Magento sikkerhetsguide: Slik sikrer du nettstedet ditt mot hackere
14. september 2020 kom til å bli undergangsdagen for mange Magento-kjøpmenn. Over 2,800 Magento 1-butikker var hacket å stjele kredittkortdetaljer i den største dokumenterte kampanjen til dags dato.
Det er ikke uvanlig at hackere skaper kaos på tvers av netthandelsnettsteder. Skadevare, virus, ormer, trojanere og mange andre e-handelssvindel… det er mye ekkelt som flyter rundt på nettet. Det vil alltid være noen som prøver å utnytte et sårbart system eller får ulovlig tilgang med ondsinnet hensikt.
Hvis du ikke ønsker å bli en del av det neste Magento-sikkerhetsbruddet, er denne guiden for deg. Les videre for å oppdage de viktigste sikkerhetssårbarhetene i Magento og måter å forhindre dem på, slik at dataene dine og kundenes data er trygge.
Første ting først, hva er problemet med Magento 1-sikkerhet?
Hovedproblemet med Magento 1 er at det ikke lenger støttes. Fra 20. juni 2020 kunngjorde Adobe slutten av levetiden for Magento 1-produktet, og gjorde dermed plattformutgaven foreldet og sårbar for nettangrep.
Der har du grunnen til et MageCart-angrep nevnt tidligere. Utdaterte Magento-butikker er fortsatt attraktive mål for de som er fast bestemt på å stjele personlige og økonomiske data fra nettkunder.
Hackere kan enkelt skanne etter utdaterte versjoner av Magento og bruke automatiserte roboter for å få tilgang til dem, laste opp shell-skript og installere skadelig programvare for kortskimming. Kortskimmingsangrep er uoppdagelige av sluttbrukere, så ansvaret faller på nettstedoperatører for å oppdatere systemene sine til den nyeste versjonen av Magento. På dette tidspunktet bør ethvert nettsted som bruker Magento 1.x antas å være kompromittert.
— Paul Bischoff, en personvernforkjemper med Comparitech.
Det er derfor Magento-butikkbeskyttelse bør være førsteprioritet for selgere. Magento 1 er ikke sikker og vil aldri være det. Men Magento 1 vil holde deg i trygge hender.
Leksjoner lært og implementert i Magento 2 Security
Hvis du blir bitt av en flått, stopper ikke infeksjonen å fjerne deg selv. Det samme skjedde med Magento. Etter at den kritiske sårbarheten ble funnet i Magento, var en oppgradering nødvendig. Så Adobe fornyet hele systemet for å eliminere Magento-sikkerhetsproblemer og beskytte selgerne deres mot lignende angrep i fremtiden.
Her er Magento-sikkerhetsfunksjonene Adobe har introdusert etter at Magento 1 utløper.
Forbedret passordbehandling
Magento 1 bruker et svakere system for passordhashing (en enveisprosess for å gjøre en streng med tegn om til det som er kjent som et hash-passord). For å løse dette Magento-sårbarheten, støtter Magento 2 Argon2ID13, en sterkere hashing-algoritme enn den forrige gullstandarden – SHA-256.
Forbedret forebygging av XSS-angrep
Magento har implementert nye regler for å forhindre cross-site scripting (XSS) angrep ved å gjøre escaped data til standard.
XSS-angrep er en type ondsinnet skriptinjeksjon som brukes i phishing-angrep, logging av tastetrykk og andre uautoriserte aktiviteter.
Mer fleksibelt filsystemeierskap og tillatelser
Fra og med versjon 2.0.6 lar Magento brukere angi tilgangstillatelser for filsystemer. Anbefalingene er at enkelte filer og kataloger er skrivebeskyttet i et utviklingsmiljø og skrivebeskyttet i et produksjonsmiljø.
Forbedret forebygging av Clickjacking-utnyttelser
Magento beskytter butikken din mot clickjacking-angrep ved å bruke en X-Frame-Options HTTP-forespørselshode. For mer informasjon, se X-Frame-Options-overskriften.
Automatisk generering av krypteringsnøkkel
Magento bruker en krypteringsnøkkel for å beskytte passord og sensitive data. For øyeblikket bruker Magento 2 AES-256-algoritmen, og du kan velge å generere en tilfeldig nøkkel når som helst gjennom adminpanelet.
Bruk av ikke-standard Magento Admin URL
Hackere bruker automatiserte passordgjetting-roboter for å hente kunders personlige data og selgeres tilgang til back-office-operasjonene. For å forhindre denne typen angrep, oppretter Magento som standard en tilfeldig Admin URI når du installerer produktet.
Konsekvente Magento 2-sikkerhetsoppdateringer og -oppdateringer
Den største grunnen til at Magento 2-sikkerhet trumfer Magento 1 er regelmessige oppdateringer. Adobes siste Magento 1-sikkerhetsoppdatering ble utgitt 22. juni 2020. I mellomtiden får Magento 2-selgeren sikkerhetsoppdateringene sine hvert kvartal i en offisiell Adobes sikkerhetsbulletin.
Hvordan Magento Hvordan Magento minimerer virkningen av sårbarheter
I tillegg til den nye arkitekturen og sikkerhetsrammeverket til Magento 2, er det prosesser på plass for å minimere innvirkningen av sårbarheter.
De omfatter:
- Bug Bounty Program — Utviklere blir belønnet med dusører på opptil $10,000 XNUMX for feil funnet i Magento. Dette er en fin måte å få samfunnet involvert i Magento-sikkerhet.
- Magento sikkerhetssenter — Nye sikkerhetsoppdateringer, oppdateringer, beste fremgangsmåter og mye mer finnes på denne ressursen. Enten du trenger mer informasjon om en patch eller trenger instruksjoner for å installere patcher/oppdateringer, er dette stedet å gå.
- Sikkerhetsvarslingsregister — Magento-teamet reagerer på sårbarheter og gir patcher og oppdateringer for å beskytte butikker mot trusler. Abonner på Security Alert Registry for å motta e-poster hver gang det er en ny sikkerhetsutgivelse.
- Kode kvalitetsstandarder — Magento-kjerneutviklingsteamet bruker Magento kodingsstandard og anbefaler at utviklere som lager Magento-utvidelser og tilpasninger også bruker denne standarden.
- Kvalitetsprogram for utvidelse — Alle utvidelser som sendes inn til Magento Marketplace går gjennom en flertrinns gjennomgangsprosess: tekniske og markedsføringsmessige vurderinger. Hvis en av anmeldelsene ikke blir bestått, vil utvidelsen ikke tillates publisert.
Magento sikkerhetssjekkliste: Hvilke sikkerhetsstandarder bør være på plass for å sikre at nettstedet mitt er trygt?
Det finnes ikke noe som heter et nettsted som ikke kan hackes. Selv om du ansetter de beste utviklerne, ingeniørene og sikkerhetsekspertene, er det fortsatt en mulighet for å bli hacket.
Så vår anbefaling er å håndheve en streng sikkerhetsarbeidsflyt for ombordstigning og daglige aktiviteter.
Her er måter å sikre Magento på:
- Inkluder sikkerhetspraksis i onboardingsprosessen
Selv om dette kan virke selvforklarende, blir det ofte oversett av både interne og eksterne team. Sørg for at nye butikkmedarbeidere, utbemannede ansatte og alle i mellom går gjennom sikkerhetsintroduksjonen. Vi anbefaler CISOs sjekkliste for nye ansettelser. - Håndheve strenge tilgangsrettigheter
En del av introduksjonsprosessen er å finne ut hvilke tilgangsrettigheter en ansatt trenger for å gjøre jobben sin. Det er viktig å håndheve tilgangsrettigheter til informasjon, og vi anbefaler også å gjøre gjennomgang av tilgangsrettigheter for å sikre at ingen regler blir brutt bak ryggen din. Du kan konfigurer brukerroller i Magento med denne veiledningen. - Sørg for at du overholder industristandarder
Dette er både teknisk og forretningsmessig. Nettstedet ditt og all koden som brukes på den, bør være i samsvar med PHP-kodingsstandarder, teststandarder og være PCI-kompatibel til enhver tid. Vi viser deg en praktisk sjekkliste i neste avsnitt slik at du kan bli PCI-kompatibel. - Har redundant infrastruktur for failover
Ja, vi forstår at du ikke er en sikkerhetsekspert, men du må spørre den som er ansvarlig for sikkerheten om de har en sikkerhetskopiplan (som skal dekke hva du sikkerhetskopierer, hvor ofte du sikkerhetskopierer, og når sikkerhetskopier skal brukes). Viktig merknad: sikkerhetskopiering bør være automatisert. - Sikre tredjepartskomponenter (moduler, tjenester, utvidelser, applikasjoner)
Som Best Practices for Magento Security si, sørg for at alle applikasjoner som kjører på serveren din er sikre. Unngå å kjøre applikasjoner som WordPress på samme server som Magento, fordi en sårbarhet i en av disse applikasjonene potensielt kan avsløre informasjon fra Magento. Det sier seg selv at du aldri bør installere utvidelser fra upålitelige kilder (som torrentsider). - Beskytt dataene dine
en. Segregering av infrastruktur
⇨ Dette er i tråd med sikring av tredjepartskomponenter. Under ingen omstendigheter bør du ha utviklings-, iscenesettelses- og produksjonsmiljøer som kjører på samme serverforekomst.b. Begrenset tilgang
⇨ Et annet punkt vi kom inn på: tilgangsrettigheter gjelder utviklere og annet IT-personell. Ikke under noen omstendigheter skal hvert medlem av teamet ha fulle administratorrettigheter.c. Beskyttelse av personopplysninger
⇨ Selv om det kan virke åpenbart, bør en del av innføringsprosessen inkludere å ikke ta inn USB-stasjoner og andre lagringsenheter for å fungere. Husk også å ikke klikke på mistenkelige lenker eller åpne mistenkelige e-poster. Fortell aldri passordet ditt til noen (spesielt Magento Admin-passordet).
Så med de kjedelige tingene ute av veien, la oss begynne å skuddsikre Magento-butikken din!
Bulletproof Magento Security: Slik sikrer du Magento-nettstedet i 14 trinn
Trinn #1: Sikkerhetsrevisjon
Det er mange bevegelige deler i Magento-sikkerhet. Ingen utvikler, arkitekt, leder eller andre roller forstår Det er mange bevegelige deler i Magento-sikkerhet. Ingen utvikler, løsningsarkitekt, leder eller andre roller forstår sikkerhetsrisikoer samt en kvalifisert sikkerhetsekspert. Det er derfor det første trinnet er å få nettstedet ditt finkjemmet av en ekspert. Helst bør du få dette gjort minst en gang i året for å være sikker.
Trinn #2: Automatisert sikkerhetsskanning
Gode nyheter, du trenger ikke gå til en tredjepart hver gang du vil kjøre en skanning. Magento tilbyr sin sikkerhetsskanning gratis.
Magento Security Scan lar deg overvåke alle nettstedene dine (hvis du har mer enn én) for mulige risikoer og fremhever oppdateringene og oppdateringene du trenger. Sett en tidsplan (Magento anbefaler skanning på ukentlig basis) og motta rapporter og korrigerende handlinger for hver mislykket test. For å komme i gang, sjekk ut denne guiden.
Det er også gratis skanneverktøy der ute som MageReport, men det er ikke så dyptgående som Magentos verktøy og tilbyr ikke automatisert eller planlagt skanning.
Trinn #3: Magento Admin Security
Magento anbefaler en flerlags tilnærming til sikre administratorkontoen din(S).
Du kan:
- Angi sikkerhetsnivået for passord
- Angi antall påloggingsforsøk
- Konfigurer lengden på tastaturinaktivitet før økten utløper
- Krev store og små bokstaver i brukernavn og passord
Administratorpassord
Passordalternativer for administratorer
Gå til på Admin-sidefeltet Butikker > Innstillinger > Konfigurasjon.
I venstre panel under Avansert, velg Admin.
Utvid Sikkerhet seksjon.
Endre standard Admin URL
Det er en god idé å endre standard administrator-URL til noe annet for å gjøre det mindre mål for hackere.
Standard base-URL: http://dittdomene.com/magento/
Standard Admin URL og bane: http://dittdomene.com/magento/admin
Det er en enkel måte å endre administrator-URL tilgjengelig i administrasjonspanelet, men husk at eventuelle feil vil gjøre nettstedet ditt utilgjengelig for alle administratorer, og den eneste måten å fikse det på er ved å redigere serverkonfigurasjonsfiler (ikke noe du vil oppleve, stol på oss).
IP-hvitlisting
Du har kanskje hørt om svartelisting - når du blokkerer tilgang til et bestemt nettsted, IP-adresse eller nettverk.
hvitlisting er det motsatte - gir tilgang til visse opplysninger, nettsteder og i vårt tilfelle Magento-administrasjonspanelet, kun til pålitelige IP-adresser.
Trinn #4: Angi brukerroller
Magento inkluderer alternativer for å begrense tilgangen for administratorer. Med andre ord kan du opprette tillatelser for å begrense hva en nettstedadministrator ser og gi dem begrenset tilgang.
Du kan sette opp brukerroller ved å gå til Admin-sidefeltet. Klikk System, under Tillatelser, velge Brukerroller. Klikk på øverst til høyre Legg til ny rolle.
Etter å ha tildelt en Rollenavn og angi passordet ditt kan du sette opp Rolleomfang (se bildet nedenfor).
Magento Commerce lar deg logge alle handlinger utført av administratorer. Du kan slå på handlingslogger ved å navigere til Butikker > Innstillinger > Konfigurasjon. I venstre panel, utvide Avansert Og velg Admin. Utvid Logging av administratorhandlinger og velg avmerkingsboksen aktiver admin logging for hver handling du vil logge.
Trinn #5: Konfigurer Captcha og Google reCaptcha
I Magento kan du sette opp begge deler captcha og Google reCaptcha for administratorer og kunder. Begge beskytter deg mot spam og andre typer automatisert misbruk.
captcha er en menneskelig valideringstest, dvs. de uskarpe, snirklete bokstavene og tallene du sannsynligvis har måttet myse for å se.
Google reCaptcha er en overlegen type menneskelig validering, dvs. avmerkingsboksen "I Am Not A Robot".
Usynlig reCAPTCHA (Magento anbefales) — som bekrefter at en bruker er menneskelig automatisk, uten interaksjon. Det høres ut som magi, men Google klarte å finne en måte å gjøre det på.
Trinn #6: Tofaktorautentisering (2FA)
Tofaktorautentisering, eller 2FA for kort, er en metode for å bekrefte en brukers identitet ved å få brukere til å fullføre et andre trinn i verifiseringsprosessen. Magento 2FA er kun tilgjengelig for administratorbrukere og utvides ikke til kundekontoer.
Slik kan du konfigurere 2FA i Magento:
Gå til på Admin-sidefeltet Butikker > Innstillinger > Konfigurasjon.
I venstre panel, utvid Sikkerhet og velg 2FA.
Trinn #7: Krypteringsnøkkel
Når du først fyrer opp Magento, genererer systemet automatisk en krypteringsnøkkel. Denne nøkkelen brukes til å beskytte passord og andre sensitive data som kredittkortinformasjon og integreringspassord (betalings- og fraktmodul).
Magento anbefaler å holde denne nøkkelen trygt og skjult til enhver tid. Hvis du opplever et datainnbrudd, kan du opprette en ny krypteringsnøkkel for å forhindre at noen får tilgang til data med den gamle nøkkelen.
Du kan generere en ny nøkkel i administrasjonspanelet. For å gjenta, anbefaler vi ikke å gjøre dette på egen hånd.
STrinn #8: Passordkrav
Magento krever minimum syv tegn (både bokstaver og tall). Vi anbefaler å bruke noe litt mer robust - et 10-12 tegn alfanumerisk passord.
Pro-tips – Ikke prøv å tenke på et passord selv. Vi anbefaler å bruke LastPass å generere et passord tilfeldig.
Endre passordene dine hvis du mistenker at det er et databrudd, uavhengig av om kontoen din ble hacket eller ikke, og angi en påminnelse om å endre passordet ditt en gang i året.
Du kan angi sikkerhetsnivået for passord som brukes av både kunder og administratorer direkte i administrasjonsgrensesnittet
Passordalternativer for kunder
Gå til på Admin-sidefeltet Butikker > Innstillinger > Konfigurasjon.
I panelet til venstre, utvide kunder og velg Kundekonfigurasjon.
Utvid Passordalternativer seksjon.
Trinn #9: PCI-samsvar
De store kredittkortselskapene opprettet Payment Card Industry Data Security Standard (PCI DSS) for å sikre at selgere vedtar kritiske sikkerhetstiltak. Selgere som ikke overholder PCI-kravene kan forvente store bøter, som også kan føre til at de mister evnen til å behandle betalinger.
Magento gjør det enklere for selgere å bli PCI-kompatible — Magento Commerce Cloud er PCI-sertifisert og Magento tilbyr integrert betalingsportaler som PayPal, Authorize.Net og andre som sikkert overfører kredittkortinformasjon.
12 Krav til PCI-DSS | |
Bygg og vedlikehold et sikkert nettverk | Krav 1: Installer og vedlikehold en brannmurkonfigurasjon for å beskytte kortholderdata Krav 2: Ikke bruk leverandørens standardinnstillinger for systempassord og andre sikkerhetsparametere |
Beskytt kortholderdata | Krav 3: Beskytt lagrede kortholderdata Krav 4: Krypter overføring av kortholderdata på tvers av åpne, offentlige nettverk |
Oppretthold et sårbarhetshåndteringsprogram | Krav 5: Bruk og oppdater antivirusprogramvare regelmessig Krav 6: Utvikle og vedlikeholde sikre systemer og applikasjoner |
Implementere sterke tilgangskontrolltiltak | Krav 7: Begrens tilgang til kortholderdata etter bedriftens behov for å vite Krav 8: Tildel en unik ID til hver person med datamaskintilgang Krav 9: Begrens fysisk tilgang til kortholderdata |
Overvåk og test nettverk jevnlig | Krav 10: Spor og overvåk all tilgang til nettverksressurser og kortholderdata Krav 11: Test sikkerhetssystemer og prosesser regelmessig |
Oppretthold en informasjonssikkerhetspolicy | Krav 12: Oppretthold en policy som tar for seg informasjonssikkerhet |
Viktig merknad: IKKE BRUK Lagrede kredittkortmodul i et produksjonsmiljø!
Lagrede kredittkort er ikke PCI-kompatible og du kan avsløre kundenes kredittkortinformasjon.
Trinn #10: Installer sikkerhetsutvidelser
Når innebygd funksjonalitet ikke er nok, kommer utvidelser til unnsetning. Magento har et rikt lager av sikkerhetsutvidelser – både betalt og gratis. Her er noen du kan prøve:
Trinn #11: Sikkerhetsautomatiseringsløsninger
Sikkerhetsautomatisering er prosessen med automatisk håndtering av sikkerhetsrelaterte oppgaver som antivirusskanning, inntrengningsdeteksjon, lage sikkerhetskopier, fornye SSL-sertifikater og mye mer.
IBM gjorde en banebrytende oppdagelse: organisasjoner uten automatiserte sikkerhetsløsninger opplevde bruddkostnader som var 95 % høyere enn organisasjoner med fullt distribuert automatisering.
Trinn #12: Cyberansvarsforsikring
Akkurat som alle andre typer forsikringer (bil, hjem osv.) beskytter cyberforsikring virksomheter mot skader forårsaket av cyberangrep. Spesielt dekker cyberansvar
- Datainnbrudd etter ansattes tyveri og/eller datalekkasjer.
- Cyberforretningsavbrudd, som et tredjepartshack eller mislykket programvareoppdatering.
- Datainnbrudd etter hacking.
- Feil og utelatelser som fører til sikkerhetsinntrenging.
Trinn #13: Lag et hendelsesresponsteam og -plan
Hvis du ikke har en hendelsesresponsplan (eller du ikke vet hva dette er), la oss lage en.
For å gjøre det lettere tok vi Talesh Seeparsans Magento-sentrisk Incident Response Plan Template og laget et Google-regneark som du kan kopiere til eget bruk.
Forutsetninger for bruk av malen:
- Opprett et Incident Response Team (IRT) for å håndtere sikkerhetshendelser for hvert aspekt av e-handelsløsningen definert i dette bordet.
- Overvåk og analyser regelmessig nettverkstrafikk og systemytelse.
- Sjekk alle logger og loggmekanismer rutinemessig, inkludert hendelseslogger for operativsystemet, applikasjonsspesifikke logger og systemlogger for inntrengningsdeteksjon.
- Bekreft sikkerhetskopierings- og gjenopprettingsprosedyrene. Du bør være klar over hvor sikkerhetskopier vedlikeholdes, hvem som har tilgang til dem, og prosedyrene dine for datagjenoppretting og systemgjenoppretting. Sørg for at du regelmessig bekrefter sikkerhetskopier og media ved å selektivt gjenopprette data.
IBM fant det selskaper med IRT og omfattende testing av deres responsplaner sparte over 1.2 millioner dollar. Mer spesifikt viste studien at den kombinerte effekten av IRT og testing av hendelsesresponsplanen, gjennom øvelser og simuleringer, hjalp teamene til å reagere raskere og produsere større kostnadsbesparelser enn noen enkelt sikkerhetsprosess.
Trinn #14: Hold Magento oppdatert og oppdatert
Det er ingen unnskyldninger for å ikke ha en lappet og fullstendig oppdatert Magento-butikk.
For å installere en Magento sikkerhetsoppdatering, bør du
- Sikkerhetskopier filsystemet, media og databasen for å forhindre tap av data i tilfelle noe går galt.
- Last ned en oppdatering (aka hurtigreparasjon) fra Magento sikkerhetssenter. Husk at du må kjenne din Magento-versjon for å laste ned en riktig oppdatering.
- Påfør en lapp via Magento Quality Patch (MQP)-pakke, kommandolinje eller Composer.
Skann nettstedet ditt, identifiser eventuelle patcher du trenger å installere, og vær så snill, ikke la hackere få enkel tilgang gjennom en sårbarhet. Registrer deg for Magento Security Alert Registry og gjør et poeng å besøke Magento Security Center fra tid til annen for å få siste nytt og informasjon.
For å spare deg selv for trøbbel kan du også ansett en Magento-utvikler. De vil installere en Magento sikkerhetsoppdatering på kort tid - det være seg en hurtigreparasjon eller en tilpasset oppdatering.
Hva du skal gjøre hvis nettstedet ditt har blitt hacket
Ikke få panikk. Hvis det var et datainnbrudd eller informasjonseksponering, er det ingen måte å få den informasjonen tilbake på. Din prioritet bør være å identifisere hva som ble utsatt, samle bevis og sørge for at data ikke lekker.
Følg din hendelsesresponsplan:
- Gjør en innledende vurdering
- Kommuniser hendelsen
- Begrens skaden og reduser risikoen
- Identifiser alvorlighetsgraden av kompromisset
- Ta vare på bevis
- Kommuniser eventuelle eksterne varsler
- Samle og organiser hendelsesbevis
Elogisk erfaring med cyberangrep
For å finne ut hva Elogic-utviklere møter i arbeidet sitt, spurte vi rundt og fikk vite om to ville historier om ondsinnet hensikt.
Bitcoin Mining Fiasco
En av våre mest erfarne fullstack-utviklere hos Elogic, Andriy Biloshytskiy, hadde en interessant opplevelse for noen år siden. Det skjedde noe veldig rart med et av prosjektene han jobbet med den gangen.
Det var ingen nylige oppdateringer på siden, ingenting hadde endret seg, bortsett fra at siden ikke fungerte, sier Andriy. "Så jeg gjorde en overfladisk undersøkelse og fant noe både rart og morsomt - det var et stykke JavaScript-kode uten lukkekoder, som forårsaket krasjet. Etter et Google-søk fant jeg ut at det ondsinnede skriptet var ment å sifonere datakraften til folk som besøker butikken – for å utvinne Bitcoin.
– Andriy Biloshytskiy, fullstack-utvikler hos Elogic Commerce
Gjerningsmannen (muligens en butikkadministrator) ble aldri tatt. Butikken hadde ikke administratorlogger, så det var ingen måte å vite sikkert hvem som var ansvarlig.
Det uventede viruset
Når utviklere jobber med prosjekter, kloner de ofte butikken på arbeids-PCen eller serveren for å teste og skrive ny kode. Denne historien skjedde etter at en av utviklerne våre klonet en butikk, men i stedet for å komme rett på jobb, så han en pop-up.
Popup-vinduet var en advarsel fra antivirusprogramvaren hans, og kilden til infeksjonen var den nyinstallerte Magento-forekomsten. Etter å ha funnet den infiserte filen, en kjerne-PHP-fil, slettet utvikleren den skadelige koden og gikk i gang med jobben sin.
Moralen i historien er: enten angrepet er målrettet, en menneskelig feil eller en systemfeil/sårbarhet, kan du bidra til å forhindre brudd ved å implementere og følge sikkerhetsstandarder.
Er Magento Commerce sikrere enn Magento Open Source?
Mens du velger mellom Magento 2 Commerce vs åpen kildekode, har du kanskje lurt på hvilken som er sikrere. Selv om det er sant at begge Magento-utgavene leverer enestående funksjonssett (selvfølgelig avhengig av en selgers forretningsbehov), kan vi gå god for sikkerheten til Magento Commerce (aka Adobe Commerce).
Her er fem store sikkerhetsfordeler med å bruke Magento Commerce og Commerce Cloud.
PCI-samsvar
PCI-samsvar er ikke en funksjon oppført i Magento Open Source, men det er i Magento Commerce. Enda bedre, Magento Commerce Cloud er PCI-sertifisert som en Level 1 Solution Provider, slik at selgere kan bruke Magentos PCI Attestation of Compliance for å hjelpe deres egen PCI-sertifiseringsprosess.
Delt sikkerhetsansvar
Magento Commerce Cloud har en sikkerhetsmodell med delt ansvar hvor du, Magento og Amazon Web Services (best-of-breed skytjenester) deler ansvaret for operasjonell sikkerhet. Du er ansvarlig for å teste tilpasset kode og eventuelle tilpassede applikasjoner. Magento sørger for at selve plattformen er sikker, og Amazon tar seg av fysisk sikkerhet for servere og compliance.
Handlingslogger
Magento Commerce gir deg muligheten til å holde oversikt over hver endring (handling) gjort av en administrator som jobber i butikken din. Den loggede informasjonen inkluderer navnet på brukeren, handlingen og om handlingen var vellykket, og den logger også IP-adressen og datoen.
Brannmur for webapplikasjoner (WAF)
Akkurat som en brannmur på en PC, forhindrer en WAF ondsinnet trafikk fra å komme inn i et nettverk ved å bruke et sett med sikkerhetsregler. Enhver trafikk som utløser reglene blokkeres før den slipper løs på nettstedet eller nettverket ditt. Magento Commerce Cloud bruker Raskt CDN for WAF-tjenester.
Content Delivery Network (CDN) og DDoS-beskyttelse
Magento Commerce Cloud bruker også Fastly CDN for ytterligere sikkerhetsfunksjoner som DDoS-beskyttelse, som inkluderer Layer 3, 4 og 7 DDoS-reduksjon
Takeaways – Magento sikkerhetstips og beste praksis
Nettstedets sikkerhet og mer generelt, cybersikkerhet, bør være en av hovedprioriteringene dine. Du driver ikke bare en blogg eller en personlig side, du er ansvarlig for å beskytte konfidensiell informasjon, inkludert navn, adresser, telefonnumre og kredittkortinformasjon.
Husk:
- Selv et fullstendig oppdatering og oppdatert nettsted kan hackes. For eksempel kan et svakt administratorpassord bli brute-forced og hackere kan spasere rett inn og samle alt de vil ha. Så utfør Magento sikkerhetskontroller regelmessig.
- Du kan ikke gjøre rede for nye sårbarheter eller nulldagers utnyttelser (et cyberangrep som skjer samme dag som en svakhet oppdages). Imidlertid kan en sterk hendelsesresponsplan hjelpe deg med å ligge et skritt foran.
- "En unse med forebygging er verdt et halvt kilo kur." Ben Franklin hadde rett. Hvis du har konfigurert butikken din med sikkerhet i tankene, fulgt arbeidsflyten for cybersikkerhet vi har skissert og skuddsikkert butikken din, kan du spare deg selv for tonnevis av tid og hjertesorg.
- Ikke gå på akkord med sikkerheten, ellers vil din mangel på sikkerhet kompromittere deg.
Magento Security FAQ
Er Magento sikkert?
Etter Magento 1-fiaskoen har Adobe oppgradert Magento 2 til nye sikkerhetsnivåer. Magento e-handelsarkitektur er designet for å gi et svært sikkert miljø takket være Web Application Firewall (WAF), Fastly CDN for ekstra DDoS-beskyttelse og hashing for å kryptere data. Sikkerhetsoppdateringer utgis hvert kvartal, og Magento Security Scanner er tilgjengelig. Selgere kan i tillegg bruke SSL-sertifikater, CAPTCHA, tofaktorautentisering og andre beste praksiser for Magento-sikkerhet for å beskytte kundene sine.
Så det er trygt å si at Magento er en av de sikreste plattformene blant de som tilbys på e-handelsmarkedet.
Hvordan sikre Magento-nettstedet?
Noen beste fremgangsmåter for å sikre Magento inkluderer følgende:
- Gi regelmessige revisjoner av Magento-sikkerhet - enten det er med et automatisk Magento-skadevareskanningsverktøy eller med hjelp av en Magento-profesjonell.
- Bruk krypterte tilkoblinger (SSL/HTTPS).
- Aktiver tofaktorautentisering.
- Sikkerhetskopier nettstedet ditt regelmessig.
- Velg pålitelige vertsleverandører
- Benytt deg av de opprinnelige Magento-sikkerhetsfunksjonene og installer sikkerhetsutvidelser når det er nødvendig.
- Lag din handlingsplan for en cybernødsituasjon.
Se en fullstendig Magento sikkerhetssjekkliste ovenfor.
Er Magento PCI-kompatibel?
Magento PCI-samsvar avhenger av utgaven:
Magento Open Source er ikke PCI-kompatibel, så du må ta i bruk enten en tredjeparts betalingsmetode som omdirigerer deg til et annet nettsted for å utføre transaksjonen (som PayPal, Authorize.net) eller en SaaS PCI-kompatibel betalingsmetode (CRE Secure).
Magento Commerce og Commerce Cloud er PCI-sertifisert som en nivå 1 løsningsleverandør.
Kilde: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- adgang
- Logg inn
- Handling
- Aktiviteter
- Ytterligere
- admin
- Adobe
- Fordel
- advokat
- algoritme
- Alle
- tillate
- Amazon
- Amazon Web Services
- blant
- annonsert
- antivirus
- Søknad
- søknader
- arkitektur
- rundt
- Angrep
- Autentisering
- Automatisert
- Automatisering
- Backup
- sikkerhetskopier
- BEST
- beste praksis
- Biggest
- Bit
- Bitcoin
- Bitcoin gruvedrift
- Blogg
- roboter
- brudd
- brudd
- bugs
- virksomhet
- bedrifter
- Kampanje
- bil
- hvilken
- fanget
- forårsaket
- sertifikater
- sertifisering
- endring
- kostnad
- Sjekker
- Cloud
- skytjenester
- kode
- Koding
- Handel
- samfunnet
- Selskaper
- samsvar
- databehandling
- databehandlingskraft
- Tilkoblinger
- Kostnader
- Crash
- Opprette
- kreditt
- kredittkort
- Kredittkort
- kur
- Kunder
- cyber
- Cyber Attack
- cyberattacks
- Cybersecurity
- dato
- datainnbrudd
- Data Loss
- datasikkerhet
- Database
- dag
- DDoS
- avtale
- levering
- Gjenkjenning
- utvikle
- Utvikler
- utviklere
- Utvikling
- Enheter
- gJORDE
- oppdaget
- Funnet
- Doom
- e-handel
- e-handel
- ansatte
- kryptering
- Ingeniører
- Miljø
- etc
- Event
- Expand
- erfaring
- eksperter
- utvidelser
- Trekk
- Egenskaper
- finansiell
- Økonomiske data
- Brann
- Først
- Fix
- Rammeverk
- Gratis
- fullt
- framtid
- gif
- Gull
- god
- Google Search
- flott
- veilede
- hack
- hackere
- hacking
- Håndtering
- hashing
- her.
- leie
- Hjemprodukt
- Hosting
- Hvordan
- Hvordan
- HTTPS
- Tanken
- identifisere
- Identitet
- bilde
- Påvirkning
- hendelsesrespons
- Inkludert
- industri
- infeksjon
- info
- informasjon
- informasjonssikkerhet
- Infrastruktur
- forsikring
- integrering
- hensikt
- interaksjon
- Intrusion Detection
- etterforskning
- involvert
- IP
- IP-adresse
- saker
- IT
- Javascript
- Jobb
- holde
- nøkkel
- stor
- siste
- Siste nytt
- ledende
- Lekkasjer
- LÆRE
- lært
- Nivå
- ansvar
- Begrenset
- linje
- større
- Making
- malware
- ledelse
- marked
- Marketing
- markedsplass
- Media
- Kjøpmann
- Merchants
- Gruvedrift
- navn
- nett
- nettverk
- nettverkstrafikk
- nyheter
- tall
- tilby
- Tilbud
- offisiell
- onboarding
- på nett
- åpen
- åpen kildekode
- åpner
- drift
- operativsystem
- Drift
- alternativer
- Annen
- andre
- Panic
- Passord
- passord
- patch
- Patches
- betaling
- betalinger
- PayPal
- PC
- PCI DSS
- Ansatte
- ytelse
- personlig informasjon
- ansatte
- phishing
- phishing-angrep
- fysisk
- Fysisk sikkerhet
- plattform
- Plattformer
- plugg inn
- politikk
- makt
- Forebygging
- privatliv
- Produkt
- Produksjon
- prosjekter
- beskytte
- beskyttelse
- offentlig
- kvalitet
- utvinning
- Rapporter
- Krav
- ressurs
- Ressurser
- svar
- Resultater
- anmeldelse
- Anmeldelser
- regler
- Kjør
- rennende
- SaaS
- trygge
- skanne
- skanning
- Søk
- sikkerhet
- sikkerhetssystemer
- sikkerhetsoppdateringer
- Sees
- Tjenester
- sett
- Del
- Shell
- Levering
- Kort
- Enkelt
- Nettsteder
- So
- Software
- Solutions
- spam
- regneark
- standarder
- startet
- opphold
- lagring
- oppbevare
- butikker
- Stories
- Studer
- innsendt
- vellykket
- Støttes
- Støtter
- system
- Systemer
- Target
- Teknisk
- test
- Testing
- Fremtiden
- Prosjektene
- Kilden
- tyveri
- trusler
- tid
- tips
- Tone
- spor
- trafikk
- Transaksjonen
- Stol
- Oppdater
- oppdateringer
- URI
- us
- usb
- Brukere
- Verifisering
- virus
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- web
- webtjenester
- Nettsted
- nettsteder
- ukentlig
- Hva er
- HVEM
- WordPress
- ord
- Arbeid
- arbeidsflyt
- virker
- verdt
- X
- XSS
- år
- år