Magento Säkerhetsguide: Hur du säkrar din webbplats från hackare
Den 14 september 2020 kom att bli undergångens dag för många Magento-handlare. Det fanns över 2,800 1 Magento XNUMX-butiker hackad att stjäla kreditkortsuppgifter i den största dokumenterade kampanjen hittills.
Det är inte ovanligt att hackare skapar förödelse över e-handelswebbplatser. Skadlig dator, virus, maskar, trojaner och många andra e-handelsbedrägerier… det är mycket otäcka saker som flyter runt nätet. Det kommer alltid att finnas någon som försöker dra fördel av ett sårbart system eller skaffar sig olaglig åtkomst med uppsåt.
Om du inte vill bli en del av nästa Magento säkerhetsintrång, är den här guiden för dig. Läs vidare för att upptäcka Magentos största säkerhetsbrister och sätt att förhindra dem så att din data och dina kunders data är säkra.
Först och främst, vad är problemet med Magento 1 Security?
Det främsta problemet med Magento 1 är att det inte längre stöds. Från och med den 20 juni 2020 tillkännagav Adobe att deras Magento 1-produkt är slut, vilket gör plattformsutgåvan föråldrad och sårbar för cyberattacker.
Där har du anledningen till en MageCart-attack som nämndes tidigare. Föråldrade Magento-butiker är fortfarande attraktiva mål för dem som är fast beslutna att stjäla personlig och ekonomisk data från onlinekunder.
Hackare kan enkelt skanna efter föråldrade versioner av Magento och använda automatiserade bots för att komma åt dem, ladda upp skalskript och installera kortets skadlig kod. Kortskimmingsattacker går inte att upptäcka av slutanvändare, så ansvaret faller på webbplatsoperatörer att uppdatera sina system till den senaste versionen av Magento. Vid denna tidpunkt bör alla webbplatser som använder Magento 1.x antas vara utsatta.
— Paul Bischoff, en integritetsförespråkare med Comparitech.
Det är därför Magento butiksskydd bör vara första prioritet för handlare. Magento 1 är inte säker och kommer aldrig att vara det. Men Magento 1 kommer att hålla dig i säkra händer.
Lärdomar som har lärts och implementerats i Magento 2 Security
Om du blir biten av en fästing stoppar du inte infektionen om du tar bort dig själv. Samma sak hände med Magento. Efter att den kritiska sårbarheten hittades i Magento var en uppgradering nödvändig. Så Adobe gjorde om hela systemet för att eliminera Magento-säkerhetsproblem och skydda sina handlare från liknande attacker i framtiden.
Här är Magento-säkerhetsfunktioner som Adobe har introducerat efter att Magento 1 upphörde.
Förbättrad lösenordshantering
Magento 1 använder ett svagare system för lösenordshashning (en enkelriktad process för att förvandla en sträng av tecken till vad som kallas ett hashat lösenord). För att komma till rätta med denna Magento-sårbarhet stöder Magento 2 Argon2ID13, en starkare hashalgoritm än den tidigare guldstandarden – SHA-256.
Förbättrat förebyggande av XSS-attacker
Magento har implementerat nya regler för att förhindra cross-site scripting (XSS) attacker genom att göra escaped data till standard.
XSS-attacker är en typ av skadlig skriptinjektion som används i nätfiskeattacker, loggning av tangenttryckningar och andra obehöriga aktiviteter.
Mer flexibla filsystemägande och behörigheter
Från och med version 2.0.6 tillåter Magento användare att ställ in åtkomstbehörigheter för filsystem. Rekommendationerna är att vissa filer och kataloger ska vara skrivbara i en utvecklingsmiljö och skrivskyddade i en produktionsmiljö.
Förbättrat förebyggande av Clickjacking Exploits
Magento skyddar din butik från clickjacking-attacker genom att använda en X-Frame-Options HTTP-förfrågningshuvud. För mer information, se rubriken X-Frame-Options.
Automatisk generering av krypteringsnyckel
Magento använder en krypteringsnyckel för att skydda lösenord och känslig data. För närvarande använder Magento 2 AES-256-algoritmen, och du kan välja att generera en slumpmässig nyckel när som helst via adminpanelen.
Användning av Non-Default Magento Admin URL
Hackare använder automatiserade robotar för att gissa lösenord för att hämta kunders personliga data och handlares tillgång till back-office-verksamheten. För att förhindra denna typ av attack skapar Magento som standard en slumpmässig administratörs-URI när du installerar produkten.
Konsekventa Magento 2-säkerhetskorrigeringar och uppdateringar
Den största anledningen till att Magento 2-säkerheten överträffar Magento 1 är regelbundna uppdateringar. Adobes sista säkerhetskorrigering för Magento 1 släpptes den 22 juni 2020. Samtidigt får Magento 2-säljare sina säkerhetskorrigeringar varje kvartal i en officiell Adobes säkerhetsbulletin.
Hur Magento Hur Magento minimerar effekten av sårbarheter
Utöver den nya arkitekturen och säkerhetsramverket för Magento 2 finns det processer på plats för att minimera påverkan av sårbarheter.
De innefattar:
- Bug Bounty Program — Utvecklare belönas belöningar på upp till $10,000 XNUMX för buggar som hittas i Magento. Det här är ett bra sätt att få samhället involverat i Magento-säkerhet.
- Magento säkerhetscenter — Nya säkerhetsuppdateringar, patchar, bästa praxis och mycket mer finns på den här resursen. Oavsett om du behöver mer information om en patch eller behöver instruktioner för att installera patchar/uppdateringar, är det här platsen att gå.
- Security Alert Registry — Magento-teamet svarar på sårbarheter och tillhandahåller patchar och uppdateringar för att skydda butiker mot hot. Prenumerera på Security Alert Registry för att få e-postmeddelanden när det finns en ny säkerhetsversion.
- Kod kvalitetsstandarder — Magentos kärnutvecklingsteam använder Magento kodningsstandard och rekommenderar att utvecklare som skapar Magento-tillägg och anpassningar också använder denna standard.
- Kvalitetsprogram för tillägg — Alla tillägg som skickas till Magento Marketplace går igenom en granskning i flera steg: tekniska och marknadsföringsrecensioner. Om någon av granskningarna inte godkänns kommer förlängningen inte att tillåtas att publiceras.
Magento säkerhetschecklista: Vilka säkerhetsstandarder bör finnas för att se till att min webbplats är säker?
Det finns inget sådant som en webbplats som inte kan hackas. Även om du anställer de bästa utvecklarna, ingenjörerna och säkerhetsexperterna, finns det fortfarande en möjlighet att bli hackad.
Så vår rekommendation är att upprätthålla ett strikt säkerhetsarbetsflöde för onboarding och dagliga aktiviteter.
Här är sätten att säkra Magento:
- Inkludera säkerhetsrutiner i din onboardingprocess
Även om detta kan verka självförklarande, förbises det ofta av både interna och externa team. Se till att nya butiksanställda, obemannade anställda och alla däremellan går igenom säkerhetsintroduktionen. Vi rekommenderar CISO:s checklista för nya anställningar. - Genomför strikta åtkomsträttigheter
En del av introduktionsprocessen är att ta reda på vilka åtkomsträttigheter en anställd behöver för att utföra sitt jobb. Det är viktigt att upprätthålla åtkomsträttigheter till information och vi rekommenderar också att du gör granskningar av åtkomsträttigheter för att säkerställa att inga regler överträds bakom din rygg. Du kan ställ in användarroller i Magento med den här guiden. - Se till att du följer branschstandarder
Detta är både tekniskt och affärsmässigt. Din webbplats och all kod som används på den bör följa PHP-kodningsstandarder, teststandarder och alltid vara PCI-kompatibel. Vi visar dig en handlingsbar checklista i nästa avsnitt så att du kan bli PCI-kompatibel. - Har redundant infrastruktur för failover
Ja, vi förstår att du inte är en säkerhetsexpert, men du måste fråga den som är ansvarig för säkerheten om de har en säkerhetskopieringsplan (som ska täcka vad du säkerhetskopierar, hur ofta du säkerhetskopierar och när säkerhetskopior ska användas). Viktig anmärkning: säkerhetskopiering bör vara automatiserad. - Säkra tredjepartskomponenter (moduler, tjänster, tillägg, applikationer)
Liksom Magento Security Best Practices säg, se till att alla applikationer som körs på din server är säkra. Undvik att köra applikationer som WordPress på samma server som Magento, eftersom en sårbarhet i en av dessa applikationer potentiellt kan exponera information från Magento. Det säger sig självt att du aldrig bör installera tillägg från opålitliga källor (som torrentwebbplatser). - Skydda dina data
a. Infrastruktursegregation
⇨ Detta är i linje med att säkra tredjepartskomponenter. Under inga omständigheter bör du ha utvecklings-, iscensättnings- och produktionsmiljöer som körs på samma serverinstans.b. Begränsad åtkomst
⇨ En annan punkt vi berörde: åtkomsträttigheterna omfattar utvecklarna och annan IT-personal. Under inga omständigheter bör varje medlem i teamet ha fullständiga administratörsrättigheter.c. Personuppgiftsskydd
⇨ Även om det kan verka självklart, bör en del av introduktionsprocessen inkludera att inte ta in USB-enheter och andra lagringsenheter för att fungera. Kom också ihåg att inte klicka på misstänkta länkar eller öppna misstänkta e-postmeddelanden. Berätta aldrig ditt lösenord för någon (särskilt Magento Admin-lösenordet).
Så med de tråkiga sakerna ur vägen, låt oss börja skottsäkra din Magento-butik!
Bulletproof Magento Security: Hur man säkrar Magento-webbplatsen i 14 steg
Steg #1: Säkerhetsrevision
Det finns många rörliga delar i Magento säkerhet. Ingen utvecklare, arkitekt, chef eller andra roller förstår Det finns många rörliga delar i Magento-säkerhet. Ingen utvecklare, lösningsarkitekt, chef eller andra roller förstår säkerhetsrisker samt en kvalificerad säkerhetsexpert. Det är därför det första steget är att få din webbplats genomkammad av en expert. Helst bör du göra detta minst en gång om året för att vara säker.
Steg #2: Automatiserad säkerhetsskanning
Goda nyheter, du behöver inte gå till en tredje part varje gång du vill göra en skanning. Magento erbjuder sin säkerhetsskanning gratis.
Magento Security Scan låter dig övervaka alla dina webbplatser (om du har fler än en) för möjliga risker och framhäver de patchar och uppdateringar du behöver. Ställ in ett schema (Magento rekommenderar att du skannar veckovis) och få rapporter och korrigerande åtgärder för varje misslyckat test. För att starta, kolla in den här guiden.
Det finns också gratis skanningsverktyg där ute som MageReport, men det är inte lika djupgående som Magentos verktyg och erbjuder inte automatisk eller schemalagd skanning.
Steg #3: Magento Admin Security
Magento rekommenderar en flerskiktad strategi för säkra ditt administratörskonto(S).
Du kan:
- Ställ in säkerhetsnivån för lösenord
- Ställ in antalet inloggningsförsök
- Konfigurera längden på tangentbordsinaktivitet innan sessionen löper ut
- Kräv skiftlägeskänsliga användarnamn och lösenord
Administratörslösenord
Lösenordsalternativ för administratörer
Gå till i sidofältet Admin Butiker > Inställningar > Konfiguration.
I den vänstra panelen under Advanced Open water, välj Admin.
Expandera Säkerhet sektion.
Ändra standardadress för administratör
Det är en bra idé att ändra standardadmin-URL:n till något annat för att göra den mindre av ett mål för hackare.
Standardbas-URL: http://dindomän.com/magento/
Standardadress och sökväg för administratör: http://dindomän.com/magento/admin
Det finns ett enkelt sätt att ändra admin-URL tillgängligt i administratörspanelen, men kom ihåg att eventuella misstag gör din webbplats otillgänglig för alla administratörer, och det enda sättet att fixa det är genom att redigera serverkonfigurationsfiler (inte något du vill uppleva, lita på oss).
IP-whitelisting
Du kanske har hört talas om svartlistning - när du blockerar åtkomst till en viss webbplats, IP-adress eller nätverk.
vitlistning är motsatsen — tillåter åtkomst till viss information, webbplatser och i vårt fall Magentos adminpanel till endast betrodda IP-adresser.
Steg #4: Ställ in användarroller
Magento innehåller alternativ för att begränsa åtkomsten för administratörer. Med andra ord kan du skapa behörigheter för att begränsa vad en webbplatsadministratör ser och ge dem begränsad åtkomst.
Du kan ställa in användarroller genom att gå till Admin-sidofältet. Klick Systemkrav, under behörigheter, välja Användarroller. Klicka på i det övre högra hörnet Lägg till ny roll.
Efter att ha tilldelats en Rollnamn och ange ditt lösenord kan du ställa in Rollomfattning (se bilden nedan).
Magento Commerce låter dig logga alla åtgärder som utförs av administratörer. Du kan aktivera åtgärdsloggar genom att navigera till Butiker > Inställningar > Konfiguration. I den vänstra panelen, expandera Avancerat Och välj Administration. Expandera Loggning av administratörsåtgärder och markera kryssrutan aktivera administratörsloggning för varje åtgärd du vill logga.
Steg #5: Konfigurera Captcha och Google reCaptcha
I Magento kan du ställa in båda captcha och Google reCaptcha för administratörer och kunder. Båda skyddar dig mot spam och andra typer av automatiserat missbruk.
captcha är ett mänskligt valideringstest dvs de suddiga, snirkliga bokstäver och siffror som du förmodligen har behövt kisa för att se.
Google reCaptcha är en överlägsen typ av mänsklig validering, dvs kryssrutan "I Am Not A Robot".
Invisible reCAPTCHA (Magento rekommenderas) — som verifierar att en användare är mänsklig automatiskt, utan någon interaktion. Det låter som magi, men Google lyckades hitta ett sätt att göra det.
Steg #6: Tvåfaktorsautentisering (2FA)
Tvåfaktorsautentisering, eller förkortat 2FA, är en metod för att bekräfta en användares identitet genom att få användare att slutföra ett andra steg i verifieringsprocessen. Magento 2FA är endast tillgängligt för administratörsanvändare och utökas inte till kundkonton.
Så här kan du konfigurera 2FA i Magento:
Gå till i sidofältet Admin Butiker > Inställningar > Konfiguration.
I den vänstra panelen, expandera Säkerhet och välj 2FA.
Steg #7: Krypteringsnyckel
När du först startar upp Magento genererar systemet automatiskt en krypteringsnyckel. Denna nyckel används för att skydda lösenord och annan känslig data som kreditkortsinformation och integrationslösenord (betalnings- och fraktmodul).
Magento rekommenderar att du alltid håller denna nyckel säker och dold. Om du upplever ett dataintrång kan du skapa en ny krypteringsnyckel för att förhindra att någon kommer åt data med den gamla nyckeln.
Du kan skapa en ny nyckel i adminpanelen. För att upprepa, vi rekommenderar inte att du gör detta på egen hand.
SSteg #8: Lösenordskrav
Magento kräver minst sju tecken (både bokstäver och siffror). Vi rekommenderar att du använder något lite mer robust - ett alfanumeriskt lösenord på 10-12 tecken.
Proffstips — Försök inte komma på ett lösenord själv. Vi rekommenderar att du använder Lastpass för att slumpmässigt generera ett lösenord.
Ändra dina lösenord om du misstänker att det finns ett dataintrång, oavsett om ditt konto har hackats eller inte, och ställ in en påminnelse om att ändra ditt lösenord en gång om året.
Du kan ställa in säkerhetsnivån för lösenord som används av både kunder och administratörer direkt i administratörsgränssnittet
Lösenordsalternativ för kunder
Gå till i sidofältet Admin Butiker > Inställningar > Konfiguration.
I panelen till vänster, utöka kunderna och välj Kundkonfiguration.
Expandera Lösenordsalternativ sektion.
Steg #9: PCI-efterlevnad
De stora kreditkortsföretagen skapade Payment Card Industry Data Security Standard (PCI DSS) för att se till att handlare vidtar viktiga säkerhetsåtgärder. Säljare som inte följer PCI-kraven kan förvänta sig stora böter, vilket också kan leda till att de förlorar sin förmåga att behandla betalningar.
Magento gör det lättare för handlare att bli PCI-kompatibla — Magento Commerce Cloud är PCI-certifierat och Magento erbjuder integrerade betalningsportar som PayPal, Authorize.Net och andra som säkert överför kreditkortsinformation.
12 Krav för PCI-DSS | |
Bygg och underhåll ett säkert nätverk | Krav 1: Installera och underhålla en brandväggskonfiguration för att skydda kortinnehavarens data Krav 2: Använd inte leverantörens standardinställningar för systemlösenord och andra säkerhetsparametrar |
Skydda kortinnehavarens data | Krav 3: Skydda lagrade korthållardata Krav 4: Kryptera överföring av kortinnehavarens data över öppna, publika nätverk |
Behåll ett program för sårbarhetshantering | Krav 5: Använd och uppdatera antivirusprogram regelbundet Krav 6: Utveckla och underhålla säkra system och applikationer |
Genomföra starka åtkomstkontrollåtgärder | Krav 7: Begränsa åtkomsten till kortinnehavarens data av företag som behöver veta Krav 8: Tilldela ett unikt ID till varje person med datoråtkomst Krav 9: Begränsa fysisk åtkomst till kortinnehavarens data |
Regelbundet övervaka och testa nätverk | Krav 10: Spåra och övervaka all åtkomst till nätverksresurser och korthållardata Krav 11: Testa regelbundet säkerhetssystem och processer |
Upprätthåll en informationssäkerhetspolicy | Krav 12: Upprätthåll en policy som tar upp informationssäkerhet |
Viktig anmärkning: ANVÄND INTE Sparade kreditkortsmodul i en produktionsmiljö!
Sparade kreditkort är inte PCI-kompatibla och du kan avslöja dina kunders kreditkortsinformation.
Steg #10: Installera säkerhetstillägg
När inbyggd funktionalitet inte räcker kommer tillägg till undsättning. Magento har ett rikt lager av säkerhetstillägg – både betalda och gratis. Här är några du kan prova:
Steg #11: Säkerhetsautomationslösningar
Säkerhetsautomatisering är processen att automatiskt hantera säkerhetsrelaterade uppgifter som antivirusskanning, intrångsdetektering, skapa säkerhetskopior, förnya SSL-certifikat och mycket mer.
IBM gjorde en banbrytande upptäckt: organisationer utan automatiserade säkerhetslösningar upplevde intrångskostnader som var 95 % högre än organisationer med fullt utplacerad automation.
Steg #12: Cyberansvarsförsäkring
Precis som alla andra typer av försäkringar (bil, hem, etc.) skyddar cyberförsäkring företag från skador orsakade av cyberattacker. I synnerhet omfattar cyberansvar
- Dataintrång efter anställdas stöld och/eller dataläckor.
- Cyberaffärsavbrott, som ett hack från tredje part eller misslyckad programvarukorrigering.
- Dataintrång efter hackning.
- Fel och utelämnanden som leder till säkerhetsintrång.
Steg #13: Skapa ett Incident Response Team & Plan
Om du inte har en incidenthanteringsplan (eller om du inte vet vad detta är), låt oss skapa en.
För att göra det lättare tog vi Talesh Seeparsans Magento-centrerad Incident Response Plan Mall och gjort ett Google-kalkylblad som du kan kopiera för eget bruk.
Förutsättningar för att använda mallen:
- Skapa ett Incident Response Team (IRT) för att hantera säkerhetsincidenter för varje aspekt av e-handelslösningen som definieras i det här bordet.
- Övervaka och analysera rutinmässigt nätverkstrafik och systemprestanda.
- Kontrollera rutinmässigt alla loggar och loggningsmekanismer, inklusive operativsystemshändelseloggar, applikationsspecifika loggar och systemloggar för intrångsdetektering.
- Verifiera dina rutiner för säkerhetskopiering och återställning. Du bör vara medveten om var säkerhetskopior underhålls, vem som kan komma åt dem och dina rutiner för dataåterställning och systemåterställning. Se till att du regelbundet verifierar säkerhetskopior och media genom att selektivt återställa data.
IBM hittade det företag med en IRT och omfattande testning av deras svarsplaner sparade över 1.2 miljoner dollar. Mer specifikt visade studien att den kombinerade effekten av IRT och testning av incidentresponsplanen, genom övningar och simuleringar, hjälpte teamen att reagera snabbare och producera större kostnadsbesparingar än någon enskild säkerhetsprocess.
Steg #14: Håll Magento uppdaterad och uppdaterad
Det finns inga ursäkter för att inte ha en lappad och helt uppdaterad Magento-butik.
För att installera en Magento-säkerhetspatch bör du
- Säkerhetskopiera filsystemet, media och databasen för att förhindra dataförlust om något går fel.
- Ladda ner en patch (aka hotfix) från Magento säkerhetscenter. Tänk på att du måste känna till din Magento-version för att ladda ner en korrekt patch.
- Applicera ett plåster via Magento Quality Patch (MQP)-paket, kommandorad eller Composer.
Skanna din webbplats, identifiera eventuella patchar du behöver installera, och snälla, låt inte hackare få enkel åtkomst genom en sårbarhet. Registrera dig för Magento Security Alert Registry och se till att besöka Magento Security Center då och då för de senaste nyheterna och informationen.
För att spara dig själv kan du också anlita en Magento -utvecklare. De kommer att installera en Magento-säkerhetspatch på nolltid - oavsett om det är en snabbkorrigering eller en anpassad patch.
Vad du ska göra om din webbplats har blivit hackad
Få inte panik. Om det var ett dataintrång eller informationsexponering finns det inget sätt att få tillbaka den informationen. Din prioritet bör vara att identifiera vad som exponerades, samla bevis och se till att data inte läcker.
Följ din incidentresponsplan:
- Gör en första bedömning
- Kommunicera händelsen
- Begränsa skadan och minimera riskerna
- Identifiera allvaret av kompromissen
- Bevara bevis
- Kommunicera eventuella externa meddelanden
- Sammanställ och organisera incidentbevis
Elogisk erfarenhet av cyberattacker
För att lära oss vad Elogic-utvecklare stöter på i sitt arbete, frågade vi runt och fick reda på två vilda historier om illvilliga avsikter.
Bitcoin Mining Fiasco
En av våra mest erfarna full-stack-utvecklare på Elogic, Andriy Biloshytskiy, hade en intressant upplevelse för några år sedan. Det hände något väldigt konstigt med ett av de projekt han arbetade med då.
Det fanns inga nya uppdateringar på sajten, ingenting hade förändrats, förutom att sajten inte fungerade, säger Andriy. "Så jag gjorde en översiktlig undersökning och hittade något både udda och underhållande - det fanns en del av JavaScript-kod utan avslutande taggar, som orsakade kraschen. Efter en sökning på Google fann jag att det skadliga skriptet var avsett att ta bort datorkraften hos personer som besöker butiken – att bryta Bitcoin.
– Andriy Biloshytskiy, Full-stack-utvecklare på Elogic Commerce
Gärningsmannen (möjligen en butiksadministratör) greps aldrig. Butiken hade inga adminloggar så det fanns inget sätt att säkert veta vem som var ansvarig.
Det oväntade viruset
När utvecklare arbetar med projekt klonar de ofta butiken på sin arbetsdator eller server för att testa och skriva ny kod. Den här historien hände efter att en av våra utvecklare klonat en butik men istället för att börja jobba direkt såg han ett popup-fönster.
Popup-fönstret var en varning från hans antivirusprogram, och källan till infektionen var den nyinstallerade Magento-instansen. Efter att ha hittat den infekterade filen, en PHP-kärnfil, tog utvecklaren bort den skadliga koden och fortsatte med sitt jobb.
Moralen i historien är: oavsett om attacken är riktad, ett mänskligt fel eller ett systemfel/sårbarhet, kan du hjälpa till att förhindra intrång genom att implementera och följa säkerhetsstandarder.
Är Magento Commerce säkrare än Magento Open Source?
Medan man väljer mellan Magento 2 Commerce vs öppen källkod, du kanske har undrat vilken som är säkrare. Även om det är sant att båda Magento-utgåvorna levererar enastående funktionsuppsättningar (beroende på en handlares affärsbehov, naturligtvis), kan vi garantera säkerheten för Magento Commerce (alias Adobe Commerce).
Här är fem stora säkerhetsfördelar med att använda Magento Commerce och Commerce Cloud.
PCI-överensstämmelse
PCI-kompatibilitet är inte en funktion som listas i Magento Open Source, men det finns i Magento Commerce. Ännu bättre, Magento Commerce Cloud är PCI-certifierad som en lösningsleverantör på nivå 1, så handlare kan använda Magentos PCI-intyg om överensstämmelse för att underlätta sin egen PCI-certifieringsprocess.
Delat säkerhetsansvar
Magento Commerce Cloud har en säkerhetsmodell med delat ansvar där du, Magento och Amazon Web Services (bästa molntjänster) delar på ansvaret för driftsäkerhet. Du är ansvarig för att testa anpassad kod och eventuella anpassade applikationer. Magento säkerställer att själva plattformen är säker, och Amazon tar hand om fysisk säkerhet för servrar och efterlevnad.
Åtgärdsloggar
Magento Commerce ger dig möjligheten att hålla ett register över varje ändring (åtgärd) som görs av en administratör som arbetar i din butik. Den loggade informationen inkluderar namnet på användaren, åtgärden och om åtgärden lyckades, och den loggar även IP-adressen och datumet.
Webbr Firewall (WAF)
Precis som en brandvägg på en PC, förhindrar en WAF skadlig trafik från att komma in i ett nätverk genom att använda en uppsättning säkerhetsregler. All trafik som utlöser reglerna blockeras innan den släpper lös på din webbplats eller ditt nätverk. Magento Commerce Cloud använder Snabbt CDN för WAF-tjänster.
Content Delivery Network (CDN) och DDoS-skydd
Magento Commerce Cloud använder också Fastly CDN för ytterligare säkerhetsfunktioner som DDoS-skydd, som inkluderar Layer 3, 4 och 7 DDoS-reducering
Takeaways — Magento säkerhetstips och bästa praxis
Webbplatssäkerhet och mer allmänt cybersäkerhet bör vara en av dina huvudprioriteringar. Du driver inte bara en blogg eller en personlig sida, du är ansvarig för att skydda konfidentiell information, inklusive namn, adresser, telefonnummer och kreditkortsinformation.
Kom ihåg:
- Även en fullständigt korrigerad och uppdaterad webbplats kan hackas. Till exempel kan ett svagt administratörslösenord bli brute-forced och hackare kan promenera direkt in och samla allt de vill ha. Så utför Magento säkerhetskontroller regelbundet.
- Du kan inte redogöra för nya sårbarheter eller zero-day exploits (en cyberattack som inträffar samma dag som en svaghet upptäcks). En stark incidentresponsplan kan dock hjälpa dig att ligga steget före.
- "Ett uns förebyggande är värt ett halvt kilo botemedel." Ben Franklin hade rätt. Om du har konfigurerat din butik med säkerhet i åtanke, följt arbetsflödet för cybersäkerhet som vi har skisserat och skottsäkrat din butik, kan du spara massor av tid och hjärtesorg.
- Kompromissa inte med säkerheten, annars kommer din bristande säkerhet att äventyra dig.
Magento Security FAQ
Är Magento säkert?
Efter Magento 1 fiasko har Adobe uppgraderat Magento 2 till nya säkerhetsnivåer. Magento e-handelsarkitektur är designad för att ge en mycket säker miljö tack vare Web Application Firewall (WAF), Fastly CDN för extra DDoS-skydd och hashing för att kryptera data. Säkerhetskorrigeringar släpps varje kvartal och Magento Security Scanner är tillgänglig. Säljare kan dessutom använda SSL-certifikat, CAPTCHA, tvåfaktorsautentisering och andra bästa metoder för Magento-säkerhet för att skydda sina kunder.
Så det är säkert att säga att Magento är en av de säkraste plattformarna bland de som erbjuds på e-handelsmarknaden.
Hur säkrar man Magento-webbplatsen?
Några bästa metoder för att säkra Magento inkluderar följande:
- Tillhandahålla regelbundna granskningar av Magento-säkerhet - vare sig det är med ett automatiskt verktyg för skanning av skadlig programvara från Magento eller med hjälp av en Magento-proffs.
- Använd krypterade anslutningar (SSL/HTTPS).
- Aktivera tvåfaktorsautentisering.
- Säkerhetskopiera din webbplats regelbundet.
- Välj pålitliga värdleverantörer
- Använd de inbyggda Magento-säkerhetsfunktionerna och installera säkerhetstillägg när det behövs.
- Gör upp din handlingsplan för en cybernödsituation.
Se en komplett säkerhetschecklista för Magento ovan.
Är Magento PCI kompatibel?
Magento PCI-kompatibilitet beror på dess utgåva:
Magento Open Source är inte PCI-kompatibel, så du måste använda antingen en tredjepartsbetalningsmetod som omdirigerar dig till en annan webbplats för att göra transaktionen (som PayPal, Authorize.net) eller en SaaS PCI-kompatibel betalningsmetod (CRE Secure).
Magento Commerce och Commerce Cloud är PCI-certifierade som Level 1 Solution Provider.
Källa: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- tillgång
- Konto
- Handling
- aktiviteter
- Annat
- administration
- Adobe
- Fördel
- förespråkare
- algoritm
- Alla
- tillåta
- amason
- Amazon Web Services
- bland
- meddelade
- antivirus
- Ansökan
- tillämpningar
- arkitektur
- runt
- Attacker
- Autentisering
- Automatiserad
- Automation
- säkerhetskopiering
- säkerhetskopior
- BÄST
- bästa praxis
- störst
- Bit
- Bitcoin
- Bitcoin gruvdrift
- Blogg
- botar
- brott
- överträdelser
- fel
- företag
- företag
- Kampanj
- bil
- vilken
- fångas
- orsakas
- certifikat
- certifiering
- byta
- laddning
- Kontroller
- cloud
- molntjänster
- koda
- Kodning
- Commerce
- samfundet
- Företag
- Efterlevnad
- databehandling
- beräkningskraft
- Anslutningar
- Kostar
- Crash
- Skapa
- kredit
- kreditkort
- Kreditkort
- härdning
- Kunder
- cyber
- Cyber Attack
- cyberattack
- Cybersäkerhet
- datum
- dataintrång
- dataförlust
- datasäkerhet
- Databas
- dag
- DDoS
- behandla
- leverans
- Detektering
- utveckla
- Utvecklare
- utvecklare
- Utveckling
- enheter
- DID
- upptäckt
- Upptäckten
- undergång
- e-handel
- e-handel
- anställda
- kryptering
- Ingenjörer
- Miljö
- etc
- händelse
- Bygga ut
- erfarenhet
- experter
- förlängningar
- Leverans
- Funktioner
- finansiella
- finansiella data
- natur
- Förnamn
- Fast
- Ramverk
- Fri
- full
- framtida
- gif
- Gold
- god
- Google Sök
- stor
- styra
- hacka
- hackare
- hacking
- Arbetsmiljö
- hasch
- här.
- hyra
- Hem
- värd
- Hur ser din drömresa ut
- How To
- HTTPS
- Tanken
- identifiera
- Identitet
- bild
- Inverkan
- incidentrespons
- Inklusive
- industrin
- infektion
- info
- informationen
- informationssäkerhet
- Infrastruktur
- försäkring
- integrering
- uppsåt
- interaktion
- intrångsdetektering
- Undersökningen
- involverade
- IP
- IP-adress
- problem
- IT
- JavaScript
- Jobb
- hålla
- Nyckel
- Large
- senaste
- Senaste nytt
- ledande
- Läckor
- LÄRA SIG
- lärt
- Nivå
- ansvar
- Begränsad
- linje
- större
- Framställning
- malware
- ledning
- marknad
- Marknadsföring
- marknadsplats
- Media
- Merchant
- Merchants
- Gruvdrift
- namn
- netto
- nät
- nätverkstrafik
- nyheter
- nummer
- erbjudanden
- Erbjudanden
- tjänsteman
- Onboarding
- nätet
- öppet
- öppen källkod
- öppnas
- drift
- operativsystem
- Verksamhet
- Tillbehör
- Övriga
- Övrigt
- Panic
- Lösenord
- lösenord
- Lappa
- Plåster
- betalning
- betalningar
- PayPal
- PC
- PCI DSS
- Personer
- prestanda
- personlig information
- Personal
- Nätfiske
- phishingattacker
- fysisk
- Fysisk säkerhet
- plattform
- Plattformar
- plugin
- policy
- kraft
- Förebyggande
- privatpolicy
- Produkt
- Produktion
- projekt
- skydda
- skydd
- allmän
- kvalitet
- återvinning
- Rapport
- Krav
- resurs
- Resurser
- respons
- Resultat
- översyn
- Omdömen
- regler
- Körning
- rinnande
- SaaS
- säker
- scanna
- scanning
- Sök
- säkerhet
- säkerhetssystem
- säkerhetsuppdateringar
- ser
- Tjänster
- in
- Dela
- Shell
- Frakt & Leverans
- Kort
- Enkelt
- Områden
- So
- Mjukvara
- Lösningar
- skräppost
- kalkylblad
- standarder
- igång
- bo
- förvaring
- lagra
- lagrar
- Upplevelser för livet
- Läsa på
- lämnats
- framgångsrik
- Som stöds
- Stöder
- system
- System
- Målet
- Teknisk
- testa
- Testning
- Framtiden
- Projekten
- källan
- stöld
- hot
- tid
- Tips
- ton
- spår
- trafik
- transaktion
- Litar
- Uppdatering
- Uppdateringar
- URI
- us
- usb
- användare
- Verifiering
- virus
- sårbarheter
- sårbarhet
- Sårbara
- webb
- webbservice
- Webbplats
- webbsidor
- vecka
- Vad är
- VEM
- Wordpress
- ord
- Arbete
- arbetsflöde
- fungerar
- värt
- X
- XSS
- år
- år