Magento セキュリティガイド: ウェブサイトをハッカーから守る方法
14 年 2020 月 2,800 日は、多くの Magento 販売者にとって破滅の日となりました。 1 以上の Magento XNUMX ストアが SIMカード製造会社の最大手がアメリカやイギリスのスパイ機関によってハッキングされたとの情報が見つかっている。 これまでに文書化された最大のキャンペーンでクレジット カードの詳細を盗む。
ハッカーが e コマース Web サイト全体に大混乱をもたらすことは珍しいことではありません。コンピューター マルウェア、ウイルス、ワーム、トロイの木馬、その他多くのウイルス eコマース詐欺…ネット上には不快なものがたくさん漂っています。脆弱なシステムを悪用しようとしたり、悪意を持って不法アクセスを取得しようとする人物は常に存在します。
次の Magento セキュリティ侵害に加担したくない場合は、このガイドが最適です。 Magento の主要なセキュリティ脆弱性と、それを防止して貴社のデータと顧客のデータを安全にする方法について説明します。
まず最初に、Magento 1 のセキュリティの問題は何ですか?
Magento 1 の主な問題は、サポートされなくなったことです。 20 年 2020 月 1 日の時点で、Adobe は Magento XNUMX 製品のサポート終了を発表しました。これにより、プラットフォーム エディションは廃止され、サイバー攻撃に対して脆弱になります。
ここに、前述した MageCart 攻撃の理由があります。オンライン顧客から個人データや財務データを盗もうとする人々にとって、時代遅れの Magento ストアは依然として魅力的なターゲットです。
ハッカーは簡単に Magento の古いバージョンをスキャンし、自動ボットを使用してそれらにアクセスし、シェル スクリプトをアップロードし、カード スキミング マルウェアをインストールすることができます。カードスキミング攻撃はエンドユーザーには検出できないため、システムを最新バージョンの Magento に更新する責任は Web サイト運営者にあります。この時点で、Magento 1.x を使用している Web サイトは侵害されていると想定する必要があります。
— ポール・ビショフ、プライバシー擁護者 コンパリテック.
そのため、Magento ストアの保護は販売者にとって最優先事項である必要があります。 Magento 1 は安全ではありませんし、今後も安全ではありません。しかし、Magento 1 はあなたを安全に保ちます。
Magento 2 セキュリティで学んだ教訓と実践
マダニに刺された場合、体を取り除いても感染を止めることはできません。 Magentoでも同じことが起こりました。 Magento に重大な脆弱性が発見されたため、アップグレードが必要になりました。そこでアドビは、Magento のセキュリティ問題を解消し、将来同様の攻撃から加盟店を守るためにシステム全体を刷新しました。
Magento 1 のサポート終了後に Adobe が導入した Magento のセキュリティ機能を以下に示します。
強化されたパスワード管理
Magento 1 は、より弱いパスワード ハッシュ システム (文字列をいわゆるハッシュ パスワードに変換する一方向のプロセス) を使用します。この Magento の脆弱性に対処するために、Magento 2 は、以前のゴールド スタンダードである SHA-2 よりも強力なハッシュ アルゴリズムである Argon13ID256 をサポートしています。
XSS 攻撃の防止の強化
Magento は、エスケープされたデータをデフォルトにすることでクロスサイト スクリプティング (XSS) 攻撃を防ぐ新しいルールを実装しました。
XSS 攻撃は、フィッシング攻撃、キーストロークの記録、その他の不正なアクティビティに使用される悪意のあるスクリプト インジェクションの一種です。
より柔軟なファイル システムの所有権と権限
バージョン 2.0.6 以降、Magento では次のことが可能になります。 ファイルシステムのアクセス許可を設定する。推奨事項は、特定のファイルとディレクトリを開発環境では書き込み専用にし、運用環境では読み取り専用にすることです。
クリックジャッキングエクスプロイトの防止の強化
Magento は、X-Frame-Options HTTP リクエスト ヘッダーを使用して、ストアをクリックジャッキング攻撃から保護します。詳細については、X-Frame-Options ヘッダーを参照してください。
暗号化キーの自動生成
Magento は暗号化キーを使用してパスワードと機密データを保護します。現在、Magento 2 は AES-256 アルゴリズムを使用しており、管理パネルからいつでもランダム キーの生成を選択できます。
デフォルト以外の Magento 管理者 URL の使用
ハッカーは自動パスワード推測ボットを使用して、買い物客の個人データと販売者のバックオフィス業務へのアクセスを取得します。このタイプの攻撃を防ぐために、Magento は製品のインストール時にデフォルトでランダムな管理者 URI を作成します。
一貫した Magento 2 セキュリティ パッチとアップデート
Magento 2 のセキュリティが Magento 1 よりも優れている最大の理由は、定期的なアップデートです。 Adobe の最後の Magento 1 セキュリティ パッチは、22 年 2020 月 2 日にリリースされました。一方、Magento XNUMX の販売業者は四半期ごとに公式サイトでセキュリティ パッチを入手しています。 アドビのセキュリティ情報.
Magento の仕組み Magento が脆弱性の影響を最小限に抑える方法
Magento 2 の新しいアーキテクチャとセキュリティ フレームワークに加えて、脆弱性の影響を最小限に抑えるためのプロセスが導入されています。
彼らを含める:
- バグ報奨金プログラム — Magento で見つかったバグに対して、開発者には最大 10,000 ドルの報奨金が支払われます。これは、コミュニティを Magento のセキュリティに参加させるための優れた方法です。
- Magentoセキュリティセンター — 新しいセキュリティ更新プログラム、パッチ、ベスト プラクティスなどがこのリソースで見つかります。パッチに関する詳細情報が必要な場合でも、パッチ/アップデートのインストール手順が必要な場合でも、ここが最適です。
- セキュリティ警告レジストリ — Magento チームは脆弱性に対応し、ストアを脅威から保護するためのパッチとアップデートを提供します。新しいセキュリティ リリースがあるたびに電子メールを受信するには、セキュリティ アラート レジストリを購読してください。
- コードの品質基準 — Magento コア開発チームは、 Magento コーディング標準 また、Magento の拡張機能やカスタマイズを作成する開発者にもこの標準を使用することを推奨しています。
- 拡張品質プログラム — Magento Marketplace に送信されたすべての拡張機能は、技術的レビューとマーケティング レビューという複数段階のレビュー プロセスを経ます。いずれかのレビューに合格しなかった場合、拡張機能は公開できません。
Magento セキュリティ チェックリスト: サイトの安全性を確保するにはどのようなセキュリティ標準を導入する必要がありますか?
ハッキング不可能なサイトなど存在しません。たとえ最高の開発者、エンジニア、セキュリティ専門家を雇ったとしても、ハッキングされる可能性は依然としてあります。
したがって、オンボーディングと日常のアクティビティに対して厳格なセキュリティ ワークフローを適用することをお勧めします。
Magento を保護する方法は次のとおりです。
- オンボーディングプロセスにセキュリティ対策を組み込む
これは自明のことのように思えるかもしれませんが、社内チームと社外チームの両方で見落とされがちです。店舗の新入社員、人員不足の従業員、およびその間の全員がセキュリティ オンボーディングを受けていることを確認します。私たちがお勧めするのは、 CISO の新入社員オンボーディング チェックリスト. - 厳格なアクセス権を強制する
オンボーディング プロセスの一環として、従業員が仕事を行うためにどのようなアクセス権が必要かを把握することが含まれます。情報へのアクセス権を強制することは重要であり、アクセス権のレビューを実施して、裏でルールが違反されていないことを確認することもお勧めします。あなたはできる このガイドを使用して Magento でユーザー ロールを設定します. - 業界標準に準拠していることを確認してください
これは技術的にもビジネス的にも重要です。サイトとそこで使用されるすべてのコードは、PHP コーディング標準、テスト標準に準拠し、常に PCI に準拠している必要があります。次のセクションでは、PCI 準拠を実現するための実用的なチェックリストを示します。 - フェイルオーバー冗長インフラストラクチャを備えている
はい、あなたがセキュリティの専門家ではないことは承知していますが、セキュリティの責任者にバックアップ プラン (何をバックアップするか、どのくらいの頻度でバックアップを使用するか、いつバックアップを使用するかについてカバーする必要があります) があるかどうかを尋ねる必要があります。重要な注意事項: バックアップは自動化する必要があります。 - 安全なサードパーティコンポーネント (モジュール、サービス、拡張機能、アプリケーション)
以下のような Magento セキュリティのベスト プラクティス たとえば、サーバー上で実行されているすべてのアプリケーションが安全であることを確認してください。 WordPress などのアプリケーションを Magento と同じサーバー上で実行することは避けてください。これらのアプリケーションのいずれかの脆弱性により、Magento からの情報が漏洩する可能性があるためです。言うまでもなく、信頼できないソース (トレント サイトなど) から拡張機能をインストールしないでください。 - データを保護する
a.インフラストラクチャの分離
⇨ これは、サードパーティ製コンポーネントの保護と一致しています。いかなる状況でも、開発環境、ステージング環境、実稼働環境を同じサーバー インスタンス上で実行しないでください。b.アクセス制限あり
⇨ もう 1 つの点について触れました。アクセス権は開発者やその他の IT 担当者にも適用されます。いかなる状況でも、チームのすべてのメンバーが完全な管理者権限を持つべきではありません。c.個人データの保護
⇨ 当然のことのように思えるかもしれませんが、オンボーディング プロセスの一部には、USB ドライブやその他のストレージ デバイスを持ち込まないようにする必要があります。また、不審なリンクをクリックしたり、不審なメールを開いたりしないようにしてください。パスワード (特に Magento 管理者パスワード) は決して他人に教えないでください。
退屈な話はこのくらいにして、Magento ストアの防弾作業に取り掛かりましょう。
完全な Magento セキュリティ: 14 ステップで Magento サイトを保護する方法
ステップ 1: セキュリティ監査
Magento のセキュリティには変動する部分がたくさんあります。開発者、アーキテクト、マネージャー、その他の役割が理解していない Magento のセキュリティには変動する部分がたくさんあります。開発者がいない、 ソリューションアーキテクト、マネージャー、またはその他の役割は、資格のあるセキュリティ専門家だけでなく、セキュリティ リスクを理解しています。そのため、最初のステップは専門家にサイトを徹底的に調査してもらうことです。安全を確保するために、できれば少なくとも年に 1 回はこれを実行する必要があります。
ステップ 2: 自動セキュリティ スキャン
素晴らしいニュースです。スキャンを実行するたびにサードパーティに依頼する必要はありません。 Magento はセキュリティ スキャンを無料で提供します。
Magento Security Scan を使用すると、すべての Web サイト (複数ある場合) の潜在的なリスクを監視し、必要なパッチやアップデートを強調表示できます。スケジュールを設定し (Magento では毎週スキャンすることを推奨します)、失敗したテストごとにレポートと修正措置を受け取ります。始めるには、 このガイドをチェックしてください.
次のような無料のスキャンツールもあります MageReport, ただし、Magentoのツールほど詳細ではなく、自動スキャンやスケジュールされたスキャンは提供しません。
ステップ #3: Magento 管理者のセキュリティ
Magento では、多層的なアプローチを推奨しています。 管理者アカウントを保護する(S)。
次の操作を実行できます。
- パスワードのセキュリティレベルを設定する
- ログイン試行回数を設定する
- セッションが期限切れになるまでのキーボードの非アクティブ時間を構成する
- ユーザー名とパスワードの大文字と小文字を区別する必要がある
管理者パスワード
管理者サイドバーで、次の場所に移動します。 [ストア] > [設定] > [構成]。
左側のパネルの下に 高機能, 「管理者」を選択します。
拡大する セキュリティ のセクションから無料でダウンロードできます。
デフォルトの管理者 URL を変更する
ハッカーの標的にならないように、デフォルトの管理 URL を別の URL に変更することをお勧めします。
デフォルトのベース URL: http://yourdomain.com/magento/
デフォルトの管理者 URL とパス: http://yourdomain.com/magento/admin
簡単な方法があります 管理者 URL を変更する 管理パネルで利用できますが、間違いがあるとすべての管理者がサイトにアクセスできなくなることに注意してください。それを修正する唯一の方法は、サーバー構成ファイルを編集することです (体験したくないことです。信じてください)。
IPホワイトリスト
特定のサイト、IP アドレス、またはネットワークへのアクセスをブロックするブラックリストについて聞いたことがあるかもしれません。
ホワイトリスト登録 はその逆です。特定の情報、サイト、そしてこの場合は Magento 管理パネルへのアクセスを、信頼できる IP アドレスのみに許可します。
ステップ #4: ユーザーの役割を設定する
Magento には、管理者のアクセスを制限するオプションが含まれています。つまり、サイト管理者に表示される内容を制限し、限定的なアクセスを許可する権限を作成できます。
[管理者] サイドバーに移動して、ユーザーの役割を設定できます。クリック エントルピー、 下 権限、 選ぶ ユーザーの役割。右上隅にある をクリックします。 新しい役割の追加.
を割り当てた後、 ロール名 パスワードを入力すると、 役割の範囲 (下の画像を参照).
Magento Commerce を使用すると、管理者が実行したアクションをログに記録できます。アクション ログをオンにするには、次の場所に移動します。 [ストア] > [設定] > [構成]。 左側のパネルでは、 拡張機能を展開します 選択して 管理者 拡大する 管理者アクションのログ記録 セクションを選択してチェックボックスをオンにします 管理者ログを有効にする ログを記録したいアクションごとに。
ステップ #5: キャプチャと Google reCaptcha を構成する
Magento では両方を設定できます キャプチャ および Google リキャプチャ 管理者と顧客向け。どちらもスパムやその他の種類の自動化された不正行為から保護します。
キャプチャ これは人間による検証テストです。つまり、おそらく目を細めて見る必要がある、ぼやけて波打った文字や数字です。
Google リキャプチャ これは、人間による検証の優れたタイプ、つまり「私はロボットではありません」チェックボックスです。
非表示の reCAPTCHA (Magento 推奨) — これにより、ユーザーが人間であることが何の対話もなしに自動的に検証されます。魔法のように聞こえますが、Google はそれを実現する方法を見つけました。
ステップ #6: 2 要素認証 (XNUMXFA)
二要素認証 (略して 2FA) は、ユーザーに検証プロセスの XNUMX 番目のステップを完了させることでユーザーの身元を確認する方法です。 マジェント2FA は管理者ユーザーのみが利用でき、顧客アカウントには拡張されません。
Magento で 2FA を設定する方法は次のとおりです。
管理者サイドバーで、次の場所に移動します。 [ストア] > [設定] > [構成]。
左側のパネルでは、 「セキュリティ」を展開し、「2FA」を選択します.
ステップ #7: 暗号化キー
Magento を初めて起動すると、システムは暗号化キーを自動的に生成します。このキーは、パスワードや、クレジット カード情報や統合 (支払いおよび配送モジュール) のパスワードなどのその他の機密データを保護するために使用されます。
Magento では、このキーを常に安全に隠しておくことをお勧めします。データ侵害が発生した場合は、新しい暗号化キーを作成して、古いキーを使用してデータにアクセスできないようにすることができます。
また、ご購読はいつでも停止することが可能です 新しいキーを生成する 管理パネルで。繰り返しになりますが、これを自分で行うことはお勧めしません。
Sステップ #8: パスワード要件
Magento では、少なくとも 10 文字 (文字と数字の両方) が必要です。もう少し堅牢なもの、つまり 12 ~ XNUMX 文字の英数字のパスワードを使用することをお勧めします。
プロティップ — パスワードを自分で考えようとしないでください。使用することをお勧めします のLastPass ランダムにパスワードを生成します。
データ侵害の疑いがある場合は、アカウントがハッキングされたかどうかに関係なく、パスワードを変更し、年に 1 回パスワードを変更するリマインダーを設定します。
顧客と管理者の両方が使用するパスワードのセキュリティ レベルを管理インターフェイスで直接設定できます。
管理者サイドバーで、次の場所に移動します。 [ストア] > [設定] > [構成]。
左側のパネルでは、 顧客を拡大する および [顧客の構成] を選択します。
拡大する パスワードオプション のセクションから無料でダウンロードできます。
ステップ9: PCIコンプライアンス
大手クレジット カード会社は、加盟店が重要なセキュリティ対策を確実に採用できるようにするために、Payment Card Industry Data Security Standard (PCI DSS) を作成しました。 PCI 要件に従わない販売者は多額の罰金を科せられる可能性があり、その結果、支払い処理能力が失われる可能性もあります。
Magento により、販売業者は PCI 準拠を容易にします — Magento Commerce Cloud は PCI 認定を受けており、Magento のサービスは統合されています 支払いゲートウェイ PayPal、Authorize.Net、その他クレジット カード情報を安全に送信するものなど。
PCI-DSS の 12 要件 | |
安全なネットワークを構築および維持する | 要件 1: カード所有者のデータを保護するためにファイアウォール構成をインストールおよび維持する 要件 2: システム パスワードおよびその他のセキュリティ パラメータにベンダー提供のデフォルトを使用しない |
カード会員データを保護する | 要件 3: 保存されているカード会員データを保護する 要件 4: オープンなパブリック ネットワークを介したカード所有者データの送信の暗号化 |
脆弱性管理プログラムを維持する | 要件 5: ウイルス対策ソフトウェアを使用し、定期的に更新する 要件 6: 安全なシステムとアプリケーションを開発および保守する |
強力なアクセス制御手段を実装する | 要件 7: カード会員データへのアクセスをビジネス上必要な範囲に制限する 要件 8: コンピューターにアクセスできる各ユーザーに一意の ID を割り当てる 要件 9: カード会員データへの物理的アクセスを制限する |
ネットワークを定期的に監視およびテストする | 要件 10: ネットワーク リソースとカード所有者データへのすべてのアクセスを追跡および監視する 要件 11: セキュリティ システムとプロセスを定期的にテストする |
情報セキュリティポリシーを維持する | 要件 12: 情報セキュリティに対処するポリシーを維持する |
重要な注意事項: 保存されたクレジット カード モジュール 本番環境でも!
保存されたクレジット カードは PCI に準拠していません そして顧客のクレジットカード情報を公開してしまう可能性があります。
ステップ #10: セキュリティ拡張機能をインストールする
ネイティブ機能だけでは不十分な場合は、拡張機能が役に立ちます。 Magento には、有料と無料の両方のセキュリティ拡張機能の豊富なリポジトリがあります。以下にいくつか試してみることをお勧めします。
ステップ #11: セキュリティ自動化ソリューション
セキュリティの自動化は、ウイルス対策スキャン、侵入検出、バックアップの作成、SSL 証明書の更新などのセキュリティ関連タスクを自動的に処理するプロセスです。
IBM 画期的な発見をしました: 自動化されたセキュリティ ソリューションを導入していない組織は、完全に導入された自動化を導入している組織よりも 95% 高い侵害コストを経験しました。
ステップ #12: サイバー賠償責任保険
他の種類の保険 (自動車、住宅など) と同様に、サイバー保険はサイバー攻撃による損害から企業を保護します。特にサイバー責任は以下の内容をカバーします。
- 従業員の盗難やデータ漏洩に伴うデータ侵害。
- サードパーティによるハッキングやソフトウェア パッチの失敗など、サイバー ビジネスの中断。
- ハッキングによるデータ侵害。
- セキュリティ侵害につながるエラーや欠落。
ステップ #13: インシデント対応チームの作成と計画
インシデント対応計画がない場合 (または、これが何なのかわからない場合)、作成してみましょう。
簡単にするために、 タレシュ・シーパルサンの Magento 中心のインシデント対応計画テンプレートを作成し、自分用にコピーできる Google スプレッドシートを作成しました。
テンプレートを使用するための前提条件:
- インシデント対応チーム (IRT) を作成して、で定義された電子商取引ソリューションの各側面のセキュリティ インシデントに対処します。 この表.
- ネットワークトラフィックとシステムパフォーマンスを定期的に監視および分析します。
- オペレーティング システムのイベント ログ、アプリケーション固有のログ、侵入検知システム ログなど、すべてのログとロギング メカニズムを定期的にチェックします。
- バックアップと復元の手順を確認してください。バックアップがどこに保存されているか、誰がアクセスできるか、データの復元とシステムの回復の手順を認識しておく必要があります。データを選択的に復元することで、バックアップとメディアを定期的に検証してください。
IBM あれを見つけた IRTを導入している企業 対応計画の大規模なテスト 1.2万ドル以上を節約。より具体的には、この調査では、IRT と訓練とシミュレーションによるインシデント対応計画のテストの複合効果により、単一のセキュリティ プロセスよりも迅速に対応し、大幅なコスト削減を実現できることが示されました。
ステップ #14: Magento にパッチを当てて最新の状態に保つ
パッチが適用され、完全に更新された Magento ストアがないことには言い訳ができません。
Magento セキュリティ パッチをインストールするには、次のことを行う必要があります。
- 何か問題が発生した場合のデータ損失を防ぐために、ファイル システム、メディア、データベースをバックアップします。
- からパッチ (別名ホットフィックス) をダウンロードします。 Magento セキュリティ センター。正しいパッチをダウンロードするには、Magento のバージョンを知る必要があることに注意してください。
- 経由でパッチを適用します Magento 品質パッチ (MQP) パッケージ、コマンドライン、または Composer。
サイトをスキャンして、インストールする必要があるパッチを特定し、ハッカーが脆弱性を利用して簡単にアクセスできないようにしてください。 Magento Security Alert Registry にサインアップし、Magento Security Center に時々アクセスして最新のニュースや情報を入手してください。
トラブルを避けるために、次のこともできます。 Magento開発者を雇う。彼らは、ホットフィックスであろうとカスタムパッチであろうと、Magento セキュリティパッチをすぐにインストールします。
ウェブサイトがハッキングされた場合の対処法
慌てないで。データ侵害や情報漏洩が発生した場合、その情報を取り戻す方法はありません。何が暴露されたのかを特定し、証拠を収集し、データが漏洩していないことを確認することを優先する必要があります。
インシデント対応計画に従ってください。
- 初期評価を行う
- 事件を伝える
- 被害を抑え、リスクを最小限に抑える
- 侵害の重大度を特定する
- 証拠を保存する
- 外部からの通知を伝達する
- 事件の証拠を収集および整理する
サイバー攻撃に関する Elogic の経験
Elogic 開発者が仕事中に遭遇するものを知るために、私たちは周囲に尋ね、悪意のある 2 つの突飛な話を知りました。
ビットコインマイニングの大失敗
Elogic で最も経験豊富なフルスタック開発者の 1 人である Andriy Biloshytskiy は、数年前に興味深い経験をしました。当時彼が取り組んでいたプロジェクトの 1 つで、非常に奇妙なことが起こりました。
サイトには最近の更新はなく、サイトが機能していないこと以外は何も変わっていませんでした」とアンドリー氏は言います。 「そこで、大まかな調査を行ったところ、奇妙かつ面白いことを発見しました。終了タグのない JavaScript コードがあり、それがクラッシュの原因でした。」 Google で検索した結果、この悪意のあるスクリプトは、店舗を訪れた人々のコンピューティング パワーを吸い上げ、ビットコインをマイニングすることを目的としていたことがわかりました。
– Andriy Biloshytskiy 氏、Elogic Commerce のフルスタック開発者
犯人(おそらく店の管理者)は捕まらなかった。ストアには管理者ログがなかったため、誰が責任を負ったのかを正確に知る方法はありませんでした。
予期せぬウイルス
開発者がプロジェクトに取り組むとき、多くの場合、仕事用 PC またはサーバー上にストアのクローンを作成して、新しいコードをテストして作成します。この話は、開発者の 1 人がストアのクローンを作成した後に起こりましたが、すぐに作業を開始する代わりにポップアップが表示されました。
このポップアップはウイルス対策ソフトウェアからの警告であり、感染源は新しくインストールされた Magento インスタンスでした。感染したファイル、つまり PHP のコア ファイルを見つけた後、開発者は悪意のあるコードを削除し、作業を再開しました。
この話の教訓は、攻撃が標的型攻撃であれ、人的ミスであれ、システムの不具合や脆弱性であれ、セキュリティ標準を実装して従うことで侵害を防ぐことができるということです。
Magento Commerce は Magento オープンソースよりも安全ですか?
どちらかを選択しながら Magento 2 コマース vs オープンソース, どちらがより安全なのか疑問に思った方もいるかもしれません。どちらの Magento エディションも優れた機能セットを提供しているのは事実ですが (もちろん販売者のビジネス ニーズによって異なります)、Magento Commerce (別名 Adobe Commerce) のセキュリティは保証できます。
Magento Commerce および Commerce Cloud を使用することによる 5 つの主要なセキュリティ上の利点を次に示します。
PCIコンプライアンス
PCI コンプライアンスは Magento オープンソースにはリストされている機能ではありませんが、Magento Commerce には含まれています。さらに良いことに、Magento Commerce Cloud はレベル 1 ソリューション プロバイダーとして PCI 認定されているため、販売者は Magento の PCI 準拠証明書を使用して独自の PCI 認定プロセスを支援できます。
セキュリティ責任の共有
Magento Commerce Cloud には、 責任共有セキュリティモデル ここでは、お客様、Magento、および Amazon Web Services (最高のクラウド サービス) が運用上のセキュリティに対する責任を共有します。カスタム コードとカスタム アプリケーションをテストするのはあなたの責任です。 Magento はプラットフォーム自体の安全性を確保し、Amazon はサーバーとコンプライアンスの物理的なセキュリティを担当します。
行動ログ
Magento Commerce を使用すると、ストアで働く管理者が行ったすべての変更 (アクション) を記録することができます。ログに記録される情報には、ユーザーの名前、アクション、アクションが成功したかどうかが含まれ、IP アドレスと日付も記録されます。
Webアプリケーションファイアウォール(WAF)
PC のファイアウォールと同様に、WAF は一連のセキュリティ ルールを使用して、悪意のあるトラフィックがネットワークに侵入するのを防ぎます。ルールをトリガーするトラフィックは、サイトまたはネットワーク上で解放される前にブロックされます。 Magento Commerce Cloud の使用方法 ファストリーCDN WAF サービス用。
コンテンツ配信ネットワーク (CDN) と DDoS 保護
Magento Commerce Cloud は、レイヤー 3、4、および 7 の DDoS 軽減を含む DDoS 保護などの追加のセキュリティ機能にも Fastly CDN を使用します。
要点 — Magento セキュリティのヒントとベスト プラクティス
サイトのセキュリティ、さらに広義にはサイバーセキュリティを主要な優先事項の 1 つとすべきです。あなたはブログや個人ページを運営しているだけではなく、名前、住所、電話番号、クレジット カード情報などの機密情報を保護する責任があります。
覚えておいてください:
- 完全にパッチが当てられ、更新されたサイトであってもハッキングされる可能性があります。たとえば、脆弱な管理者パスワードは総当たり攻撃される可能性があり、ハッカーが侵入して必要なものすべてを収集する可能性があります。したがって、Magento のセキュリティチェックを定期的に実行してください。
- 新しい脆弱性やゼロデイ エクスプロイト (弱点が発見されたのと同じ日に発生するサイバー攻撃) を説明することはできません。ただし、強力なインシデント対応計画があれば、一歩先を行くことができます。
- 「1オンスの予防は1ポンドの治療に匹敵する。」ベン・フランクリンは正しかった。セキュリティを念頭に置いてストアを構成し、説明したサイバーセキュリティ ワークフローを遵守し、ストアを完全に防御していれば、膨大な時間と心の痛みを節約できます。
- セキュリティについて妥協しないでください。セキュリティが不足すると危険が生じます。
Magentoのセキュリティに関するよくある質問
Magentoは安全ですか?
Magento 1 の大失敗を受けて、Adobe は Magento 2 を新しいセキュリティ レベルにアップグレードしました。 Magento e コマース アーキテクチャは、Web アプリケーション ファイアウォール (WAF)、追加の DDoS 保護のための Fastly CDN、およびデータ暗号化のためのハッシュにより、非常に安全な環境を提供するように設計されています。セキュリティ パッチは四半期ごとにリリースされ、Magento Security Scanner が利用可能です。販売者はさらに、SSL 証明書、CAPTCHA、XNUMX 要素認証、その他の Magento セキュリティのベスト プラクティスを使用して顧客を保護できます。
したがって、Magento は、e コマース市場で提供されているプラットフォームの中で最も安全なプラットフォームの 1 つであると言っても過言ではありません。
Magento サイトを保護するにはどうすればよいですか?
Magento を保護するためのベスト プラクティスには次のようなものがあります。
- Magento マルウェア自動スキャン ツールまたは Magento 専門家の支援を使用して、Magento セキュリティの定期的な監査を提供します。
- 暗号化された接続 (SSL/HTTPS) を使用します。
- 二要素認証を有効にします。
- Web サイトを定期的にバックアップしてください。
- 信頼できるホスティングプロバイダーを選択する
- ネイティブの Magento セキュリティ機能を利用し、必要に応じてセキュリティ拡張機能をインストールします。
- サイバー緊急事態に備えた行動計画を作成します。
上記の完全な Magento セキュリティ チェックリストを参照してください。
Magento は PCI に準拠していますか?
Magento PCI 準拠はそのエディションによって異なります。
Magentoオープンソース は PCI に準拠していないため、取引を行うために別のサイトにリダイレクトされるサードパーティの支払い方法 (PayPal、Authorize.net など) または SaaS PCI 準拠の支払い方法 (CRE Secure) を採用する必要があります。
Magento コマースとコマース クラウド は、レベル 1 ソリューション プロバイダーとして PCI 認定を受けています。
出典: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- アクセス
- Action
- 活動
- NEW
- 管理人
- Adobe
- 利点
- 支持者
- アルゴリズム
- すべて
- 許可
- Amazon
- Amazon Webサービス
- 間で
- 発表の
- アンチウイルス
- 申し込み
- 建築
- 周りに
- 攻撃
- 認証
- 自動化
- オートメーション
- バックアップ
- バックアップ
- BEST
- ベストプラクティス
- 最大の
- ビット
- Bitcoin
- Bitcoinマイニング
- ブログ
- ボット
- 違反
- 違反
- バグ
- ビジネス
- ビジネス
- キャンペーン
- 自動車
- これ
- キャッチ
- 生じました
- 証明書
- 認証
- 変化する
- チャージ
- 小切手
- クラウド
- クラウドサービス
- コード
- コーディング
- 貿易
- コミュニティ
- 企業
- コンプライアンス
- コンピューティング
- コンピューティングパワー
- Connections
- コスト
- Crash
- 作成
- クレジット
- クレジットカード
- クレジットカード
- ケア
- Customers
- サイバー
- サイバー攻撃
- サイバー攻撃
- サイバーセキュリティ
- データ
- データ侵害
- データ損失
- データセキュリティ
- データベース
- 中
- DDoS攻撃
- 取引
- 配達
- 検出
- 開発する
- Developer
- 開発者
- 開発
- Devices
- DID
- 発見
- 発見
- 運命
- eコマース
- eコマース
- 社員
- 暗号化
- エンジニア
- 環境
- 等
- イベント
- 詳細
- 体験
- 専門家
- エクステンション
- 特徴
- 特徴
- ファイナンシャル
- 財務データ
- 火災
- 名
- 修正する
- フレームワーク
- 無料版
- フル
- 未来
- GIF
- ゴールド
- 良い
- でログイン
- グーグル検索
- 素晴らしい
- ガイド
- ハック
- ハッカー
- ハッキング
- ハンドリング
- ハッシュ
- こちら
- 雇う
- ホーム
- ホスティング
- 認定条件
- How To
- HTTPS
- アイデア
- 識別する
- アイデンティティ
- 画像
- 影響
- インシデント対応
- 含めて
- 産業を変えます
- 感染
- info
- 情報
- 情報セキュリティー
- インフラ関連事業
- 保険
- 統合
- 意図
- 相互作用
- 侵入検知
- 調査
- 関係する
- IP
- IPアドレス
- 問題
- IT
- JavaScriptを
- ジョブ
- 保管
- キー
- 大
- 最新の
- 最新ニュース
- 主要な
- リーク
- LEARN
- 学んだ
- レベル
- 賠償責任
- 限定的
- LINE
- 主要な
- 作成
- マルウェア
- 管理
- 市場
- マーケティング
- 市場
- メディア
- マーチャント
- 商人
- 鉱業
- 名
- net
- ネットワーク
- ネットワークトラフィック
- ニュース
- 番号
- 提供
- オファー
- 公式
- 新人研修
- オンライン
- 開いた
- オープンソース
- 開きます
- オペレーティング
- オペレーティングシステム
- 業務執行統括
- オプション
- その他
- その他
- パニック
- パスワード
- パスワード
- パッチ
- パッチ
- 支払い
- 支払い
- PayPal
- PC
- PCI DSS
- のワークプ
- パフォーマンス
- 個人データ
- Personnel
- フィッシング詐欺
- フィッシング攻撃
- 物理的な
- 物理的なセキュリティ
- プラットフォーム
- プラットフォーム
- プラグイン
- 方針
- 電力
- 防止
- プライバシー
- プロダクト
- 生産
- プロジェクト(実績作品)
- 守る
- 保護
- 公共
- 品質
- 回復
- レポート
- 要件
- リソースを追加する。
- リソース
- 応答
- 結果
- レビュー
- レビュー
- ルール
- ラン
- ランニング
- SaaSの
- 安全な
- スキャン
- スキャニング
- を検索
- セキュリティ
- セキュリティシステム
- セキュリティ更新プログラム
- 見て
- サービス
- セッションに
- シェアする
- シェル(Shell)
- 発送
- ショート
- 簡単な拡張で
- サイト
- So
- ソフトウェア
- ソリューション
- スパム
- スプレッドシート
- 規格
- 開始
- 滞在
- ストレージ利用料
- 店舗
- 店舗
- ストーリー
- 勉強
- 提出された
- 成功した
- サポート
- サポート
- システム
- ターゲット
- 技術的
- test
- テスト
- 未来
- プロジェクト
- ソース
- 盗難
- 脅威
- 時間
- ヒント
- トーン
- 追跡する
- トラフィック
- トランザクション
- 信頼
- アップデイト
- 更新版
- URI
- us
- USB
- users
- Verification
- ウイルス
- 脆弱性
- 脆弱性
- 脆弱な
- ウェブ
- Webサービス
- ウェブサイト
- ウェブサイト
- weekly
- 何ですか
- 誰
- WordPress
- 言葉
- 仕事
- ワークフロー
- 作品
- 価値
- X
- XSS
- 年
- 年