Magento biztonsági útmutató: Hogyan védheti meg webhelyét a hackerek ellen
14. szeptember 2020-e sok Magento-kereskedő számára a végzet napja lett. Több mint 2,800 Magento 1 üzlet volt csapkodott hogy ellopja a hitelkártya adatait az eddigi legnagyobb dokumentált kampányban.
Nem szokatlan, hogy hackerek pusztítást végeznek az e-kereskedelmi webhelyeken. Számítógépes kártevők, vírusok, férgek, trójaiak és sok más e-kereskedelmi csalások… sok csúnya dolog lebeg a neten. Mindig lesz valaki, aki megpróbál kihasználni egy sérülékeny rendszert, vagy rosszindulatú szándékkal illegális hozzáféréshez jut.
Ha nem szeretne részese lenni a következő Magento biztonsági megsértésnek, ez az útmutató az Ön számára készült. Olvasson tovább, és fedezze fel a Magento fő biztonsági réseit és azok megelőzésének módjait, hogy az Ön és ügyfelei adatai biztonságban legyenek.
Először is, mi a probléma a Magento 1 biztonsággal?
A Magento 1 fő problémája az, hogy már nem támogatott. 20. június 2020-án az Adobe bejelentette Magento 1 terméke élettartamának végét, így a platform kiadás elavulttá és kibertámadásokkal szembeni sebezhetővé válik.
Itt van egy korábban említett MageCart támadás oka. Az elavult Magento üzletek továbbra is vonzó célpontok azok számára, akik elhatározták, hogy személyes és pénzügyi adatokat lopnak el az online vásárlóktól.
A hackerek könnyedén megkereshetik a Magento elavult verzióit, és automatizált robotokkal hozzáférhetnek hozzájuk, shell-szkripteket tölthetnek fel, és telepíthetik a kártyalefutó kártevőket. A kártyalefutó támadások a végfelhasználók számára nem észlelhetők, ezért a webhelyek üzemeltetőire hárul a felelősség, hogy rendszereiket a Magento legújabb verziójára frissítsék. Ezen a ponton minden Magento 1.x-et használó webhelyet feltörtnek kell tekinteni.
– Paul Bischoff, a magánélet védelmezője Comparitech.
Ezért kell a Magento boltvédelmet az első helyen kezelni a kereskedők számára. A Magento 1 nem biztonságos, és soha nem is lesz az. De a Magento 1 biztos kezekben tart.
A Magento 2 biztonságban levont és megvalósított tanulságok
Ha kullancs csípett meg, az eltávolítása nem állítja meg a fertőzést. Ugyanez történt Magentoval is. Miután a Magento kritikus sérülékenységét megtalálták, frissítésre volt szükség. Az Adobe tehát az egész rendszert megújította, hogy kiküszöbölje a Magento biztonsági problémáit, és megvédje kereskedőit a jövőbeni hasonló támadásoktól.
Íme, a Magento biztonsági funkciói, amelyeket az Adobe a Magento 1 élettartamának lejárta után vezetett be.
Továbbfejlesztett jelszókezelés
A Magento 1 gyengébb jelszó-kivonatolási rendszert használ (egyirányú folyamat, amelynek során egy karaktersorozatot úgynevezett hash-jelszóvá alakítanak át). A Magento sérülékenységének kiküszöbölése érdekében a Magento 2 támogatja az Argon2ID13-at, amely erősebb kivonatolási algoritmust, mint a korábbi aranyszabvány, az SHA-256.
Az XSS-támadások jobb megelőzése
A Magento új szabályokat vezetett be a helyközi parancsfájlok (XSS) támadásainak megakadályozására azáltal, hogy a kihagyott adatokat alapértelmezetté tette.
Az XSS-támadások az adathalász támadások, a billentyűleütések naplózása és más jogosulatlan tevékenységek során használt rosszindulatú szkript-injektálás egy fajtája.
Rugalmasabb fájlrendszer-tulajdonjog és engedélyek
A 2.0.6-os verziótól kezdve a Magento lehetővé teszi a felhasználók számára állítsa be a fájlrendszerek hozzáférési engedélyeit. Az ajánlások szerint bizonyos fájlok és könyvtárak fejlesztői környezetben csak írhatók, éles környezetben pedig csak olvashatók.
A Clickjacking Exploitok jobb megelőzése
A Magento az X-Frame-Options HTTP-kérés fejlécével védi meg üzletét a kattintás elleni támadásoktól. További információkért lásd az X-Frame-Options fejlécet.
Automatikus titkosítási kulcs generálása
A Magento titkosítási kulcsot használ a jelszavak és az érzékeny adatok védelmére. Jelenleg a Magento 2 az AES-256 algoritmust használja, és az adminisztrációs panelen bármikor kiválaszthat egy véletlenszerű kulcsot.
Nem alapértelmezett Magento rendszergazdai URL használata
A hackerek automatizált jelszókitaláló robotokat használnak a vásárlók személyes adatainak és a kereskedők hozzáférésének lekérésére a back-office műveletekhez. Az ilyen típusú támadások megelőzése érdekében a Magento alapértelmezés szerint véletlenszerű rendszergazdai URI-t hoz létre a termék telepítésekor.
Következetes Magento 2 biztonsági javítások és frissítések
A legnagyobb ok, amiért a Magento 2 biztonsága felülmúlja a Magento 1-et, a rendszeres frissítések. Az Adobe utolsó Magento 1 biztonsági javítását 22. június 2020-én adták ki. Eközben a Magento 2 kereskedők negyedévente kapják meg a biztonsági javításokat hivatalosan Adobe biztonsági közlemény.
Hogyan csökkenti a Magento a sebezhetőségek hatását a Magento
A Magento 2 új architektúráján és biztonsági keretrendszerén túlmenően olyan folyamatok is léteznek, amelyek minimalizálják a sebezhetőségek hatását.
Ezek közé tartozik:
- Bug Bounty Program - A fejlesztők akár 10,000 XNUMX dolláros jutalmat kapnak a Magentoban talált hibákért. Ez egy nagyszerű módja annak, hogy bevonja a közösséget a Magento biztonságába.
- Magento biztonsági központ — Új biztonsági frissítések, javítások, bevált módszerek és még sok más található ezen az erőforráson. Akár további információra van szüksége egy javításról, akár utasításokra van szüksége a javítások/frissítések telepítéséhez, ez a hely, ahol el kell mennie.
- Biztonsági riasztási nyilvántartás — A Magento csapata reagál a sebezhetőségekre, és javításokat és frissítéseket biztosít az üzletek fenyegetésekkel szembeni védelme érdekében. Iratkozzon fel a Security Alert Registry-re, hogy e-maileket kapjon, amikor új biztonsági kiadás érkezik.
- Kódminőségi szabványok — A Magento törzsfejlesztő csapata a Magento kódolási szabvány és azt ajánlja, hogy a Magento-bővítményeket és testreszabásokat készítő fejlesztők is használják ezt a szabványt.
- Kiterjesztés minőségi program — A Magento Marketplace-re benyújtott összes bővítmény többlépcsős felülvizsgálati folyamaton megy keresztül: műszaki és marketing felülvizsgálaton. Ha valamelyik felülvizsgálatot nem sikerül átadni, a bővítményt nem teszik közzé.
Magento biztonsági ellenőrzőlista: Milyen biztonsági előírásokat kell betartani, hogy megbizonyosodjon arról, hogy webhelyem biztonságos?
Nincs olyan, hogy feltörhetetlen webhely. Még ha a legjobb fejlesztőket, mérnököket és biztonsági szakértőket alkalmazza is, akkor is fennáll a feltörés lehetősége.
Ezért azt javasoljuk, hogy szigorú biztonsági munkafolyamatot kényszerítsünk ki a belépéskor és a napi tevékenységek során.
Íme a Magento biztosításának módjai:
- Vegye figyelembe a biztonsági gyakorlatokat a belépési folyamatba
Bár ez magától értetődőnek tűnhet, gyakran figyelmen kívül hagyják mind a belső, mind a külső csapatok. Győződjön meg arról, hogy az üzletek új alkalmazottai, kihelyezett alkalmazottak és mindenki átesik a biztonsági bevezetésen. Javasoljuk a A CISO új munkaerő-felvételi ellenőrző listája. - Szigorú hozzáférési jogok érvényesítése
A bevezetési folyamat része annak meghatározása, hogy az alkalmazottnak milyen hozzáférési jogokra lesz szüksége a munkája elvégzéséhez. Fontos az információkhoz való hozzáférési jogok betartatása, és javasoljuk a hozzáférési jogok felülvizsgálatát is, hogy megbizonyosodjon arról, hogy a háta mögött nem sértik meg a szabályokat. tudsz állítsa be a felhasználói szerepköröket a Magento programban ezzel az útmutatóval. - Győződjön meg arról, hogy megfelel az ipari szabványoknak
Ez mind műszaki, mind üzleti szempontból. Webhelyének és a benne használt összes kódnak meg kell felelnie a PHP kódolási szabványoknak, tesztelési szabványoknak, és mindenkor PCI-kompatibilisnek kell lennie. A következő részben mutatunk egy használható ellenőrzőlistát, hogy PCI-kompatibilissé válhasson. - Feladatátvételi redundáns infrastruktúrával rendelkezik
Igen, megértjük, hogy Ön nem biztonsági szakértő, de meg kell kérdeznie a biztonságért felelős személyt, hogy van-e biztonsági mentési terve (amelynek ki kell terjednie arról, hogy miről készít biztonsági másolatot, milyen gyakran készít biztonsági másolatot, és mikor kell biztonsági másolatot használni). Fontos megjegyzés: a biztonsági mentéseket automatizálni kell. - Biztonságos harmadik féltől származó összetevők (modulok, szolgáltatások, bővítmények, alkalmazások)
Mint a Magento biztonsági bevált gyakorlatok mondjuk, győződjön meg arról, hogy a kiszolgálón futó összes alkalmazás biztonságos. Kerülje az olyan alkalmazások futtatását, mint a WordPress, ugyanazon a szerveren, mint a Magento, mert az egyik ilyen alkalmazásban lévő biztonsági rés potenciálisan felfedheti a Magento-ból származó információkat. Magától értetődik, hogy soha ne telepítsen nem megbízható forrásokból (például torrentoldalakról) származó bővítményeket. - Védje adatait
a. Infrastruktúra szegregáció
⇨ Ez összhangban van a harmadik féltől származó összetevők biztosításával. Semmilyen körülmények között ne futtasson fejlesztői, átmeneti és éles környezeteket ugyanazon a kiszolgálópéldányon.b. Korlátozott hozzáférés
⇨ Egy másik pont, amit érintettünk: a hozzáférési jogok kiterjednek a fejlesztőkre és a többi informatikusra. A csapat minden tagja semmilyen körülmények között nem rendelkezhet teljes adminisztrátori jogokkal.c. Személyes adatok védelme
⇨ Bár nyilvánvalónak tűnhet, a bevezetési folyamat részét kell képeznie annak, hogy az USB-meghajtókat és más tárolóeszközöket ne hozzuk működésbe. Ne feledje továbbá, hogy ne kattintson a gyanús linkekre, és ne nyisson meg gyanús e-maileket. Soha ne mondja el senkinek a jelszavát (különösen a Magento Admin jelszavát).
Tehát, ha az unalmas dolgok már nincsenek útban, térjünk rá Magento üzletének golyóállóvá tételére!
Golyóálló Magento biztonság: Hogyan védheti meg a Magento webhelyet 14 lépésben
1. lépés: Biztonsági audit
A Magento biztonságában sok mozgó alkatrész található. Egyetlen fejlesztő, építész, menedzser vagy más szerepkör sem érti A Magento biztonságában sok mozgó alkatrész található. Nincs fejlesztő, megoldás építész, menedzser vagy más szerepkörök értik a biztonsági kockázatokat, valamint képzett biztonsági szakértő. Éppen ezért az első lépés az, hogy webhelyét szakértővel fésülje át. Lehetőleg ezt évente legalább egyszer meg kell tennie a biztonság megőrzése érdekében.
2. lépés: Automatikus biztonsági vizsgálat
Nagyszerű hír, hogy nem kell minden alkalommal harmadik félhez fordulnia, amikor vizsgálatot szeretne végrehajtani. A Magento ingyenes biztonsági vizsgálatot kínál.
A Magento Security Scan lehetővé teszi az összes webhely (ha több van) megfigyelését a lehetséges kockázatok tekintetében, és kiemeli a szükséges javításokat és frissítéseket. Állítson be ütemezést (a Magento heti rendszerességgel javasolja a szkennelést), és minden sikertelen tesztről jelentést és korrekciós intézkedést kap. A kezdéshez nézd meg ezt az útmutatót.
Vannak ingyenes szkennelő eszközök is, mint például MageReport, de nem olyan mélyreható, mint a Magento eszköze, és nem kínál automatikus vagy ütemezett vizsgálatot.
3. lépés: Magento Admin Security
A Magento többrétegű megközelítést javasol adminisztrátori fiókod biztonsága(S).
Ezek az alábbiak:
- Állítsa be a jelszavak biztonsági szintjét
- Állítsa be a bejelentkezési kísérletek számát
- Konfigurálja a billentyűzet inaktivitási idejét a munkamenet lejárta előtt
- Kis- és nagybetűket megkülönböztető felhasználónevek és jelszavak megkövetelése
Admin jelszavak
Jelszóbeállítások rendszergazdák számára
Az Admin oldalsávon lépjen a következőre: Üzletek > Beállítások > Konfiguráció.
alatti bal oldali panelen Részletes, válassza az Adminisztrációt.
Bontsa ki a Biztonság szakasz.
Az alapértelmezett Admin URL módosítása
Célszerű az alapértelmezett adminisztrátori URL-t valami másra módosítani, hogy kevésbé legyen célpont a hackerek számára.
Alapértelmezett alap URL: http://yourdomain.com/magento/
Alapértelmezett rendszergazdai URL és elérési út: http://yourdomain.com/magento/admin
Van egy egyszerű módja módosítsa az adminisztrátori URL-t elérhető az adminisztrációs panelen, de ne feledje, hogy a hibák minden rendszergazdá számára elérhetetlenné teszik a webhelyet, és a probléma megoldásának egyetlen módja a szerver konfigurációs fájlok szerkesztése (ezt nem szeretné megtapasztalni, bízzon bennünk).
IP fehérlistázás
Talán hallott már a feketelistáról – amikor blokkolja a hozzáférést egy bizonyos webhelyhez, IP-címhez vagy hálózathoz.
whitelisting az ellenkezője – bizonyos információkhoz, webhelyekhez és esetünkben a Magento adminisztrációs panelhez való hozzáférést csak megbízható IP-címekhez engedélyezi.
4. lépés: Állítsa be a felhasználói szerepköröket
A Magento tartalmaz lehetőségeket az adminisztrátorok hozzáférésének korlátozására. Más szavakkal, engedélyeket hozhat létre annak korlátozására, hogy a webhely adminisztrátora mit láthat, és korlátozott hozzáférést biztosíthat számukra.
A felhasználói szerepköröket az Adminisztrálás oldalsávján állíthatja be. Kattintson rendszer, al Engedélyek, választani felhasználói szerepek. Kattintson a jobb felső sarokban Új szerep hozzáadása.
Miután kiosztotta a Szerepnév és a jelszó megadásával beállíthatja a Szerepkör (lásd az alábbi képet).
A Magento Commerce lehetővé teszi az adminisztrátorok által végrehajtott műveletek naplózását. A műveleti naplók bekapcsolásához navigáljon ide Üzletek > Beállítások > Konfiguráció. A bal oldali panelen bontsa ki a Speciális lehetőséget És válasszon Admin. Bontsa ki a Rendszergazdai műveletek naplózása szakaszt, és jelölje be a jelölőnégyzetet engedélyezze az admin naplózást minden egyes naplózni kívánt művelethez.
5. lépés: A Captcha és a Google reCaptcha konfigurálása
Magentoban mindkettőt beállíthatja Captcha és a Google reCaptcha adminoknak és ügyfeleknek. Mindkettő megvédi Önt a spamtől és más típusú automatizált visszaélésektől.
Captcha egy emberi érvényesítési teszt, azaz az elmosódott, kacskaringós betűk és számok, amelyeket valószínűleg hunyorogva kellett látnia.
Google reCaptcha az „I Am Not A Robot” (Nem vagyok robot) jelölőnégyzet.
Láthatatlan reCAPTCHA (Magento ajánlott) – amely automatikusan, minden interakció nélkül ellenőrzi, hogy a felhasználó ember-e. Varázslatnak hangzik, de a Google-nak sikerült megtalálnia a módját ennek.
6. lépés: Kéttényezős hitelesítés (2FA)
A kéttényezős hitelesítés vagy röviden 2FA egy olyan módszer, amellyel megerősítik a felhasználó személyazonosságát azáltal, hogy a felhasználók elvégzik az ellenőrzési folyamat második lépését. Magento 2FA csak az adminisztrátor felhasználók számára érhető el, és nem terjed ki az ügyfélfiókokra.
Így konfigurálhatja a 2FA-t a Magento-ban:
Az Admin oldalsávon lépjen a következőre: Üzletek > Beállítások > Konfiguráció.
A bal oldali panelen bontsa ki a Biztonság elemet, és válassza a 2FA lehetőséget.
7. lépés: Titkosító kulcs
Amikor először indítja el a Magento-t, a rendszer automatikusan létrehoz egy titkosítási kulcsot. Ez a kulcs a jelszavak és más érzékeny adatok, például a hitelkártyaadatok és az integrációs (fizetési és szállítási modul) jelszavak védelmére szolgál.
A Magento azt javasolja, hogy ezt a kulcsot mindig biztonságosan és rejtve tartsa. Ha adatszivárgást tapasztal, létrehozhat egy új titkosítási kulcsot, hogy megakadályozza, hogy bárki hozzáférjen az adatokhoz a régi kulccsal.
Tudod új kulcsot generál az adminisztrációs panelen. Ismétlem, nem javasoljuk, hogy ezt önállóan tegye.
8. lépés: Jelszókövetelmények
A Magento legalább hét karaktert igényel (betűket és számokat egyaránt). Javasoljuk, hogy használjon valamivel robusztusabbat – egy 10-12 karakteres alfanumerikus jelszót.
Profi tipp — Ne próbáljon saját magának jelszót kitalálni. Javasoljuk a használatát LastPass hogy véletlenszerűen generáljon jelszót.
Változtassa meg jelszavait, ha azt gyanítja, hogy adatvédelmi incidens történt, függetlenül attól, hogy fiókját feltörték-e vagy sem, és állítson be emlékeztetőt a jelszócserére évente egyszer.
Közvetlenül az adminisztrációs felületen állíthatja be az ügyfelek és a rendszergazdák által használt jelszavak biztonsági szintjét
Jelszóbeállítások az ügyfelek számára
Az Admin oldalsávon lépjen a következőre: Üzletek > Beállítások > Konfiguráció.
A bal oldali panelen bővíteni az ügyfeleket és a válassza az Ügyfél konfigurációja lehetőséget.
Bontsa ki a Jelszó opciók szakasz.
9. lépés: PCI megfelelőség
A nagy hitelkártya-társaságok létrehozták a Payment Card Industry Data Security Standard (PCI DSS) szabványt, hogy biztosítsák a kereskedők számára a kritikus biztonsági intézkedések elfogadását. Azok a kereskedők, akik nem tartják be a PCI-követelményeket, jelentős bírságra számíthatnak, ami a fizetési képességük elvesztésével is járhat.
A Magento megkönnyíti a kereskedők számára a PCI-kompatibilissé válást – a Magento Commerce Cloud PCI-tanúsítvánnyal rendelkezik, a Magento pedig integrált fizetési átjárók mint a PayPal, az Authorize.Net és mások, amelyek biztonságosan továbbítják a hitelkártyaadatokat.
12 A PCI-DSS követelményei | |
Biztonságos hálózat kiépítése és karbantartása | 1. követelmény: Telepítsen és tartson fenn egy tűzfalkonfigurációt a kártyatulajdonosok adatainak védelme érdekében 2. követelmény: Ne használja a gyártó által biztosított alapértelmezett rendszerjelszavakat és egyéb biztonsági paramétereket |
Védje a kártyabirtokos adatait | 3. követelmény: A kártyabirtokos tárolt adatainak védelme 4. követelmény: A kártyabirtokos adatok nyílt, nyilvános hálózatokon keresztüli továbbításának titkosítása |
Fenntartani a sebezhetőség-kezelési programot | 5. követelmény: Használjon és rendszeresen frissítse a víruskereső szoftvert 6. követelmény: Biztonságos rendszerek és alkalmazások fejlesztése és karbantartása |
Erős hozzáférés-ellenőrzési intézkedések végrehajtása | 7. követelmény: A kártyabirtokos adatokhoz való hozzáférés korlátozása üzleti szükségletek alapján 8. követelmény: Minden számítógép-hozzáféréssel rendelkező személyhez rendeljen egyedi azonosítót 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférés korlátozása |
Rendszeresen figyelje és tesztelje a hálózatokat | 10. követelmény: Kövesse nyomon és figyeljen minden hozzáférést a hálózati erőforrásokhoz és a kártyatulajdonosok adataihoz 11. követelmény: Rendszeresen tesztelje a biztonsági rendszereket és folyamatokat |
Tartson be egy információbiztonsági szabályzatot | 12. követelmény: Tartson fenn olyan szabályzatot, amely az információbiztonsággal foglalkozik |
Fontos megjegyzés: NE HASZNÁLJA a Mentett hitelkártyák modul termelési környezetben!
A mentett hitelkártyák nem PCI-kompatibilisek és előfordulhat, hogy felfedi ügyfelei hitelkártyaadatait.
10. lépés: Telepítse a biztonsági bővítményeket
Ha a natív funkciók nem elegendőek, a bővítmények segítenek. A Magento a biztonsági bővítmények gazdag tárházával rendelkezik – fizetős és ingyenes. Íme néhány, amit kipróbálhatsz:
11. lépés: Biztonsági automatizálási megoldások
A biztonsági automatizálás a biztonsággal kapcsolatos feladatok, például a víruskereső, a behatolásészlelés, a biztonsági mentések létrehozása, az SSL-tanúsítványok megújítása és még sok más automatikus kezelésének folyamata.
IBM úttörő felfedezést tett: Az automatizált biztonsági megoldásokkal nem rendelkező szervezeteknél 95%-kal magasabbak voltak az incidensek költségei, mint a teljesen telepített automatizálással rendelkező szervezeteknél.
12. lépés: Kiberfelelősségbiztosítás
Csakúgy, mint bármely más típusú biztosítás (autó, lakás stb.), a kiberbiztosítás megvédi a vállalkozásokat a kibertámadások okozta károktól. Különösen a kiberfelelősség vonatkozik
- Az alkalmazottak lopását és/vagy adatszivárgást követő adatsértések.
- Kiberüzlet megszakítása, például egy harmadik féltől származó feltörés vagy meghibásodott szoftverjavítás.
- Hackelést követő adatsértések.
- Biztonsági behatolást eredményező hibák és kihagyások.
13. lépés: Készítsen eseményreagáló csapatot és tervet
Ha nem rendelkezik incidensre adott választervvel (vagy nem tudja, mi ez), hozzunk létre egyet.
Hogy könnyebb legyen, vettük Talesh Seeparsan Magento-központú Incident Response Plan Template és készített egy Google-táblázatot, amelyet másolhat saját használatra.
A sablon használatának előfeltételei:
- Hozzon létre egy Incident Response Team (IRT) csoportot a biztonsági incidensek kezelésére az e-kereskedelmi megoldás minden egyes aspektusára vonatkozóan. ezt a táblázatot.
- Rendszeresen figyelje és elemezze a hálózati forgalmat és a rendszer teljesítményét.
- Rutinszerűen ellenőrizze az összes naplót és naplózási mechanizmust, beleértve az operációs rendszer eseménynaplóit, az alkalmazásspecifikus naplókat és a behatolásészlelési rendszernaplókat.
- Ellenőrizze a biztonsági mentési és visszaállítási eljárásokat. Tisztában kell lennie azzal, hogy hol tárolják a biztonsági másolatokat, kik férhetnek hozzá, valamint az adat-visszaállítási és rendszer-helyreállítási eljárásokkal. Ügyeljen arra, hogy rendszeresen ellenőrizze a biztonsági másolatokat és az adathordozókat az adatok szelektív visszaállításával.
IBM megtalaltam IRT-vel rendelkező vállalatok és választervük kiterjedt tesztelése több mint 1.2 millió dollárt takarított meg. Pontosabban, a tanulmány kimutatta, hogy az IRT és az incidensreagálási terv gyakorlatokon és szimulációkon keresztül történő tesztelése együttes hatása segítette a csapatokat abban, hogy gyorsabban reagáljanak, és nagyobb költségmegtakarítást érjenek el, mint bármely egyedi biztonsági folyamat.
14. lépés: A Magento frissítése és frissítése legyen
Nincs mentség arra, hogy nincs javított és teljesen frissített Magento áruház.
Magento biztonsági javítás telepítéséhez meg kell tennie
- Készítsen biztonsági másolatot a fájlrendszerről, az adathordozóról és az adatbázisról, hogy elkerülje az adatvesztést, ha valami hiba történne.
- Töltse le a javítást (más néven gyorsjavítást) innen Magento biztonsági központ. Ne feledje, hogy a megfelelő javítás letöltéséhez ismernie kell a Magento verzióját.
- Helyezzen fel egy javítást via Magento Quality Patch (MQP) csomag, parancssor vagy zeneszerző.
Vizsgálja át webhelyét, azonosítsa a telepítendő javításokat, és ne engedje, hogy a hackerek könnyen hozzáférjenek egy sebezhetőségen keresztül. Iratkozzon fel a Magento Security Alert Registry-re, és időről időre látogasson el a Magento Security Centerbe a legfrissebb hírekért és információkért.
Hogy megkímélje magát némi bajtól, ezt is megteheti béreljen fel egy Magento fejlesztőt. Gyorsan telepítik a Magento biztonsági javítást – legyen az gyorsjavítás vagy egyedi javítás.
Mi a teendő, ha webhelyét feltörték
Ne essen pánikba. Ha adatvédelmi incidens vagy információlehetőség történt, nincs mód arra, hogy ezeket az információkat visszaszerezze. Prioritása annak meghatározása, hogy mi került nyilvánosságra, bizonyítékokat gyűjtsön, és gondoskodjon arról, hogy az adatok ne szivárogjanak ki.
Kövesse az incidens-elhárítási tervet:
- Készítsen egy kezdeti értékelést
- Közölje az esetet
- Tartsa vissza a károkat és minimalizálja a kockázatokat
- Határozza meg a kompromisszum súlyosságát
- Őrizze meg a bizonyítékokat
- Kommunikáljon minden külső értesítést
- Az események bizonyítékainak összeállítása és rendszerezése
Elogikus tapasztalat a kibertámadásokkal kapcsolatban
Hogy megtudjuk, mivel találkoznak az Elogic fejlesztői munkájuk során, körbekérdeztünk, és megtudtunk két vad történetet a rosszindulatú szándékokról.
A Bitcoin bányászati kudarca
Az egyik legtapasztaltabb full-stack fejlesztőnk az Elogicnál, Andriy Biloshytskiy néhány évvel ezelőtt érdekes élményben volt része. Valami nagyon furcsa dolog történt az egyik projekttel, amelyen akkoriban dolgozott.
Nem voltak friss frissítések az oldalon, semmi sem változott, kivéve, hogy az oldal nem működött” – mondja Andriy. „Tehát felületes vizsgálatot végeztem, és találtam valami furcsa és mulatságos dolgot – volt egy JavaScript-kód zárócímkék nélkül, ami az összeomlást okozta. A Google keresése után rájöttem, hogy a rosszindulatú szkript az üzletbe látogató emberek számítási teljesítményét kívánta átszippantani – Bitcoin bányászatára.
– Andriy Biloshytskiy, Full-stack fejlesztő az Elogic Commerce-nél
Az elkövetőt (esetleg bolti adminisztrátort) soha nem sikerült elkapni. Az üzlet nem rendelkezett rendszergazdai naplókkal, így nem lehetett biztosan tudni, ki a felelős.
A váratlan vírus
Amikor a fejlesztők projekteken dolgoznak, gyakran klónozzák a boltot a munkahelyi számítógépükön vagy szerverükön, hogy teszteljék és új kódot írjanak. Ez a történet azután történt, hogy az egyik fejlesztőnk klónozott egy boltot, de ahelyett, hogy azonnal dolgozni kezdett volna, egy felugró ablakot látott.
Az előugró ablak figyelmeztetés volt a víruskereső szoftverétől, és a fertőzés forrása a frissen telepített Magento példány volt. Miután megtalálta a fertőzött fájlt, egy központi PHP-fájlt, a fejlesztő törölte a rosszindulatú kódot, és folytatta a munkáját.
A történet morálja: akár célzott a támadás, akár emberi hiba, akár rendszerhiba/sebezhetőség, a biztonsági szabványok bevezetésével és követésével segíthet megelőzni a jogsértéseket.
A Magento kereskedelem biztonságosabb, mint a nyílt forráskódú Magento?
Közötti választás közben Magento 2 Commerce kontra nyílt forráskód, talán azon tűnődhetett, melyik a biztonságosabb. Bár igaz, hogy mindkét Magento-kiadás kiemelkedő funkciókészletet kínál (természetesen a kereskedő üzleti igényeitől függően), garantálni tudjuk a Magento Commerce (más néven Adobe Commerce) biztonságát.
Íme a Magento Commerce és a Commerce Cloud használatának öt fő biztonsági előnye.
PCI-megfelelés
A PCI-megfelelőség nem szerepel a Magento nyílt forráskódú szolgáltatásban, de a Magento Commerce tartalmazza. Még jobb, hogy a Magento Commerce Cloud PCI-tanúsítvánnyal rendelkezik, mint 1. szintű megoldásszolgáltató, így a kereskedők használhatják a Magento PCI megfelelőségi tanúsítványát saját PCI-tanúsítási folyamatuk elősegítésére.
Megosztott biztonsági felelősség
A Magento Commerce Cloud rendelkezik a megosztott felelősségű biztonsági modell ahol Ön, a Magento és az Amazon Web Services (a legjobb felhőszolgáltatások) megosztja a felelősséget az üzembiztonságért. Ön felelős az egyéni kód és az egyéni alkalmazások teszteléséért. A Magento gondoskodik a platform biztonságáról, az Amazon pedig a szerverek fizikai biztonságáról és a megfelelőségről.
Műveletnaplók
A Magento Commerce lehetővé teszi, hogy nyilvántartást vezessen az üzletében dolgozó adminisztrátor által végrehajtott minden változtatásról (műveletről). A naplózott információ tartalmazza a felhasználó nevét, a műveletet és azt, hogy a művelet sikeres volt-e, valamint naplózza az IP-címet és a dátumot is.
Webalkalmazások tűzfala (WAF)
Csakúgy, mint a PC tűzfala, a WAF biztonsági szabályok segítségével megakadályozza a rosszindulatú forgalom bejutását a hálózatba. A szabályokat kiváltó forgalom blokkolva van, mielőtt felszabadulna az Ön webhelyén vagy hálózatán. Magento Commerce Cloud használ Gyorsan CDN WAF szolgáltatásokhoz.
Content Delivery Network (CDN) és DDoS védelem
A Magento Commerce Cloud a Fastly CDN-t is használja további biztonsági funkciókhoz, például DDoS-védelemhez, amely magában foglalja a 3., 4. és 7. rétegű DDoS-csökkentést.
Elvihető – Magento biztonsági tippek és bevált gyakorlatok
A webhelyek biztonságának és tágabb értelemben a kiberbiztonságnak kell az egyik fő prioritásnak lennie. Ön nem csak egy blogot vagy személyes oldalt vezet, hanem a bizalmas adatok védelméért is felelős, beleértve a neveket, címeket, telefonszámokat és hitelkártyaadatokat.
Ne feledje:
- Még egy teljesen javított és frissített webhely is feltörhető. Például egy gyenge adminisztrátori jelszó durva erővel kényszeríthető, és a hackerek besétálhatnak, és mindent összegyűjthetnek, amit akarnak. Ezért rendszeresen végezzen Magento biztonsági ellenőrzéseket.
- Nem számolhat új sebezhetőségekkel vagy nulladik napi kihasználással (olyan kibertámadás, amely a gyengeség felfedezésének napján történik). Azonban egy erős incidensreagálási terv segíthet abban, hogy egy lépéssel előrébb maradjon.
- "Egy csepp megelőzés is megér egy font gyógymódot." Ben Franklinnek igaza volt. Ha üzletét a biztonság szem előtt tartásával konfigurálta, betartotta az általunk felvázolt kiberbiztonsági munkafolyamatot, és golyóállóvá tette üzletét, rengeteg időt és szívfájdalmat takaríthat meg.
- Ne kössön kompromisszumot a biztonság terén, különben a biztonság hiánya veszélyezteti Önt.
Magento biztonsági GYIK
A Magento biztonságos?
A Magento 1 kudarca után az Adobe új biztonsági szintre frissítette a Magento 2-t. A Magento e-kereskedelmi architektúráját úgy tervezték, hogy rendkívül biztonságos környezetet biztosítson a webalkalmazási tűzfalnak (WAF), a Fastly CDN-nek az extra DDoS-védelemért és az adatok titkosítását szolgáló kivonatolásnak köszönhetően. A biztonsági javításokat negyedévente adják ki, és elérhető a Magento Security Scanner. A kereskedők emellett SSL-tanúsítványokat, CAPTCHA-t, kéttényezős hitelesítést és más Magento biztonsági bevált módszereket is használhatnak ügyfeleik védelmére.
Tehát nyugodtan kijelenthetjük, hogy a Magento az egyik legbiztonságosabb platform az e-kereskedelmi piacon kínált platformok között.
Hogyan lehet biztonságossá tenni a Magento webhelyet?
Néhány bevált módszer a Magento biztosítására a következők:
- Rendszeresen ellenőrizze a Magento biztonságát – legyen az automatikus Magento kártevő-ellenőrző eszköz, vagy Magento szakember segítségével.
- Használjon titkosított kapcsolatokat (SSL/HTTPS).
- Aktiválja a kéttényezős hitelesítést.
- Rendszeresen készítsen biztonsági másolatot webhelyéről.
- Válasszon megbízható tárhelyszolgáltatókat
- Használja ki a natív Magento biztonsági funkciókat, és telepítsen biztonsági bővítményeket, amikor csak szükséges.
- Készítse el cselekvési tervét egy kibervészhelyzet esetére.
Tekintse meg a teljes Magento biztonsági ellenőrzőlistát fent.
A Magento PCI kompatibilis?
A Magento PCI megfelelősége a kiadástól függ:
Magento nyílt forráskódú nem PCI-kompatibilis, ezért vagy egy harmadik fél fizetési módot kell alkalmaznia, amely átirányítja Önt egy másik webhelyre a tranzakció végrehajtásához (például PayPal, Authorize.net), vagy egy SaaS PCI-kompatibilis fizetési módot (CRE Secure).
Magento Commerce és Commerce Cloud PCI-tanúsítvánnyal rendelkeznek, mint 1. szintű megoldásszolgáltató.
Forrás: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- hozzáférés
- Fiók
- Akció
- tevékenységek
- További
- admin
- vályogtégla
- Előny
- szószóló
- algoritmus
- Minden termék
- lehetővé téve
- amazon
- Az Amazon Web Services
- között
- bejelentés
- víruskereső
- Alkalmazás
- alkalmazások
- építészet
- körül
- Támadások
- Hitelesítés
- Automatizált
- Automatizálás
- mentés
- mentések
- BEST
- legjobb gyakorlatok
- Legnagyobb
- Bit
- Bitcoin
- Bitcoin bányászat
- Blog
- botok
- megsértése
- megsértésének
- bogarak
- üzleti
- vállalkozások
- Kampány
- autó
- ami
- elkapott
- okozott
- tanúsítványok
- Tanúsítvány
- változik
- díj
- Ellenőrzések
- felhő
- felhő szolgáltatások
- kód
- Kódolás
- Kereskedelem
- közösség
- Companies
- teljesítés
- számítástechnika
- számítási teljesítmény
- kapcsolatok
- kiadások
- Crash
- létrehozása
- hitel
- hitelkártya
- Bankkártyák
- gyógyít
- Ügyfelek
- cyber
- Cyber Attack
- cyberattacks
- Kiberbiztonság
- dátum
- adatok megsértése
- adatvesztés
- adatbiztonság
- adatbázis
- nap
- DDoS
- üzlet
- kézbesítés
- Érzékelés
- Fejleszt
- Fejlesztő
- fejlesztők
- Fejlesztés
- Eszközök
- DID
- felfedezett
- felfedezés
- végzet
- e-commerce
- e-kereskedelem
- alkalmazottak
- titkosítás
- Mérnökök
- Környezet
- stb.
- esemény
- Bontsa
- tapasztalat
- szakértők
- kiterjesztések
- Funkció
- Jellemzők
- pénzügyi
- pénzügyi adat
- természet
- vezetéknév
- Rögzít
- Keretrendszer
- Ingyenes
- Tele
- jövő
- gif
- Arany
- jó
- Google keresés
- nagy
- útmutató
- csapkod
- hackerek
- hacker
- Kezelés
- tördelő
- itt
- bérel
- Kezdőlap
- tárhely
- Hogyan
- How To
- HTTPS
- ötlet
- azonosítani
- Identitás
- kép
- Hatás
- eseményre adott válasz
- Beleértve
- ipar
- fertőzés
- info
- információ
- információ biztonság
- Infrastruktúra
- biztosítás
- integráció
- A szándék
- kölcsönhatás
- Behatolásészlelő
- vizsgálat
- részt
- IP
- IP-cím
- kérdések
- IT
- JavaScript
- Munka
- tartás
- Kulcs
- nagy
- legutolsó
- Legfrissebb hírek
- vezető
- Szivárgás
- TANUL
- tanult
- szint
- felelősség
- Korlátozott
- vonal
- fontos
- Gyártás
- malware
- vezetés
- piacára
- Marketing
- piactér
- Média
- Kereskedő
- kereskedők
- Bányászati
- nevek
- háló
- hálózat
- hálózati forgalom
- hír
- számok
- ajánlat
- Ajánlatok
- hivatalos
- Beszállás
- online
- nyitva
- nyílt forráskódú
- nyit
- üzemeltetési
- operációs rendszer
- Művelet
- Opciók
- Más
- Egyéb
- Pánik
- Jelszó
- jelszavak
- Tapasz
- Patches
- fizetés
- kifizetések
- PayPal
- PC
- PCI DSS
- Emberek (People)
- teljesítmény
- személyes adat
- személyzet
- Adathalászat
- adathalász támadások
- fizikai
- Fizikai biztonság
- emelvény
- Platformok
- csatlakoztat
- politika
- hatalom
- Megelőzés
- magánélet
- Termékek
- Termelés
- projektek
- védelme
- védelem
- nyilvános
- világítás
- felépülés
- Jelentések
- követelmények
- forrás
- Tudástár
- válasz
- Eredmények
- Kritika
- Vélemények
- szabályok
- futás
- futás
- SaaS
- biztonságos
- beolvasás
- letapogatás
- Keresés
- biztonság
- biztonsági rendszerek
- biztonsági frissítések
- lát
- Szolgáltatások
- készlet
- Megosztás
- Héj
- Szállítás
- rövid
- Egyszerű
- Webhely (ek)
- So
- szoftver
- Megoldások
- spam
- táblázatkezelő
- szabványok
- kezdődött
- tartózkodás
- tárolás
- tárolni
- árnyékolók
- TÖRTÉNETEK
- Tanulmány
- benyújtott
- sikeres
- Támogatott
- Támogatja
- rendszer
- Systems
- cél
- Műszaki
- teszt
- Tesztelés
- A jövő
- A projektek
- The Source
- lopás
- fenyegetések
- idő
- tippek
- Tónus
- vágány
- forgalom
- tranzakció
- Bízzon
- Frissítések
- Frissítés
- URI
- us
- usb
- Felhasználók
- Igazolás
- vírusok
- sérülékenységek
- sebezhetőség
- Sebezhető
- háló
- webes szolgáltatások
- weboldal
- honlapok
- heti
- Mi
- WHO
- WordPress
- szavak
- Munka
- munkafolyamat
- művek
- érdemes
- X
- XSS
- év
- év