Guida alla sicurezza di Magento: come proteggere il tuo sito Web dagli hacker
Il 14 settembre 2020 è stato il giorno del destino per molti commercianti di Magento. Oltre 2,800 negozi Magento 1 erano hacked per rubare i dettagli della carta di credito nella più grande campagna documentata fino ad oggi.
Non è insolito che gli hacker provochino il caos sui siti di e-commerce. Malware per computer, virus, worm, trojan e molti altri frodi e-commerce… ci sono un sacco di cose brutte che girano per la rete. Ci sarà sempre qualcuno che tenterà di approfittare di un sistema vulnerabile o di ottenere un accesso illegale con intenti malevoli.
Se non vuoi diventare parte della prossima violazione della sicurezza di Magento, questa guida è per te. Continua a leggere per scoprire le principali vulnerabilità di sicurezza di Magento e i modi per prevenirle in modo che i tuoi dati e quelli dei tuoi clienti siano al sicuro.
Per prima cosa, qual è il problema con la sicurezza di Magento 1?
Il problema principale di Magento 1 è che non è più supportato. A partire dal 20 giugno 2020, Adobe ha annunciato la fine del ciclo di vita del suo prodotto Magento 1, rendendo così l'edizione della piattaforma obsoleta e vulnerabile agli attacchi informatici.
Ecco il motivo di un attacco MageCart menzionato in precedenza. I negozi Magento obsoleti rimangono obiettivi attraenti per coloro che sono determinati a rubare dati personali e finanziari dai clienti online.
Gli hacker possono facilmente cercare versioni obsolete di Magento e utilizzare bot automatizzati per accedervi, caricare script di shell e installare il malware di scrematura delle carte. Gli attacchi di card skimming non sono rilevabili dagli utenti finali, quindi la responsabilità ricade sugli operatori del sito Web per aggiornare i propri sistemi all'ultima versione di Magento. A questo punto, qualsiasi sito Web che utilizza Magento 1.x dovrebbe essere considerato compromesso.
- Paul Bischoff, un sostenitore della privacy con Comparitech.
Ecco perché la protezione del negozio Magento dovrebbe essere la priorità n. 1 per i commercianti. Magento 1 non è sicuro e non lo sarà mai. Ma Magento 2 ti terrà in buone mani.
Lezioni apprese e implementate nella sicurezza di Magento 2
Se vieni morso da una zecca, rimuoverti non fermerà l'infezione. Lo stesso è successo con Magento. Dopo che la vulnerabilità critica è stata trovata in Magento, è stato necessario un aggiornamento. Quindi Adobe ha rinnovato l'intero sistema per eliminare i problemi di sicurezza di Magento e proteggere i propri commercianti da attacchi simili in futuro.
Ecco le funzionalità di sicurezza di Magento che Adobe ha introdotto dopo la fine del ciclo di vita di Magento 1.
Gestione avanzata delle password
Magento 1 utilizza un sistema più debole di hashing delle password (un processo unidirezionale per trasformare una stringa di caratteri in quella che è nota come password con hash). Per affrontare questa vulnerabilità di Magento, Magento 2 supporta Argon2ID13, un algoritmo di hashing più potente rispetto al precedente gold standard — SHA-256.
Migliore prevenzione degli attacchi XSS
Magento ha implementato nuove regole per prevenire gli attacchi di cross-site scripting (XSS) rendendo i dati sfuggiti l'impostazione predefinita.
Gli attacchi XSS sono un tipo di iniezione di script dannosi utilizzati in attacchi di phishing, registrazione di sequenze di tasti e altre attività non autorizzate.
Proprietà e autorizzazioni del file system più flessibili
A partire dalla versione 2.0.6, Magento consente agli utenti di impostare le autorizzazioni di accesso ai file system. Le raccomandazioni sono che alcuni file e directory siano di sola scrittura in un ambiente di sviluppo e di sola lettura in un ambiente di produzione.
Migliore prevenzione degli exploit di clickjacking
Magento salvaguarda il tuo negozio dagli attacchi di clickjacking utilizzando un'intestazione di richiesta HTTP X-Frame-Options. Per ulteriori informazioni, vedere l'intestazione X-Frame-Options.
Chiave di crittografia a generazione automatica
Magento utilizza una chiave di crittografia per proteggere password e dati sensibili. Attualmente, Magento 2 utilizza l'algoritmo AES-256 e puoi scegliere di generare una chiave casuale in qualsiasi momento tramite il pannello di amministrazione.
Utilizzo dell'URL di amministrazione Magento non predefinito
Gli hacker utilizzano robot che indovinano automaticamente le password per recuperare i dati personali degli acquirenti e l'accesso dei commercianti alle operazioni di back-office. Per prevenire questo tipo di attacco, Magento per impostazione predefinita crea un URI di amministrazione casuale quando installi il prodotto.
Patch e aggiornamenti di sicurezza Magento 2 coerenti
Il motivo principale per cui la sicurezza di Magento 2 supera Magento 1 sono gli aggiornamenti regolari. L'ultima patch di sicurezza per Magento 1 di Adobe è stata rilasciata il 22 giugno 2020. Nel frattempo, il commerciante di Magento 2 riceve le patch di sicurezza ogni trimestre in modo ufficiale Bollettino sulla sicurezza di Adobe.
Come Magento Come Magento riduce al minimo l'impatto delle vulnerabilità
Oltre alla nuova architettura e al framework di sicurezza di Magento 2, esistono processi in atto per ridurre al minimo l'impatto delle vulnerabilità.
Essi comprendono:
- Bug Bounty Programma — Gli sviluppatori ricevono premi fino a $ 10,000 per i bug trovati in Magento. Questo è un ottimo modo per coinvolgere la comunità nella sicurezza di Magento.
- Centro sicurezza Magentoento — In questa risorsa è possibile trovare nuovi aggiornamenti di sicurezza, patch, best practice e molto altro. Se hai bisogno di maggiori informazioni su una patch o hai bisogno di istruzioni per installare patch/aggiornamenti, questo è il posto dove andare.
- Registro degli avvisi di sicurezza — Il team Magento risponde alle vulnerabilità e fornisce patch e aggiornamenti per proteggere i negozi dalle minacce. Iscriviti al registro degli avvisi di sicurezza per ricevere e-mail ogni volta che viene rilasciata una nuova versione di sicurezza.
- Standard di qualità del codice — Il core team di sviluppo di Magento utilizza il formato Standard di codifica Magento e raccomanda che anche gli sviluppatori che creano estensioni e personalizzazioni Magento utilizzino questo standard.
- Estensione del programma di qualità — Tutte le estensioni inviate al Marketplace di Magento passano attraverso un processo di revisione in più fasi: revisioni tecniche e di marketing. Se una delle revisioni non viene superata, l'estensione non potrà essere pubblicata.
Lista di controllo per la sicurezza di Magento: quali standard di sicurezza dovrebbero essere adottati per garantire che il mio sito sia sicuro?
Non esiste un sito inattaccabile. Anche se assumi i migliori sviluppatori, ingegneri ed esperti di sicurezza, c'è ancora la possibilità di essere violato.
Pertanto, la nostra raccomandazione è di applicare un rigoroso flusso di lavoro di sicurezza per l'onboarding e le attività quotidiane.
Ecco i modi per proteggere Magento:
- Includi pratiche di sicurezza nel tuo processo di onboarding
Anche se questo può sembrare autoesplicativo, è spesso trascurato sia dai team interni che da quelli esterni. Assicurati che i nuovi dipendenti del negozio, i dipendenti senza personale e tutti gli intermediari passino attraverso l'onboarding della sicurezza. Consigliamo il Lista di controllo per l'onboarding dei nuovi assunti del CISO. - Applica diritti di accesso rigorosi
Parte del processo di onboarding consiste nel capire di quali diritti di accesso avrà bisogno un dipendente per svolgere il proprio lavoro. Far rispettare i diritti di accesso alle informazioni è importante e ti consigliamo anche di eseguire revisioni dei diritti di accesso per assicurarti che nessuna regola venga violata alle tue spalle. Puoi imposta i ruoli utente in Magento con questa guida. - Assicurati di rispettare gli standard del settore
Questo è sia tecnico che commerciale. Il tuo sito e tutto il codice in esso utilizzato devono essere conformi agli standard di codifica PHP, agli standard di test ed essere sempre conformi allo standard PCI. Ti mostreremo un elenco di controllo attuabile nella sezione successiva in modo che tu possa diventare conforme a PCI. - Avere un'infrastruttura ridondante di failover
Sì, comprendiamo che non sei un esperto di sicurezza, ma devi chiedere a chiunque sia responsabile della sicurezza se dispone di un piano di backup (che dovrebbe coprire ciò di cui esegui il backup, la frequenza con cui esegui il backup e quando devono essere utilizzati i backup). Nota importante: i backup devono essere automatizzati. - Proteggi i componenti di terze parti (moduli, servizi, estensioni, applicazioni)
Come Best practice per la sicurezza di Magento diciamo, assicurati che tutte le applicazioni in esecuzione sul tuo server siano sicure. Evita di eseguire applicazioni come WordPress sullo stesso server di Magento, perché una vulnerabilità in una di queste applicazioni può potenzialmente esporre informazioni da Magento. Inutile dire che non dovresti mai installare estensioni da fonti non attendibili (come i siti torrent). - Proteggi i tuoi dati
un. Segregazione delle infrastrutture
⇨ Questo è in linea con la protezione di componenti di terze parti. In nessun caso dovresti avere ambienti di sviluppo, gestione temporanea e produzione in esecuzione sulla stessa istanza del server.b. Accesso limitato
⇨ Un altro punto che abbiamo toccato: i diritti di accesso si estendono agli sviluppatori e ad altro personale IT. In nessun caso ogni membro del team dovrebbe avere pieni diritti di amministratore.c. Protezione dei dati personali
⇨ Sebbene possa sembrare ovvio, parte del processo di onboarding dovrebbe includere il non portare unità USB e altri dispositivi di archiviazione per funzionare. Inoltre, ricorda di non fare clic su collegamenti sospetti o aprire e-mail sospette. Non rivelare mai a nessuno la tua password (soprattutto la password dell'amministratore di Magento).
Quindi, tolte di mezzo le cose noiose, passiamo a rendere a prova di proiettile il tuo negozio Magento!
Magento Security antiproiettile: come proteggere il sito Magento in 14 passaggi
Passaggio n. 1: controllo della sicurezza
Ci sono molte parti in movimento nella sicurezza di Magento. Nessuno sviluppatore, architetto, manager o altro ruolo capisce Ci sono molte parti in movimento nella sicurezza di Magento. Nessuno sviluppatore, architetto della soluzione, manager o altri ruoli comprendono i rischi per la sicurezza così come un esperto di sicurezza qualificato. Ecco perché il primo passo è far controllare il tuo sito da un esperto. Preferibilmente, dovresti farlo almeno una volta all'anno per stare al sicuro.
Passaggio n. 2: Scansione di sicurezza automatizzata
Ottime notizie, non devi rivolgerti a terzi ogni volta che vuoi eseguire una scansione. Magento offre la sua scansione di sicurezza gratuitamente.
Magento Security Scan ti consente di monitorare tutti i tuoi siti web (se ne hai più di uno) per possibili rischi ed evidenzia le patch e gli aggiornamenti richiesti. Imposta un programma (Magento consiglia di eseguire la scansione su base settimanale) e ricevi report e azioni correttive per ogni test fallito. Per iniziare, consulta questa guida.
Ci sono anche strumenti di scansione gratuiti là fuori come MageReport, ma non è così approfondito come lo strumento di Magento e non offre scansioni automatiche o pianificate.
Passaggio n. 3: sicurezza dell'amministratore di Magento
Magento consiglia un approccio a più livelli per proteggere il tuo account amministratore(S).
You Can:
- Imposta il livello di sicurezza per le password
- Imposta il numero di tentativi di accesso
- Configura la durata dell'inattività della tastiera prima della scadenza della sessione
- Richiedi nomi utente e password con distinzione tra maiuscole e minuscole
Password amministratore
Opzioni password per gli amministratori
Nella barra laterale di amministrazione, vai a Negozi > Impostazioni > Configurazione.
Nel pannello di sinistra sotto Tecnologia, scegli Amministratore.
espandere la Sicurezza .
Modifica l'URL predefinito dell'amministratore
È una buona idea cambiare l'URL di amministrazione predefinito con qualcos'altro per renderlo meno un bersaglio per gli hacker.
URL di base predefinito: http://tuodominio.com/magento/
URL e percorso di amministrazione predefiniti: http://tuodominio.com/magento/admin
C'è un modo semplice per modificare l'URL dell'amministratore disponibile nel pannello di amministrazione, ma tieni presente che eventuali errori renderanno il tuo sito inaccessibile a tutti gli amministratori e l'unico modo per risolverlo è modificare i file di configurazione del server (non qualcosa che vuoi provare, fidati di noi).
Whitelist IP
Potresti aver sentito parlare di blacklist, quando blocchi l'accesso a un determinato sito, indirizzo IP o rete.
whitelisting è l'opposto: consentire l'accesso a determinate informazioni, siti e, nel nostro caso, al pannello di amministrazione di Magento, solo a indirizzi IP affidabili.
Passaggio n. 4: impostare i ruoli utente
Magento include opzioni per limitare l'accesso per gli amministratori. In altre parole, puoi creare autorizzazioni per limitare ciò che vede un amministratore del sito e concedergli un accesso limitato.
Puoi configurare i ruoli utente accedendo alla barra laterale di amministrazione. Clic Sistema, sotto permessi, scegliere Ruoli utente. Nell'angolo in alto a destra, fai clic su Aggiungi nuovo ruolo.
Dopo aver assegnato a Nome del ruolo e inserendo la password è possibile configurare il Ambito del ruolo (vedi immagine sotto).
Magento Commerce ti consente di registrare tutte le azioni eseguite dagli amministratori. Puoi attivare i log delle azioni accedendo a Negozi > Impostazioni > Configurazione. Nel pannello di sinistra, espandere Avanzate e scegli Admin. espandere la Registrazione delle azioni dell'amministratore sezione e selezionare la casella di controllo abilitare la registrazione dell'amministratore per ogni azione che vuoi registrare.
Passaggio n. 5: configura Captcha e Google reCaptcha
In Magento, puoi configurare entrambi Captcha ed Google reCaptcha per amministratori e clienti. Entrambi ti proteggono dallo spam e da altri tipi di abuso automatizzato.
Captcha è un test di convalida umano, ovvero le lettere e i numeri sfocati e ondulati che probabilmente hai dovuto socchiudere gli occhi per vedere.
Google reCaptcha è un tipo superiore di convalida umana, ad esempio la casella di controllo "Non sono un robot".
reCAPTCHA invisibile (consigliato Magento) — che verifica che un utente sia umano automaticamente, senza alcuna interazione. Sembra una magia, ma Google è riuscita a trovare un modo per farlo.
Passaggio n. 6: autenticazione a due fattori (2FA)
L'autenticazione a due fattori, o 2FA in breve, è un metodo per confermare l'identità di un utente facendo completare agli utenti un secondo passaggio nel processo di verifica. Magento2FA è disponibile solo per gli utenti Admin e non è esteso agli account cliente.
Ecco come configurare 2FA in Magento:
Nella barra laterale di amministrazione, vai a Negozi > Impostazioni > Configurazione.
Nel pannello di sinistra, espandere Sicurezza e scegliere 2FA.
Passaggio n. 7: chiave di crittografia
Quando avvii Magento per la prima volta, il sistema genera automaticamente una chiave di crittografia. Questa chiave viene utilizzata per proteggere le password e altri dati sensibili come le informazioni sulla carta di credito e le password di integrazione (modulo di pagamento e spedizione).
Magento consiglia di tenere questa chiave sempre al sicuro e nascosta. Se si verifica una violazione dei dati, è possibile creare una nuova chiave di crittografia per impedire a chiunque di accedere ai dati utilizzando la vecchia chiave.
Puoi generare una nuova chiave nel pannello di amministrazione. Per ribadire, non è consigliabile farlo da soli.
SSpassaggio #8: Requisiti per la password
Magento richiede un minimo di sette caratteri (sia lettere che numeri). Ti consigliamo di utilizzare qualcosa di un po' più affidabile: una password alfanumerica di 10-12 caratteri.
Pro-tip — Non provare a pensare tu stesso a una password. Si consiglia di utilizzare LastPass per generare casualmente una password.
Cambia le tue password se sospetti che ci sia una violazione dei dati, indipendentemente dal fatto che il tuo account sia stato violato o meno, e imposta un promemoria per cambiare la tua password una volta all'anno.
Puoi impostare il livello di sicurezza per le password utilizzate sia dai clienti che dagli amministratori direttamente nell'interfaccia di amministrazione
Opzioni password per i clienti
Nella barra laterale di amministrazione, vai a Negozi > Impostazioni > Configurazione.
Nel pannello a sinistra, espandere Clienti ed scegli Configurazione cliente.
espandere la Opzioni password .
Passaggio n. 9: conformità PCI
Le principali società di carte di credito hanno creato il Payment Card Industry Data Security Standard (PCI DSS) per assicurarsi che i commercianti adottino misure di sicurezza critiche. I commercianti che non rispettano i requisiti PCI possono aspettarsi multe elevate, che possono anche comportare la perdita della capacità di elaborare i pagamenti.
Magento rende più facile per i commercianti diventare conformi PCI — Magento Commerce Cloud è certificato PCI e Magento offre integrato gateway di pagamento come PayPal, Authorize.Net e altri che trasmettono in modo sicuro i dati della carta di credito.
12 Requisiti per PCI-DSS | |
Crea e mantieni una rete sicura | Requisito 1: installare e mantenere una configurazione del firewall per proteggere i dati dei titolari di carta Requisito 2: non utilizzare le impostazioni predefinite fornite dal fornitore per le password di sistema e altri parametri di sicurezza |
Proteggi i dati dei titolari di carta | Requisito 3: proteggere i dati dei titolari di carta memorizzati Requisito 4: crittografia della trasmissione dei dati dei titolari di carta su reti pubbliche aperte |
Mantieni un programma di gestione delle vulnerabilità | Requisito 5: utilizzare e aggiornare regolarmente il software antivirus Requisito 6: sviluppare e mantenere sistemi e applicazioni sicuri |
Implementare forti misure di controllo degli accessi | Requisito 7: limitare l'accesso ai dati dei titolari di carta in base alle esigenze aziendali Requisito 8: assegnare un ID univoco a ogni persona con accesso al computer Requisito 9: limitare l'accesso fisico ai dati dei titolari di carta |
Monitorare e testare regolarmente le reti | Requisito 10: traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta Requisito 11: testare regolarmente i sistemi e i processi di sicurezza |
Mantenere una politica di sicurezza delle informazioni | Requisito 12: mantenere una politica che affronti la sicurezza delle informazioni |
Nota importante: NON UTILIZZARE il Modulo Carte di credito salvate in un ambiente di produzione!
Carte di credito salvate non è compatibile con PCI e potresti esporre i dati della carta di credito dei tuoi clienti.
Passaggio 10: installare le estensioni di sicurezza
Quando la funzionalità nativa non è sufficiente, le estensioni vengono in soccorso. Magento ha un ricco repository di estensioni di sicurezza, sia a pagamento che gratuite. Eccone alcuni che potresti provare:
Passaggio n. 11: Soluzioni per l'automazione della sicurezza
L'automazione della sicurezza è il processo di gestione automatica delle attività relative alla sicurezza come la scansione antivirus, il rilevamento delle intrusioni, la creazione di backup, il rinnovo dei certificati SSL e molto altro.
IBM fatto una scoperta rivoluzionaria: le organizzazioni prive di soluzioni di sicurezza automatizzate hanno riscontrato costi di violazione superiori del 95% rispetto alle organizzazioni con automazione completamente implementata.
Passaggio n. 12: Assicurazione sulla responsabilità informatica
Esattamente come qualsiasi altra tipologia di assicurazione (auto, casa, ecc.) la cyber insurance protegge le aziende dai danni causati dagli attacchi informatici. In particolare, copre la responsabilità informatica
- Violazioni di dati a seguito di furto da parte di dipendenti e/o fughe di dati.
- Interruzione dell'attività informatica, come un hack di terze parti o una patch software fallita.
- Violazioni dei dati a seguito di hacking.
- Errori e omissioni che portano a intrusioni nella sicurezza.
Passaggio n. 13: creare un team di risposta agli incidenti e pianificare
Se non disponi di un piano di risposta agli incidenti (o non sai di cosa si tratta), creane uno.
Per renderlo più facile, abbiamo preso Talesh Seeparsan's Modello di piano di risposta agli incidenti incentrato su Magento e creato un foglio di calcolo Google che puoi copiare per uso personale.
Prerequisiti per l'utilizzo del modello:
- Creare un team di risposta agli incidenti (IRT) per gestire gli incidenti di sicurezza per ogni aspetto della soluzione di e-commerce definita in questo tavolo.
- Monitorare e analizzare regolarmente il traffico di rete e le prestazioni del sistema.
- Controlla regolarmente tutti i registri e i meccanismi di registrazione, inclusi i registri degli eventi del sistema operativo, i registri specifici dell'applicazione e i registri del sistema di rilevamento delle intrusioni.
- Verificare le procedure di backup e ripristino. È necessario sapere dove vengono conservati i backup, chi può accedervi e le proprie procedure per il ripristino dei dati e il ripristino del sistema. Assicurati di verificare regolarmente backup e supporti ripristinando i dati in modo selettivo.
IBM trovato che aziende con un IRT e test approfonditi dei loro piani di risposta risparmiato oltre $ 1.2 milioni. Più specificamente, lo studio ha mostrato che l'effetto combinato dell'IRT e il test del piano di risposta agli incidenti, attraverso esercitazioni e simulazioni, hanno aiutato i team a rispondere più rapidamente ea produrre maggiori risparmi sui costi rispetto a qualsiasi singolo processo di sicurezza.
Passo #14: mantieni Magento aggiornato e aggiornato
Non ci sono scuse per non avere un negozio Magento patchato e completamente aggiornato.
Per installare una patch di sicurezza Magento, dovresti
- Eseguire il backup del file system, dei supporti e del database per prevenire la perdita di dati nel caso in cui qualcosa vada storto.
- Scarica una patch (nota anche come hotfix) da Centro di sicurezza Magento. Tieni presente che dovrai conoscere la tua versione di Magento per scaricare una patch corretta.
- Applicare una patch tramite Pacchetto Magento Quality Patch (MQP)., riga di comando o Composer.
Scansiona il tuo sito, identifica eventuali patch che devi installare e, per favore, non permettere agli hacker di accedere facilmente attraverso una vulnerabilità. Iscriviti al Magento Security Alert Registry e assicurati di visitare di tanto in tanto il Magento Security Center per le ultime notizie e informazioni.
Per risparmiarti qualche problema, puoi anche assumi uno sviluppatore Magento. Installeranno una patch di sicurezza Magento in pochissimo tempo, che si tratti di un hotfix o di una patch personalizzata.
Cosa fare se il tuo sito web è stato violato
Niente panico. Se si è verificata una violazione dei dati o l'esposizione delle informazioni, non c'è modo di recuperare tali informazioni. La tua priorità dovrebbe essere identificare ciò che è stato esposto, raccogliere prove e assicurarti che i dati non vengano divulgati.
Segui il tuo piano di risposta agli incidenti:
- Fai una prima valutazione
- Comunicare l'incidente
- Contenere i danni e minimizzare i rischi
- Identificare la gravità del compromesso
- Conserva le prove
- Comunicare eventuali notifiche esterne
- Compilare e organizzare le prove dell'incidente
Esperienza Elogic con gli attacchi informatici
Per sapere cosa incontrano gli sviluppatori Elogic nel loro lavoro, abbiamo chiesto in giro e abbiamo appreso di due storie assurde di intenti dannosi.
Il fiasco del mining di Bitcoin
Uno dei nostri sviluppatori full-stack più esperti di Elogic, Andriy Biloshytskiy, ha avuto un'esperienza interessante qualche anno fa. Qualcosa di molto strano accadde a uno dei progetti a cui stava lavorando in quel momento.
Non ci sono stati aggiornamenti recenti sul sito, non è cambiato nulla, tranne che il sito non funzionava", afferma Andriy. "Quindi, ho fatto un'indagine superficiale e ho trovato qualcosa di strano e divertente: c'era un pezzo di codice JavaScript senza tag di chiusura, che ha causato il crash. Dopo una ricerca su Google, ho scoperto che lo script dannoso aveva lo scopo di sottrarre la potenza di calcolo delle persone che visitano il negozio, per estrarre Bitcoin.
– Andriy Biloshytskiy, sviluppatore full-stack presso Elogic Commerce
L'autore (forse un amministratore del negozio) non è mai stato catturato. Il negozio non aveva registri di amministrazione, quindi non c'era modo di sapere con certezza chi fosse il responsabile.
Il virus inaspettato
Quando gli sviluppatori lavorano su progetti, spesso clonano lo store sul proprio PC o server di lavoro per testare e scrivere nuovo codice. Questa storia è avvenuta dopo che uno dei nostri sviluppatori ha clonato un negozio ma invece di mettersi subito al lavoro, ha visto un pop-up.
Il pop-up era un avviso del suo software antivirus e la fonte dell'infezione era l'istanza Magento appena installata. Dopo aver individuato il file infetto, un file PHP di base, lo sviluppatore ha eliminato il codice dannoso e ha proseguito il suo lavoro.
La morale della storia è: se l'attacco è mirato, un errore umano o un problema tecnico/vulnerabilità del sistema, puoi aiutare a prevenire le violazioni implementando e seguendo gli standard di sicurezza.
Magento Commerce è più sicuro di Magento Open Source?
Mentre si sceglie tra Magento 2 Commercio contro Open Source, potresti esserti chiesto quale sia il più sicuro. Sebbene sia vero che entrambe le edizioni di Magento offrono set di funzionalità eccezionali (a seconda delle esigenze aziendali di un commerciante, ovviamente), possiamo garantire la sicurezza di Magento Commerce (alias Adobe Commerce).
Ecco cinque principali vantaggi in termini di sicurezza nell'utilizzo di Magento Commerce e Commerce Cloud.
Conformità PCI
La conformità PCI non è una funzionalità elencata in Magento Open Source, ma è in Magento Commerce. Meglio ancora, Magento Commerce Cloud è certificato PCI come fornitore di soluzioni di livello 1, quindi i commercianti possono utilizzare l'attestato di conformità PCI di Magento per aiutare il proprio processo di certificazione PCI.
Responsabilità di sicurezza condivise
Magento Commerce Cloud ha un modello di sicurezza a responsabilità condivisa dove tu, Magento e Amazon Web Services (i migliori servizi cloud) condividete le responsabilità per la sicurezza operativa. Sei responsabile del test del codice personalizzato e di eventuali applicazioni personalizzate. Magento garantisce che la piattaforma stessa sia sicura e Amazon si occupa della sicurezza fisica dei server e della conformità.
Registri di azione
Magento Commerce ti dà la possibilità di tenere traccia di ogni modifica (azione) effettuata da un amministratore che lavora nel tuo negozio. Le informazioni registrate includono il nome dell'utente, l'azione e se l'azione ha avuto esito positivo e registra anche l'indirizzo IP e la data.
Firewall per applicazioni Web (WAF)
Proprio come un firewall su un PC, un WAF impedisce al traffico dannoso di entrare in una rete utilizzando una serie di regole di sicurezza. Tutto il traffico che attiva le regole viene bloccato prima che si scateni sul tuo sito o sulla tua rete. Utilizza Magento Commerce Cloud Velocemente CDN per i servizi WAF.
Rete per la distribuzione di contenuti (CDN) e protezione DDoS
Magento Commerce Cloud utilizza anche Fastly CDN per funzionalità di sicurezza aggiuntive come la protezione DDoS, che include la mitigazione DDoS di livello 3, 4 e 7
Takeaways — Suggerimenti e best practice per la sicurezza di Magento
La sicurezza del sito e, più in generale, la sicurezza informatica dovrebbero essere una delle tue priorità principali. Non stai solo gestendo un blog o una pagina personale, sei responsabile della protezione delle informazioni riservate, inclusi nomi, indirizzi, numeri di telefono e informazioni sulla carta di credito.
Ricorda:
- Anche un sito completamente patchato e aggiornato può essere violato. Ad esempio, una password di amministratore debole può essere forzata e gli hacker possono entrare e raccogliere tutto ciò che vogliono. Quindi esegui regolarmente i controlli di sicurezza di Magento.
- Non è possibile tenere conto di nuove vulnerabilità o exploit zero-day (un attacco informatico che si verifica lo stesso giorno in cui viene scoperta una debolezza). Tuttavia, un solido piano di risposta agli incidenti può aiutarti a rimanere un passo avanti.
- "Un'oncia di prevenzione vale una libbra di cura." Ben Franklin aveva ragione. Se hai configurato il tuo negozio pensando alla sicurezza, hai aderito al flusso di lavoro di sicurezza informatica che abbiamo delineato e reso il tuo negozio a prova di proiettile, puoi risparmiare un sacco di tempo e angoscia.
- Non scendere a compromessi sulla sicurezza, altrimenti la tua mancanza di sicurezza ti comprometterà.
Domande frequenti sulla sicurezza di Magento
Magento è sicuro?
Dopo il fiasco di Magento 1, Adobe ha aggiornato Magento 2 a nuovi livelli di sicurezza. L'architettura di e-commerce di Magento è progettata per fornire un ambiente altamente sicuro grazie a Web Application Firewall (WAF), Fastly CDN per una protezione DDoS aggiuntiva e hashing per crittografare i dati. Le patch di sicurezza vengono rilasciate ogni trimestre ed è disponibile Magento Security Scanner. I commercianti possono inoltre utilizzare certificati SSL, CAPTCHA, autenticazione a due fattori e altre best practice di sicurezza Magento per proteggere i propri clienti.
Quindi è lecito affermare che Magento è una delle piattaforme più sicure tra quelle offerte nel mercato dell'e-commerce.
Come proteggere il sito Magento?
Alcune best practice per proteggere Magento includono quanto segue:
- Fornisci controlli regolari della sicurezza di Magento, sia con uno strumento automatico di scansione malware Magento o con l'aiuto di un professionista Magento.
- Utilizzare connessioni crittografate (SSL/HTTPS).
- Attiva l'autenticazione a due fattori.
- Esegui regolarmente il backup del tuo sito web.
- Scegli provider di hosting affidabili
- Utilizza le funzionalità di sicurezza native di Magento e installa le estensioni di sicurezza quando necessario.
- Elabora il tuo piano d'azione per un'emergenza informatica.
Vedi una checklist completa per la sicurezza di Magento sopra.
Magento è conforme PCI?
La conformità PCI di Magento dipende dalla sua edizione:
Magento Open Source non è conforme a PCI, quindi dovrai adottare un metodo di pagamento di terze parti che ti reindirizza a un altro sito per effettuare la transazione (come PayPal, Authorize.net) o un metodo di pagamento conforme a SaaS PCI (CRE Secure).
Magento Commerce e Commerce Cloud sono certificati PCI come fornitore di soluzioni di livello 1.
Fonte: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- accesso
- Il mio account
- Action
- attività
- aggiuntivo
- Admin
- Adobe
- Vantaggio
- avvocato
- algoritmo
- Tutti
- Consentire
- Amazon
- Amazon Web Services
- tra
- ha annunciato
- antivirus
- Applicazioni
- applicazioni
- architettura
- in giro
- attacchi
- Autenticazione
- Automatizzata
- Automazione
- di riserva
- backup
- MIGLIORE
- best practice
- Maggiore
- Po
- Bitcoin
- Estrazione Bitcoin
- Blog
- bots
- violazione
- violazioni
- bug
- affari
- aziende
- Campagna
- auto
- che
- catturati
- ha causato
- certificato
- Certificazione
- il cambiamento
- carica
- Controlli
- Cloud
- servizi cloud
- codice
- codifica
- Commercio
- comunità
- Aziende
- conformità
- informatica
- potenza di calcolo
- Connessioni
- Costi
- Crash
- Creazione
- credito
- carta di credito
- Carte di credito
- cura
- Clienti
- Cyber
- Attacco informatico
- attacchi informatici
- Cybersecurity
- dati
- violazione di dati
- Perdita di dati
- la sicurezza dei dati
- Banca Dati
- giorno
- Protezione
- affare
- consegna
- rivelazione
- sviluppare
- Costruttori
- sviluppatori
- Mercato
- dispositivi
- DID
- scoperto
- scoperta
- destino
- e-commerce
- ecommerce
- dipendenti
- crittografia
- Ingegneri
- Ambiente
- eccetera
- Evento
- Espandere
- esperienza
- esperti
- estensioni
- caratteristica
- Caratteristiche
- finanziario
- dati finanziari
- Antincendio
- Nome
- Fissare
- Contesto
- Gratis
- pieno
- futuro
- gif
- Oro
- buono
- Google Search
- grande
- guida
- incidere
- hacker
- pirateria informatica
- Manovrabilità
- hashing
- qui
- assumere
- Casa
- di hosting
- Come
- Tutorial
- HTTPS
- idea
- identificare
- Identità
- Immagine
- Impact
- risposta agli incidenti
- Compreso
- industria
- infezione
- info
- informazioni
- informazioni di sicurezza
- Infrastruttura
- assicurazione
- integrazione
- intento
- interazione
- Intrusion Detection
- indagine
- coinvolto
- IP
- Indirizzo IP
- sicurezza
- IT
- JavaScript
- Lavoro
- conservazione
- Le
- grandi
- con i più recenti
- Notizie
- principale
- Perdite
- IMPARARE
- imparato
- Livello
- responsabilità
- Limitato
- linea
- maggiore
- Fare
- il malware
- gestione
- Rappresentanza
- Marketing
- mercato
- Media
- Mercante
- Commercianti
- Siti di estrazione mineraria
- nomi
- rete
- Rete
- traffico di rete
- notizie
- numeri
- offrire
- Offerte
- ufficiale
- Procedura di Onboarding
- online
- aprire
- open source
- apre
- operativo
- sistema operativo
- Operazioni
- Opzioni
- Altro
- Altri
- Panico
- Password
- Le password
- Toppa
- Patch
- Pagamento
- pagamenti
- PayPal
- PC
- PCI DSS
- Persone
- performance
- dati personali
- Personale
- phishing
- attacchi di phishing
- Fisico
- Sicurezza fisica
- piattaforma
- Piattaforme
- plug-in
- politica
- energia
- Frodi
- Privacy
- Prodotto
- Produzione
- progetti
- protegge
- protezione
- la percezione
- qualità
- recupero
- Report
- Requisiti
- risorsa
- Risorse
- risposta
- Risultati
- recensioni
- Recensioni
- norme
- Correre
- running
- SaaS
- sicura
- scansione
- scansione
- Cerca
- problemi di
- sistemi di sicurezza
- aggiornamenti di sicurezza
- vede
- Servizi
- set
- Condividi
- Conchiglia
- Spedizione
- Corti
- Un'espansione
- Siti
- So
- Software
- Soluzioni
- carne in scatola
- Foglio di calcolo
- standard
- iniziato
- soggiorno
- conservazione
- Tornare al suo account
- negozi
- Storie
- Studio
- presentata
- di successo
- supportato
- supporti
- sistema
- SISTEMI DI TRATTAMENTO
- Target
- Consulenza
- test
- Testing
- Il futuro
- I progetti
- L’ORIGINE
- furto
- minacce
- tempo
- suggerimenti
- tonnellate
- pista
- traffico
- delle transazioni
- Affidati ad
- Aggiornanento
- Aggiornamenti
- URI
- us
- usb
- utenti
- Convalida
- virus
- vulnerabilità
- vulnerabilità
- Vulnerabile
- sito web
- servizi web
- Sito web
- siti web
- settimanale
- Che cosa è l'
- OMS
- WordPress
- parole
- Lavora
- flusso di lavoro
- lavori
- valore
- X
- XSS
- anno
- anni