Посібник із безпеки Magento: Як захистити свій веб -сайт від хакерів
September 14, 2020, came to be the day of doom for many Magento merchants. Over 2,800 Magento 1 stores were зламаний щоб викрасти дані кредитної картки в рамках найбільшої задокументованої кампанії на сьогоднішній день.
It’s not unusual for hackers to wreak havoc across ecommerce websites. Computer malware, viruses, worms, trojans, and many other ecommerce frauds… у мережі витає багато неприємних речей. Завжди знайдеться хтось, хто намагатиметься скористатися перевагами вразливої системи або отримати незаконний доступ зі зловмисними намірами.
Якщо ви не хочете стати частиною наступного порушення безпеки Magento, цей посібник для вас. Читайте далі, щоб дізнатися про основні вразливості безпеки Magento та способи їх запобігання, щоб ваші дані та дані ваших клієнтів були в безпеці.
По-перше, у чому проблема безпеки Magento 1?
The prime problem of Magento 1 is that it is no longer supported. As of June 20, 2020, Adobe announced the end-of-life for its Magento 1 product, thus, making the platform edition obsolete and vulnerable to cyberattacks.
There you have the reason for a MageCart attack mentioned earlier. Outdated Magento stores remain attractive targets for those determined to steal personal and financial data from online customers.
Хакери можуть легко сканувати застарілі версії Magento та використовувати автоматичних ботів для доступу до них, завантажувати сценарії оболонки та встановлювати зловмисне програмне забезпечення для сканування карток. Кінцеві користувачі не можуть помітити скиммінгу карток, тому оператори веб-сайтів зобов’язані оновити свої системи до останньої версії Magento. На цьому етапі будь-який веб-сайт, який використовує Magento 1.x, слід вважати скомпрометованим.
— Paul Bischoff, a privacy advocate with Comparitech.
Ось чому захист магазину Magento має бути пріоритетом №1 для торговців. Magento 1 не безпечний і ніколи ним не буде. Але Magento 2 збереже вас у надійних руках.
Отримані уроки та реалізовані в Magento 2 Security
If you’re bitten by a tick, removing yourself won’t stop the infection. The same happened with Magento. After the critical vulnerability was found in Magento, an upgrade was necessary. So Adobe revamped the whole system to eliminate Magento security issues and protect their merchants from similar attacks in the future.
Ось функції безпеки Magento, які Adobe представила після завершення терміну служби Magento 1.
Enhanced Password Management
Magento 1 використовує слабшу систему хешування паролів (односторонній процес перетворення рядка символів у так званий хешований пароль). Щоб усунути цю вразливість Magento, Magento 2 підтримує Argon2ID13, сильніший алгоритм хешування, ніж попередній золотий стандарт — SHA-256.
Покращена профілактика атак XSS
Magento запровадив нові правила для запобігання атакам міжсайтових сценаріїв (XSS), зробивши екрановані дані типовими.
XSS-атаки – це тип ін’єкції зловмисного сценарію, який використовується для фішингових атак, реєстрації натискань клавіш та інших несанкціонованих дій.
Гнучкіші права власності та дозволи на файлову систему
Починаючи з версії 2.0.6, Magento дозволяє користувачам встановити права доступу до файлових систем. Рекомендується, щоб певні файли та каталоги були доступними лише для запису в середовищі розробки та лише для читання у робочому середовищі.
Покращено запобігання користуванню кліками
Magento захищає ваш магазин від атак клікджекінгів за допомогою заголовка HTTP-запиту X-Frame-Options. Щоб отримати додаткові відомості, перегляньте заголовок X-Frame-Options.
Ключ шифрування, що автоматично генерується
Magento використовує ключ шифрування для захисту паролів і конфіденційних даних. Наразі Magento 2 використовує алгоритм AES-256, і ви можете вибрати генерацію випадкового ключа в будь-який час через панель адміністратора.
Використання нестандартної URL-адреси адміністратора Magento
Хакери використовують автоматичних ботів для вгадування паролів, щоб отримати особисті дані покупців і доступ продавців до бек-офісних операцій. Щоб запобігти такому типу атак, Magento за замовчуванням створює випадковий URI адміністратора під час встановлення продукту.
Послідовні виправлення та оновлення безпеки Magento 2
The biggest reason why Magento 2 security trumps Magento 1 is regular updates. Adobe’s final Magento 1 security patch was released on June 22, 2020. Meanwhile, Magento 2 merchant get their security patches every quarter in an official Бюлетень безпеки Adobe.
Як Magento Як Magento мінімізує вплив вразливостей
In addition to the new architecture and security framework of Magento 2, there are processes in place to minimize the impact of vulnerabilities.
Вони включають в себе:
- Програма Баунті помилка — Developers are rewarded bounties of up to $10,000 for bugs found in Magento. This is a great way to get the community involved in Magento security.
- Центр безпеки Magento — New security updates, patches, best practices, and much more can be found on this resource. Whether you need more information about a patch or need instructions to install patches/updates, this is the place to go.
- Security Alert Registry — Команда Magento реагує на вразливості та надає виправлення та оновлення для захисту магазинів від загроз. Підпишіться на реєстр сповіщень безпеки, щоб отримувати електронні листи щоразу, коли з’являться нові випуски безпеки.
- Код стандартів якості — Команда розробників ядра Magento використовує Magento Coding Standard і рекомендує розробникам, які створюють розширення та налаштування Magento, також використовувати цей стандарт.
- Програма розширення якості — Усі розширення, подані на Magento Marketplace, проходять багатоетапний процес перевірки: технічний і маркетинговий огляди. Якщо жодне з перевірок не пройдено, розширення не буде опубліковано.
Контрольний список безпеки Magento: які стандарти безпеки мають бути встановлені, щоб переконатися, що мій сайт безпечний?
Немає такого поняття, як сайт, який неможливо зламати. Навіть якщо ви наймете найкращих розробників, інженерів та експертів із безпеки, все одно існує ймовірність бути зламаним.
Отже, наша рекомендація полягає в тому, щоб забезпечити суворий робочий процес безпеки для адаптації та повсякденної діяльності.
Ось способи захисту Magento:
- Включіть методи безпеки в процес реєстрації
Although this may seem self-explanatory, it’s often overlooked by both internal and external teams. Make sure new store employees, outstaffed employees, and everyone in-between goes through security onboarding. We recommend the CISO’s New Hire Onboarding Checklist. - Забезпечте суворі права доступу
Частиною процесу адаптації є визначення того, які права доступу знадобляться працівнику для виконання його роботи. Забезпечення прав доступу до інформації є важливим, і ми також рекомендуємо перевіряти права доступу, щоб переконатися, що за вашою спиною не порушуються правила. Ти можеш налаштуйте ролі користувача в Magento за допомогою цього посібника. - Переконайтеся, що ви відповідаєте галузевим стандартам
Це як з технічної, так і з комерційної точки зору. Ваш сайт і весь код, який на ньому використовується, мають відповідати стандартам кодування PHP, стандартам тестування та бути сумісними з PCI. У наступному розділі ми покажемо вам практичний контрольний список, щоб ви могли стати сумісними з PCI. - Майте надлишкову інфраструктуру для відновлення після відмови
Так, ми розуміємо, що ви не експерт із безпеки, але вам потрібно запитати в тих, хто відповідає за безпеку, чи є у них план резервного копіювання (який має охоплювати те, що ви створюєте резервні копії, як часто ви створюєте резервні копії та коли слід використовувати резервні копії). Важливе зауваження: резервне копіювання має бути автоматизованим. - Secure third-party components (modules, services, extensions, applications)
Як і Magento Security Best Practices скажімо, переконайтеся, що всі програми, запущені на вашому сервері, безпечні. Уникайте запуску таких програм, як WordPress, на тому самому сервері, що й Magento, оскільки вразливість в одній із цих програм потенційно може викрити інформацію з Magento. Само собою зрозуміло, що ви ніколи не повинні встановлювати розширення з ненадійних джерел (наприклад, торрент-сайтів). - Захистіть свої дані
a. Infrastructure segregation
⇨ Це відповідає захисту сторонніх компонентів. За жодних обставин не можна запускати середовища розробки, проміжки та виробництва на одному екземплярі сервера.b. Обмежений доступ
⇨ Ще один момент, якого ми торкнулися: права доступу поширюються на розробників та інший ІТ-персонал. Ні за яких обставин кожен член команди не повинен мати повних прав адміністратора.в. Захист персональних даних
⇨ Хоча це може здатися очевидним, частина процесу адаптації має включати не залучення USB-накопичувачів та інших пристроїв зберігання для роботи. Також пам’ятайте, що не натискайте підозрілі посилання та не відкривайте підозрілі електронні листи. Ніколи нікому не повідомляйте свій пароль (особливо пароль адміністратора Magento).
Отже, покінчивши з нудними речами, давайте приступимо до куленепробивності вашого магазину Magento!
Bulletproof Magento Security: Як захистити сайт Magento за 14 кроків
Step #1: Security Audit
У безпеці Magento є багато рухомих частин. Жоден розробник, архітектор, менеджер чи інші ролі не розуміють. Безпека Magento має багато рухомих частин. Без розробника, архітектор рішення, менеджер або інші ролі розуміють ризики безпеки так само добре, як кваліфікований експерт із безпеки. Ось чому перший крок – це прочесати ваш сайт експертом. Бажано робити це принаймні раз на рік, щоб бути в безпеці.
Step #2: Automated Security Scan
Чудові новини: вам не потрібно звертатися до третьої сторони кожного разу, коли ви хочете запустити сканування. Magento пропонує сканування безпеки безкоштовно.
Magento Security Scan дозволяє відстежувати всі ваші веб-сайти (якщо у вас більше одного) на наявність можливих ризиків і виділяє потрібні виправлення й оновлення. Встановіть розклад (Magento рекомендує сканувати щотижня) і отримуйте звіти та виправні дії для кожного невдалого тесту. Щоб почати, перевірте це керівництво.
Існують також безкоштовні інструменти сканування, наприклад MageReport, але він не такий глибокий, як інструмент Magento, і не пропонує автоматичного або запланованого сканування.
Step #3: Magento Admin Security
Magento рекомендує багаторівневий підхід захист вашого облікового запису адміністратора(и).
Ви можете:
- Встановіть рівень безпеки для паролів
- Встановіть кількість спроб входу
- Налаштувати тривалість бездіяльності клавіатури до закінчення сеансу
- Вимагати введення імен користувачів і паролів з урахуванням регістру
Admin passwords
Параметри пароля для адміністраторів
On the Admin sidebar, go to Магазини > Налаштування > Конфігурація.
На лівій панелі під Advanced, виберіть Адміністратор.
Розгорнути Безпека .
Змінити URL-адресу адміністратора за умовчанням
Було б гарною ідеєю змінити URL-адресу адміністратора за замовчуванням на іншу, щоб зробити її менш мішенню для хакерів.
Основна URL-адреса за замовчуванням: http://yourdomain.com/magento/
URL-адреса та шлях адміністратора за умовчанням: http://yourdomain.com/magento/admin
Є простий спосіб змінити URL адміністратора доступний на панелі адміністратора, але майте на увазі, що будь-які помилки зроблять ваш сайт недоступним для всіх адміністраторів, і єдиний спосіб виправити це — редагування файлів конфігурації сервера (не те, що ви хочете відчути, повірте нам).
Білий список IP
Можливо, ви чули про чорний список — коли ви блокуєте доступ до певного сайту, IP-адреси чи мережі.
Білі списки є протилежним — надання доступу до певної інформації, сайтів і, в нашому випадку, панелі адміністратора Magento, лише надійним IP-адресам.
Крок №4: Установіть ролі користувача
Magento включає параметри обмеження доступу для адміністраторів. Іншими словами, ви можете створити дозволи, щоб обмежити те, що бачить адміністратор сайту, і надати йому обмежений доступ.
You can set up user roles by going to the Admin sidebar. Click SYSTEM, під Дозволи, вибирати ролі користувачів. Натисніть у верхньому правому куті Додати нову роль.
Після призначення a Назва ролі і ввівши свій пароль, ви можете налаштувати Обсяг ролі (див. зображення нижче).
Magento Commerce дозволяє реєструвати будь-які дії, які виконуються адміністраторами. Ви можете ввімкнути журнали дій, перейшовши до Магазини > Налаштування > Конфігурація. На лівій панелі розгорніть Додатково І вибирай Адміністратор. Розгорнути Журнал дій адміністратора і встановіть прапорець увімкнути журнал адміністратора для кожної дії, яку ви хочете зареєструвати.
Крок №5: Налаштуйте Captcha та Google reCaptcha
У Magento ви можете налаштувати обидва Ви робот? та Google reCaptcha для адміністраторів і клієнтів. Обидва захищають вас від спаму та інших типів автоматизованих зловживань.
Ви робот? це тест перевірки на людину, тобто розмиті, звивисті літери та цифри, які вам, ймовірно, доводилося жмуритися, щоб побачити.
Google reCaptcha is a superior type of human validation i.e. the “I Am Not A Robot” checkbox.
Invisible reCAPTCHA (рекомендується Magento) — який перевіряє, що користувач є людиною автоматично, без жодної взаємодії. Звучить як магія, але Google вдалося знайти спосіб це зробити.
Step #6: Two-Factor Authentication (2FA)
Двофакторна автентифікація, або скорочено 2FA, — це метод підтвердження особи користувача шляхом виконання другого етапу процесу перевірки. Magento 2FA is only available for Admin users and is not extended to customer accounts.
Ось як ви можете налаштувати 2FA в Magento:
On the Admin sidebar, go to Магазини > Налаштування > Конфігурація.
На лівій панелі розгорніть Безпека та виберіть 2FA.
Крок №7: Ключ шифрування
When you first fire up Magento, the system automatically generates an encryption key. This key is used to protect passwords and other sensitive data like credit card info and integration (payment and shipping module) passwords.
Magento recommends keeping this key safe and hidden at all times. If you experience a data breach, you can create a new encryption key to prevent anyone from accessing data using the old key.
Ти можеш створити новий ключ в панелі адміністратора. Повторюємо, ми не рекомендуємо робити це самостійно.
SКрок №8: Вимоги до пароля
Magento вимагає щонайменше семи символів (як букв, так і цифр). Ми рекомендуємо використовувати щось більш надійне — буквено-цифровий пароль із 10-12 символів.
Про-підказка — Don’t try to think of a password yourself. We recommend using LastPass для випадкового генерування пароля.
Change your passwords if you suspect there’s a data breach, regardless of whether or not your account was hacked, and set a reminder to change your password once a year.
Ви можете встановити рівень безпеки для паролів, які використовуються як клієнтами, так і адміністраторами, безпосередньо в інтерфейсі адміністратора
On the Admin sidebar, go to Магазини > Налаштування > Конфігурація.
На панелі зліва розширення клієнтів та виберіть Конфігурація клієнта.
Розгорнути Параметри пароля .
Крок №9: Відповідність PCI
The major credit card companies created the Payment Card Industry Data Security Standard (PCI DSS) to make sure merchants adopt critical security measures. Продавці, які не дотримуються вимог PCI, можуть очікувати великі штрафи, що також може призвести до втрати здатності обробляти платежі.
Magento makes it easier for merchants to become PCI compliant — Magento Commerce Cloud is PCI-certified and Magento offers integrated шлюзи платежів наприклад PayPal, Authorize.Net та інші, які безпечно передають інформацію про кредитну картку.
12 Вимоги до PCI-DSS | |
Створіть і підтримуйте безпечну мережу | Вимога 1. Встановіть та підтримуйте конфігурацію брандмауера для захисту даних власника картки Вимога 2: не використовуйте стандартні параметри, надані постачальником, для системних паролів та інших параметрів безпеки |
Захистіть дані власника картки | Вимога 3: Захистіть збережені дані власника картки Requirement 4: Encrypt transmission of cardholder data across open, public networks |
Підтримуйте програму керування вразливістю | Requirement 5: Use and regularly update anti-virus software Вимога 6: Розробка та підтримка безпечних систем і програм |
Implement Strong Access Control Measures | Вимога 7: обмежте доступ до даних власника картки за принципом «ділова потреба». Вимога 8: Призначте унікальний ідентифікатор кожній особі, яка має доступ до комп’ютера Вимога 9: обмежте фізичний доступ до даних власника картки |
Regularly Monitor and Test Networks | Requirement 10: Track and monitor all access to network resources and cardholder data Вимога 11: Регулярно перевіряйте системи та процеси безпеки |
Дотримуватися політики інформаційної безпеки | Requirement 12: Maintain a policy that addresses information security |
Важлива примітка: НЕ ВИКОРИСТОВУЙТЕ Saved Credit Cards Module у середовищі виробництва!
Збережена кредитна картка не сумісна з PCI і ви можете розкрити інформацію про кредитну картку своїх клієнтів.
Step #10: Install Security Extensions
Коли рідного функціоналу недостатньо, на допомогу приходять розширення. Magento має багате сховище розширень безпеки — як платних, так і безкоштовних. Ось декілька, які ви можете спробувати:
Step #11: Security Automation Solutions
Автоматизація безпеки — це процес автоматичного виконання пов’язаних із безпекою завдань, таких як антивірусне сканування, виявлення вторгнень, створення резервних копій, оновлення сертифікатів SSL тощо.
IBM зробив новаторське відкриття: organizations without automated security solutions experienced breach costs that were 95% higher than organizations with fully-deployed automation.
Крок №12: Страхування кібервідповідальності
Just like any other type of insurance (car, home, etc.) cyber insurance protects businesses from damages caused by cyberattacks. In particular, cyber liability covers
- Порушення даних після крадіжки співробітників та/або витоку даних.
- Переривання кібер-бізнесу, як-от злом третьої сторони або невдалий патч програмного забезпечення.
- Порушення даних після злому.
- Помилки та упущення, що призводять до порушення безпеки.
Крок №13: Створіть групу реагування на інциденти та сплануйте її
Якщо у вас немає плану реагування на інцидент (або ви не знаєте, що це таке), давайте його створимо.
Щоб було легше, ми взяли Талеша Сіпарсана Орієнтований на Magento шаблон плану реагування на інциденти та створили електронну таблицю Google, яку ви можете скопіювати для власного використання.
Необхідні умови для використання шаблону:
- Створіть групу реагування на інциденти (IRT) для вирішення інцидентів безпеки для кожного аспекту рішення електронної комерції, визначеного в цей стіл.
- Регулярно відстежуйте й аналізуйте мережевий трафік і продуктивність системи.
- Routinely check all logs and logging mechanisms, including operating system event logs, application-specific logs, and intrusion detection system logs.
- Перевірте процедури резервного копіювання та відновлення. Ви повинні знати, де зберігаються резервні копії, хто має до них доступ, а також ваші процедури відновлення даних і відновлення системи. Переконайтеся, що ви регулярно перевіряєте резервні копії та носії, вибірково відновлюючи дані.
IBM знайшов це companies with an IRT і широке тестування їхніх планів реагування заощадив понад 1.2 мільйона доларів. Зокрема, дослідження показало, що комбінований ефект IRT і тестування плану реагування на інциденти за допомогою тренувань і симуляцій допоміг командам реагувати швидше та досягти більшої економії коштів, ніж будь-який окремий процес безпеки.
Крок №14: оновлюйте та оновлюйте Magento
Немає виправдань відсутності виправленого та повністю оновленого магазину Magento.
To install a Magento security patch, you should
- Зробіть резервну копію файлової системи, носія та бази даних, щоб запобігти втраті даних, якщо щось піде не так.
- Download a patch (aka hotfix) from Центр безпеки Magento. Майте на увазі, що вам потрібно знати вашу версію Magento, щоб завантажити правильний патч.
- Нанесіть пластир через Пакет Magento Quality Patch (MQP)., командний рядок або Composer.
Scan your site, identify any patches you need to install, and please, do not let hackers get easy access through a vulnerability. Sign up for the Magento Security Alert Registry and make a point to visit the Magento Security Center from time to time for the latest news and information.
Щоб уникнути проблем, ви також можете найняти розробника Magento. Вони миттєво встановлять патч безпеки Magento — чи то виправлення, чи спеціальний патч.
Що робити, якщо ваш веб-сайт зламали
Не панікуйте. Якщо відбулося порушення даних або розкриття інформації, неможливо повернути цю інформацію. Вашим пріоритетом має бути виявлення того, що було викрито, збір доказів і переконання, що дані не витікають.
Дотримуйтесь свого Плану реагування на інциденти:
- Make an initial assessment
- Повідомте про інцидент
- Зберігайте пошкодження та мінімізуйте ризики
- Визначте серйозність компромісу
- Збережіть докази
- Communicate any external notifications
- Зберіть і систематизуйте докази інциденту
Elogic Experience with Cyberattacks
Щоб дізнатися, з чим стикаються розробники Elogic у своїй роботі, ми розпитали та дізналися про дві дивні історії про зловмисні наміри.
Фіаско майнінгу біткойнів
One of our most experienced full-stack developers at Elogic, Andriy Biloshytskiy, had an interesting experience a few years ago. Something very strange happened to one of the projects he was working on at the time.
There were no recent updates on the site, nothing had changed, except the site wasn’t working,” Andriy says. “So, I did a cursory investigation and found something both odd and amusing — there was a piece of JavaScript code with no closing tags, which caused the crash. After a Google search, I found the malicious script was intended to siphon the computing power of people visiting the store — to mine Bitcoin.
– Андрій Білошицький, Full-stack developer Elogic Commerce
Зловмисник (можливо, адміністратор магазину) так і не був спійманий. У магазині не було журналів адміністратора, тому не було можливості точно знати, хто відповідальний.
Неочікуваний вірус
Коли розробники працюють над проектами, вони часто клонують сховище на своєму робочому ПК чи сервері, щоб протестувати та написати новий код. Ця історія сталася після того, як один із наших розробників клонував магазин, але замість того, щоб почати роботу, побачив спливаюче вікно.
The pop-up was a warning from his antivirus software, and the source of the infection was the freshly installed Magento instance. After locating the infected file, a core PHP file, the developer deleted the malicious code and went about his job.
Мораль цієї історії така: незалежно від того, чи є атака цілеспрямованою, людською помилкою чи системним збоєм/вразливістю, ви можете допомогти запобігти порушенням, запровадивши та дотримуючись стандартів безпеки.
Is Magento Commerce More Secure Than Magento Open Source?
Поки вибирав між Magento 2 Commerce проти Open Source, можливо, ви задавалися питанням, який із них безпечніший. Хоча це правда, що обидві версії Magento забезпечують чудові набори функцій (звичайно, залежно від бізнес-потреб продавця), ми можемо поручитися за безпеку Magento Commerce (також відомої як Adobe Commerce).
Here are five major security advantages to using Magento Commerce and Commerce Cloud.
Відповідність PCI
Відповідність PCI не є функцією, зазначеною в Magento Open Source, але вона є в Magento Commerce. Що ще краще, Magento Commerce Cloud має сертифікат PCI як постачальник рішень рівня 1, тож торговці можуть використовувати атестацію відповідності PCI від Magento, щоб допомогти власному процесу сертифікації PCI.
Спільна відповідальність за безпеку
Magento Commerce Cloud має a модель безпеки спільної відповідальності where you, Magento, and Amazon Web Services (best-of-breed cloud services) share the responsibilities for operational security. You’re responsible for testing custom code and any custom applications. Magento ensures the platform itself is secure, and Amazon takes care of physical security for servers and compliance.
Журнали дій
Magento Commerce дає вам можливість вести облік кожної зміни (дії), зробленої адміністратором, який працює у вашому магазині. Інформація, що реєструється, включає ім’я користувача, дію та чи успішна дія, а також реєструє IP-адресу та дату.
Брандмауер веб-додатків (WAF)
Так само, як брандмауер на ПК, WAF запобігає проникненню зловмисного трафіку в мережу за допомогою набору правил безпеки. Будь-який трафік, який запускає правила, блокується до того, як він розв’яжеться на вашому сайті чи в мережі. Magento Commerce Cloud використовує Швидко CDN для послуг WAF.
Мережа доставки вмісту (CDN) і захист від DDoS
Magento Commerce Cloud також використовує Fastly CDN для додаткових функцій безпеки, таких як захист від DDoS-атак, який включає пом’якшення рівня DDoS на рівнях 3, 4 і 7.
Висновки — поради та найкращі методи безпеки Magento
Безпека сайту та, ширше, кібербезпека має бути одним із ваших головних пріоритетів. Ви не просто ведете блог чи особисту сторінку, ви несете відповідальність за захист конфіденційної інформації, включаючи імена, адреси, номери телефонів і дані кредитної картки.
Пам'ятайте:
- Навіть повністю виправлений і оновлений сайт може бути зламаний. Наприклад, слабкий пароль адміністратора може бути застосований грубим шляхом, і хакери можуть увійти та зібрати все, що їм заманеться. Тому регулярно перевіряйте систему безпеки Magento.
- Ви не можете врахувати нові вразливості чи експлойти нульового дня (кібератака, яка відбувається в той самий день, коли виявлено слабке місце). Однак потужний план реагування на інциденти може допомогти вам бути на крок попереду.
- «Унція профілактики коштує фунта лікування». Бен Франклін мав рацію. Якщо ви налаштували свій магазин з урахуванням безпеки, дотримувались описаного нами робочого процесу кібербезпеки та захистили свій магазин від кулі, ви можете заощадити купу часу та душевного болю.
- Не йдіть на компроміс із безпекою, інакше відсутність безпеки скомпрометує вас.
Поширені запитання щодо безпеки Magento
Чи безпечний Magento?
Після фіаско Magento 1 компанія Adobe оновила Magento 2 до нових рівнів безпеки. Архітектура електронної комерції Magento створена для забезпечення надзвичайно безпечного середовища завдяки брандмауеру веб-застосунків (WAF), Fastly CDN для додаткового захисту від DDoS і хешування для шифрування даних. Виправлення безпеки випускаються щоквартально, доступний сканер безпеки Magento. Продавці можуть додатково використовувати сертифікати SSL, CAPTCHA, двофакторну автентифікацію та інші найкращі методи безпеки Magento для захисту своїх клієнтів.
Тому можна з упевненістю сказати, що Magento є однією з найбезпечніших платформ серед тих, що пропонуються на ринку електронної комерції.
Як захистити сайт Magento?
Деякі найкращі методи захисту Magento включають наступне:
- Проводьте регулярні аудити безпеки Magento — будь то за допомогою автоматичного інструменту сканування шкідливих програм Magento або за допомогою професіонала Magento.
- Використовуйте зашифровані з’єднання (SSL/HTTPS).
- Активуйте двофакторну аутентифікацію.
- Back up your website regularly.
- Вибирайте надійних хостинг-провайдерів
- Використовуйте вбудовані функції безпеки Magento та за потреби встановлюйте розширення безпеки.
- Складіть свій план дій на випадок кібернадзвичайної ситуації.
Перегляньте повний список безпеки Magento вище.
Чи відповідає Magento PCI?
Відповідність Magento PCI залежить від його версії:
Магенто з відкритим вихідним кодом is not PCI compliant, so you will have to adopt either a third-party payment method that redirects you to another site to make the transaction (like PayPal, Authorize.net) or a SaaS PCI compliant payment method (CRE Secure).
Magento Commerce і Commerce Cloud мають сертифікат PCI як постачальник рішень 1 рівня.
Джерело: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- доступ
- рахунки
- дію
- діяльності
- Додатковий
- адмін
- саман
- Перевага
- адвокат
- алгоритм
- ВСІ
- Дозволити
- Amazon
- Amazon Web Services
- серед
- оголошений
- антивірус
- додаток
- застосування
- архітектура
- навколо
- нападки
- Authentication
- Автоматизований
- Автоматизація
- резервна копія
- резервне копіювання
- КРАЩЕ
- передового досвіду
- найбільший
- Біт
- Біткойн
- Видобуток бікінів
- Блог
- боти
- порушення
- порушення
- помилки
- бізнес
- підприємства
- Кампанія
- автомобіль
- який
- спійманий
- викликаний
- сертифікати
- сертифікація
- зміна
- заряд
- Перевірки
- хмара
- хмарні сервіси
- код
- Кодування
- Торгівля
- співтовариство
- Компанії
- дотримання
- обчислення
- обчислювальна потужність
- Зв'язки
- витрати
- Крах
- створення
- кредит
- кредитна картка
- Кредитні карти
- лікування
- Клієнти
- кібер-
- атака Cyber
- кібератаки
- Кібербезпека
- дані
- Дані порушення
- втрати даних
- безпеку даних
- Database
- день
- DDoS
- угода
- доставка
- Виявлення
- розвивати
- Розробник
- розробників
- розробка
- прилади
- DID
- відкритий
- відкриття
- загибель
- e-commerce
- електронної комерції
- співробітників
- шифрування
- Інженери
- Навколишнє середовище
- і т.д.
- Event
- Розширювати
- досвід
- experts
- Розширення
- особливість
- риси
- фінансовий
- фінансові дані
- Пожежа
- Перший
- виправляти
- Рамки
- Безкоштовна
- Повний
- майбутнє
- GIF
- золото
- добре
- Google Пошук
- великий
- керівництво
- зламати
- хакери
- злом
- Обробка
- хешування
- тут
- прокат
- Головна
- хостинг
- Як
- How To
- HTTPS
- ідея
- ідентифікувати
- Особистість
- зображення
- Impact
- реагування на інциденти
- У тому числі
- промисловість
- інфекція
- інформація
- інформація
- інформаційна безпека
- Інфраструктура
- страхування
- інтеграція
- намір
- взаємодія
- виявлення вторгнень
- дослідження
- залучений
- IP
- IP-адреса
- питання
- IT
- JavaScript
- робота
- зберігання
- ключ
- великий
- останній
- Останні новини
- провідний
- Витоку
- УЧИТЬСЯ
- вчений
- рівень
- відповідальність
- обмеженою
- Лінія
- основний
- Робить
- шкідливих програм
- управління
- ринок
- Маркетинг
- ринку
- Медіа
- Купець
- Купці
- Mining
- Імена
- мережу
- мережу
- мережевий трафік
- новини
- номера
- пропонувати
- Пропозиції
- офіційний
- На борту
- онлайн
- відкрити
- з відкритим вихідним кодом
- Відкриється
- операційний
- операційна система
- операції
- Опції
- Інше
- інші
- Паніка
- Пароль
- Паролі
- пластир
- Патчі
- оплата
- платежі
- PayPal
- PC
- PCI DSS
- Люди
- продуктивність
- особисті дані
- Персонал
- phishing
- фішинг-атаки
- фізичний
- Фізична безпека
- платформа
- Платформи
- підключати
- політика
- влада
- Попередження
- недоторканність приватного життя
- Product
- Production
- проектів
- захист
- захист
- громадськість
- якість
- відновлення
- Звіти
- Вимога
- ресурс
- ресурси
- відповідь
- результати
- огляд
- Відгуки
- Правила
- прогін
- біг
- SaaS
- сейф
- сканування
- сканування
- Пошук
- безпеку
- системи безпеки
- оновлення безпеки
- бачить
- Послуги
- комплект
- Поділитись
- Склад
- Доставка
- Короткий
- простий
- сайти
- So
- Софтвер
- Рішення
- спам
- Електронна таблиця
- стандартів
- почалася
- залишатися
- зберігання
- зберігати
- магазинів
- історії
- Вивчення
- представлений
- успішний
- Підтриманий
- Опори
- система
- Systems
- Мета
- технічний
- тест
- Тестування
- Майбутнє
- Проекти
- Джерело
- крадіжка
- загрози
- час
- Поради
- Тон
- трек
- трафік
- угода
- Довіряйте
- Оновити
- Updates
- URI
- us
- USB
- користувачі
- перевірка
- віруси
- Уразливості
- вразливість
- Вразливий
- Web
- веб-сервіси
- веб-сайт
- веб-сайти
- тижні
- Що таке
- ВООЗ
- WordPress
- слова
- Work
- робочий
- працює
- вартість
- X
- XSS
- рік
- років