Magento Güvenlik Kılavuzu: Web Sitenizi Hackerlardan Nasıl Koruyabilirsiniz?
14 Eylül 2020, birçok Magento tüccarı için kıyamet günü oldu. 2,800'den fazla Magento 1 mağazası üreticilerinin Bugüne kadar belgelenmiş en büyük kampanyada kredi kartı bilgilerini çalmak.
Bilgisayar korsanlarının e-ticaret web sitelerinde hasara yol açması alışılmadık bir durum değil. Bilgisayar kötü amaçlı yazılımları, virüsler, solucanlar, truva atları ve diğer birçok e-ticaret dolandırıcılıkları… ağda dolaşan bir sürü kötü şey var. Her zaman savunmasız bir sistemden yararlanmaya çalışan veya kötü niyetle yasa dışı erişim elde etmeye çalışan birileri olacaktır.
Bir sonraki Magento güvenlik ihlalinin bir parçası olmak istemiyorsanız, bu kılavuz tam size göre. Verilerinizin ve müşterilerinizin verilerinin güvende olması için ana Magento güvenlik açıklarını ve bunları önlemenin yollarını keşfetmek için okumaya devam edin.
Öncelikle İlk Şeyler, Magento 1 Güvenliği ile İlgili Sorun Nedir?
Magento 1'in ana sorunu, artık desteklenmemesidir. 20 Haziran 2020 itibariyle Adobe, Magento 1 ürününün kullanım ömrünün sona erdiğini duyurdu ve böylece platform sürümünü eskimiş ve siber saldırılara karşı savunmasız hale getirdi.
Orada daha önce bahsedilen MageCart saldırısının nedeni var. Eski Magento mağazaları, çevrimiçi müşterilerden kişisel ve finansal verileri çalmaya kararlı olanlar için çekici hedefler olmaya devam ediyor.
Bilgisayar korsanları, Magento'nun eski sürümlerini kolayca tarayabilir ve bunlara erişmek, kabuk komut dosyalarını yüklemek ve kart gözden geçirme kötü amaçlı yazılımını yüklemek için otomatik botları kullanabilir. Kart gözden geçirme saldırıları son kullanıcılar tarafından tespit edilemez, bu nedenle sistemlerini Magento'nun en son sürümüne güncelleme sorumluluğu web sitesi operatörlerine düşer. Bu noktada, Magento 1.x kullanan herhangi bir web sitesinin güvenliğinin ihlal edildiği varsayılmalıdır.
- Paul Bischoff, bir gizlilik savunucusu Comparitech.
Bu nedenle Magento mağaza koruması tüccarlar için 1 numaralı öncelik olmalıdır. Magento 1 güvenli değil ve asla olmayacak. Ancak Magento 2 sizi emin ellerde tutacaktır.
Magento 2 Güvenliğinde Öğrenilen ve Uygulanan Dersler
Bir kene tarafından ısırıldıysanız, kendinizi çıkarmak enfeksiyonu durdurmaz. Aynısı Magento'da da oldu. Magento'da kritik güvenlik açığı bulunduktan sonra bir yükseltme gerekliydi. Bu nedenle Adobe, Magento güvenlik sorunlarını ortadan kaldırmak ve tüccarlarını gelecekte benzer saldırılardan korumak için tüm sistemi yeniledi.
Adobe'nin Magento 1'in kullanım ömrü sona erdikten sonra sunduğu Magento güvenlik özellikleri şunlardır.
Gelişmiş Parola Yönetimi
Magento 1, daha zayıf bir parola karma sistemi kullanır (bir karakter dizisini karma parola olarak bilinen şeye dönüştürmenin tek yönlü bir işlemi). Bu Magento güvenlik açığını gidermek için Magento 2, önceki altın standart olan SHA-2'dan daha güçlü bir karma algoritma olan Argon13ID256'ü destekler.
XSS Saldırılarının Geliştirilmiş Önlenmesi
Magento, kaçan verileri varsayılan hale getirerek siteler arası komut dosyası çalıştırma (XSS) saldırılarını önlemek için yeni kurallar uyguladı.
XSS saldırıları, kimlik avı saldırılarında, tuş vuruşlarını günlüğe kaydetmede ve diğer yetkisiz etkinliklerde kullanılan bir tür kötü amaçlı komut dosyası enjeksiyonudur.
Daha Esnek Dosya Sistemi Sahipliği ve İzinleri
2.0.6 sürümünden başlayarak, Magento, kullanıcıların dosya sistemleri erişim izinlerini ayarla. Öneriler, belirli dosya ve dizinlerin bir geliştirme ortamında salt okunur ve bir üretim ortamında salt okunur olması yönündedir.
Clickjacking Exploitlerinin Geliştirilmiş Önlenmesi
Magento, bir X-Frame-Options HTTP istek başlığı kullanarak mağazanızı tıklama saldırılarına karşı korur. Daha fazla bilgi için X-Frame-Options başlığına bakın.
Otomatik Oluşturma Şifreleme Anahtarı
Magento, parolaları ve hassas verileri korumak için bir şifreleme anahtarı kullanır. Şu anda Magento 2, AES-256 algoritmasını kullanıyor ve yönetici paneli aracılığıyla istediğiniz zaman rastgele bir anahtar oluşturmayı seçebilirsiniz.
Varsayılan Olmayan Magento Yönetici URL'sinin Kullanımı
Bilgisayar korsanları, alışveriş yapanların kişisel verilerini ve tüccarların arka ofis operasyonlarına erişimini almak için otomatik parola tahmin botlarını kullanır. Bu tür bir saldırıyı önlemek için, ürünü yüklediğinizde Magento varsayılan olarak rastgele bir Yönetici URI'si oluşturur.
Tutarlı Magento 2 Güvenlik Yamaları ve Güncellemeleri
Magento 2 güvenliğinin Magento 1'i geride bırakmasının en büyük nedeni düzenli güncellemelerdir. Adobe'nin son Magento 1 güvenlik yaması 22 Haziran 2020'de yayınlandı. Bu arada Magento 2 tüccarı, güvenlik yamalarını her üç ayda bir resmi olarak alıyor. Adobe Güvenlik Bülteni.
Magento Nasıl Magento Güvenlik Açıklarının Etkisini En Aza İndirir
Magento 2'nin yeni mimarisine ve güvenlik çerçevesine ek olarak, güvenlik açıklarının etkisini en aza indirecek süreçler mevcuttur.
Bunlar:
- Hata Bounty Programı — Geliştiricilere, Magento'da bulunan hatalar için 10,000 $'a kadar ödül verilir. Bu, topluluğu Magento güvenliğine dahil etmenin harika bir yoludur.
- Magento Güvenlik Merkezi — Yeni güvenlik güncellemeleri, yamalar, en iyi uygulamalar ve çok daha fazlası bu kaynakta bulunabilir. Bir yama hakkında daha fazla bilgiye veya yamaları/güncellemeleri yüklemek için talimatlara ihtiyacınız olsun, gidilecek yer burasıdır.
- Güvenlik Uyarısı Kaydı — Magento ekibi, güvenlik açıklarına yanıt verir ve mağazaları tehditlere karşı korumak için yamalar ve güncellemeler sağlar. Yeni bir güvenlik sürümü olduğunda e-posta almak için Güvenlik Uyarısı Kayıt Defterine abone olun.
- Kod kalite standartları — Magento çekirdek geliştirme ekibi, Magento Kodlama Standardı ve Magento uzantıları ve özelleştirmeleri oluşturan geliştiricilerin de bu standardı kullanmasını önerir.
- Uzatma kalite programı — Magento Marketplace'e gönderilen tüm uzantılar, çok adımlı bir inceleme sürecinden geçer: teknik ve pazarlama incelemeleri. İncelemelerden herhangi biri geçilmezse, uzantının yayınlanmasına izin verilmeyecektir.
Magento Güvenlik Kontrol Listesi: Sitemin Güvenli Olduğundan Emin Olmak İçin Hangi Güvenlik Standartları Mevcut Olmalı?
Hacklenemez site diye bir şey yoktur. En iyi geliştiricileri, mühendisleri ve güvenlik uzmanlarını işe alsanız bile, hala saldırıya uğrama olasılığı vardır.
Bu nedenle, önerimiz, işe alım ve günlük etkinlikler için katı bir güvenlik iş akışı uygulamaktır.
Magento'yu korumanın yolları şunlardır:
- İşe alım sürecinize güvenlik uygulamalarını dahil edin
Bu açıklayıcı gibi görünse de, genellikle hem dahili hem de harici ekipler tarafından gözden kaçırılır. Yeni mağaza çalışanlarının, kadro dışı çalışanların ve aradaki herkesin güvenlik entegrasyonundan geçtiğinden emin olun. tavsiye ederiz CISO'nun Yeni İşe Alım Kontrol Listesi. - Katı erişim haklarını zorunlu kılın
Katılım sürecinin bir kısmı, bir çalışanın işini yapmak için hangi erişim haklarına ihtiyaç duyacağını bulmaktır. Bilgiye erişim haklarının uygulanması önemlidir ve ayrıca hiçbir kuralın arkanızdan ihlal edilmediğinden emin olmak için erişim hakkı incelemeleri yapmanızı öneririz. Yapabilirsiniz bu kılavuzla Magento'da Kullanıcı Rolleri ayarlayın. - Endüstri standartlarına uyduğunuzdan emin olun
Bu hem teknik hem de iş açısından. Siteniz ve içinde kullanılan tüm kodlar, PHP kodlama standartlarına, test standartlarına uygun olmalı ve her zaman PCI uyumlu olmalıdır. PCI uyumlu hale gelebilmeniz için sonraki bölümde size işlem yapılabilir bir kontrol listesi göstereceğiz. - Yük devretme yedekli altyapıya sahip olun
Evet, bir güvenlik uzmanı olmadığınızı anlıyoruz, ancak güvenlikten sorumlu olan kişiye bir Yedekleme Planı olup olmadığını sormanız gerekir (bu, neyi yedeklediğinizi, ne sıklıkta yedeklediğinizi ve yedeklemelerin ne zaman kullanılması gerektiğini kapsamalıdır). Önemli not: Yedeklemeler otomatikleştirilmelidir. - Güvenli üçüncü taraf bileşenleri (modüller, hizmetler, uzantılar, uygulamalar)
Gibi Magento Güvenlik En İyi Uygulamaları diyelim ki sunucunuzda çalışan tüm uygulamaların güvenli olduğundan emin olun. Magento ile aynı sunucuda WordPress gibi uygulamaları çalıştırmaktan kaçının, çünkü bu uygulamalardan birindeki bir güvenlik açığı Magento'dan gelen bilgileri potansiyel olarak açığa çıkarabilir. Güvenilmeyen kaynaklardan (torrent siteleri gibi) uzantıları asla yüklememeniz gerektiğini söylemeye gerek yok. - Verilerinizi koruyun
a. Altyapı ayrımı
⇨ Bu, üçüncü taraf bileşenlerinin güvence altına alınmasıyla uyumludur. Hiçbir koşulda aynı sunucu örneğinde çalışan geliştirme, hazırlama ve üretim ortamlarınız olmamalıdır.b. Sınırlı erişim
⇨ Değindiğimiz bir diğer nokta: erişim hakları geliştiricilere ve diğer BT personeline kadar uzanır. Hiçbir koşulda ekibin her üyesi tam yönetici haklarına sahip olmamalıdır.c. Kişisel verilerin korunması
⇨ Açık gibi görünse de, işe alma sürecinin bir parçası, çalışmak için USB sürücüleri ve diğer depolama aygıtlarını getirmemeyi içermelidir. Ayrıca, şüpheli bağlantılara tıklamamayı veya şüpheli e-postaları açmamayı unutmayın. Parolanızı asla kimseye söylemeyin (özellikle Magento Yönetici parolası).
Sıkıcı şeyler aradan çekilince, hadi Magento mağazanızı kurşun geçirmez hale getirmeye başlayalım!
Kurşun Geçirmez Magento Güvenliği: 14 Adımda Magento Sitesini Güvenli Hale Getirme
Adım #1: Güvenlik Denetimi
Magento güvenliğinde birçok hareketli parça vardır. Hiçbir geliştirici, mimar, yönetici veya başka bir rol anlamaz Magento güvenliğinde birçok hareketli parça vardır. geliştirici yok, Çözüm Mimarı, yönetici veya diğer roller, kalifiye bir güvenlik uzmanının yanı sıra güvenlik risklerini anlar. Bu yüzden ilk adım sitenizin bir uzman tarafından taranmasını sağlamaktır. Tercihen, güvende kalmak için bunu yılda en az bir kez yaptırmalısınız.
Adım #2: Otomatik Güvenlik Taraması
Harika bir haber, her tarama yapmak istediğinizde üçüncü bir tarafa gitmeniz gerekmiyor. Magento, Güvenlik Taramasını ücretsiz olarak sunar.
Magento Güvenlik Taraması, tüm web sitelerinizi (birden fazla varsa) olası riskler için izlemenizi sağlar ve ihtiyaç duyduğunuz yamaları ve güncellemeleri vurgular. Bir program belirleyin (Magento haftalık olarak taramayı önerir) ve başarısız olan her test için raporlar ve düzeltici eylemler alın. Başlamak, bu rehbere göz atın.
gibi ücretsiz tarama araçları da vardır. MageRaporu, ancak Magento'nun aracı kadar ayrıntılı değildir ve otomatik veya zamanlanmış tarama sunmaz.
Adım #3: Magento Yönetici Güvenliği
Magento, çok katmanlı bir yaklaşım önerir. yönetici hesabınızın güvenliğini sağlamak(S) dir.
You Can:
- Parolalar için güvenlik düzeyini ayarlayın
- Giriş denemelerinin sayısını ayarlayın
- Oturum sona ermeden önce klavye hareketsizliğinin uzunluğunu yapılandırın
- Büyük/küçük harfe duyarlı kullanıcı adları ve parolalar gerektir
Yönetici şifreleri
Yöneticiler için şifre seçenekleri
Yönetici kenar çubuğunda şuraya gidin: Mağazalar > Ayarlar > Yapılandırma.
Altındaki sol panelde gelişmiş, Yönetici'yi seçin.
genişletmek Güvenlik Bölüm.
Varsayılan Yönetici URL'sini değiştir
Bilgisayar korsanları için daha az hedef haline getirmek için varsayılan yönetici URL'sini başka bir şeyle değiştirmek iyi bir fikirdir.
Varsayılan Temel URL: http://alaniniz.com/magento/
Varsayılan Yönetici URL'si ve Yolu: http://alaniniz.com/magento/admin
Bunun basit bir yolu var yönetici URL'sini değiştir yönetici panelinde bulunur, ancak unutmayın, herhangi bir hata sitenize tüm yöneticiler tarafından erişilemez hale gelir ve bunu düzeltmenin tek yolu sunucu yapılandırma dosyalarını düzenlemektir (deneyimlemek isteyeceğiniz bir şey değil, bize güvenin).
IP Beyaz Listesi
Belirli bir siteye, IP adresine veya ağa erişimi engellediğinizde kara listeye almayı duymuş olabilirsiniz.
Beyaz liste tam tersidir - belirli bilgilere, sitelere ve bizim durumumuzda Magento yönetici paneline yalnızca güvenilir IP adreslerine erişime izin verir.
4. Adım: Kullanıcı Rollerini Ayarlayın
Magento, yöneticiler için erişimi kısıtlamak için seçenekler içerir. Başka bir deyişle, bir site yöneticisinin gördüklerini sınırlamak için izinler oluşturabilir ve onlara sınırlı erişim verebilirsiniz.
Yönetici kenar çubuğuna giderek kullanıcı rolleri ayarlayabilirsiniz. Tıklamak sistemaltında izinler, seçmek Kullanıcı Rolleri. Sağ üst köşede, tıklayın Yeni Rol Ekle.
bir atadıktan sonra Rol ismi ve şifrenizi girerek ayarlayabilirsiniz. Rol Kapsamı (aşağıdaki resme bakın).
Magento Commerce, yöneticiler tarafından gerçekleştirilen tüm eylemleri günlüğe kaydetmenize olanak tanır. Şuraya giderek Eylem günlüklerini açabilirsiniz: Mağazalar > Ayarlar > Yapılandırma. Sol panelde, Genişlet Gelişmiş Ve seç Yönetici. genişletmek Yönetici İşlemleri Günlüğü bölümüne gidin ve onay kutusunu seçin yönetici günlüğünü etkinleştir günlüğe kaydetmek istediğiniz her eylem için.
Adım #5: Captcha ve Google reCaptcha'yı yapılandırın
Magento'da her ikisini de ayarlayabilirsiniz. Captcha ve Google reCaptcha'sı yöneticiler ve müşteriler için. Her ikisi de sizi spam ve diğer otomatik kötüye kullanım türlerine karşı korur.
Captcha bir insan doğrulama testidir, yani muhtemelen görmek için gözlerini kısman gereken bulanık, dalgalı harfler ve sayılar.
Google reCaptcha'sı üstün bir insan doğrulama türüdür, yani “Ben Robot Değilim” onay kutusu.
Görünmez reCAPTCHA (Magento önerilir) — Bu, kullanıcının herhangi bir etkileşim olmadan otomatik olarak insan olduğunu doğrular. Kulağa sihir gibi geliyor, ancak Google bunu yapmanın bir yolunu bulmayı başardı.
Adım #6: İki Faktörlü Kimlik Doğrulama (2FA)
İki Faktörlü Kimlik Doğrulama veya kısaca 2FA, kullanıcıların doğrulama sürecinde ikinci bir adımı tamamlamasını sağlayarak bir kullanıcının kimliğini doğrulama yöntemidir. Magento 2FA yalnızca Yönetici kullanıcılar tarafından kullanılabilir ve müşteri hesaplarına genişletilmez.
Magento'da 2FA'yı şu şekilde yapılandırabilirsiniz:
Yönetici kenar çubuğunda şuraya gidin: Mağazalar > Ayarlar > Yapılandırma.
Sol panelde, Güvenliği genişletin ve 2FA'yı seçin.
Adım #7: Şifreleme Anahtarı
Magento'yu ilk çalıştırdığınızda, sistem otomatik olarak bir şifreleme anahtarı oluşturur. Bu anahtar, şifreleri ve kredi kartı bilgileri ve entegrasyon (ödeme ve kargo modülü) şifreleri gibi diğer hassas verileri korumak için kullanılır.
Magento, bu anahtarı her zaman güvenli ve gizli tutmanızı önerir. Bir veri ihlali yaşarsanız, herhangi birinin eski anahtarı kullanarak verilere erişmesini önlemek için yeni bir şifreleme anahtarı oluşturabilirsiniz.
Yapabilirsin yeni bir anahtar oluştur yönetici panelinde. Tekrar etmek gerekirse, bunu kendi başınıza yapmanızı önermiyoruz.
8. Adım: Parola Gereksinimleri
Magento en az yedi karakter gerektirir (hem harfler hem de sayılar). Biraz daha sağlam bir şey kullanmanızı öneririz - 10-12 karakterlik alfasayısal bir şifre.
Pro-ucu — Kendiniz bir parola düşünmeye çalışmayın. kullanmanızı öneririz LastPass rastgele bir şifre oluşturmak için.
Hesabınızın saldırıya uğramış olup olmadığına bakılmaksızın bir veri ihlali olduğundan şüpheleniyorsanız şifrelerinizi değiştirin ve şifrenizi yılda bir kez değiştirmeniz için bir hatırlatıcı ayarlayın.
Hem müşteriler hem de yöneticiler tarafından kullanılan parolalar için güvenlik düzeyini doğrudan yönetici arayüzünden ayarlayabilirsiniz.
Müşteriler için şifre seçenekleri
Yönetici kenar çubuğunda şuraya gidin: Mağazalar > Ayarlar > Yapılandırma.
Soldaki panelde, Müşterileri genişlet ve Müşteri Yapılandırması'nı seçin.
genişletmek Şifre Seçenekleri Bölüm.
Adım #9: PCI Uyumluluğu
Büyük kredi kartı şirketleri, tüccarların kritik güvenlik önlemleri almasını sağlamak için Ödeme Kartı Sektörü Veri Güvenliği Standardını (PCI DSS) oluşturdu. PCI gerekliliklerine uymayan satıcılar, ödemeleri işleme koyma yeteneklerini kaybetmeleriyle sonuçlanabilecek büyük para cezaları bekleyebilirler.
Magento, tüccarların PCI uyumlu olmasını kolaylaştırır — Magento Commerce Cloud, PCI sertifikalıdır ve Magento, entegre teklifler sunar ödeme ağ geçitleri PayPal, Authorize.Net ve kredi kartı bilgilerini güvenli bir şekilde ileten diğerleri gibi.
PCI-DSS için 12 Gereksinimler | |
Güvenli Bir Ağ Oluşturun ve Bakımını Yapın | Gereksinim 1: Kart sahibi verilerini korumak için bir güvenlik duvarı yapılandırması kurun ve sürdürün Gereksinim 2: Sistem parolaları ve diğer güvenlik parametreleri için satıcı tarafından sağlanan varsayılanları kullanmayın |
Kart Sahibi Verilerini Koruyun | Gereksinim 3: Saklanan kart sahibi verilerini koruyun Gereksinim 4: Kart sahibi verilerinin açık, genel ağlar üzerinden iletimini şifreleyin |
Bir Güvenlik Açığı Yönetim Programı Sürdürmek | Gereksinim 5: Anti-virüs yazılımı kullanın ve düzenli olarak güncelleyin Gereksinim 6: Güvenli sistemler ve uygulamalar geliştirin ve sürdürün |
Güçlü Erişim Kontrolü Önlemleri Uygulayın | Gereksinim 7: İşletmenin bilmesi gerekenlere göre kart sahibi verilerine erişimi kısıtlayın Gereksinim 8: Bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayın Gereklilik 9: Kart sahibi verilerine fiziksel erişimi kısıtlayın |
Ağları Düzenli Olarak İzleyin ve Test Edin | Gereksinim 10: Ağ kaynaklarına ve kart sahibi verilerine tüm erişimi izleyin ve izleyin Gereksinim 11: Güvenlik sistemlerini ve süreçlerini düzenli olarak test edin |
Bilgi Güvenliği Politikası Sürdürmek | Gereksinim 12: Bilgi güvenliğini ele alan bir politika sürdürün |
Önemli Not: KULLANMAYIN Kayıtlı Kredi Kartları Modülü bir Üretim ortamında!
Kayıtlı Kredi Kartları PCI uyumlu değil ve müşterilerinizin kredi kartı bilgilerini ifşa ediyor olabilirsiniz.
Adım #10: Güvenlik Uzantılarını Yükleyin
Yerel işlevsellik yeterli olmadığında, uzantılar kurtarmaya gelir. Magento, hem ücretli hem de ücretsiz olmak üzere zengin bir güvenlik uzantıları deposuna sahiptir. İşte deneyebileceğiniz birkaç tanesi:
Adım #11: Güvenlik Otomasyonu Çözümleri
Güvenlik otomasyonu, virüsten koruma taraması, izinsiz giriş algılama, yedekleme oluşturma, SSL sertifikalarını yenileme ve çok daha fazlası gibi güvenlikle ilgili görevleri otomatik olarak gerçekleştirme sürecidir.
IBM çığır açan bir keşif yaptı: otomatik güvenlik çözümlerine sahip olmayan kuruluşlar, tam olarak dağıtılmış otomasyona sahip kuruluşlardan %95 daha yüksek ihlal maliyetleri yaşadı.
Adım 12: Siber Sorumluluk Sigortası
Tıpkı diğer sigorta türleri gibi (araba, ev vb.) siber sigorta da işletmeleri siber saldırıların neden olduğu zararlardan korur. Özellikle siber sorumluluk,
- Çalışan hırsızlığı ve/veya veri sızıntılarının ardından veri ihlalleri.
- Üçüncü taraf bir hack veya başarısız yazılım yaması gibi siber iş kesintisi.
- Bilgisayar korsanlığının ardından veri ihlalleri.
- Güvenlik ihlaline yol açan hatalar ve ihmaller.
Adım 13: Bir Olay Müdahale Ekibi Oluşturun ve Planlayın
Eğer bir olay müdahale planınız yoksa (veya bunun ne olduğunu bilmiyorsanız) bir tane oluşturalım.
Kolaylaştırmak için aldık Talesh Seeparsan'ın Magento merkezli Olay Müdahale Planı Şablonu ve kendi kullanımınız için kopyalayabileceğiniz bir Google elektronik tablosu oluşturdu.
Şablonu kullanmak için ön koşullar:
- Aşağıda tanımlanan e-ticaret çözümünün her yönü için güvenlik olaylarıyla ilgilenmek üzere bir Olay Müdahale Ekibi (IRT) oluşturun. bu masa.
- Ağ trafiğini ve sistem performansını düzenli olarak izleyin ve analiz edin.
- İşletim sistemi olay günlükleri, uygulamaya özel günlükler ve izinsiz giriş algılama sistemi günlükleri dahil olmak üzere tüm günlükleri ve günlük mekanizmalarını düzenli olarak kontrol edin.
- Yedekleme ve geri yükleme prosedürlerinizi doğrulayın. Yedeklemelerin nerede tutulduğunu, bunlara kimlerin erişebileceğini ve veri geri yükleme ve sistem kurtarma prosedürlerinizin farkında olmalısınız. Verileri seçerek geri yükleyerek yedeklemeleri ve medyayı düzenli olarak doğruladığınızdan emin olun.
IBM bulundu IRT'si olan şirketler ve müdahale planlarının kapsamlı bir şekilde test edilmesi 1.2 milyon doların üzerinde tasarruf sağladı. Daha spesifik olarak, çalışma, IRT'nin birleşik etkisinin ve tatbikatlar ve simülasyonlar aracılığıyla olay müdahale planının test edilmesinin, ekiplerin herhangi bir tek güvenlik sürecinden daha hızlı yanıt vermesine ve daha fazla maliyet tasarrufu sağlamasına yardımcı olduğunu gösterdi.
Adım 14: Magento'yu Yamalı ve Güncel Tutun
Yamalı ve tamamen güncellenmiş bir Magento mağazasına sahip olmamanın hiçbir mazereti olamaz.
Bir Magento güvenlik düzeltme eki yüklemek için
- Bir şeyler ters gittiğinde veri kaybını önlemek için dosya sistemini, ortamı ve veritabanını yedekleyin.
- adresinden bir yama (diğer adıyla düzeltme) indirin. Magento güvenlik merkezi. Doğru yamayı indirmek için Magento sürümünüzü bilmeniz gerektiğini unutmayın.
- aracılığıyla bir yama uygulayın Magento Kalite Yama (MQP) paketi, komut satırı veya Besteci.
Sitenizi tarayın, yüklemeniz gereken yamaları belirleyin ve lütfen bilgisayar korsanlarının bir güvenlik açığından kolayca erişmesine izin vermeyin. Magento Güvenlik Uyarısı Kayıt Defterine kaydolun ve en son haberler ve bilgiler için zaman zaman Magento Güvenlik Merkezini ziyaret edin.
Kendinizi biraz beladan kurtarmak için şunları da yapabilirsiniz: bir Magento geliştiricisi işe alın. Bir düzeltme veya özel bir düzeltme eki olsun, hemen bir Magento güvenlik düzeltme eki kuracaklar.
Web Siteniz Hacklendiyse Ne Yapmalısınız?
Panik yapma. Bir veri ihlali veya bilgi ifşası varsa, bu bilgiyi geri almanın bir yolu yoktur. Önceliğiniz neyin açığa çıktığını belirlemek, kanıt toplamak ve verilerin sızmadığından emin olmak olmalıdır.
Olay Müdahale Planınızı takip edin:
- İlk değerlendirmeyi yapın
- Olayı iletin
- Hasarı kontrol altına alın ve riskleri en aza indirin
- Uzlaşmanın ciddiyetini belirleyin
- kanıtları koru
- Herhangi bir harici bildirimi iletin
- Olay kanıtlarını derleyin ve düzenleyin
Siber Saldırılarla Elojik Deneyim
Elogic geliştiricilerinin işlerinde nelerle karşılaştıklarını öğrenmek için etrafa sorduk ve kötü niyetli iki çılgın hikayeyi öğrendik.
Bitcoin Madenciliği Fiyaskosu
Elogic'teki en deneyimli tam yığın geliştiricilerimizden biri olan Andriy Biloshytskiy, birkaç yıl önce ilginç bir deneyim yaşadı. O sırada üzerinde çalıştığı projelerden birine çok garip bir şey oldu.
Sitede yakın zamanda herhangi bir güncelleme yapılmadı, sitenin çalışmaması dışında hiçbir şey değişmedi” diyor Andriy. "Öyleyse, üstünkörü bir araştırma yaptım ve hem tuhaf hem de eğlenceli bir şey buldum - kilitlenmeye neden olan, kapanış etiketi olmayan bir JavaScript kodu parçası vardı. Bir Google aramasından sonra, kötü amaçlı komut dosyasının mağazayı ziyaret eden kişilerin bilgi işlem gücünü sifonlamak için tasarlandığını buldum - Bitcoin madenciliği yapmak için.
– Andriy Biloshytskiy, Elogic Commerce'de Full-stack geliştiricisi
Fail (muhtemelen bir mağaza yöneticisi) asla yakalanmadı. Mağazanın yönetici günlükleri yoktu, bu yüzden kimin sorumlu olduğunu kesin olarak bilmenin bir yolu yoktu.
Beklenmeyen Virüs
Geliştiriciler projeler üzerinde çalışırken, yeni kodu test etmek ve yazmak için genellikle mağazayı iş bilgisayarlarında veya sunucularında klonlarlar. Bu hikaye, geliştiricilerimizden biri bir mağazayı klonladıktan sonra oldu, ancak hemen işe koyulmak yerine bir açılır pencere gördü.
Açılır pencere, virüsten koruma yazılımından gelen bir uyarıydı ve enfeksiyonun kaynağı, yeni yüklenen Magento örneğiydi. Geliştirici, bir çekirdek PHP dosyası olan virüslü dosyayı bulduktan sonra kötü amaçlı kodu sildi ve işine devam etti.
Hikayeden alınacak ders şudur: Saldırı hedeflenmiş, bir insan hatası veya bir sistem arızası/güvenlik açığı olsun, güvenlik standartlarını uygulayarak ve takip ederek ihlallerin önlenmesine yardımcı olabilirsiniz.
Magento Ticareti, Magento Açık Kaynaktan Daha Güvenli mi?
arasında seçim yaparken Magento 2 Ticaret vs Açık Kaynak, hangisinin daha güvenli olduğunu merak etmiş olabilirsiniz. Her iki Magento sürümünün de olağanüstü özellik setleri sağladığı doğru olsa da (tabii ki bir tüccarın iş gereksinimlerine bağlı olarak), Magento Commerce'in (aka Adobe Commerce) güvenliği için kefil olabiliriz.
İşte Magento Commerce ve Commerce Cloud'u kullanmanın beş önemli güvenlik avantajı.
PCI uyumluluğu
PCI uyumluluğu, Magento Açık Kaynak'ta listelenen bir özellik değildir, ancak Magento Commerce'dedir. Daha da iyisi, Magento Commerce Cloud, Seviye 1 Çözüm Sağlayıcı olarak PCI sertifikalıdır, bu nedenle tüccarlar, kendi PCI sertifika süreçlerine yardımcı olmak için Magento'nun PCI Uyumluluk Onayını kullanabilir.
Paylaşılan güvenlik sorumlulukları
Magento Commerce Cloud'un bir paylaşılan sorumluluk güvenlik modeli burada siz, Magento ve Amazon Web Services (türünün en iyisi bulut hizmetleri) operasyonel güvenlik sorumluluklarını paylaşırsınız. Özel kodu ve tüm özel uygulamaları test etmekten siz sorumlusunuz. Magento, platformun kendisinin güvenli olmasını sağlar ve Amazon, sunucular ve uyumluluk için fiziksel güvenlikle ilgilenir.
Eylem günlükleri
Magento Commerce, mağazanızda çalışan bir yönetici tarafından yapılan her değişikliğin (eylem) kaydını tutmanızı sağlar. Günlüğe kaydedilen bilgiler, kullanıcının adını, eylemi ve eylemin başarılı olup olmadığını içerir ve ayrıca IP adresini ve tarihini de günlüğe kaydeder.
Web Uygulaması Güvenlik Duvarı (WAF)
Tıpkı bir PC'deki güvenlik duvarı gibi, WAF da bir dizi güvenlik kuralı kullanarak kötü niyetli trafiğin bir ağa girmesini engeller. Kuralları tetikleyen tüm trafik, sitenizde veya ağınızda kendisini serbest bırakmadan önce engellenir. Magento Commerce Cloud'un kullandığı Hızlı CDN WAF hizmetleri için.
İçerik Dağıtım Ağı (CDN) ve DDoS Koruması
Magento Commerce Cloud ayrıca Katman 3, 4 ve 7 DDoS azaltmayı içeren DDoS koruması gibi ek güvenlik özellikleri için Fastly CDN'yi kullanır.
Çıkarımlar — Magento Güvenlik İpuçları ve En İyi Uygulamalar
Site güvenliği ve daha geniş anlamda siber güvenlik, ana önceliklerinizden biri olmalıdır. Yalnızca bir blog veya kişisel sayfa çalıştırmıyorsunuz, adlar, adresler, telefon numaraları ve kredi kartı bilgileri dahil olmak üzere gizli bilgileri korumaktan siz sorumlusunuz.
Unutmayın:
- Tamamen yamalı ve güncellenmiş bir site bile saldırıya uğrayabilir. Örneğin, zayıf bir yönetici parolası kaba kuvvetle uygulanabilir ve bilgisayar korsanları doğrudan içeri girip istedikleri her şeyi toplayabilir. Bu nedenle Magento güvenlik kontrollerini düzenli olarak gerçekleştirin.
- Yeni güvenlik açıklarını veya sıfırıncı gün açıklarını (bir zayıflığın keşfedildiği gün gerçekleşen bir siber saldırı) hesaba katamazsınız. Ancak, güçlü bir olay müdahale planı bir adım önde olmanıza yardımcı olabilir.
- "Bir gram önlem, bir kilo tedaviye bedeldir." Ben Franklin haklıydı. Mağazanızı güvenliği göz önünde bulundurarak yapılandırdıysanız, ana hatlarıyla belirttiğimiz siber güvenlik iş akışına bağlı kaldıysanız ve mağazanızı kurşun geçirmez hale getirdiyseniz, kendinize tonlarca zaman ve kalp ağrısından tasarruf edebilirsiniz.
- Güvenlikten ödün vermeyin, aksi takdirde güvenlik eksikliğiniz sizi tehlikeye atar.
Magento Güvenliği SSS
Magento Güvenli mi?
Magento 1 fiyaskosundan sonra Adobe, Magento 2'yi yeni güvenlik seviyelerine yükseltti. Magento e-ticaret mimarisi, Web Uygulaması Güvenlik Duvarı (WAF), ekstra DDoS koruması için Fastly CDN ve verileri şifrelemek için karma sayesinde son derece güvenli bir ortam sağlamak üzere tasarlanmıştır. Güvenlik yamaları her üç ayda bir yayınlanır ve Magento Güvenlik Tarayıcısı mevcuttur. Satıcılar ayrıca müşterilerini korumak için SSL sertifikaları, CAPTCHA, iki faktörlü kimlik doğrulama ve diğer Magento güvenlik en iyi uygulamalarını kullanabilir.
Bu nedenle Magento'nun e-ticaret pazarında sunulanlar arasında en güvenli platformlardan biri olduğunu söylemek yanlış olmaz.
Magento Sitesinin Güvenliği Nasıl Sağlanır?
Magento'yu güvence altına almak için en iyi uygulamalardan bazıları şunlardır:
- İster otomatik bir Magento kötü amaçlı yazılım tarama aracıyla ister bir Magento uzmanının yardımıyla olsun, Magento güvenliğinin düzenli denetimlerini sağlayın.
- Şifreli bağlantılar (SSL/HTTPS) kullanın.
- İki faktörlü kimlik doğrulamayı etkinleştirin.
- Web sitenizi düzenli olarak yedekleyin.
- Güvenilir barındırma sağlayıcıları seçin
- Yerel Magento güvenlik özelliklerinden yararlanın ve gerektiğinde güvenlik uzantılarını yükleyin.
- Siber acil durum için eylem planınızı hazırlayın.
Yukarıdaki eksiksiz bir Magento güvenlik kontrol listesine bakın.
Magento PCI Uyumlu mu?
Magento PCI uyumluluğu, sürümüne bağlıdır:
Magento Açık Kaynak PCI uyumlu değildir, bu nedenle işlemi yapmak için sizi başka bir siteye yönlendiren bir üçüncü taraf ödeme yöntemini (PayPal, Authorize.net gibi) veya SaaS PCI uyumlu bir ödeme yöntemini (CRE Secure) benimsemeniz gerekir.
Magento Ticaret ve Ticaret Bulutu Seviye 1 Çözüm Sağlayıcı olarak PCI sertifikalıdır.
Kaynak: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- erişim
- Hesap
- Action
- faaliyetler
- Ek
- Gizem
- kerpiç
- avantaj
- savunucu
- algoritma
- Türkiye
- Izin
- Amazon
- Amazon Web Servisleri
- arasında
- açıkladı
- antivirüs
- Uygulama
- uygulamaları
- mimari
- etrafında
- saldırılar
- Doğrulama
- Otomatik
- Otomasyon
- yedek
- yedekleme
- İYİ
- en iyi uygulamalar
- Biggest
- Bit
- Bitcoin
- Bitcoin madenciliği
- Blog
- botlar
- ihlal
- ihlalleri
- böcek
- iş
- işletmeler
- Kampanya
- araba
- hangi
- yakalandı
- neden
- sertifikalar
- belgeleme
- değişiklik
- ücret
- Çekler
- bulut
- bulut hizmetleri
- kod
- kodlama
- ticaret
- topluluk
- Şirketler
- uyma
- bilgisayar
- işlem gücü
- Bağlantılar
- maliyetler
- Crash
- Oluşturma
- kredi
- kredi kartı
- Kredi kartları
- kür
- Müşteriler
- Siber
- Siber saldırı
- cyberattacks
- Siber güvenlik
- veri
- veri ihlali
- Veri Kaybı
- veri güvenliği
- veritabanı
- gün
- DDoS
- anlaşma
- teslim
- Bulma
- geliştirmek
- Geliştirici
- geliştiriciler
- gelişme
- Cihaz
- DID
- keşfetti
- keşif
- hüküm
- e-ticaret
- e-ticaret
- çalışanların
- şifreleme
- Mühendisler
- çevre
- vb
- Etkinlikler
- Genişletmek
- deneyim
- uzmanlara göre
- uzantıları
- Özellikler(Hazırlık aşamasında)
- Özellikler
- mali
- finansal Veri
- Ateş
- Ad
- sabit
- iskelet
- Ücretsiz
- tam
- gelecek
- gif
- Altın
- Tercih Etmenizin
- Google Arama
- harika
- rehberlik
- kesmek
- hackerlar
- hack
- kullanma
- karma
- okuyun
- kiralama
- Ana Sayfa
- hosting
- Ne kadar
- Nasıl Yapılır
- HTTPS
- Fikir
- belirlemek
- Kimlik
- görüntü
- darbe
- olay yanıtı
- Dahil olmak üzere
- sanayi
- enfeksiyon
- bilgi
- bilgi
- bilgi Güvenliği
- Altyapı
- sigorta
- bütünleşme
- niyet
- etkileşim
- saldırı tespit
- soruşturma
- ilgili
- IP
- IP Adresi
- sorunlar
- IT
- JavaScript
- İş
- koruma
- anahtar
- büyük
- son
- En Yeni Haberler
- önemli
- Kaçaklar
- ÖĞRENİN
- öğrendim
- seviye
- yükümlülük
- Sınırlı
- çizgi
- büyük
- Yapımı
- kötü amaçlı yazılım
- yönetim
- pazar
- Pazarlama
- çarşı
- medya
- Tüccar
- Tüccarlar
- Madencilik
- isimleri
- net
- ağ
- ağ trafiği
- haber
- sayılar
- teklif
- Teklifler
- resmi
- Onboarding
- Online
- açık
- açık kaynak
- açılır
- işletme
- işletim sistemi
- Operasyon
- Opsiyonlar
- Diğer
- Diğer
- Panik
- Şifre
- şifreleri
- Patch
- Yamalar
- ödeme
- ödemeler
- PayPal
- PC
- PCI DSS
- İnsanlar
- performans
- kişisel bilgi
- personel
- Kimlik avı
- kimlik avı saldırıları
- fiziksel
- Fiziksel Güvenlik
- platform
- Platformlar
- fişe takmak
- politika
- güç kelimesini seçerim
- Önleme
- gizlilik
- PLATFORM
- üretim
- Projeler
- korumak
- koruma
- halka açık
- kalite
- kurtarma
- Raporlar
- Yer Alan Kurallar
- kaynak
- Kaynaklar
- yanıt
- Sonuçlar
- yorum
- Yorumları
- kurallar
- koşmak
- koşu
- SaaS
- güvenli
- taramak
- tarama
- Ara
- güvenlik
- güvenlik sistemi
- güvenlik güncelleştirmeleri
- Gördükleri
- Hizmetler
- set
- paylaş
- Kabuk
- Kargo
- kısa
- Basit
- Yer
- So
- Yazılım
- Çözümler
- Spam
- Tablo
- standartlar
- başladı
- kalmak
- hafızası
- mağaza
- mağaza
- hikayeler
- Ders çalışma
- gönderilen
- başarılı
- destekli
- Destekler
- sistem
- Sistemler
- Hedef
- Teknik
- test
- Test yapmak
- Gelecek
- Projeler
- Kaynak
- hırsızlık
- tehditler
- zaman
- ipuçları
- Ton
- iz
- trafik
- işlem
- Güven
- Güncelleme
- Güncellemeler
- URI
- us
- usb
- kullanıcılar
- Doğrulama
- virüsler
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- ağ
- web hizmetleri
- Web sitesi
- web siteleri
- haftalık
- Nedir
- DSÖ
- WordPress
- sözler
- İş
- iş akışı
- çalışır
- değer
- X
- XSS
- yıl
- yıl