Руководство по безопасности Magento: как защитить свой сайт от хакеров
14 сентября 2020 года стало судным днем для многих продавцов Magento. Более 2,800 магазинов Magento 1 были взломанa чтобы украсть данные кредитной карты в рамках крупнейшей задокументированной кампании на сегодняшний день.
Хакеры нередко наносят ущерб веб-сайтам электронной коммерции. Компьютерные вредоносные программы, вирусы, черви, трояны и многие другие мошенничество в электронной торговле…в сети гуляет много гадостей. Всегда найдется кто-то, кто попытается воспользоваться уязвимой системой или получить незаконный доступ со злым умыслом.
Если вы не хотите стать частью следующего нарушения безопасности Magento, это руководство для вас. Читайте дальше, чтобы узнать об основных уязвимостях безопасности Magento и способах их предотвращения, чтобы ваши данные и данные ваших клиентов были в безопасности.
Прежде всего, в чем проблема с безопасностью Magento 1?
Основная проблема Magento 1 заключается в том, что она больше не поддерживается. 20 июня 2020 г. Adobe объявила об окончании срока службы своего продукта Magento 1, что сделало версию платформы устаревшей и уязвимой для кибератак.
Вот вам и причина упомянутой выше атаки MageCart. Устаревшие магазины Magento остаются привлекательными целями для тех, кто решил украсть личные и финансовые данные онлайн-покупателей.
Хакеры могут легко сканировать устаревшие версии Magento и использовать автоматических ботов для доступа к ним, загрузки сценариев оболочки и установки вредоносных программ для скимминга карт. Конечные пользователи не могут обнаружить атаки со скиммингом карт, поэтому ответственность за обновление своих систем до последней версии Magento ложится на операторов веб-сайтов. На данный момент любой веб-сайт, использующий Magento 1.x, следует считать скомпрометированным.
— Пол Бишофф, защитник конфиденциальности Comparitech.
Вот почему защита магазина Magento должна быть приоритетом №1 для продавцов. Magento 1 не является безопасным и никогда не будет безопасным. Но Magento 2 будет держать вас в надежных руках.
Уроки, извлеченные и реализованные в Magento 2 Security
Если вас укусил клещ, удаление себя не остановит инфекцию. То же самое произошло с Magento. После того, как в Magento была обнаружена критическая уязвимость, потребовался апгрейд. Поэтому Adobe обновила всю систему, чтобы устранить проблемы с безопасностью Magento и защитить своих продавцов от подобных атак в будущем.
Вот функции безопасности Magento, которые Adobe представила после окончания срока службы Magento 1.
Расширенное управление паролями
Magento 1 использует более слабую систему хэширования паролей (односторонний процесс преобразования строки символов в так называемый хешированный пароль). Чтобы устранить эту уязвимость Magento, Magento 2 поддерживает Argon2ID13, более надежный алгоритм хеширования, чем предыдущий золотой стандарт — SHA-256.
Улучшенное предотвращение XSS-атак
Magento внедрила новые правила для предотвращения атак межсайтового скриптинга (XSS), сделав экранированные данные по умолчанию.
XSS-атаки — это тип внедрения вредоносного скрипта, используемый для фишинговых атак, регистрации нажатий клавиш и других несанкционированных действий.
Более гибкое владение файловой системой и разрешения
Начиная с версии 2.0.6, Magento позволяет пользователям установить права доступа к файловым системам. Рекомендуется, чтобы определенные файлы и каталоги были доступны только для записи в среде разработки и только для чтения в производственной среде.
Улучшенная защита от эксплойтов Clickjacking
Magento защищает ваш магазин от кликджекинга, используя заголовок HTTP-запроса X-Frame-Options. Дополнительные сведения см. в заголовке X-Frame-Options.
Автоматически генерируемый ключ шифрования
Magento использует ключ шифрования для защиты паролей и конфиденциальных данных. В настоящее время Magento 2 использует алгоритм AES-256, и вы можете выбрать генерацию случайного ключа в любое время через панель администратора.
Использование нестандартного URL-адреса администратора Magento
Хакеры используют автоматических ботов для подбора паролей, чтобы получить личные данные покупателей и доступ продавцов к операциям бэк-офиса. Чтобы предотвратить атаки такого типа, Magento по умолчанию создает случайный URI администратора при установке продукта.
Постоянные исправления и обновления безопасности Magento 2
Самая большая причина, по которой безопасность Magento 2 превосходит Magento 1, — это регулярные обновления. Последнее исправление безопасности Adobe для Magento 1 было выпущено 22 июня 2020 года. Между тем, продавцы Magento 2 получают свои исправления безопасности каждый квартал в официальном Бюллетень Adobe по безопасности.
Как Magento Как Magento минимизирует влияние уязвимостей
В дополнение к новой архитектуре и структуре безопасности Magento 2 существуют процессы, позволяющие свести к минимуму влияние уязвимостей.
Они включают в себя:
- Программа Баунти ошибка — Разработчики получают вознаграждение в размере до 10,000 XNUMX долларов за найденные ошибки в Magento. Это отличный способ вовлечь сообщество в безопасность Magento.
- Центр безопасности Magento — На этом ресурсе можно найти новые обновления безопасности, исправления, рекомендации и многое другое. Если вам нужна дополнительная информация об исправлении или нужны инструкции по установке исправлений/обновлений, это то, что вам нужно.
- Реестр предупреждений безопасности — Команда Magento реагирует на уязвимости и предоставляет исправления и обновления для защиты магазинов от угроз. Подпишитесь на реестр предупреждений о безопасности, чтобы получать электронные письма о выходе новых выпусков безопасности.
- Стандарты качества кода — Команда разработчиков ядра Magento использует Стандарт кодирования Magento и рекомендует разработчикам, которые создают расширения и настройки Magento, также использовать этот стандарт.
- Расширенная программа качества — Все расширения, представленные на Magento Marketplace, проходят многоэтапный процесс проверки: технические и маркетинговые проверки. Если какой-либо обзор не будет пройден, расширение не будет разрешено к публикации.
Контрольный список безопасности Magento: какие стандарты безопасности должны соблюдаться, чтобы убедиться, что мой сайт безопасен?
Нет такого понятия, как сайт, который невозможно взломать. Даже если вы нанимаете лучших из лучших разработчиков, инженеров и экспертов по безопасности, все равно существует вероятность взлома.
Поэтому мы рекомендуем обеспечить строгий рабочий процесс безопасности для адаптации и повседневных действий.
Вот способы защиты Magento:
- Включите методы обеспечения безопасности в процесс адаптации
Хотя это может показаться само собой разумеющимся, его часто упускают из виду как внутренние, так и внешние команды. Убедитесь, что новые сотрудники магазина, уволенные сотрудники и все промежуточные сотрудники проходят адаптацию безопасности. Мы рекомендуем Контрольный список нового найма от CISO. - Обеспечить строгие права доступа
Частью процесса адаптации является определение того, какие права доступа потребуются сотруднику для выполнения его работы. Обеспечение прав доступа к информации имеет важное значение, и мы также рекомендуем проводить проверки прав доступа, чтобы убедиться, что никакие правила не нарушаются за вашей спиной. Ты сможешь настроить роли пользователей в Magento с помощью этого руководства. - Убедитесь, что вы соблюдаете отраслевые стандарты
Это и техническое, и деловое. Ваш сайт и весь код, используемый на нем, должны соответствовать стандартам кодирования PHP, стандартам тестирования и всегда соответствовать требованиям PCI. В следующем разделе мы покажем вам действенный контрольный список, чтобы вы могли стать совместимыми с PCI. - Иметь отказоустойчивую избыточную инфраструктуру
Да, мы понимаем, что вы не эксперт по безопасности, но вам нужно спросить у любого, кто отвечает за безопасность, есть ли у него план резервного копирования (который должен охватывать то, что вы резервируете, как часто вы делаете резервные копии и когда следует использовать резервные копии). Важное примечание: резервное копирование должно быть автоматизировано. - Безопасные сторонние компоненты (модули, сервисы, расширения, приложения)
Как и Лучшие практики безопасности Magento скажем, убедитесь, что все приложения, работающие на вашем сервере, безопасны. Старайтесь не запускать такие приложения, как WordPress, на том же сервере, что и Magento, потому что уязвимость в одном из этих приложений может привести к раскрытию информации из Magento. Само собой разумеется, что вы никогда не должны устанавливать расширения из ненадежных источников (например, торрент-сайтов). - Защитите свои данные
а. Разделение инфраструктуры
⇨ Это соответствует защите сторонних компонентов. Ни при каких обстоятельствах среды разработки, промежуточной и рабочей среды не должны работать на одном и том же экземпляре сервера.б. Ограниченный доступ
⇨ Еще один момент, который мы затронули: права доступа распространяются на разработчиков и другой ИТ-персонал. Ни при каких обстоятельствах каждый член команды не должен иметь полные права администратора.в. Защита персональных данных
⇨ Хотя это может показаться очевидным, часть процесса адаптации не должна включать в себя использование USB-накопителей и других устройств хранения данных. Кроме того, не забывайте нажимать на подозрительные ссылки и открывать подозрительные электронные письма. Никогда никому не сообщайте свой пароль (особенно пароль администратора Magento).
Итак, избавившись от скучных вещей, давайте приступим к защите вашего магазина Magento!
Bulletproof Magento Security: как защитить сайт Magento за 14 шагов
Шаг № 1: Аудит безопасности
В безопасности Magento много движущихся частей. Никто из разработчиков, архитекторов, менеджеров или других ролей не понимает. В системе безопасности Magento много движущихся частей. Нет разработчика, архитектор решений, менеджер или другие роли понимают риски безопасности так же хорошо, как квалифицированный эксперт по безопасности. Вот почему первый шаг — доверить ваш сайт эксперту. Желательно делать это не реже одного раза в год, чтобы оставаться в безопасности.
Шаг № 2: Автоматическое сканирование безопасности
Отличные новости: вам не нужно обращаться к третьей стороне каждый раз, когда вы хотите запустить сканирование. Magento предлагает сканирование безопасности бесплатно.
Magento Security Scan позволяет отслеживать все ваши веб-сайты (если их несколько) на наличие возможных рисков и выделяет необходимые исправления и обновления. Установите расписание (Magento рекомендует сканировать еженедельно) и получайте отчеты и корректирующие действия для каждого неудачного теста. Для начала, проверить это руководство.
Существуют также бесплатные инструменты сканирования, такие как MageReport, но он не такой глубокий, как инструмент Magento, и не предлагает автоматического или запланированного сканирования.
Шаг № 3: Безопасность администратора Magento
Magento рекомендует многоуровневый подход к защита вашей учетной записи администратора(S).
Вы можете:
- Установите уровень безопасности для паролей
- Установить количество попыток входа
- Настройте продолжительность бездействия клавиатуры до истечения сеанса
- Требовать регистрозависимых имен пользователей и паролей
Пароли администратора
Варианты пароля для администраторов
На боковой панели администратора перейдите к Магазины > Настройки > Конфигурация.
На левой панели под Фильтр, выберите Админ.
Развернуть Безопасность .
Изменить URL-адрес администратора по умолчанию
Рекомендуется изменить URL-адрес администратора по умолчанию на что-то другое, чтобы сделать его менее мишенью для хакеров.
Базовый URL-адрес по умолчанию: http://вашдомен.com/magento/
URL-адрес и путь администратора по умолчанию: http://вашдомен.com/magento/admin
Есть простой способ изменить URL-адрес администратора доступны в панели администратора, но имейте в виду, что любые ошибки сделают ваш сайт недоступным для всех администраторов, и единственный способ исправить это — отредактировать файлы конфигурации сервера (это не то, что вы хотите испытать, поверьте нам).
Белый список IP
Возможно, вы слышали о черных списках — когда вы блокируете доступ к определенному сайту, IP-адресу или сети.
Whitelisting наоборот — доступ к определенной информации, сайтам и в нашем случае к админ панели Magento только доверенным IP адресам.
Шаг № 4: Установите роли пользователей
Magento включает опции для ограничения доступа для администраторов. Другими словами, вы можете создать разрешения, чтобы ограничить то, что видит администратор сайта, и предоставить им ограниченный доступ.
Вы можете настроить роли пользователей, перейдя на боковую панель администратора. Нажмите Система, под Разрешения, укажите Роли пользователя. В правом верхнем углу нажмите Добавить новую роль.
После назначения Название роли и введя свой пароль, вы можете настроить Область действия роли (см. изображение ниже).
Magento Commerce позволяет регистрировать любые действия, выполняемые администраторами. Вы можете включить журналы действий, перейдя к Магазины > Настройки > Конфигурация. На левой панели развернуть Дополнительно , а затем выбрать Admin. Развернуть Ведение журнала действий администратора раздел и установите флажок включить ведение журнала администратора для каждого действия, которое вы хотите зарегистрировать.
Шаг № 5: Настройте Captcha и Google reCaptcha
В Magento вы можете настроить оба Защитный код и Google reCaptcha для администраторов и клиентов. Оба защищают вас от спама и других видов автоматизированного злоупотребления.
Защитный код - это тест на человеческую проверку, то есть размытые, волнистые буквы и цифры, которые вам, вероятно, приходилось щуриться, чтобы увидеть.
Google reCaptcha является улучшенным типом проверки человеком, т. е. флажком «Я не робот».
Невидимая reCAPTCHA (рекомендуется Magento) — который автоматически проверяет, является ли пользователь человеком, без какого-либо взаимодействия. Звучит как магия, но Google удалось найти способ сделать это.
Шаг № 6: Двухфакторная аутентификация (2FA)
Двухфакторная аутентификация, или сокращенно 2FA, — это метод подтверждения личности пользователя, заставляющий пользователей выполнять второй шаг в процессе проверки. Magento 2fa доступен только для пользователей с правами администратора и не распространяется на учетные записи клиентов.
Вот как вы можете настроить 2FA в Magento:
На боковой панели администратора перейдите к Магазины > Настройки > Конфигурация.
На левой панели разверните Безопасность и выберите 2FA.
Шаг № 7: Ключ шифрования
При первом запуске Magento система автоматически генерирует ключ шифрования. Этот ключ используется для защиты паролей и других конфиденциальных данных, таких как информация о кредитной карте и пароли интеграции (модуль оплаты и доставки).
Magento рекомендует всегда держать этот ключ в безопасности и скрывать. Если вы столкнулись с утечкой данных, вы можете создать новый ключ шифрования, чтобы никто не мог получить доступ к данным с помощью старого ключа.
Вы можете сгенерировать новый ключ в панели администратора. Повторюсь, мы не рекомендуем делать это самостоятельно.
SШаг №8: Требования к паролю
Magento требует как минимум семь символов (букв и цифр). Мы рекомендуем использовать что-то более надежное — 10-12-символьный буквенно-цифровой пароль.
Pro-наконечником — Не пытайтесь придумать пароль самостоятельно. Мы рекомендуем использовать LastPass случайным образом сгенерировать пароль.
Измените свои пароли, если вы подозреваете, что произошла утечка данных, независимо от того, была ли взломана ваша учетная запись, и установите напоминание о смене пароля один раз в год.
Вы можете установить уровень безопасности для паролей, используемых как клиентами, так и администраторами, прямо в интерфейсе администратора.
На боковой панели администратора перейдите к Магазины > Настройки > Конфигурация.
На панели слева, развернуть Клиенты и выберите Конфигурация клиента.
Развернуть Параметры пароля .
Шаг № 9: Соответствие PCI
Крупные компании, выпускающие кредитные карты, создали стандарт безопасности данных индустрии платежных карт (PCI DSS), чтобы убедиться, что продавцы принимают критически важные меры безопасности. Продавцов, которые не соблюдают требования PCI, могут ожидать большие штрафы, что также может привести к потере их способности обрабатывать платежи.
Magento упрощает для продавцов переход на PCI-совместимость — Magento Commerce Cloud сертифицирован PCI, а Magento предлагает интегрированные платежные шлюзы такие как PayPal, Authorize.Net и другие, которые безопасно передают информацию о кредитной карте.
12 требований PCI-DSS | |
Постройте и поддерживайте безопасную сеть | Требование 1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт. Требование 2. Не используйте значения по умолчанию, предоставленные поставщиком для системных паролей и других параметров безопасности. |
Защитить данные держателей карт | Требование 3. Защита хранимых данных о держателях карт. Требование 4. Зашифруйте передачу данных о держателях карт через открытые общедоступные сети. |
Поддерживайте программу управления уязвимостями | Требование 5. Используйте и регулярно обновляйте антивирусное программное обеспечение. Требование 6. Разработка и поддержка безопасных систем и приложений |
Реализуйте строгие меры контроля доступа | Требование 7. Ограничьте доступ к данным о держателях карт по служебной необходимости Требование 8. Назначьте уникальный идентификатор каждому лицу, имеющему доступ к компьютеру. Требование 9. Ограничьте физический доступ к данным о держателях карт |
Регулярно отслеживайте и тестируйте сети | Требование 10. Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным держателей карт. Требование 11. Регулярно тестируйте системы и процессы безопасности. |
Поддерживать политику информационной безопасности | Требование 12. Поддерживайте политику, касающуюся информационной безопасности. |
Важное примечание: НЕ ИСПОЛЬЗУЙТЕ Модуль сохраненных кредитных карт в производственной среде!
Сохраненные кредитные карты не совместимы с PCI и вы можете раскрывать информацию о кредитных картах ваших клиентов.
Шаг № 10: Установите расширения безопасности
Когда нативного функционала недостаточно, на помощь приходят расширения. Magento имеет обширный репозиторий расширений безопасности — как платных, так и бесплатных. Вот некоторые из них, которые вы можете попробовать:
Шаг № 11: Решения для автоматизации безопасности
Автоматизация безопасности — это процесс автоматического выполнения задач, связанных с безопасностью, таких как антивирусное сканирование, обнаружение вторжений, создание резервных копий, обновление SSL-сертификатов и многое другое.
IBM сделал потрясающее открытие: организации без автоматизированных решений безопасности столкнулись с затратами на взлом, которые были на 95% выше, чем организации с полностью развернутой автоматизацией.
Шаг № 12: Страхование киберответственности
Как и любой другой вид страхования (автомобильного, жилищного и т. д.), киберстрахование защищает бизнес от ущерба, причиненного кибератаками. В частности, киберответственность охватывает
- Нарушение данных после кражи сотрудников и/или утечки данных.
- Прерывание кибербизнеса, например взлом сторонними организациями или неудачное исправление программного обеспечения.
- Нарушение данных после взлома.
- Ошибки и упущения, ведущие к нарушению безопасности.
Шаг № 13: Создайте группу реагирования на инциденты и план
Если у вас нет плана реагирования на инциденты (или вы не знаете, что это такое), давайте создадим его.
Для удобства мы взяли Талеш Сипарсан Шаблон плана реагирования на инциденты, ориентированный на Magento, и создал электронную таблицу Google, которую вы можете скопировать для собственного использования.
Предпосылки для использования шаблона:
- Создайте группу реагирования на инциденты (IRT) для работы с инцидентами безопасности для каждого аспекта решения электронной коммерции, определенного в этот стол.
- Регулярно отслеживайте и анализируйте сетевой трафик и производительность системы.
- Регулярно проверяйте все журналы и механизмы ведения журналов, включая журналы событий операционной системы, журналы приложений и системные журналы обнаружения вторжений.
- Проверьте процедуры резервного копирования и восстановления. Вы должны знать, где хранятся резервные копии, кто может получить к ним доступ, а также ваши процедуры восстановления данных и системы. Убедитесь, что вы регулярно проверяете резервные копии и носители, выборочно восстанавливая данные.
IBM обнаружили, что компании с ИРТ и обширное тестирование их планов реагирования сэкономил более 1.2 миллиона долларов. В частности, исследование показало, что комбинированный эффект IRT и тестирования плана реагирования на инциденты с помощью учений и симуляций помог командам реагировать быстрее и добиться большей экономии средств, чем какой-либо отдельный процесс обеспечения безопасности.
Шаг № 14: Держите Magento исправленным и обновленным
Нет никаких оправданий тому, что у вас нет исправленного и полностью обновленного магазина Magento.
Чтобы установить патч безопасности Magento, вы должны
- Сделайте резервную копию файловой системы, носителя и базы данных, чтобы предотвратить потерю данных в случае, если что-то пойдет не так.
- Загрузите патч (также известный как исправление) с Центр безопасности Magento. Имейте в виду, что вам нужно знать свою версию Magento, чтобы загрузить правильный патч.
- Применить патч через Пакет Magento Quality Patch (MQP), командная строка или Composer.
Просканируйте свой сайт, определите все исправления, которые необходимо установить, и, пожалуйста, не позволяйте хакерам легко получить доступ через уязвимость. Зарегистрируйтесь в Реестре предупреждений о безопасности Magento и не забывайте время от времени посещать Центр безопасности Magento для получения последних новостей и информации.
Чтобы избавить себя от неприятностей, вы также можете нанять разработчика Magento. Они быстро установят патч безопасности Magento — будь то исправление или специальный патч.
Что делать, если ваш сайт взломан
Не паникуйте. Если произошла утечка данных или раскрытие информации, вернуть эту информацию невозможно. Вашим приоритетом должно быть выявление того, что было раскрыто, сбор доказательств и обеспечение отсутствия утечки данных.
Следуйте своему плану реагирования на инциденты:
- Сделайте первоначальную оценку
- Сообщить об инциденте
- Сдерживание ущерба и минимизация рисков
- Определите серьезность компрометации
- Сохранить улики
- Сообщайте о любых внешних уведомлениях
- Соберите и систематизируйте доказательства инцидента
Элогический опыт кибератак
Чтобы узнать, с чем сталкиваются разработчики Elogic в своей работе, мы поспрашивали и узнали о двух диких историях о злонамеренных намерениях.
Фиаско майнинга биткойнов
Один из наших самых опытных full-stack разработчиков в Elogic, Андрей Билошицкий, несколько лет назад получил интересный опыт. Что-то очень странное произошло с одним из проектов, над которым он работал в то время.
На сайте не было последних обновлений, ничего не менялось, кроме того, что сайт не работал», — говорит Андрей. «Итак, я провел беглое расследование и обнаружил кое-что одновременно странное и забавное — был фрагмент кода JavaScript без закрывающих тегов, который вызвал сбой. После поиска в Google я обнаружил, что вредоносный скрипт предназначен для перекачки вычислительной мощности людей, посещающих магазин, для майнинга биткойнов.
– Андрей Билошицкий, Full-stack разработчик в Elogic Commerce
Преступник (возможно, администратор магазина) так и не был пойман. В магазине не было журналов администратора, поэтому невозможно было точно узнать, кто несет ответственность.
Неожиданный вирус
Когда разработчики работают над проектами, они часто клонируют магазин на свой рабочий ПК или сервер для тестирования и написания нового кода. Эта история произошла после того, как один из наших разработчиков клонировал магазин, но вместо того, чтобы приступить к работе, он увидел всплывающее окно.
Всплывающее окно было предупреждением от его антивирусной программы, а источником заражения был только что установленный экземпляр Magento. Обнаружив зараженный файл, основной файл PHP, разработчик удалил вредоносный код и приступил к своей работе.
Мораль этой истории такова: независимо от того, является ли атака целенаправленной, человеческой ошибкой или системным сбоем/уязвимостью, вы можете помочь предотвратить нарушения, внедрив и соблюдая стандарты безопасности.
Является ли Magento Commerce более безопасным, чем Magento с открытым исходным кодом?
При выборе между Magento 2 Коммерция против Open Source, вы, возможно, задавались вопросом, какой из них более безопасен. Хотя обе версии Magento действительно предоставляют выдающиеся наборы функций (конечно, в зависимости от бизнес-потребностей продавца), мы можем поручиться за безопасность Magento Commerce (также известной как Adobe Commerce).
Вот пять основных преимуществ безопасности при использовании Magento Commerce и Commerce Cloud.
PCI соответствия
Соответствие PCI не является функцией, указанной в Magento Open Source, но она есть в Magento Commerce. Более того, Magento Commerce Cloud сертифицирован PCI как поставщик решений уровня 1, поэтому продавцы могут использовать сертификат Magento PCI Attestation of Compliance, чтобы помочь своему собственному процессу сертификации PCI.
Общие обязанности по обеспечению безопасности
Облако Magento Commerce имеет модель безопасности с общей ответственностью где вы, Magento и Amazon Web Services (лучшие в своем классе облачные сервисы) разделяете ответственность за операционную безопасность. Вы несете ответственность за тестирование пользовательского кода и любых пользовательских приложений. Magento обеспечивает безопасность самой платформы, а Amazon заботится о физической безопасности серверов и соблюдении требований.
Журналы действий
Magento Commerce дает вам возможность вести учет каждого изменения (действия), сделанного администратором, который работает в вашем магазине. Зарегистрированная информация включает имя пользователя, действие и успешность действия, а также регистрирует IP-адрес и дату.
Брандмауэр веб-приложений (WAF)
Как и брандмауэр на ПК, WAF предотвращает проникновение вредоносного трафика в сеть с помощью набора правил безопасности. Любой трафик, запускающий правила, блокируется до того, как он попадет на ваш сайт или в сеть. Magento Commerce Cloud использует Быстро CDN для WAF-сервисов.
Сеть доставки контента (CDN) и защита от DDoS-атак
Magento Commerce Cloud также использует Fastly CDN для дополнительных функций безопасности, таких как защита от DDoS, которая включает в себя смягчение последствий DDoS на уровнях 3, 4 и 7.
Выводы — советы и рекомендации по безопасности Magento
Безопасность сайта и, в более широком смысле, кибербезопасность должны быть одним из ваших главных приоритетов. Вы не просто ведете блог или личную страницу, вы несете ответственность за защиту конфиденциальной информации, включая имена, адреса, номера телефонов и информацию о кредитных картах.
Обратите внимание:
- Даже полностью пропатченный и обновленный сайт можно взломать. Например, слабый пароль администратора может быть взломан методом грубой силы, и хакеры могут войти и собрать все, что им нужно. Поэтому регулярно выполняйте проверки безопасности Magento.
- Вы не можете учитывать новые уязвимости или эксплойты нулевого дня (кибератака, которая происходит в тот же день, когда обнаружена уязвимость). Однако надежный план реагирования на инциденты может помочь вам оставаться на шаг впереди.
- «Унция профилактики стоит фунта лечения». Бен Франклин был прав. Если вы настроили свой магазин с учетом требований безопасности, придерживались описанного нами рабочего процесса кибербезопасности и обеспечили пуленепробиваемость своего магазина, вы можете сэкономить массу времени и душевных страданий.
- Не жертвуйте безопасностью, иначе отсутствие безопасности скомпрометирует вас.
Часто задаваемые вопросы о безопасности Magento
Является ли Magento безопасным?
После фиаско Magento 1 Adobe обновила Magento 2 до новых уровней безопасности. Архитектура электронной коммерции Magento предназначена для обеспечения высоконадежной среды благодаря брандмауэру веб-приложений (WAF), Fastly CDN для дополнительной защиты от DDoS и хэшированию для шифрования данных. Обновления безопасности выпускаются каждый квартал, и доступен Magento Security Scanner. Продавцы могут дополнительно использовать SSL-сертификаты, CAPTCHA, двухфакторную аутентификацию и другие передовые методы безопасности Magento для защиты своих клиентов.
Так что можно с уверенностью сказать, что Magento — одна из самых безопасных платформ среди тех, что предлагаются на рынке электронной коммерции.
Как защитить сайт Magento?
Некоторые передовые методы защиты Magento включают следующее:
- Проводите регулярные аудиты безопасности Magento — будь то с помощью автоматического инструмента сканирования вредоносных программ Magento или с помощью профессионала Magento.
- Используйте зашифрованные соединения (SSL/HTTPS).
- Активируйте двухфакторную аутентификацию.
- Регулярно делайте резервную копию вашего сайта.
- Выбирайте надежных хостинг-провайдеров
- Используйте собственные функции безопасности Magento и устанавливайте расширения безопасности, когда это необходимо.
- Составьте план действий на случай кибер-чрезвычайной ситуации.
См. полный контрольный список безопасности Magento выше.
Соответствует ли Magento PCI?
Соответствие Magento PCI зависит от его редакции:
Magento с открытым исходным кодом не совместим с PCI, поэтому вам придется использовать либо сторонний способ оплаты, который перенаправляет вас на другой сайт для совершения транзакции (например, PayPal, Authorize.net), либо способ оплаты, совместимый с PCI SaaS (CRE Secure).
Magento Commerce и коммерческое облако имеют сертификат PCI как поставщик решений уровня 1.
Источник: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- доступ
- Учетная запись
- Действие
- активно
- дополнительный
- Администратор
- саман
- плюс
- адвокат
- алгоритм
- Все
- Позволяющий
- Amazon
- Amazon Web Services
- среди
- объявило
- антивирус
- Применение
- Приложения
- архитектура
- около
- нападки
- Аутентификация
- Автоматизированный
- автоматизация
- Восстановление
- Операции резервного копирования
- ЛУЧШЕЕ
- лучшие практики
- Крупнейшая
- Немного
- Bitcoin
- Биткойн-добыча
- Блог
- боты
- нарушение
- нарушения
- ошибки
- бизнес
- бизнес
- Кампания
- автомобиль
- заботится
- пойманный
- вызванный
- сертификаты
- Сертификация
- изменение
- заряд
- Проверки
- облако
- облачные сервисы
- код
- Кодирование
- Commerce
- сообщество
- Компании
- Соответствие закону
- вычисление
- вычислительная мощность
- Коммутация
- Расходы
- Crash
- Создающий
- кредит
- кредитная карта
- Кредитные карты
- лечение
- Клиенты
- кибер-
- Кибератака
- кибератаки
- Информационная безопасность
- данным
- Данные нарушения
- Потеря данных
- безопасность данных
- База данных
- день
- DDoS
- сделка
- поставка
- обнаружение
- развивать
- Застройщик
- застройщиков
- Развитие
- Устройства
- DID
- открытый
- открытие
- гибель
- электронная коммерция
- электронной коммерции
- сотрудников
- шифрование
- Инженеры
- Окружающая среда
- и т.д
- События
- Расширьте
- опыт
- эксперты
- расширения
- Особенность
- Особенности
- финансовый
- финансовые данные
- Для пожарных
- Во-первых,
- фиксированный
- Рамки
- Бесплатно
- полный
- будущее
- GIF
- Золото
- хорошо
- Google Поиск
- большой
- инструкция
- мотыга
- Хакеры
- взлом
- Управляемость
- Хеширования
- здесь
- Наем
- Главная
- хостинг
- Как
- How To
- HTTPS
- идея
- определения
- Личность
- изображение
- Влияние
- реакция на инцидент
- В том числе
- промышленность
- инфекция
- info
- информация
- информационная безопасность
- Инфраструктура
- страхование
- интеграции.
- намерение
- взаимодействие
- обнаружения вторжений
- ходе расследования,
- вовлеченный
- IP
- IP-адрес
- вопросы
- IT
- JavaScript
- работа
- хранение
- Основные
- большой
- последний
- Новости
- ведущий
- Утечки
- УЧИТЬСЯ
- узнали
- уровень
- ответственность
- Ограниченный
- линия
- основной
- Создание
- вредоносных программ
- управление
- рынок
- Маркетинг
- рынка
- Медиа
- Купец
- Купечество
- Горнодобывающая промышленность
- имена
- сеть
- сеть
- сетевой трафик
- Новости
- номера
- предлагают
- Предложения
- Официальный представитель в Грузии
- Вводный
- онлайн
- открытый
- с открытым исходным кодом
- Откроется
- операционный
- операционная система
- Операционный отдел
- Опции
- Другое
- Другое
- Паника
- Пароль
- пароли
- Патчи
- Патчи
- оплата
- платежи
- PayPal
- PC
- PCI DSS
- Люди
- производительность
- личные данные
- Персонал
- фишинг
- фишинговые атаки
- физический
- Физическая охрана
- Платформа
- Платформы
- плагин
- политика
- мощностью
- предотвращение
- политикой конфиденциальности.
- Продукт
- Производство
- проектов
- для защиты
- защиту
- что такое варган?
- выздоровление
- Отчеты
- Требования
- ресурс
- Полезные ресурсы
- ответ
- Итоги
- обзоре
- Отзывы
- условиями,
- Run
- Бег
- SaaS
- безопасный
- сканирование
- сканирование
- Поиск
- безопасность
- Охранные системы
- обновления безопасности
- видит
- Услуги
- набор
- Поделиться
- Оболочка
- Доставка и оплата
- Короткое
- просто
- Сайтов
- So
- Software
- Решения
- спам
- Таблица
- стандартов
- и политические лидеры
- оставаться
- диск
- магазин
- магазины
- Истории
- Кабинет
- представленный
- успешный
- Поддержанный
- Поддержка
- система
- системы
- цель
- Технический
- тестXNUMX
- Тестирование
- Будущее
- Проекты
- Источник
- кража
- угрозы
- время
- Советы
- Тон
- трек
- трафик
- сделка
- Доверие
- Обновление ПО
- Updates
- URI
- us
- USB
- пользователей
- проверка
- вирусы
- Уязвимости
- уязвимость
- Уязвимый
- Web
- веб-сервисы
- Вебсайт
- веб-сайты
- еженедельно
- Что такое
- КТО
- WordPress
- слова
- Работа
- рабочий
- работает
- стоимость
- X
- XSS
- год
- лет