pinon kehittäjistämme Elogicissa, Andriy Biloshytskiy, sai mielenkiintoisen kokemuksen muutama vuosi sitten. Jotain hyvin outoa tapahtui yhdelle projektista, jonka parissa hän työskenteli tuolloin.
Sivustolla ei ollut viimeaikaisia päivityksiä, mikään ei ollut muuttunut, paitsi että sivusto ei toiminut”, Andriy sanoo. "Tein siis pintapuolisen tutkimuksen ja löysin jotain sekä outoa että huvittavaa - siinä oli JavaScript-koodin pala ilman sulkevia tageja, mikä aiheutti kaatumisen. Google-haun jälkeen huomasin, että haitallinen komentosarja oli tarkoitettu myymään myymälässä vierailevien ihmisten laskentatehoa – Bitcoinin louhimiseen.
– Andriy Biloshytskiy, Elogic Commercen täyden pinon kehittäjä
Tekijää (mahdollisesti kaupan ylläpitäjää) ei koskaan saatu kiinni. Myymälässä ei ollut järjestelmänvalvojan lokeja, joten ei ollut mahdollista tietää varmasti, kuka oli vastuussa.
Odottamaton virus
Kun kehittäjät työskentelevät projekteissa, he usein kloonaavat myymälän työtietokoneelleen tai palvelimelleen testatakseen ja kirjoittaakseen uutta koodia. Tämä tarina tapahtui sen jälkeen, kun yksi kehittäjistämme kloonasi myymälän, mutta sen sijaan, että olisi mennyt töihin, hän näki ponnahdusikkunan.
Ponnahdusikkuna oli varoitus hänen virustorjuntaohjelmistostaan, ja tartunnan lähde oli juuri asennettu Magento-instanssi. Löydettyään tartunnan saaneen tiedoston, PHP-ydintiedoston, kehittäjä poisti haitallisen koodin ja jatkoi työtään.
Tarinan moraali on: olipa hyökkäys kohdennettu, inhimillinen virhe tai järjestelmän häiriö/haavoittuvuus, voit auttaa estämään tietomurtoja ottamalla käyttöön ja noudattamalla turvallisuusstandardeja.
Onko Magento-kauppa turvallisempaa kuin avoimen lähdekoodin Magento?
Valitessaan välillä Magento 2 Commerce vs avoin lähdekoodi, olet ehkä miettinyt, kumpi on turvallisempi. Vaikka on totta, että molemmat Magento-versiot tarjoavat erinomaisia ominaisuussarjoja (riippuen tietysti kauppiaan liiketoiminnan tarpeista), voimme taata Magento Commercen (alias Adobe Commercen) turvallisuuden.
Tässä on viisi suurta Magento Commercen ja Commerce Cloudin turvaetua.
PCI-vaatimustenmukaisuus
PCI-yhteensopivuus ei ole Magenton avoimen lähdekoodin ominaisuus, mutta se on Magento Commercessa. Mikä parasta, Magento Commerce Cloud on PCI-sertifioitu tason 1 ratkaisuntarjoajaksi, joten kauppiaat voivat käyttää Magenton PCI-vaatimustenmukaisuustodistusta oman PCI-sertifiointiprosessinsa tukena.
Jaettu turvallisuusvastuu
Magento Commerce Cloudissa on jaetun vastuun turvallisuusmalli jossa sinä, Magento ja Amazon Web Services (parhaat pilvipalvelut) jaatte vastuut käyttöturvallisuudesta. Olet vastuussa mukautetun koodin ja kaikkien mukautettujen sovellusten testaamisesta. Magento varmistaa itse alustan turvallisuuden, ja Amazon huolehtii palvelimien fyysisestä turvallisuudesta ja vaatimustenmukaisuudesta.
Toimintalokit
Magento Commerce antaa sinulle mahdollisuuden pitää kirjaa jokaisesta kaupassasi työskentelevän järjestelmänvalvojan tekemästä muutoksesta (toiminnosta). Kirjatut tiedot sisältävät käyttäjän nimen, toiminnon ja onnistuiko toiminto, ja se kirjaa myös lokiin IP-osoitteen ja päivämäärän.
Verkkosovelluspalomuuri (WAF)
Aivan kuten tietokoneen palomuuri, WAF estää haitallisen liikenteen pääsyn verkkoon turvasääntöjen avulla. Kaikki säännöt käynnistävä liikenne estetään ennen kuin se pääsee valloilleen sivustossasi tai verkossasi. Magento Commerce Cloud käyttää Nopeasti CDN WAF-palveluita varten.
CDN (Content Delivery Network) ja DDoS-suojaus
Magento Commerce Cloud käyttää myös Fastly CDN:ää lisätietoturvaominaisuuksiin, kuten DDoS-suojaukseen, joka sisältää Layer 3, 4 ja 7 DDoS:n lieventämisen.
Takeaways – Magenton turvallisuusvinkkejä ja parhaita käytäntöjä
Sivuston turvallisuuden ja laajemmin kyberturvallisuuden tulisi olla yksi tärkeimmistä prioriteeteistasi. Et vain ylläpidä blogia tai henkilökohtaista sivua, vaan olet vastuussa luottamuksellisten tietojen, kuten nimien, osoitteiden, puhelinnumeroiden ja luottokorttitietojen, suojaamisesta.
Muistaa:
- Jopa täysin korjattu ja päivitetty sivusto voidaan hakkeroida. Esimerkiksi heikko järjestelmänvalvojan salasana voidaan pakottaa raa'asti, ja hakkerit voivat kävellä suoraan sisään ja kerätä kaiken haluamansa. Suorita siis Magento-turvatarkastuksia säännöllisesti.
- Et voi ottaa huomioon uusia haavoittuvuuksia tai nollapäivän hyväksikäyttöjä (kyberhyökkäys, joka tapahtuu samana päivänä, kun heikkous havaitaan). Vahva tapausreagointisuunnitelma voi kuitenkin auttaa sinua pysymään askeleen edellä.
- "Harranenkin ehkäisy on kilon parannuskeino arvoinen." Ben Franklin oli oikeassa. Jos olet määrittänyt myymäläsi turvallisuutta ajatellen, noudattanut hahmoteltua kyberturvallisuuden työnkulkua ja tehnyt myymäläsi luodinkestäväksi, voit säästää tonneittain aikaa ja sydänsuruja.
- Älä tingi turvallisuudesta, tai tietoturvan puute vaarantaa sinut.
Magento Securityn UKK
Onko Magento turvallinen?
Magento 1 -fiaskon jälkeen Adobe on päivittänyt Magento 2:n uusille suojaustasoille. Magento-verkkokauppaarkkitehtuuri on suunniteltu tarjoamaan erittäin turvallinen ympäristö WAF:n (Web Application Firewall), Fastly CDN:n ylimääräisen DDoS-suojauksen ja tietojen salaamiseen tarkoitetun hajautusjärjestelmän ansiosta. Suojauskorjauksia julkaistaan neljännesvuosittain, ja Magento Security Scanner on saatavilla. Kauppiaat voivat lisäksi käyttää SSL-varmenteita, CAPTCHA:ta, kaksivaiheista todennusta ja muita Magento-suojauksen parhaita käytäntöjä asiakkaidensa suojaamiseen.
Joten on turvallista sanoa, että Magento on yksi turvallisimmista alustoista verkkokauppamarkkinoilla tarjottavien alustojen joukossa.
Kuinka suojata Magento-sivusto?
Joitakin parhaita käytäntöjä Magenton suojaamiseksi ovat seuraavat:
- Tee säännöllisiä Magento-tietoturvatarkastuksia – olipa kyseessä automaattinen Magento-haittaohjelmien tarkistustyökalu tai Magento-ammattilaisen avustus.
- Käytä salattuja yhteyksiä (SSL/HTTPS).
- Aktivoi kaksivaiheinen todennus.
- Varmuuskopioi verkkosivustosi säännöllisesti.
- Valitse luotettavat hosting-palveluntarjoajat
- Hyödynnä alkuperäisiä Magenton suojausominaisuuksia ja asenna suojauslaajennuksia aina tarvittaessa.
- Laadi toimintasuunnitelma kyberhätätilanteen varalle.
Katso täydellinen Magento-turvatarkistuslista yllä.
Onko Magento PCI -yhteensopiva?
Magento PCI -yhteensopivuus riippuu sen versiosta:
Magento Open Source ei ole PCI-yhteensopiva, joten sinun on otettava käyttöön joko kolmannen osapuolen maksutapa, joka ohjaa sinut toiseen sivustoon tapahtumaa varten (kuten PayPal, Authorize.net) tai SaaS PCI -yhteensopiva maksutapa (CRE Secure).
Magento Commerce ja Commerce Cloud ovat PCI-sertifioituja tason 1 ratkaisuntarjoajaksi.
Lähde: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- pääsy
- Tili
- Toiminta
- toiminta
- lisä-
- admin
- Adobe
- Etu
- puolestapuhuja
- algoritmi
- Kaikki
- Salliminen
- Amazon
- Amazon Web Services
- keskuudessa
- ilmoitti
- antivirus
- Hakemus
- sovellukset
- arkkitehtuuri
- noin
- Hyökkäykset
- Authentication
- Automatisoitu
- Automaatio
- Varmuuskopiointi
- varmuuskopiot
- PARAS
- parhaat käytännöt
- Suurimmat
- Bitti
- Bitcoin
- Bitcoinin kaivostoiminta
- Blogi
- botit
- rikkominen
- rikkomisesta
- Bugs
- liiketoiminta
- yritykset
- Kampanja
- auto
- joka
- kiinni
- aiheutti
- todistukset
- Certification
- muuttaa
- lataus
- Tarkastukset
- pilvi
- pilvipalvelut
- koodi
- Koodaus
- Kaupankäynti
- yhteisö
- Yritykset
- noudattaminen
- tietojenkäsittely
- laskentateho
- Liitännät
- kustannukset
- Crash
- Luominen
- pisteitä
- luottokortti
- Luottokortit
- parantaa
- Asiakkaat
- cyber
- Cyber Attack
- cyberattacks
- tietoverkkojen
- tiedot
- tietoturvaloukkauksesta
- tietojen menetys
- tietoturva
- tietokanta
- päivä
- DDoS
- sopimus
- toimitus
- Detection
- kehittää
- Kehittäjä
- kehittäjille
- Kehitys
- Laitteet
- DID
- löysi
- löytö
- tuomio
- verkkokaupan
- verkkokaupan
- työntekijää
- salaus
- Engineers
- ympäristö
- jne.
- tapahtuma
- Laajentaa
- experience
- asiantuntijat
- laajennukset
- Ominaisuus
- Ominaisuudet
- taloudellinen
- taloudelliset tiedot
- Tulipalo
- Etunimi
- Korjata
- Puitteet
- Ilmainen
- koko
- tulevaisuutta
- gif
- Kulta
- hyvä
- Google Search
- suuri
- ohjaavat
- hakata
- hakkerit
- hakkerointi
- Käsittely
- hajautusta
- tätä
- vuokraus
- Etusivu
- hotellit
- Miten
- Miten
- HTTPS
- ajatus
- tunnistaa
- Identiteetti
- kuva
- Vaikutus
- tapahtuman vastaus
- Mukaan lukien
- teollisuus
- infektio
- tiedot
- tiedot
- tietoturva
- Infrastruktuuri
- vakuutus
- integraatio
- tahallisuus
- vuorovaikutus
- tunkeutumisen havaitseminen
- tutkimus
- osallistuva
- IP
- IP-osoite
- kysymykset
- IT
- JavaScript
- Job
- pito
- avain
- suuri
- uusin
- Uusimmat uutiset
- johtava
- Vuodot
- OPPIA
- oppinut
- Taso
- vastuu
- rajallinen
- linja
- merkittävä
- Tekeminen
- haittaohjelmat
- johto
- markkinat
- Marketing
- markkinat
- Media
- Kauppias
- Kauppiaat
- kaivos-
- nimet
- netto
- verkko
- verkkoliikenne
- uutiset
- numerot
- kampanja
- Tarjoukset
- virallinen
- perehdytyksessä
- verkossa
- avata
- avoimen lähdekoodin
- avautuu
- toiminta
- käyttöjärjestelmän
- Operations
- Vaihtoehdot
- Muut
- Muuta
- Paniikki
- Salasana
- salasanat
- läikkä
- Merkit
- maksu
- maksut
- PayPal
- PC
- PCI DSS
- Ihmiset
- suorituskyky
- henkilökohtaiset tiedot
- henkilöstö
- Phishing
- tietojenkalasteluhyökkäykset
- fyysinen
- Fyysinen turvallisuus
- foorumi
- Platforms
- kytkeä
- politiikka
- teho
- Ehkäisy
- yksityisyys
- Tuotteet
- tuotanto
- hankkeet
- suojella
- suojaus
- julkinen
- laatu
- elpyminen
- Raportit
- vaatimukset
- resurssi
- Esittelymateriaalit
- vastaus
- tulokset
- arviot
- Arvostelut
- säännöt
- ajaa
- juoksu
- SaaS
- turvallista
- skannata
- skannaus
- Haku
- turvallisuus
- turvajärjestelmät
- tietoturvapäivitykset
- näkee
- Palvelut
- setti
- Jaa:
- Kuori
- Lähetys
- Lyhyt
- Yksinkertainen
- Sivustot
- So
- Tuotteemme
- Ratkaisumme
- spam
- taulukkolaskentaohjelma
- standardit
- alkoi
- pysyä
- Levytila
- verkkokaupasta
- varastot
- tarinat
- tutkimus
- toimitettu
- onnistunut
- Tuetut
- Tukee
- järjestelmä
- järjestelmät
- Kohde
- Tekninen
- testi
- Testaus
- Tulevaisuus
- Projektit
- Lähde
- varkaus
- uhat
- aika
- vinkit
- tonnia
- raita
- liikenne
- kauppa
- Luottamus
- Päivitykset
- Päivitykset
- URI
- us
- usb
- Käyttäjät
- Vahvistus
- virukset
- haavoittuvuuksia
- alttius
- Haavoittuva
- verkko
- verkkopalvelut
- Verkkosivu
- sivustot
- viikoittain
- Mikä on
- KUKA
- WordPress
- sanoja
- Referenssit
- työnkulku
- toimii
- arvoinen
- X
- XSS
- vuosi
- vuotta