Panduan Keamanan Magento: Cara Mengamankan Situs Web Anda dari Peretas
14 September 2020 menjadi hari kiamat bagi banyak pedagang Magento. Lebih dari 2,800 toko Magento 1 berada hack untuk mencuri rincian kartu kredit dalam kampanye terdokumentasi terbesar hingga saat ini.
Bukan hal yang aneh bagi peretas untuk membuat kekacauan di situs web e-commerce. Malware komputer, virus, worm, trojan, dan banyak lainnya penipuan e-niaga… Ada banyak hal buruk yang beredar di internet. Akan selalu ada seseorang yang mencoba memanfaatkan sistem yang rentan atau mendapatkan akses yang melanggar hukum dengan niat jahat.
Jika Anda tidak ingin menjadi bagian dari pelanggaran keamanan Magento berikutnya, panduan ini cocok untuk Anda. Baca terus untuk mengetahui kerentanan utama keamanan Magento dan cara mencegahnya sehingga data Anda dan data pelanggan Anda aman.
Hal Pertama Yang Pertama, Apa Masalah Keamanan Magento 1?
Masalah utama Magento 1 adalah tidak lagi didukung. Pada tanggal 20 Juni 2020, Adobe mengumumkan berakhirnya masa pakai produk Magento 1, sehingga membuat edisi platform menjadi usang dan rentan terhadap serangan siber.
Di sana Anda mengetahui alasan serangan MageCart yang disebutkan sebelumnya. Toko Magento yang sudah ketinggalan zaman tetap menjadi target menarik bagi mereka yang bertekad mencuri data pribadi dan keuangan dari pelanggan online.
Peretas dapat dengan mudah memindai versi Magento yang sudah ketinggalan zaman dan menggunakan bot otomatis untuk mengaksesnya, mengunggah skrip shell, dan menginstal malware card skimming. Serangan card skimming tidak dapat dideteksi oleh pengguna akhir, sehingga operator situs web bertanggung jawab untuk memperbarui sistem mereka ke versi terbaru Magento. Pada titik ini, situs web apa pun yang menggunakan Magento 1.x dianggap telah disusupi.
— Paul Bischoff, advokat privasi di Comparitech.
Itu sebabnya perlindungan toko Magento harus menjadi prioritas #1 bagi pedagang. Magento 1 tidak aman dan tidak akan pernah aman. Namun Magento 2 akan membuat Anda tetap aman.
Pelajaran yang Dipetik dan Diimplementasikan dalam Keamanan Magento 2
Jika Anda digigit kutu, mengeluarkan diri Anda sendiri tidak akan menghentikan infeksinya. Hal yang sama terjadi dengan Magento. Setelah kerentanan kritis ditemukan di Magento, diperlukan peningkatan. Jadi Adobe mengubah seluruh sistem untuk menghilangkan masalah keamanan Magento dan melindungi pedagang mereka dari serangan serupa di masa depan.
Berikut adalah fitur keamanan Magento yang diperkenalkan Adobe setelah masa pakai Magento 1 berakhir.
Manajemen Kata Sandi yang Ditingkatkan
Magento 1 menggunakan sistem hashing kata sandi yang lebih lemah (proses satu arah untuk mengubah serangkaian karakter menjadi apa yang dikenal sebagai kata sandi hash). Untuk mengatasi kerentanan Magento ini, Magento 2 mendukung Argon2ID13, algoritma hashing yang lebih kuat dari standar emas sebelumnya — SHA-256.
Peningkatan Pencegahan Serangan XSS
Magento telah menerapkan aturan baru untuk mencegah serangan skrip lintas situs (XSS) dengan menjadikan data yang lolos sebagai default.
Serangan XSS adalah jenis injeksi skrip berbahaya yang digunakan dalam serangan phishing, mencatat penekanan tombol, dan aktivitas tidak sah lainnya.
Kepemilikan dan Izin Sistem File yang Lebih Fleksibel
Mulai versi 2.0.6, Magento mengizinkan pengguna untuk melakukannya mengatur izin akses sistem file. Rekomendasinya adalah file dan direktori tertentu menjadi hanya tulis di lingkungan pengembangan dan hanya baca di lingkungan produksi.
Peningkatan Pencegahan Eksploitasi Clickjacking
Magento melindungi toko Anda dari serangan clickjacking dengan menggunakan header permintaan HTTP X-Frame-Options. Untuk informasi lebih lanjut, lihat header X-Frame-Options.
Kunci Enkripsi yang Menghasilkan Otomatis
Magento menggunakan kunci enkripsi untuk melindungi kata sandi dan data sensitif. Saat ini, Magento 2 menggunakan algoritma AES-256, dan Anda dapat memilih untuk membuat kunci acak kapan saja melalui panel admin.
Penggunaan URL Admin Magento Non-Default
Peretas menggunakan bot penebak kata sandi otomatis untuk mengambil data pribadi pembeli dan akses pedagang ke operasi back-office. Untuk mencegah serangan jenis ini, Magento secara default membuat URI Admin acak saat Anda menginstal produk.
Patch dan Pembaruan Keamanan Magento 2 yang Konsisten
Alasan terbesar mengapa keamanan Magento 2 mengalahkan Magento 1 adalah pembaruan rutin. Patch keamanan Magento 1 terakhir dari Adobe dirilis pada 22 Juni 2020. Sementara itu, pedagang Magento 2 mendapatkan patch keamanannya setiap triwulan secara resmi. Buletin Keamanan Adobe.
Bagaimana Magento Bagaimana Magento Meminimalkan Dampak Kerentanan
Selain arsitektur baru dan kerangka keamanan Magento 2, terdapat proses yang diterapkan untuk meminimalkan dampak kerentanan.
Mereka termasuk:
- Program Bounty Bug — Pengembang diberi hadiah hingga $10,000 untuk bug yang ditemukan di Magento. Ini adalah cara yang bagus untuk melibatkan komunitas dalam keamanan Magento.
- Pusat Keamanan Magento — Pembaruan keamanan baru, patch, praktik terbaik, dan banyak lagi dapat ditemukan di sumber daya ini. Apakah Anda memerlukan informasi lebih lanjut tentang suatu patch atau memerlukan instruksi untuk menginstal patch/pembaruan, inilah tempatnya.
- Registri Peringatan Keamanan — Tim Magento merespons kerentanan dan menyediakan patch dan pembaruan untuk melindungi toko dari ancaman. Berlangganan ke Security Alert Registry untuk menerima email setiap kali ada rilis keamanan baru.
- Standar kualitas kode — Tim pengembangan inti Magento menggunakan Standar Pengkodean Magento dan merekomendasikan agar pengembang yang membuat ekstensi dan penyesuaian Magento juga menggunakan standar ini.
- Program kualitas penyuluhan — Semua ekstensi yang dikirimkan ke Magento Marketplace melalui proses peninjauan multi-langkah: tinjauan teknis dan pemasaran. Jika salah satu tinjauan tidak lolos, ekstensi tidak akan diizinkan untuk dipublikasikan.
Daftar Periksa Keamanan Magento: Standar Keamanan Apa yang Harus Dilakukan untuk Memastikan Situs Saya Aman?
Tidak ada situs yang tidak bisa diretas. Bahkan jika Anda mempekerjakan pengembang, insinyur, dan pakar keamanan terbaik, masih ada kemungkinan diretas.
Jadi, rekomendasi kami adalah menerapkan alur kerja keamanan yang ketat untuk orientasi dan aktivitas sehari-hari.
Berikut cara mengamankan Magento:
- Sertakan praktik keamanan dalam proses orientasi Anda
Meskipun hal ini mungkin tampak cukup jelas, namun sering kali diabaikan oleh tim internal dan eksternal. Pastikan karyawan toko baru, karyawan yang kehilangan staf, dan semua orang di antaranya menjalani orientasi keamanan. Kami merekomendasikan Daftar Periksa Orientasi Karyawan Baru CISO. - Menerapkan hak akses yang ketat
Bagian dari proses orientasi adalah mencari tahu hak akses apa yang dibutuhkan karyawan untuk melakukan pekerjaannya. Menegakkan hak akses terhadap informasi adalah hal yang penting dan kami juga menyarankan untuk melakukan peninjauan hak akses untuk memastikan tidak ada aturan yang dilanggar di belakang Anda. Kamu bisa atur Peran Pengguna di Magento dengan panduan ini. - Pastikan Anda mematuhi standar industri
Ini bersifat teknis dan bisnis. Situs Anda dan semua kode yang digunakan di dalamnya harus mematuhi standar pengkodean PHP, standar pengujian, dan selalu mematuhi PCI. Kami akan menunjukkan kepada Anda daftar periksa yang dapat ditindaklanjuti di bagian berikutnya sehingga Anda dapat mematuhi PCI. - Memiliki infrastruktur failover yang berlebihan
Ya, kami memahami Anda bukan pakar keamanan, namun Anda perlu bertanya kepada siapa pun yang bertanggung jawab atas keamanan apakah mereka memiliki Rencana Pencadangan (yang harus mencakup apa yang Anda cadangankan, seberapa sering Anda melakukan pencadangan, dan kapan pencadangan harus digunakan). Catatan penting: pencadangan harus dilakukan secara otomatis. - Mengamankan komponen pihak ketiga (modul, layanan, ekstensi, aplikasi)
seperti Praktik Terbaik Keamanan Magento katakanlah, pastikan semua aplikasi yang berjalan di server Anda aman. Hindari menjalankan aplikasi seperti WordPress di server yang sama dengan Magento, karena kerentanan pada salah satu aplikasi tersebut berpotensi mengungkap informasi dari Magento. Sudah jelas bahwa Anda tidak boleh memasang ekstensi dari sumber yang tidak tepercaya (seperti situs torrent). - Lindungi data Anda
A. Pemisahan infrastruktur
⇨ Hal ini sejalan dengan pengamanan komponen pihak ketiga. Dalam situasi apa pun Anda tidak boleh menjalankan lingkungan pengembangan, staging, dan produksi pada instans server yang sama.B. Akses terbatas
⇨ Hal lain yang kami bahas: hak akses diberikan kepada pengembang dan personel TI lainnya. Dalam situasi apa pun, setiap anggota tim tidak boleh memiliki hak admin penuh.C. Perlindungan data pribadi
⇨ Meskipun terlihat jelas, bagian dari proses orientasi harus mencakup tidak menggunakan drive USB dan perangkat penyimpanan lainnya. Selain itu, ingatlah untuk tidak mengeklik tautan yang mencurigakan atau membuka email yang mencurigakan. Jangan pernah memberitahukan kata sandi Anda kepada siapa pun (terutama kata sandi Admin Magento).
Jadi, tanpa hal-hal yang membosankan, mari kita mulai antipeluru di toko Magento Anda!
Keamanan Magento Antipeluru: Cara Mengamankan Situs Magento dalam 14 Langkah
Langkah #1: Audit Keamanan
Ada banyak bagian yang bergerak dalam keamanan Magento. Tidak ada pengembang, arsitek, manajer, atau peran lain yang memahami. Ada banyak bagian yang bergerak dalam keamanan Magento. Tidak ada pengembang, arsitek solusi, manajer, atau peran lain yang memahami risiko keamanan serta pakar keamanan yang berkualifikasi. Itu sebabnya langkah pertama adalah membuat situs Anda disisir oleh seorang ahli. Sebaiknya, Anda melakukan ini setidaknya setahun sekali agar tetap aman.
Langkah #2: Pemindaian Keamanan Otomatis
Kabar baiknya, Anda tidak perlu pergi ke pihak ketiga setiap kali ingin menjalankan pemindaian. Magento menawarkan Pemindaian Keamanannya secara gratis.
Pemindaian Keamanan Magento memungkinkan Anda memantau semua situs web Anda (jika Anda memiliki lebih dari satu) untuk kemungkinan risiko dan menyoroti patch dan pembaruan yang Anda perlukan. Tetapkan jadwal (Magento merekomendasikan pemindaian setiap minggu) dan terima laporan dan tindakan perbaikan untuk setiap pengujian yang gagal. Untuk memulai, lihat panduan ini.
Ada juga alat pemindaian gratis di luar sana laporan penyihir, namun tidak sedalam alat Magento dan tidak menawarkan pemindaian otomatis atau terjadwal.
Langkah #3: Keamanan Admin Magento
Magento merekomendasikan pendekatan berlapis-lapis mengamankan akun admin Anda(S).
Kamu bisa:
- Tetapkan tingkat keamanan untuk kata sandi
- Tetapkan jumlah upaya login
- Konfigurasikan durasi ketidakaktifan keyboard sebelum sesi berakhir
- Memerlukan nama pengguna dan kata sandi yang peka huruf besar-kecil
Kata sandi admin
Di sidebar Admin, buka Toko > Pengaturan > Konfigurasi.
Di panel kiri bawah Advanced, pilih Admin.
Pilih Security bagian.
Ubah URL Admin default
Ada baiknya Anda mengubah URL admin default ke URL lain agar tidak terlalu menjadi target peretas.
URL Dasar Default: http://domainanda.com/magento/
URL dan Jalur Admin Default: http://domainanda.com/magento/admin
Ada cara sederhana untuk melakukannya ubah URL admin tersedia di panel admin, namun perlu diingat, kesalahan apa pun akan membuat situs Anda tidak dapat diakses oleh semua admin, dan satu-satunya cara untuk memperbaikinya adalah dengan mengedit file konfigurasi server (bukan sesuatu yang ingin Anda alami, percayalah pada kami).
Daftar Putih IP
Anda mungkin pernah mendengar tentang daftar hitam — ketika Anda memblokir akses ke situs, alamat IP, atau jaringan tertentu.
Daftar putih justru sebaliknya — mengizinkan akses ke informasi, situs tertentu, dan dalam kasus kami, panel admin Magento, hanya ke alamat IP tepercaya.
Langkah #4: Tetapkan Peran Pengguna
Magento menyertakan opsi untuk membatasi akses bagi admin. Dengan kata lain, Anda dapat membuat izin untuk membatasi apa yang dilihat oleh admin situs dan memberi mereka akses terbatas.
Anda dapat mengatur peran pengguna dengan membuka sidebar Admin. Klik System, dibawah Izin, pilih Peran Pengguna. Di sudut kanan atas, klik Tambahkan Peran Baru.
Setelah menugaskan a Nama peran dan memasukkan kata sandi Anda, Anda dapat mengaturnya Lingkup Peran (lihat gambar di bawah).
Magento Commerce memungkinkan Anda mencatat tindakan apa pun yang dilakukan oleh admin. Anda dapat mengaktifkan Log tindakan dengan menavigasi ke Toko > Pengaturan > Konfigurasi. Di panel kiri, perluas Lanjutan Dan pilihlah admin Pilih Pencatatan Tindakan Admin bagian dan pilih kotak centang aktifkan pencatatan admin untuk setiap tindakan yang ingin Anda catat.
Langkah #5: Konfigurasikan Captcha dan Google reCaptcha
Di Magento, Anda dapat mengatur keduanya Captcha dan Google reCaptcha untuk admin dan pelanggan. Keduanya melindungi Anda dari spam dan jenis penyalahgunaan otomatis lainnya.
Captcha adalah tes validasi manusia, yaitu huruf dan angka yang buram dan berlekuk-lekuk yang mungkin harus Anda julingkan untuk melihatnya.
Google reCaptcha adalah jenis validasi manusia yang unggul yaitu kotak centang “Saya Bukan Robot”.
ReCAPTCHA tak terlihat (disarankan Magento) — yang memverifikasi pengguna adalah manusia secara otomatis, tanpa interaksi apa pun. Kedengarannya ajaib, tetapi Google berhasil menemukan cara untuk melakukannya.
Langkah #6: Otentikasi Dua Faktor (2FA)
Otentikasi Dua Faktor, atau disingkat 2FA, adalah metode konfirmasi identitas pengguna dengan membuat pengguna menyelesaikan langkah kedua dalam proses verifikasi. Magento 2FA hanya tersedia untuk pengguna Admin dan tidak diperluas ke akun pelanggan.
Inilah cara Anda mengonfigurasi 2FA di Magento:
Di sidebar Admin, buka Toko > Pengaturan > Konfigurasi.
Di panel kiri, perluas Keamanan dan pilih 2FA.
Langkah #7: Kunci Enkripsi
Saat Anda pertama kali menjalankan Magento, sistem secara otomatis menghasilkan kunci enkripsi. Kunci ini digunakan untuk melindungi kata sandi dan data sensitif lainnya seperti informasi kartu kredit dan kata sandi integrasi (modul pembayaran dan pengiriman).
Magento merekomendasikan untuk menjaga kunci ini tetap aman dan tersembunyi setiap saat. Jika Anda mengalami pelanggaran data, Anda dapat membuat kunci enkripsi baru untuk mencegah siapa pun mengakses data menggunakan kunci lama.
Anda dapat menghasilkan kunci baru di panel admin. Sekali lagi, kami tidak menyarankan Anda melakukan hal ini sendiri.
SSlangkah #8: Persyaratan Kata Sandi
Magento membutuhkan minimal tujuh karakter (huruf dan angka). Kami merekomendasikan penggunaan sesuatu yang lebih kuat — kata sandi alfanumerik 10-12 karakter.
Pro-tip — Jangan mencoba memikirkan kata sandi sendiri. Kami merekomendasikan penggunaan LastPass untuk menghasilkan kata sandi secara acak.
Ubah kata sandi Anda jika Anda mencurigai adanya pelanggaran data, terlepas dari apakah akun Anda diretas atau tidak, dan atur pengingat untuk mengubah kata sandi Anda setahun sekali.
Anda dapat mengatur tingkat keamanan kata sandi yang digunakan oleh pelanggan dan admin langsung di antarmuka admin
Opsi kata sandi untuk pelanggan
Di sidebar Admin, buka Toko > Pengaturan > Konfigurasi.
Di panel sebelah kiri, memperluas Pelanggan dan pilih Konfigurasi Pelanggan.
Pilih Opsi Kata Sandi bagian.
Langkah #9: Kepatuhan PCI
Perusahaan kartu kredit besar menciptakan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) untuk memastikan pedagang menerapkan langkah-langkah keamanan penting. Pedagang yang gagal mematuhi persyaratan PCI dapat dikenakan denda yang besar, yang juga dapat mengakibatkan hilangnya kemampuan mereka untuk memproses pembayaran.
Magento memudahkan pedagang untuk mematuhi PCI — Magento Commerce Cloud bersertifikasi PCI dan Magento menawarkan integrasi gateway pembayaran seperti PayPal, Authorize.Net, dan lainnya yang mengirimkan informasi kartu kredit dengan aman.
12 Persyaratan untuk PCI-DSS | |
Membangun dan Memelihara Jaringan yang Aman | Persyaratan 1: Instal dan pertahankan konfigurasi firewall untuk melindungi data pemegang kartu Persyaratan 2: Jangan gunakan default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya |
Lindungi Data Pemegang Kartu | Persyaratan 3: Lindungi data pemegang kartu yang disimpan Persyaratan 4: Enkripsi transmisi data pemegang kartu melalui jaringan publik yang terbuka |
Pertahankan Program Manajemen Kerentanan | Persyaratan 5: Gunakan dan perbarui perangkat lunak anti-virus secara teratur Persyaratan 6: Mengembangkan dan memelihara sistem dan aplikasi yang aman |
Terapkan Tindakan Kontrol Akses yang Kuat | Persyaratan 7: Batasi akses ke data pemegang kartu berdasarkan kebutuhan bisnis Persyaratan 8: Tetapkan ID unik untuk setiap orang yang memiliki akses komputer Persyaratan 9: Batasi akses fisik ke data pemegang kartu |
Memantau dan Menguji Jaringan Secara Teratur | Persyaratan 10: Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang kartu Persyaratan 11: Uji sistem dan proses keamanan secara teratur |
Menjaga Kebijakan Keamanan Informasi | Persyaratan 12: Memelihara kebijakan yang menangani keamanan informasi |
Catatan Penting: JANGAN GUNAKAN Modul Kartu Kredit Tersimpan dalam lingkungan Produksi!
Kartu Kredit Tersimpan tidak sesuai dengan PCI dan Anda mungkin membeberkan informasi kartu kredit pelanggan Anda.
Langkah #10: Instal Ekstensi Keamanan
Ketika fungsionalitas asli tidak cukup, ekstensi dapat membantu. Magento memiliki banyak sekali ekstensi keamanan — baik berbayar maupun gratis. Berikut beberapa yang dapat Anda coba:
Langkah #11: Solusi Otomatisasi Keamanan
Otomatisasi keamanan adalah proses menangani tugas terkait keamanan secara otomatis seperti pemindaian antivirus, deteksi intrusi, membuat cadangan, memperbarui sertifikat SSL, dan banyak lagi.
IBM membuat penemuan inovatif: organisasi tanpa solusi keamanan otomatis mengalami biaya pelanggaran yang 95% lebih tinggi dibandingkan organisasi dengan otomatisasi yang diterapkan sepenuhnya.
Langkah #12: Asuransi Kewajiban Cyber
Sama seperti jenis asuransi lainnya (mobil, rumah, dll.), asuransi siber melindungi bisnis dari kerusakan yang disebabkan oleh serangan siber. Secara khusus, tanggung jawab dunia maya mencakup
- Pelanggaran data setelah pencurian dan/atau kebocoran data oleh karyawan.
- Gangguan bisnis dunia maya, seperti peretasan pihak ketiga atau patch perangkat lunak yang gagal.
- Pelanggaran data setelah peretasan.
- Kesalahan dan kelalaian yang menyebabkan intrusi keamanan.
Langkah #13: Buat Tim & Rencana Respons Insiden
Jika Anda tidak memiliki rencana respons insiden (atau Anda tidak tahu apa rencana tersebut), mari buat rencana tersebut.
Untuk membuatnya lebih mudah, kami mengambil Talesh Seeparsan Templat Rencana Respons Insiden yang berpusat pada Magento dan membuat spreadsheet Google yang dapat Anda salin untuk Anda gunakan sendiri.
Prasyarat untuk menggunakan templat:
- Buat Tim Respons Insiden (IRT) untuk menangani insiden keamanan untuk setiap aspek solusi e-niaga yang ditentukan dalam meja ini.
- Secara rutin memantau dan menganalisis lalu lintas jaringan dan kinerja sistem.
- Periksa secara rutin semua log dan mekanisme logging, termasuk log peristiwa sistem operasi, log khusus aplikasi, dan log sistem deteksi intrusi.
- Verifikasi prosedur pencadangan dan pemulihan Anda. Anda harus mengetahui di mana cadangan disimpan, siapa yang dapat mengaksesnya, dan prosedur Anda untuk pemulihan data dan pemulihan sistem. Pastikan Anda memverifikasi cadangan dan media secara rutin dengan memulihkan data secara selektif.
IBM menemukan bahwa perusahaan yang memiliki IRT dan pengujian ekstensif terhadap rencana respons mereka menghemat lebih dari $1.2 juta. Lebih khusus lagi, penelitian ini menunjukkan bahwa efek gabungan dari IRT dan pengujian rencana respons insiden, melalui latihan dan simulasi, membantu tim merespons lebih cepat dan menghasilkan penghematan biaya yang lebih besar dibandingkan proses keamanan tunggal mana pun.
Langkah #14: Jaga agar Magento tetap diperbarui dan diperbarui
Tidak ada alasan untuk tidak memiliki toko Magento yang ditambal dan diperbarui sepenuhnya.
Untuk menginstal patch keamanan Magento, Anda harus melakukannya
- Cadangkan sistem file, media, dan database untuk mencegah kehilangan data jika terjadi kesalahan.
- Unduh patch (alias perbaikan terbaru) dari Pusat keamanan Magento. Ingatlah bahwa Anda harus mengetahui versi Magento Anda untuk mengunduh patch yang benar.
- Terapkan tambalan melalui Paket Magento Quality Patch (MQP)., baris perintah, atau Komposer.
Pindai situs Anda, identifikasi patch apa pun yang perlu Anda instal, dan tolong, jangan biarkan peretas mendapatkan akses mudah melalui kerentanan. Mendaftarlah ke Magento Security Alert Registry dan kunjungi Pusat Keamanan Magento dari waktu ke waktu untuk mendapatkan berita dan informasi terbaru.
Untuk menghindari masalah, Anda juga bisa menyewa pengembang Magento. Mereka akan menginstal patch keamanan Magento dalam waktu singkat — baik itu perbaikan terbaru atau patch khusus.
Apa yang Harus Dilakukan Jika Situs Web Anda Diretas
Jangan panik. Jika terjadi pelanggaran data atau paparan informasi, tidak ada cara untuk mendapatkan kembali informasi tersebut. Prioritas Anda adalah mengidentifikasi apa yang terungkap, mengumpulkan bukti, dan memastikan data tidak bocor.
Ikuti Rencana Respons Insiden Anda:
- Buatlah penilaian awal
- Komunikasikan kejadian tersebut
- Menahan kerusakan dan meminimalkan risiko
- Identifikasi tingkat keparahan kompromi
- Pertahankan bukti
- Komunikasikan pemberitahuan eksternal apa pun
- Mengumpulkan dan mengatur bukti insiden
Pengalaman Elogis dengan Serangan Siber
Untuk mempelajari apa yang ditemui pengembang Elogic dalam pekerjaan mereka, kami bertanya dan mempelajari dua cerita liar tentang niat jahat.
Kegagalan Penambangan Bitcoin
Salah satu full-stack developer kami yang paling berpengalaman di Elogic, Andriy Biloshytskiy, memiliki pengalaman menarik beberapa tahun lalu. Sesuatu yang sangat aneh terjadi pada salah satu proyek yang dia kerjakan saat itu.
Tidak ada pembaruan terkini pada situs ini, tidak ada yang berubah, kecuali situs tersebut tidak berfungsi,” kata Andriy. “Jadi, saya melakukan penyelidikan sepintas dan menemukan sesuatu yang aneh dan lucu — ada sepotong kode JavaScript tanpa tag penutup, yang menyebabkan kerusakan. Setelah melakukan pencarian di Google, saya menemukan skrip berbahaya tersebut dimaksudkan untuk menyedot kekuatan komputasi orang-orang yang mengunjungi toko tersebut — untuk menambang Bitcoin.
– Andriy Biloshytskiy, Pengembang tumpukan penuh di Elogic Commerce
Pelaku (mungkin admin toko) tidak pernah tertangkap. Toko tersebut tidak memiliki log admin sehingga tidak ada cara untuk mengetahui secara pasti siapa yang bertanggung jawab.
Virus Tak Terduga
Saat pengembang mengerjakan proyek, mereka sering mengkloning toko di PC atau server kerja mereka untuk menguji dan menulis kode baru. Kisah ini terjadi setelah salah satu pengembang kami mengkloning sebuah toko tetapi bukannya langsung bekerja, dia malah melihat pop-up.
Pop-up tersebut merupakan peringatan dari perangkat lunak antivirusnya, dan sumber infeksinya adalah instance Magento yang baru diinstal. Setelah menemukan file yang terinfeksi, file inti PHP, pengembang menghapus kode berbahaya dan melanjutkan pekerjaannya.
Pesan moral dari cerita ini adalah: apakah serangan tersebut ditargetkan, kesalahan manusia, atau kesalahan/kerentanan sistem, Anda dapat membantu mencegah pelanggaran dengan menerapkan dan mengikuti standar keamanan.
Apakah Magento Commerce Lebih Aman Dibandingkan Magento Open Source?
Sambil memilih di antara Perdagangan Magento 2 vs Sumber Terbuka, Anda mungkin bertanya-tanya mana yang lebih aman. Meskipun benar bahwa kedua edisi Magento memberikan serangkaian fitur yang luar biasa (tentu saja tergantung pada kebutuhan bisnis pedagang), kami dapat menjamin keamanan Magento Commerce (alias Adobe Commerce).
Berikut lima keuntungan keamanan utama menggunakan Magento Commerce dan Commerce Cloud.
Kepatuhan PCI
Kepatuhan PCI bukanlah fitur yang terdaftar di Magento Open Source, namun ada di Magento Commerce. Lebih baik lagi, Magento Commerce Cloud disertifikasi PCI sebagai Penyedia Solusi Tingkat 1, sehingga pedagang dapat menggunakan Pengesahan Kepatuhan PCI Magento untuk membantu proses sertifikasi PCI mereka sendiri.
Tanggung jawab keamanan bersama
Magento Commerce Cloud memiliki model keamanan tanggung jawab bersama tempat Anda, Magento, dan Amazon Web Services (layanan cloud terbaik) berbagi tanggung jawab atas keamanan operasional. Anda bertanggung jawab untuk menguji kode khusus dan aplikasi khusus apa pun. Magento memastikan platform itu sendiri aman, dan Amazon menjaga keamanan fisik untuk server dan kepatuhan.
Log tindakan
Magento Commerce memberi Anda kemampuan untuk mencatat setiap perubahan (tindakan) yang dilakukan oleh admin yang bekerja di toko Anda. Informasi yang dicatat mencakup nama pengguna, tindakan, dan apakah tindakan tersebut berhasil, serta mencatat alamat IP dan tanggal.
Firewall Aplikasi Web (WAF)
Sama seperti firewall pada PC, WAF mencegah lalu lintas berbahaya memasuki jaringan dengan menggunakan serangkaian aturan keamanan. Lalu lintas apa pun yang memicu aturan diblokir sebelum lalu lintas tersebut menyebar ke situs atau jaringan Anda. Penggunaan Magento Commerce Cloud CDN cepat untuk layanan WAF.
Jaringan Pengiriman Konten (CDN) & Perlindungan DDoS
Magento Commerce Cloud juga menggunakan Fastly CDN untuk fitur keamanan tambahan seperti perlindungan DDoS, yang mencakup mitigasi DDoS Lapisan 3, 4, dan 7
Kesimpulan — Tip Keamanan Magento dan Praktik Terbaik
Keamanan situs dan lebih luas lagi, keamanan siber, harus menjadi salah satu prioritas utama Anda. Anda tidak hanya menjalankan blog atau halaman pribadi, Anda bertanggung jawab untuk melindungi informasi rahasia, termasuk nama, alamat, nomor telepon, dan informasi kartu kredit.
Ingat:
- Bahkan situs yang telah ditambal dan diperbarui sepenuhnya dapat diretas. Misalnya, kata sandi admin yang lemah dapat dipaksakan dan peretas dapat langsung masuk dan mengumpulkan apa pun yang mereka inginkan. Jadi lakukan pemeriksaan keamanan Magento secara rutin.
- Anda tidak dapat memperhitungkan kerentanan baru atau eksploitasi zero-day (serangan cyber yang terjadi pada hari yang sama ketika kelemahan ditemukan). Namun, rencana respons insiden yang kuat dapat membantu Anda tetap selangkah lebih maju.
- "Mencegah lebih baik daripada mengobati." Ben Franklin benar. Jika Anda telah mengonfigurasi toko Anda dengan mempertimbangkan keamanan, mematuhi alur kerja keamanan siber yang telah kami uraikan, dan mengamankan toko Anda, Anda dapat menghemat banyak waktu dan sakit hati.
- Jangan berkompromi pada keamanan, atau kurangnya keamanan akan membahayakan Anda.
Pertanyaan Umum Keamanan Magento
Apakah Magento Aman?
Setelah kegagalan Magento 1, Adobe telah meningkatkan Magento 2 ke tingkat keamanan baru. Arsitektur e-niaga Magento dirancang untuk menyediakan lingkungan yang sangat aman berkat Web Application Firewall (WAF), Fastly CDN untuk perlindungan DDoS ekstra, dan hashing untuk mengenkripsi data. Patch keamanan dirilis setiap kuartal, dan Magento Security Scanner tersedia. Penjual juga dapat menggunakan sertifikat SSL, CAPTCHA, autentikasi dua faktor, dan praktik terbaik keamanan Magento lainnya untuk melindungi pelanggan mereka.
Jadi dapat dikatakan bahwa Magento adalah salah satu platform paling aman di antara yang ditawarkan di pasar e-niaga.
Bagaimana Mengamankan Situs Magento?
Beberapa praktik terbaik untuk mengamankan Magento adalah sebagai berikut:
- Berikan audit rutin terhadap keamanan Magento — baik dengan alat pemindaian malware Magento otomatis atau dengan bantuan profesional Magento.
- Gunakan koneksi terenkripsi (SSL/HTTPS).
- Aktifkan otentikasi dua faktor.
- Cadangkan situs web Anda secara teratur.
- Pilih penyedia hosting yang andal
- Manfaatkan fitur keamanan asli Magento dan instal ekstensi keamanan kapan pun diperlukan.
- Susun rencana tindakan Anda untuk keadaan darurat dunia maya.
Lihat daftar periksa keamanan Magento lengkap di atas.
Apakah Magento Sesuai dengan PCI?
Kepatuhan Magento PCI bergantung pada edisinya:
Sumber Terbuka Magento tidak sesuai dengan PCI, jadi Anda harus menggunakan metode pembayaran pihak ketiga yang mengarahkan Anda ke situs lain untuk melakukan transaksi (seperti PayPal, Authorize.net) atau metode pembayaran yang sesuai dengan SaaS PCI (CRE Secure).
Perdagangan Magento dan Perdagangan Cloud bersertifikasi PCI sebagai Penyedia Solusi Tingkat 1.
Sumber: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- mengakses
- Akun
- Tindakan
- kegiatan
- Tambahan
- admin
- Adobe
- Keuntungan
- pengacara
- algoritma
- Semua
- Membiarkan
- Amazon
- Amazon Web Services
- antara
- mengumumkan
- antivirus
- Aplikasi
- aplikasi
- arsitektur
- sekitar
- Serangan
- Otentikasi
- Otomatis
- Otomatisasi
- backup
- backup
- TERBAIK
- Praktik Terbaik
- Terbesar
- Bit
- Bitcoin
- Pertambangan Bitcoin
- Blog
- bot
- pelanggaran
- pelanggaran
- bug
- bisnis
- bisnis
- Kampanye
- mobil
- yang
- tertangkap
- disebabkan
- sertifikat
- Sertifikasi
- perubahan
- biaya
- Cek
- awan
- layanan cloud
- kode
- Pengkodean
- Perdagangan
- masyarakat
- Perusahaan
- pemenuhan
- komputasi
- daya komputasi
- Koneksi
- Biaya
- Crash
- membuat
- kredit
- kartu kredit
- Kartu kredit
- menyembuhkan
- pelanggan
- maya
- Serangan cyber
- cyberattacks
- Keamanan cyber
- data
- Data pelanggaran
- kehilangan data
- keamanan data
- Basis Data
- hari
- DDoS
- transaksi
- pengiriman
- Deteksi
- mengembangkan
- Pengembang
- pengembang
- Pengembangan
- Devices
- MELAKUKAN
- ditemukan
- penemuan
- kiamat
- e-commerce
- e-commerce
- karyawan
- enkripsi
- Insinyur
- Lingkungan Hidup
- dll
- Acara
- Lihat lebih lanjut
- pengalaman
- ahli
- ekstensi
- Fitur
- Fitur
- keuangan
- data keuangan
- Kebakaran
- Pertama
- Memperbaiki
- Kerangka
- Gratis
- penuh
- masa depan
- gif
- Gold
- baik
- Cari Google
- besar
- membimbing
- terjangan
- hacker
- peretasan
- Penanganan
- hashing
- di sini
- menyewa
- Beranda
- tuan
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- ide
- mengenali
- identitas
- gambar
- Dampak
- respon insiden
- Termasuk
- industri
- infeksi
- Info
- informasi
- keamanan informasi
- Infrastruktur
- asuransi
- integrasi
- maksud
- interaksi
- deteksi intrusi
- investigasi
- terlibat
- IP
- Alamat IP
- masalah
- IT
- JavaScript
- Pekerjaan
- pemeliharaan
- kunci
- besar
- Terbaru
- Berita Terkini
- terkemuka
- kebocoran
- BELAJAR
- belajar
- Tingkat
- kewajiban
- Terbatas
- baris
- utama
- Membuat
- malware
- pengelolaan
- Pasar
- Marketing
- pasar
- Media
- Pedagang
- pedagang
- Pertambangan
- nama
- bersih
- jaringan
- lalu lintas jaringan
- berita
- nomor
- menawarkan
- Penawaran
- resmi
- Onboarding
- secara online
- Buka
- open source
- membuka
- operasi
- sistem operasi
- Operasi
- Opsi
- Lainnya
- Lainnya
- Panik
- Kata Sandi
- password
- tambalan
- Patch
- pembayaran
- pembayaran
- PayPal
- PC
- PCI DSS
- Konsultan Ahli
- prestasi
- data pribadi
- Personil
- Phishing
- serangan phishing
- fisik
- Keamanan fisik
- Platform
- Platform
- Plugin
- kebijaksanaan
- kekuasaan
- Pencegahan
- pribadi
- Produk
- Produksi
- memprojeksikan
- melindungi
- perlindungan
- publik
- kualitas
- pemulihan
- laporan
- Persyaratan
- sumber
- Sumber
- tanggapan
- Hasil
- ulasan
- Review
- aturan
- Run
- berjalan
- SaaS
- aman
- pemindaian
- pemindaian
- Pencarian
- keamanan
- sistem keamanan
- pembaruan keamanan
- melihat
- Layanan
- set
- Share
- Kulit
- Pengiriman
- Pendek
- Sederhana
- Situs
- So
- Perangkat lunak
- Solusi
- Spam
- Spreadsheet
- standar
- mulai
- tinggal
- penyimpanan
- menyimpan
- toko
- cerita
- Belajar
- disampaikan
- sukses
- Didukung
- Mendukung
- sistem
- sistem
- target
- Teknis
- uji
- pengujian
- Masa depan
- Proyek
- Sumber
- pencurian
- ancaman
- waktu
- Tips
- Nada
- jalur
- lalu lintas
- .
- Kepercayaan
- Memperbarui
- Pembaruan
- URI
- us
- usb
- Pengguna
- Verifikasi
- virus
- Kerentanan
- kerentanan
- Rentan
- jaringan
- layanan web
- Situs Web
- situs web
- mingguan
- Apa itu
- SIAPA
- WordPress
- kata
- Kerja
- alur kerja
- bekerja
- bernilai
- X
- XSS
- tahun
- tahun