Magento-beveiligingsgids: hoe u uw website kunt beveiligen tegen hackers
14 september 2020 werd voor veel Magento-handelaars de dag van de ondergang. Er waren ruim 2,800 Magento 1-winkels gehackt om creditcardgegevens te stelen in de grootste gedocumenteerde campagne tot nu toe.
Het is niet ongebruikelijk dat hackers grote schade aanrichten op e-commercewebsites. Computermalware, virussen, wormen, Trojaanse paarden en vele andere e-commercefraude… er veel vervelende dingen rondzweven op het net. Er zal altijd iemand zijn die probeert misbruik te maken van een kwetsbaar systeem of zich met kwade bedoelingen onrechtmatig toegang verschaft.
Als je geen deel wilt uitmaken van de volgende Magento-beveiligingsinbreuk, dan is deze gids iets voor jou. Lees verder om de belangrijkste kwetsbaarheden in de beveiliging van Magento te ontdekken en manieren om deze te voorkomen, zodat uw gegevens en die van uw klanten veilig zijn.
Allereerst: wat is het probleem met Magento 1-beveiliging?
Het grootste probleem van Magento 1 is dat het niet langer wordt ondersteund. Vanaf 20 juni 2020 kondigde Adobe het einde van de levensduur aan van zijn Magento 1-product, waardoor de platformeditie verouderd en kwetsbaar werd voor cyberaanvallen.
Daar heb je de reden voor een eerder genoemde MageCart-aanval. Verouderde Magento-winkels blijven aantrekkelijke doelwitten voor degenen die vastbesloten zijn persoonlijke en financiële gegevens van online klanten te stelen.
Hackers kunnen eenvoudig zoeken naar verouderde versies van Magento en geautomatiseerde bots gebruiken om deze te openen, shell-scripts te uploaden en de card skimming-malware te installeren. Kaartskimming-aanvallen zijn niet detecteerbaar door eindgebruikers, dus de verantwoordelijkheid ligt bij website-exploitanten om hun systemen bij te werken naar de nieuwste versie van Magento. Op dit punt moet worden aangenomen dat elke website die Magento 1.x gebruikt, gecompromitteerd is.
— Paul Bischoff, een privacyadvocaat bij Comparitech.
Daarom moet de bescherming van Magento-winkels de eerste prioriteit zijn voor verkopers. Magento 1 is niet veilig en zal dat ook nooit worden. Maar Magento 1 houdt u in veilige handen.
Lessen die zijn geleerd en geïmplementeerd in Magento 2-beveiliging
Als je door een teek bent gebeten, zal het verwijderen van de teek de infectie niet stoppen. Hetzelfde gebeurde met Magento. Nadat de kritieke kwetsbaarheid in Magento was gevonden, was een upgrade noodzakelijk. Daarom heeft Adobe het hele systeem vernieuwd om Magento-beveiligingsproblemen te elimineren en hun verkopers in de toekomst tegen soortgelijke aanvallen te beschermen.
Hier zijn Magento-beveiligingsfuncties die Adobe heeft geïntroduceerd nadat Magento 1 het einde van de levensduur heeft bereikt.
Verbeterd wachtwoordbeheer
Magento 1 gebruikt een zwakker systeem van wachtwoordhashing (een eenrichtingsproces waarbij een reeks tekens wordt omgezet in een zogenaamd gehasht wachtwoord). Om deze Magento-kwetsbaarheid aan te pakken, ondersteunt Magento 2 Argon2ID13, een sterker hash-algoritme dan de vorige gouden standaard: SHA-256.
Verbeterde preventie van XSS-aanvallen
Magento heeft nieuwe regels geïmplementeerd om cross-site scripting (XSS)-aanvallen te voorkomen door ontsnapte gegevens als standaard te gebruiken.
XSS-aanvallen zijn een soort kwaadaardige scriptinjectie die wordt gebruikt bij phishing-aanvallen, het registreren van toetsaanslagen en andere ongeautoriseerde activiteiten.
Flexibeler eigendom en machtigingen van bestandssystemen
Vanaf versie 2.0.6 staat Magento gebruikers toe dit te doen toegangsrechten voor bestandssystemen instellen. De aanbevelingen zijn dat bepaalde bestanden en mappen alleen-schrijven zijn in een ontwikkelomgeving en alleen-lezen in een productieomgeving.
Verbeterde preventie van clickjacking-exploits
Magento beschermt uw winkel tegen clickjacking-aanvallen door gebruik te maken van een X-Frame-Options HTTP-verzoekheader. Zie de koptekst X-Frame-Options voor meer informatie.
Automatisch genereren van coderingssleutel
Magento gebruikt een encryptiesleutel om wachtwoorden en gevoelige gegevens te beschermen. Momenteel gebruikt Magento 2 het AES-256-algoritme en u kunt er op elk gewenst moment voor kiezen om via het beheerderspaneel een willekeurige sleutel te genereren.
Gebruik van een niet-standaard Magento-beheerders-URL
Hackers gebruiken geautomatiseerde bots voor het raden van wachtwoorden om de persoonlijke gegevens van klanten en de toegang van verkopers tot de backoffice-activiteiten op te halen. Om dit soort aanvallen te voorkomen, maakt Magento standaard een willekeurige beheerders-URI aan wanneer u het product installeert.
Consistente Magento 2-beveiligingspatches en updates
De grootste reden waarom Magento 2-beveiliging Magento 1 overtroeft, zijn regelmatige updates. Adobe's laatste Magento 1-beveiligingspatch werd uitgebracht op 22 juni 2020. Ondertussen ontvangen Magento 2-verkopers hun beveiligingspatches elk kwartaal in een officiële Adobe-beveiligingsbulletin.
Hoe Magento Hoe Magento de impact van kwetsbaarheden minimaliseert
Naast het nieuwe architectuur- en beveiligingsframework van Magento 2 zijn er processen geïmplementeerd om de impact van kwetsbaarheden te minimaliseren.
Zij omvatten:
- Bug Bounty Program — Ontwikkelaars ontvangen premies tot $10,000 voor gevonden bugs in Magento. Dit is een geweldige manier om de community te betrekken bij Magento-beveiliging.
- Magento Beveiligingscentrum — Nieuwe beveiligingsupdates, patches, best practices en nog veel meer zijn te vinden op deze informatiebron. Of u nu meer informatie over een patch nodig heeft of instructies nodig heeft om patches/updates te installeren, hier kunt u terecht.
- Register voor beveiligingswaarschuwingen — Het Magento-team reageert op kwetsbaarheden en biedt patches en updates om winkels te beschermen tegen bedreigingen. Abonneer u op het Security Alert Registry om e-mails te ontvangen wanneer er een nieuwe beveiligingsrelease is.
- Codeer kwaliteitsnormen — Het kernontwikkelingsteam van Magento gebruikt de Magento-coderingsstandaard en raadt ontwikkelaars aan die Magento-extensies en -aanpassingen maken ook deze standaard te gebruiken.
- Uitbreiding kwaliteitsprogramma — Alle extensies die bij de Magento Marketplace worden ingediend, doorlopen een beoordelingsproces dat uit meerdere stappen bestaat: technische en marketingbeoordelingen. Als een van beide beoordelingen niet wordt goedgekeurd, mag de extensie niet worden gepubliceerd.
Magento Beveiligingschecklist: welke beveiligingsnormen moeten er zijn om ervoor te zorgen dat mijn site veilig is?
Er bestaat niet zoiets als een onhackbare site. Zelfs als u de beste ontwikkelaars, technici en beveiligingsexperts inhuurt, bestaat nog steeds de mogelijkheid om gehackt te worden.
Onze aanbeveling is dus om een strikte beveiligingsworkflow af te dwingen voor onboarding en dagelijkse activiteiten.
Hier zijn manieren om Magento te beveiligen:
- Neem beveiligingspraktijken op in uw onboardingproces
Hoewel dit vanzelfsprekend lijkt, wordt het vaak over het hoofd gezien door zowel interne als externe teams. Zorg ervoor dat nieuwe winkelmedewerkers, medewerkers met extra personeel en iedereen daar tussenin de beveiligingsonboarding doorlopen. Wij raden de CISO's nieuwe onboardingchecklist voor nieuwe medewerkers. - Dwing strikte toegangsrechten af
Onderdeel van het onboardingproces is uitzoeken welke toegangsrechten een medewerker nodig heeft om zijn werk te kunnen doen. Het afdwingen van toegangsrechten tot informatie is belangrijk en we raden u ook aan om toegangsrechtencontroles uit te voeren om er zeker van te zijn dat er geen regels achter uw rug worden overtreden. Jij kan stel gebruikersrollen in Magento in met deze handleiding. - Zorg ervoor dat u voldoet aan de industrienormen
Dit is zowel technisch als zakelijk. Uw site en alle code die erop wordt gebruikt, moeten voldoen aan de PHP-coderingsnormen en testnormen en te allen tijde PCI-compatibel zijn. In het volgende gedeelte laten we u een bruikbare checklist zien, zodat u PCI-compatibel kunt worden. - Zorg voor een failover-redundante infrastructuur
Ja, we begrijpen dat u geen beveiligingsexpert bent, maar u moet degene die verantwoordelijk is voor de beveiliging vragen of zij een back-upplan hebben (waarin moet staan waarvan u een back-up maakt, hoe vaak u een back-up maakt en wanneer back-ups moeten worden gebruikt). Belangrijke opmerking: back-ups moeten worden geautomatiseerd. - Beveilig componenten van derden (modules, services, uitbreidingen, applicaties)
Zoals het Beste praktijken voor Magento-beveiliging Zorg er bijvoorbeeld voor dat alle applicaties die op uw server draaien veilig zijn. Vermijd het draaien van applicaties als WordPress op dezelfde server als Magento, omdat een kwetsbaarheid in een van die applicaties mogelijk informatie uit Magento kan vrijgeven. Het spreekt voor zich dat je nooit extensies van onbetrouwbare bronnen (zoals torrent-sites) moet installeren. - Bescherm uw gegevens
A. Segregatie van infrastructuur
⇨ Dit is in lijn met het beveiligen van componenten van derden. In geen geval mogen ontwikkelings-, staging- en productieomgevingen op dezelfde serverinstantie draaien.B. Beperkte toegang
⇨ Een ander punt dat we hebben aangestipt: de toegangsrechten gelden voor de ontwikkelaars en ander IT-personeel. In geen geval mag elk lid van het team volledige beheerdersrechten hebben.C. Bescherming van persoonlijke gegevens
⇨ Hoewel het voor de hand liggend lijkt, zou een deel van het onboardingproces moeten omvatten dat je geen USB-drives en andere opslagapparaten meeneemt om te kunnen werken. Vergeet ook niet op verdachte links te klikken en geen verdachte e-mails te openen. Vertel nooit iemand uw wachtwoord (vooral het Magento Admin-wachtwoord).
Dus nu we de saaie dingen achter de rug hebben, gaan we aan de slag met het kogelvrij maken van uw Magento-winkel!
Bulletproof Magento-beveiliging: hoe u de Magento-site in 14 stappen kunt beveiligen
Stap 1: Beveiligingsaudit
Er zijn veel bewegende delen in Magento-beveiliging. Geen enkele ontwikkelaar, architect, manager of andere rol begrijpt het. Er zijn veel bewegende delen in Magento-beveiliging. Geen ontwikkelaar, oplossingsarchitect, manager of andere rollen begrijpen zowel beveiligingsrisico's als een gekwalificeerde beveiligingsexpert. Daarom is de eerste stap om uw site door een expert te laten doorzoeken. Om veilig te blijven, moet u dit bij voorkeur minstens één keer per jaar doen.
Stap 2: Automatische beveiligingsscan
Goed nieuws: u hoeft niet elke keer dat u een scan wilt uitvoeren naar een derde partij te gaan. Magento biedt zijn Security Scan gratis aan.
Met Magento Security Scan kunt u al uw websites (als u er meer dan één heeft) controleren op mogelijke risico's en worden de patches en updates gemarkeerd die u nodig heeft. Stel een schema in (Magento raadt aan om wekelijks te scannen) en ontvang rapporten en corrigerende maatregelen voor elke mislukte test. Starten, bekijk deze gids.
Er zijn ook gratis scantools beschikbaar, zoals MageReport, maar het is niet zo diepgaand als de tool van Magento en biedt geen geautomatiseerd of gepland scannen.
Stap 3: Magento Admin-beveiliging
Magento beveelt een meerlaagse aanpak aan het beveiligen van uw beheerdersaccount(S).
U kunt:
- Stel het beveiligingsniveau voor wachtwoorden in
- Stel het aantal inlogpogingen in
- Configureer de lengte van toetsenbordinactiviteit voordat de sessie verloopt
- Hoofdlettergevoelige gebruikersnamen en wachtwoorden vereisen
Beheerderswachtwoorden
Wachtwoordopties voor beheerders
Ga in de beheerderszijbalk naar Winkels > Instellingen > Configuratie.
In het linkerpaneel onder Geavanceerd, kies Beheerder.
Vouw de Security pagina.
Wijzig de standaard beheerders-URL
Het is een goed idee om de standaard beheerders-URL te wijzigen in iets anders, zodat deze minder een doelwit voor hackers wordt.
Standaard basis-URL: http://uwdomein.com/magento/
Standaard beheerders-URL en -pad: http://uwdomein.com/magento/admin
Er is een eenvoudige manier om wijzig de beheerders-URL beschikbaar in het beheerderspaneel, maar houd er rekening mee dat eventuele fouten ervoor zorgen dat uw site ontoegankelijk wordt voor alle beheerders, en de enige manier om dit op te lossen is door de serverconfiguratiebestanden te bewerken (niet iets dat u wilt ervaren, vertrouw ons).
IP Whitelisting
Misschien heb je wel eens gehoord van blacklisting: het blokkeren van de toegang tot een bepaalde site, IP-adres of netwerk.
whitelisting is het tegenovergestelde: toegang tot bepaalde informatie, sites en in ons geval tot het Magento-beheerpaneel wordt alleen verleend aan vertrouwde IP-adressen.
Stap 4: Stel gebruikersrollen in
Magento bevat opties om de toegang voor beheerders te beperken. Met andere woorden, u kunt machtigingen maken om te beperken wat een sitebeheerder ziet en hem beperkte toegang verlenen.
U kunt gebruikersrollen instellen door naar de beheerderszijbalk te gaan. Klik Systeem, onder Rechten, kiezen Gebruikersrollen. Klik in de rechterbovenhoek op Nieuwe rol toevoegen.
Na het toekennen van een Rol naam en door uw wachtwoord in te voeren, kunt u de Rolomvang (zie onderstaande afbeelding).
Met Magento Commerce kunt u alle acties die door beheerders worden uitgevoerd, registreren. U kunt Actielogboeken inschakelen door naar te navigeren Winkels > Instellingen > Configuratie. In het linkerpaneel, uitbreiden Geavanceerd En kies Beheerder. Vouw de Registratie van beheerdersacties sectie en schakel het selectievakje in schakel beheerdersregistratie in voor elke actie die u wilt loggen.
Stap # 5: Configureer Captcha en Google reCaptcha
In Magento kun je beide instellen Captcha en Google reCaptcha voor beheerders en klanten. Beide beschermen u tegen spam en andere vormen van geautomatiseerd misbruik.
Captcha is een menselijke validatietest, dat wil zeggen de wazige, kronkelige letters en cijfers die je waarschijnlijk hebt moeten samenknijpen om ze te kunnen zien.
Google reCaptcha is een superieur type menselijke validatie, namelijk het selectievakje 'Ik ben geen robot'.
Onzichtbare reCAPTCHA (Magento aanbevolen) — die automatisch verifieert dat een gebruiker een mens is, zonder enige interactie. Het klinkt als magie, maar Google heeft een manier gevonden om het te doen.
Stap #6: Tweefactorauthenticatie (2FA)
Two-Factor Authentication, of kortweg 2FA, is een methode om de identiteit van een gebruiker te bevestigen door gebruikers een tweede stap in het verificatieproces te laten voltooien. Magento2FA is alleen beschikbaar voor beheerders en wordt niet uitgebreid naar klantaccounts.
Zo configureer je 2FA in Magento:
Ga in de beheerderszijbalk naar Winkels > Instellingen > Configuratie.
In het linkerpaneel, vouw Beveiliging uit en kies 2FA.
Stap #7: Coderingssleutel
Wanneer u Magento voor het eerst opstart, genereert het systeem automatisch een coderingssleutel. Deze sleutel wordt gebruikt om wachtwoorden en andere gevoelige gegevens te beschermen, zoals creditcardgegevens en integratiewachtwoorden (betalings- en verzendmodule).
Magento raadt aan om deze sleutel te allen tijde veilig en verborgen te houden. Als u een datalek ervaart, kunt u een nieuwe coderingssleutel maken om te voorkomen dat iemand met de oude sleutel toegang krijgt tot gegevens.
Je kunt een nieuwe sleutel genereren in het beheerderspaneel. Ik herhaal: we raden u niet aan dit alleen te doen.
Stap #8: Wachtwoordvereisten
Magento vereist minimaal zeven tekens (zowel letters als cijfers). We raden aan iets stevigers te gebruiken: een alfanumeriek wachtwoord van 10 tot 12 tekens.
pro-tip — Probeer niet zelf een wachtwoord te bedenken. Wij raden aan om te gebruiken LastPass om willekeurig een wachtwoord te genereren.
Wijzig uw wachtwoorden als u vermoedt dat er sprake is van een datalek, ongeacht of uw account al dan niet is gehackt, en stel een herinnering in om uw wachtwoord één keer per jaar te wijzigen.
U kunt het beveiligingsniveau voor wachtwoorden die door zowel klanten als beheerders worden gebruikt, rechtstreeks in de beheerdersinterface instellen
Ga in de beheerderszijbalk naar Winkels > Instellingen > Configuratie.
In het paneel aan de linkerkant, klanten uitbreiden en kies Klantconfiguratie.
Vouw de Wachtwoordopties pagina.
Stap #9: PCI-naleving
De grote creditcardbedrijven hebben de Payment Card Industry Data Security Standard (PCI DSS) ontwikkeld om ervoor te zorgen dat verkopers kritische beveiligingsmaatregelen nemen. Verkopers die niet aan de PCI-vereisten voldoen, kunnen hoge boetes verwachten, wat er ook toe kan leiden dat ze hun vermogen om betalingen te verwerken verliezen.
Magento maakt het gemakkelijker voor verkopers om PCI-compliant te worden – Magento Commerce Cloud is PCI-gecertificeerd en Magento biedt geïntegreerde Betaling Gateways zoals PayPal, Authorize.Net en anderen die veilig creditcardgegevens verzenden.
12 Vereisten voor PCI-DSS | |
Bouw en onderhoud een veilig netwerk | Vereiste 1: Installeer en onderhoud een firewallconfiguratie om kaarthoudergegevens te beschermen Vereiste 2: Gebruik geen door de leverancier geleverde standaardwaarden voor systeemwachtwoorden en andere beveiligingsparameters |
Bescherm kaarthoudergegevens | Eis 3: Bescherm opgeslagen kaarthoudergegevens Vereiste 4: Versleutel de overdracht van kaarthoudergegevens via open, openbare netwerken |
Onderhoud een programma voor kwetsbaarheidsbeheer | Vereiste 5: Gebruik antivirussoftware en update deze regelmatig Eis 6: Ontwikkel en onderhoud veilige systemen en applicaties |
Implementeer krachtige maatregelen voor toegangscontrole | Vereiste 7: Beperk de toegang tot kaarthoudergegevens op basis van bedrijfsneed-to-know Vereiste 8: Ken een unieke ID toe aan elke persoon met computertoegang Eis 9: Beperk de fysieke toegang tot kaarthoudergegevens |
Controleer en test netwerken regelmatig | Vereiste 10: Volg en bewaak alle toegang tot netwerkbronnen en kaarthoudergegevens Eis 11: Test regelmatig beveiligingssystemen en -processen |
Handhaaf een informatiebeveiligingsbeleid | Eis 12: Zorg voor een beleid dat gericht is op informatiebeveiliging |
Belangrijke opmerking: GEBRUIK de Opgeslagen creditcardmodule in een productieomgeving!
Opgeslagen creditcards zijn niet PCI-compatibel en mogelijk geeft u de creditcardgegevens van uw klanten vrij.
Stap 10: Installeer beveiligingsextensies
Wanneer native functionaliteit niet voldoende is, komen extensies te hulp. Magento heeft een rijke verzameling beveiligingsextensies, zowel betaald als gratis. Hier zijn er een paar die je kunt proberen:
Stap #11: Oplossingen voor beveiligingsautomatisering
Beveiligingsautomatisering is het proces waarbij beveiligingsgerelateerde taken automatisch worden afgehandeld, zoals antivirusscans, inbraakdetectie, het maken van back-ups, het vernieuwen van SSL-certificaten en nog veel meer.
IBM een baanbrekende ontdekking gedaan: Organisaties zonder geautomatiseerde beveiligingsoplossingen hadden te maken met inbreukkosten die 95% hoger waren dan organisaties met volledig geïmplementeerde automatisering.
Stap 12: Cyberaansprakelijkheidsverzekering
Net als elk ander type verzekering (auto, woning, enz.) beschermt een cyberverzekering bedrijven tegen schade veroorzaakt door cyberaanvallen. In het bijzonder dekt cyberaansprakelijkheid
- Datalekken als gevolg van diefstal door medewerkers en/of datalekken.
- Onderbreking van cyberactiviteiten, zoals een hack van derden of een mislukte softwarepatch.
- Datalekken na hacking.
- Fouten en weglatingen die leiden tot inbreuk op de beveiliging.
Stap 13: Creëer een incidentresponsteam en -plan
Als u geen incidentresponsplan heeft (of niet weet wat dit is), laten we er dan een maken.
Om het gemakkelijker te maken, hebben we genomen Talesh Seeparsan Magento-centrische Incident Response Plan-sjabloon en een Google-spreadsheet gemaakt die u voor eigen gebruik kunt kopiëren.
Vereisten voor het gebruik van de sjabloon:
- Creëer een Incident Response Team (IRT) om beveiligingsincidenten af te handelen voor elk aspect van de e-commerce-oplossing gedefinieerd in deze tafel.
- Bewaak en analyseer routinematig het netwerkverkeer en de systeemprestaties.
- Controleer routinematig alle logboeken en registratiemechanismen, inclusief gebeurtenislogboeken van het besturingssysteem, toepassingsspecifieke logboeken en systeemlogboeken voor inbraakdetectie.
- Controleer uw back-up- en herstelprocedures. U moet op de hoogte zijn van waar back-ups worden bewaard, wie er toegang toe heeft, en uw procedures voor gegevensherstel en systeemherstel. Zorg ervoor dat u regelmatig back-ups en media verifieert door selectief gegevens te herstellen.
IBM gevonden dat bedrijven met een IRT en het uitgebreid testen van hun reactieplannen bespaarde meer dan $ 1.2 miljoen. Meer specifiek toonde het onderzoek aan dat het gecombineerde effect van de IRT en het testen van het incidentresponsplan, door middel van oefeningen en simulaties, teams hielp sneller te reageren en grotere kostenbesparingen te realiseren dan welk afzonderlijk beveiligingsproces dan ook.
Stap 14: Houd Magento gepatcht en up-to-date
Er zijn geen excuses om geen gepatchte en volledig bijgewerkte Magento-winkel te hebben.
Om een Magento-beveiligingspatch te installeren, moet u:
- Maak een back-up van het bestandssysteem, de media en de database om gegevensverlies te voorkomen als er iets misgaat.
- Download een patch (ook wel hotfix genoemd) van Magento beveiligingscentrum. Houd er rekening mee dat u uw Magento-versie moet kennen om een juiste patch te kunnen downloaden.
- Breng een pleister aan via Magento Quality Patch (MQP)-pakket, opdrachtregel of Composer.
Scan uw site, identificeer eventuele patches die u moet installeren en zorg ervoor dat hackers niet gemakkelijk toegang krijgen via een kwetsbaarheid. Meld u aan voor het Magento Security Alert Registry en bezoek af en toe het Magento Security Center voor het laatste nieuws en informatie.
Om jezelf wat moeite te besparen, kun je dat ook doen huur een Magento-ontwikkelaar in. Zij installeren binnen no-time een Magento-beveiligingspatch. Of het nu een hotfix of een patch op maat is.
Wat u moet doen als uw website is gehackt
Geen paniek. Als er sprake is van een datalek of als er sprake is van informatieblootstelling, is het onmogelijk om die informatie terug te krijgen. Uw prioriteit zou moeten zijn het identificeren van wat er is onthuld, het verzamelen van bewijsmateriaal en ervoor zorgen dat er geen gegevens lekken.
Volg uw incidentresponsplan:
- Maak een eerste beoordeling
- Communiceer het voorval
- Beperk de schade en minimaliseer de risico's
- Identificeer de ernst van het compromis
- Bewaar bewijsmateriaal
- Communiceer eventuele externe meldingen
- Verzamel en organiseer bewijsmateriaal voor incidenten
Elogic Ervaring met cyberaanvallen
Om erachter te komen wat Elogic-ontwikkelaars tegenkomen in hun werk, hebben we rondgevraagd en kennis genomen van twee wilde verhalen over kwaadaardige bedoelingen.
Het Bitcoin-mijnfiasco
Een van onze meest ervaren full-stack ontwikkelaars bij Elogic, Andriy Biloshytskiy, had een paar jaar geleden een interessante ervaring. Er gebeurde iets heel vreemds met een van de projecten waar hij op dat moment aan werkte.
Er waren geen recente updates op de site, er was niets veranderd, behalve dat de site niet werkte”, zegt Andriy. “Dus deed ik een vluchtig onderzoek en ontdekte iets dat zowel vreemd als grappig was: er was een stukje JavaScript-code zonder afsluitende tags, wat de crash veroorzaakte. Na een Google-zoekopdracht ontdekte ik dat het kwaadaardige script bedoeld was om de rekenkracht van mensen die de winkel bezoeken over te hevelen – om Bitcoin te minen.
– Andriy Biloshytskiy, full-stack-ontwikkelaar bij Elogic Commerce
De dader (mogelijk een winkelbeheerder) is nooit gepakt. De winkel had geen beheerderslogboeken, dus er was geen manier om zeker te weten wie verantwoordelijk was.
Het onverwachte virus
Wanneer ontwikkelaars aan projecten werken, klonen ze vaak de winkel op hun werk-pc of server om nieuwe code te testen en te schrijven. Dit verhaal gebeurde nadat een van onze ontwikkelaars een winkel had gekloond, maar in plaats van meteen aan de slag te gaan, zag hij een pop-up.
De pop-up was een waarschuwing van zijn antivirussoftware en de bron van de infectie was de vers geïnstalleerde Magento-instantie. Nadat hij het geïnfecteerde bestand, een kern-PHP-bestand, had gevonden, verwijderde de ontwikkelaar de kwaadaardige code en ging verder met zijn werk.
De moraal van het verhaal is: of de aanval nu gericht is, een menselijke fout is of een systeemfout/kwetsbaarheid, u kunt inbreuken helpen voorkomen door beveiligingsnormen te implementeren en te volgen.
Is Magento Commerce veiliger dan Magento Open Source?
Terwijl je kiest tussen Magento 2 Commerce versus open source, heb je je misschien afgevraagd welke veiliger is. Hoewel het waar is dat beide Magento-edities uitstekende functiesets bieden (uiteraard afhankelijk van de zakelijke behoeften van een handelaar), kunnen we instaan voor de veiligheid van Magento Commerce (ook wel Adobe Commerce genoemd).
Hier zijn vijf belangrijke beveiligingsvoordelen van het gebruik van Magento Commerce en Commerce Cloud.
PCI compliance
PCI-compliance is geen functie die wordt vermeld in Magento Open Source, maar wel in Magento Commerce. Beter nog: Magento Commerce Cloud is PCI-gecertificeerd als Level 1 Solution Provider, zodat verkopers Magento's PCI Attestation of Compliance kunnen gebruiken om hun eigen PCI-certificeringsproces te ondersteunen.
Gedeelde beveiligingsverantwoordelijkheden
Magento Commerce Cloud heeft een veiligheidsmodel voor gedeelde verantwoordelijkheid waar jij, Magento en Amazon Web Services (de beste cloudservices) de verantwoordelijkheden voor operationele beveiliging delen. Je bent verantwoordelijk voor het testen van aangepaste code en eventuele aangepaste applicaties. Magento zorgt ervoor dat het platform zelf veilig is, en Amazon zorgt voor de fysieke beveiliging van servers en compliance.
Actielogboeken
Magento Commerce geeft u de mogelijkheid om elke wijziging (actie) bij te houden die is aangebracht door een beheerder die in uw winkel werkt. De geregistreerde informatie omvat de naam van de gebruiker, de actie en of de actie succesvol was, en registreert ook het IP-adres en de datum.
Firewall voor webtoepassingen (WAF)
Net als een firewall op een pc voorkomt een WAF dat kwaadaardig verkeer een netwerk binnendringt door gebruik te maken van een reeks beveiligingsregels. Al het verkeer dat de regels activeert, wordt geblokkeerd voordat het zichzelf op uw site of netwerk loslaat. Magento Commerce Cloud maakt gebruik van Snel CDN voor WAF-diensten.
Content Delivery Network (CDN) en DDoS-bescherming
Magento Commerce Cloud maakt ook gebruik van Fastly CDN voor extra beveiligingsfuncties zoals DDoS-bescherming, waaronder Layer 3, 4 en 7 DDoS-beperking
Takeaways – Magento-beveiligingstips en best practices
Sitebeveiliging en, breder gezien, cyberbeveiliging moeten een van uw belangrijkste prioriteiten zijn. U beheert niet alleen een blog of persoonlijke pagina, u bent verantwoordelijk voor het beschermen van vertrouwelijke informatie, waaronder namen, adressen, telefoonnummers en creditcardgegevens.
Vergeet niet:
- Zelfs een volledig gepatchte en bijgewerkte site kan worden gehackt. Een zwak beheerderswachtwoord kan bijvoorbeeld bruut worden geforceerd en hackers kunnen zo naar binnen lopen en alles verzamelen wat ze willen. Voer daarom regelmatig Magento-veiligheidscontroles uit.
- Je kunt geen rekening houden met nieuwe kwetsbaarheden of zero-day exploits (een cyberaanval die plaatsvindt op dezelfde dag dat een zwakte wordt ontdekt). Een sterk incidentresponsplan kan u echter helpen een stap voor te blijven.
- “Een ons voorkomen is een pond genezen waard.” Ben Franklin had gelijk. Als u uw winkel heeft geconfigureerd met het oog op veiligheid, u heeft gehouden aan de cyberbeveiligingsworkflow die we hebben geschetst en uw winkel kogelvrij heeft gemaakt, kunt u uzelf veel tijd en verdriet besparen.
- Sluit geen compromissen op het gebied van de veiligheid, anders zal uw gebrek aan veiligheid u in gevaar brengen.
Veelgestelde vragen over Magento-beveiliging
Is Magento veilig?
Na het Magento 1-fiasco heeft Adobe Magento 2 geüpgraded naar nieuwe beveiligingsniveaus. De e-commerce-architectuur van Magento is ontworpen om een zeer veilige omgeving te bieden dankzij Web Application Firewall (WAF), Fastly CDN voor extra DDoS-bescherming en hashing om gegevens te versleutelen. Elk kwartaal worden er beveiligingspatches uitgebracht en is Magento Security Scanner beschikbaar. Verkopers kunnen bovendien SSL-certificaten, CAPTCHA, tweefactorauthenticatie en andere best practices op het gebied van Magento-beveiliging gebruiken om hun klanten te beschermen.
Het is dus veilig om te zeggen dat Magento een van de veiligste platforms is die op de e-commercemarkt worden aangeboden.
Hoe de Magento-site beveiligen?
Enkele best practices om Magento te beveiligen zijn onder meer:
- Zorg voor regelmatige audits van de Magento-beveiliging, hetzij met een automatische Magento-malwarescantool of met de hulp van een Magento-professional.
- Gebruik gecodeerde verbindingen (SSL/HTTPS).
- Activeer tweefactorauthenticatie.
- Maak regelmatig een back-up van uw website.
- Kies voor betrouwbare hostingproviders
- Maak gebruik van de native beveiligingsfuncties van Magento en installeer beveiligingsextensies wanneer dat nodig is.
- Stel uw actieplan op voor een cybernoodsituatie.
Bekijk hierboven een volledige Magento-beveiligingschecklist.
Is Magento PCI-compatibel?
Magento PCI-compliance hangt af van de editie:
Magento Open Source is niet PCI-compatibel, dus u zult een betalingsmethode van een derde partij moeten gebruiken die u doorverwijst naar een andere site om de transactie uit te voeren (zoals PayPal, Authorize.net) of een SaaS PCI-compatibele betalingsmethode (CRE Secure).
Magento Commerce en Commerce Cloud zijn PCI-gecertificeerd als Level 1 Solution Provider.
Bron: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- toegang
- Account
- Actie
- activiteiten
- Extra
- beheerder
- adobe
- Voordeel
- advocaat
- algoritme
- Alles
- Het toestaan
- Amazone
- Amazon Web Services
- onder
- aangekondigd
- antivirus
- Aanvraag
- toepassingen
- architectuur
- rond
- Aanvallen
- authenticatie
- geautomatiseerde
- Automatisering
- backup
- backups
- BEST
- 'best practices'
- Grootste
- Beetje
- Bitcoin
- Bitcoin mijnbouw
- Blog
- bots
- overtreding
- inbreuken
- bugs
- bedrijfsdeskundigen
- ondernemingen
- Campagne
- auto
- verzorging
- gevangen
- veroorzaakt
- certificaten
- Certificering
- verandering
- lading
- Controles
- Cloud
- cloud-diensten
- code
- codering
- Lenen en verhuur
- gemeenschap
- Bedrijven
- nakoming
- computergebruik
- computer kracht
- aansluitingen
- Kosten
- Neerstorten
- Wij creëren
- Credits
- creditkaart
- Kredietkaarten
- genezen
- Klanten
- cyber
- Cyber aanval
- cyberaanvallen
- Cybersecurity
- gegevens
- datalek
- Data Loss
- gegevensbeveiliging
- Database
- dag
- DDoS
- transactie
- levering
- Opsporing
- ontwikkelen
- Ontwikkelaar
- ontwikkelaars
- Ontwikkeling
- systemen
- DEED
- ontdekt
- ontdekking
- ondergang
- e-commerce
- ecommerce
- medewerkers
- encryptie
- Ingenieurs
- Milieu
- etc
- Event
- Uitvouwen
- ervaring
- deskundigen
- extensies
- Kenmerk
- Voordelen
- financieel
- financiële data
- Brand
- Voornaam*
- Bepalen
- Achtergrond
- Gratis
- vol
- toekomst
- gif
- Tijdloos goud
- goed
- Kopen Google Reviews
- Google Search
- groot
- gids
- houwen
- Hackers
- hacking
- Behandeling
- hashing
- hier
- huren
- Home
- Hosting
- Hoe
- How To
- HTTPS
- idee
- identificeren
- Identiteit
- beeld
- Impact
- incident reactie
- Inclusief
- -industrie
- infectie
- info
- informatie
- informatiebeveiliging
- Infrastructuur
- verzekering
- integratie
- aandachtig
- wisselwerking
- Intrusion Detection
- onderzoek
- betrokken zijn
- IP
- IP-adres
- problemen
- IT
- JavaScript
- Jobomschrijving:
- houden
- sleutel
- Groot
- laatste
- Laatste Nieuws
- leidend
- Lekken
- LEARN
- geleerd
- Niveau
- aansprakelijkheid
- Beperkt
- Lijn
- groot
- maken
- malware
- management
- Markt
- Marketing
- markt
- Media
- Koopman
- Verkopers
- Mijnbouw
- namen
- netto
- netwerk
- netwerk verkeer
- nieuws
- nummers
- bieden
- Aanbod
- officieel
- Onboarding
- online.
- open
- open source
- opent
- werkzaam
- besturingssysteem
- Operations
- Opties
- Overige
- Overig
- Paniek
- Wachtwoord
- wachtwoorden
- Patch
- Patches
- betaling
- betalingen
- PayPal
- PC
- PCI DSS
- Mensen
- prestatie
- persoonlijke gegevens
- Personeel
- Phishing
- phishing-aanvallen
- Fysiek
- Fysieke bewaking
- platform
- platforms
- inpluggen
- beleidsmaatregelen
- energie
- het voorkomen
- privacy
- Product
- productie
- projecten
- beschermen
- bescherming
- publiek
- kwaliteit
- na een training
- Rapporten
- Voorwaarden
- hulpbron
- Resources
- antwoord
- Resultaten
- beoordelen
- Recensies
- reglement
- lopen
- lopend
- SaaS
- veilig
- aftasten
- het scannen
- Ontdek
- veiligheid
- beveiligingssystemen
- beveiligingsupdates
- ziet
- Diensten
- reeks
- Delen
- Shell
- Verzending
- Bermuda's
- Eenvoudig
- Locaties
- So
- Software
- Oplossingen
- spam
- spreadsheet
- normen
- gestart
- blijven
- mediaopslag
- shop
- winkels
- Blog
- Studie
- ingediend
- geslaagd
- ondersteunde
- steunen
- system
- Systems
- doelwit
- Technisch
- proef
- Testen
- De toekomst
- De projecten
- De Bron
- diefstal
- bedreigingen
- niet de tijd of
- tips
- ton
- spoor
- verkeer
- transactie
- Trust
- bijwerken
- updates
- URI
- us
- usb
- gebruikers
- Verificatie
- virussen
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- web
- webservices
- Website
- websites
- per week
- Wat is
- WIE
- WordPress
- woorden
- Mijn werk
- workflow
- Bedrijven
- waard
- X
- XSS
- jaar
- jaar