Hướng dẫn bảo mật Magento: Cách bảo mật trang web của bạn khỏi tin tặc
Ngày 14 tháng 2020 năm 2,800 đã trở thành ngày diệt vong đối với nhiều thương gia Magento. Hơn 1 cửa hàng Magento XNUMX đã hack để đánh cắp chi tiết thẻ tín dụng trong chiến dịch lớn nhất được ghi lại cho đến nay.
Không có gì lạ khi tin tặc tàn phá các trang web thương mại điện tử. Phần mềm độc hại máy tính, vi rút, sâu máy tính, trojan và nhiều thứ khác gian lận thương mại điện tử… có rất nhiều thứ khó chịu trôi nổi trên mạng. Sẽ luôn có ai đó cố gắng lợi dụng một hệ thống dễ bị tổn thương hoặc giành quyền truy cập bất hợp pháp với mục đích xấu.
Nếu bạn không muốn trở thành một phần của vi phạm bảo mật Magento tiếp theo, hướng dẫn này là dành cho bạn. Đọc tiếp để khám phá các lỗ hổng bảo mật chính của Magento và cách ngăn chặn chúng để dữ liệu của bạn và dữ liệu của khách hàng được an toàn.
Điều đầu tiên Trước tiên, Vấn đề với Bảo mật Magento 1 là gì?
Vấn đề chính của Magento 1 là nó không còn được hỗ trợ nữa. Kể từ ngày 20 tháng 2020 năm 1, Adobe đã thông báo về việc sản phẩm Magento XNUMX của mình sẽ hết hạn sử dụng, do đó, phiên bản nền tảng này đã trở nên lỗi thời và dễ bị tấn công mạng.
Ở đó bạn có lý do cho một cuộc tấn công MageCart đã đề cập trước đó. Các cửa hàng Magento lỗi thời vẫn là mục tiêu hấp dẫn đối với những kẻ quyết tâm đánh cắp dữ liệu cá nhân và tài chính từ khách hàng trực tuyến.
Tin tặc có thể dễ dàng quét các phiên bản Magento đã lỗi thời và sử dụng các bot tự động để truy cập chúng, tải lên các tập lệnh shell và cài đặt phần mềm độc hại đọc trộm thẻ. Người dùng cuối không thể phát hiện các cuộc tấn công đọc lướt thẻ, do đó, trách nhiệm thuộc về các nhà điều hành trang web cập nhật hệ thống của họ lên phiên bản Magento mới nhất. Tại thời điểm này, bất kỳ trang web nào sử dụng Magento 1.x đều được cho là đã bị xâm phạm.
— Paul Bischoff, một người ủng hộ quyền riêng tư với So sánh.
Đó là lý do tại sao việc bảo vệ cửa hàng Magento nên là ưu tiên số 1 đối với người bán. Magento 1 không an toàn và sẽ không bao giờ an toàn. Nhưng Magento 2 sẽ giữ bạn trong tay an toàn.
Bài học kinh nghiệm và triển khai trong bảo mật Magento 2
Nếu bạn bị bọ chét cắn, việc loại bỏ cơ thể sẽ không ngăn được sự lây nhiễm. Điều tương tự cũng xảy ra với Magento. Sau khi lỗ hổng nghiêm trọng được tìm thấy trong Magento, việc nâng cấp là cần thiết. Vì vậy, Adobe đã cải tiến toàn bộ hệ thống để loại bỏ các vấn đề bảo mật của Magento và bảo vệ người bán của họ khỏi các cuộc tấn công tương tự trong tương lai.
Dưới đây là các tính năng bảo mật của Magento mà Adobe đã giới thiệu sau khi Magento 1 kết thúc vòng đời.
Quản lý mật khẩu nâng cao
Magento 1 sử dụng hệ thống băm mật khẩu yếu hơn (quy trình một chiều biến chuỗi ký tự thành mật khẩu được gọi là mật khẩu băm). Để giải quyết lỗ hổng Magento này, Magento 2 hỗ trợ Argon2ID13, thuật toán băm mạnh hơn tiêu chuẩn vàng trước đó — SHA-256.
Cải thiện khả năng ngăn chặn các cuộc tấn công XSS
Magento đã triển khai các quy tắc mới để ngăn chặn các cuộc tấn công kịch bản chéo trang (XSS) bằng cách đặt dữ liệu thoát làm mặc định.
Các cuộc tấn công XSS là một kiểu tiêm tập lệnh độc hại được sử dụng trong các cuộc tấn công lừa đảo, ghi nhật ký thao tác gõ phím và các hoạt động trái phép khác.
Quyền sở hữu và quyền hệ thống tệp linh hoạt hơn
Bắt đầu từ phiên bản 2.0.6, Magento cho phép người dùng đặt quyền truy cập hệ thống tệp. Các khuyến nghị là một số tệp và thư mục nhất định ở chế độ chỉ ghi trong môi trường phát triển và chỉ đọc trong môi trường sản xuất.
Cải thiện ngăn chặn khai thác Clickjacking
Magento bảo vệ cửa hàng của bạn khỏi các cuộc tấn công clickjacking bằng cách sử dụng tiêu đề yêu cầu HTTP X-Frame-Options. Để biết thêm thông tin, hãy xem tiêu đề X-Frame-Options.
Khóa mã hóa tự động tạo
Magento sử dụng khóa mã hóa để bảo vệ mật khẩu và dữ liệu nhạy cảm. Hiện tại, Magento 2 sử dụng thuật toán AES-256 và bạn có thể chọn tạo khóa ngẫu nhiên bất kỳ lúc nào thông qua bảng quản trị.
Sử dụng URL quản trị Magento không mặc định
Tin tặc sử dụng bot đoán mật khẩu tự động để truy xuất dữ liệu cá nhân của người mua hàng và quyền truy cập của người bán vào các hoạt động tại văn phòng. Để ngăn chặn kiểu tấn công này, Magento theo mặc định sẽ tạo một URI quản trị viên ngẫu nhiên khi bạn cài đặt sản phẩm.
Các bản vá và cập nhật bảo mật Magento 2 nhất quán
Lý do lớn nhất khiến bảo mật Magento 2 vượt qua Magento 1 là các bản cập nhật thường xuyên. Bản vá bảo mật Magento 1 cuối cùng của Adobe đã được phát hành vào ngày 22 tháng 2020 năm 2. Trong khi đó, người bán Magento XNUMX sẽ nhận được các bản vá bảo mật của họ hàng quý theo thông báo chính thức. Bản tin bảo mật của Adobe.
Cách Magento Cách Magento giảm thiểu tác động của các lỗ hổng
Ngoài kiến trúc mới và khung bảo mật của Magento 2, còn có các quy trình để giảm thiểu tác động của các lỗ hổng.
Chúng bao gồm:
- Chương trình Bounty Bug — Các nhà phát triển được thưởng tiền thưởng lên tới 10,000 đô la cho các lỗi được tìm thấy trong Magento. Đây là một cách tuyệt vời để thu hút cộng đồng tham gia vào bảo mật Magento.
- Trung tâm bảo mật Magento — Bạn có thể tìm thấy các bản cập nhật bảo mật mới, bản vá lỗi, phương pháp hay nhất và nhiều nội dung khác trên tài nguyên này. Cho dù bạn cần thêm thông tin về bản vá hay cần hướng dẫn cài đặt bản vá/cập nhật, thì đây là nơi dành cho bạn.
- Sổ đăng ký cảnh báo bảo mật — Nhóm Magento ứng phó với các lỗ hổng và cung cấp các bản vá cũng như cập nhật để bảo vệ các cửa hàng trước các mối đe dọa. Đăng ký Đăng ký Cảnh báo Bảo mật để nhận email bất cứ khi nào có bản phát hành bảo mật mới.
- Tiêu chuẩn chất lượng mã — Nhóm phát triển lõi Magento sử dụng Tiêu chuẩn mã hóa Magento và khuyến nghị rằng các nhà phát triển tạo tiện ích mở rộng và tùy chỉnh Magento cũng sử dụng tiêu chuẩn này.
- Chương trình chất lượng mở rộng — Tất cả các tiện ích mở rộng được gửi tới Magento Marketplace đều trải qua quy trình xem xét gồm nhiều bước: đánh giá kỹ thuật và tiếp thị. Nếu một trong hai đánh giá không được thông qua, phần mở rộng sẽ không được phép xuất bản.
Danh sách kiểm tra bảo mật Magento: Nên áp dụng các tiêu chuẩn bảo mật nào để đảm bảo trang web của tôi an toàn?
Không có thứ gọi là một trang web không thể hack được. Ngay cả khi bạn thuê những nhà phát triển, kỹ sư và chuyên gia bảo mật giỏi nhất trong số những người giỏi nhất, thì vẫn có khả năng bị tấn công.
Vì vậy, khuyến nghị của chúng tôi là thực thi quy trình bảo mật nghiêm ngặt cho các hoạt động hàng ngày và giới thiệu.
Dưới đây là các cách bảo mật Magento:
- Bao gồm các biện pháp bảo mật trong quy trình giới thiệu của bạn
Mặc dù điều này có vẻ dễ hiểu, nhưng nó thường bị các nhóm bên trong và bên ngoài bỏ qua. Đảm bảo nhân viên mới của cửa hàng, nhân viên cũ và mọi người ở giữa đều trải qua quy trình bảo mật. Chúng tôi khuyên bạn nên Danh sách kiểm tra tuyển dụng mới của CISO. - Thực thi quyền truy cập nghiêm ngặt
Một phần của quy trình giới thiệu là tìm ra những quyền truy cập mà nhân viên sẽ cần để thực hiện công việc của họ. Thực thi quyền truy cập thông tin là rất quan trọng và chúng tôi cũng khuyên bạn nên thực hiện đánh giá quyền truy cập để đảm bảo không có quy tắc nào bị vi phạm sau lưng bạn. Bạn có thể thiết lập Vai trò người dùng trong Magento với hướng dẫn này. - Đảm bảo bạn tuân thủ các tiêu chuẩn ngành
Đây là cả kỹ thuật và kinh doanh khôn ngoan. Trang web của bạn và tất cả mã được sử dụng trong đó phải tuân thủ các tiêu chuẩn viết mã PHP, tiêu chuẩn thử nghiệm và luôn tuân thủ PCI. Chúng tôi sẽ hiển thị cho bạn một danh sách kiểm tra có thể thực hiện được trong phần tiếp theo để bạn có thể tuân thủ PCI. - Có cơ sở hạ tầng dự phòng chuyển đổi dự phòng
Có, chúng tôi hiểu rằng bạn không phải là chuyên gia bảo mật, nhưng bạn cần hỏi người chịu trách nhiệm về bảo mật xem họ có Kế hoạch sao lưu hay không (kế hoạch này bao gồm những gì bạn sao lưu, tần suất bạn sao lưu và thời điểm nên sử dụng các bản sao lưu). Lưu ý quan trọng: các bản sao lưu phải được tự động hóa. - Bảo mật các thành phần của bên thứ ba (mô-đun, dịch vụ, tiện ích mở rộng, ứng dụng)
Cũng giống như các Thực tiễn tốt nhất về bảo mật Magento giả sử, đảm bảo rằng tất cả các ứng dụng đang chạy trên máy chủ của bạn đều an toàn. Tránh chạy các ứng dụng như WordPress trên cùng một máy chủ với Magento, vì một lỗ hổng trong một trong những ứng dụng đó có khả năng làm lộ thông tin từ Magento. Rõ ràng là bạn không bao giờ nên cài đặt các tiện ích mở rộng từ các nguồn không đáng tin cậy (như các trang web torrent). - Bảo vệ dữ liệu của bạn
Một. tách biệt cơ sở hạ tầng
⇨ Điều này phù hợp với việc bảo mật các thành phần của bên thứ ba. Trong mọi trường hợp, bạn không nên có các môi trường phát triển, dàn dựng và sản xuất chạy trên cùng một phiên bản máy chủ.b. Truy cập hạn chế
⇨ Một điểm khác mà chúng tôi đề cập đến: quyền truy cập mở rộng cho các nhà phát triển và nhân viên CNTT khác. Trong mọi trường hợp, mọi thành viên trong nhóm đều có quyền quản trị viên đầy đủ.c. Bảo vệ dữ liệu cá nhân
⇨ Mặc dù điều này có vẻ hiển nhiên nhưng một phần của quy trình giới thiệu nên bao gồm việc không đưa ổ USB và các thiết bị lưu trữ khác vào hoạt động. Ngoài ra, hãy nhớ không nhấp vào các liên kết đáng ngờ hoặc mở các email đáng ngờ. Không bao giờ cho ai biết mật khẩu của bạn (đặc biệt là mật khẩu Quản trị viên Magento).
Vì vậy, hãy loại bỏ những thứ nhàm chán, hãy bắt tay vào việc chống đạn cho cửa hàng Magento của bạn!
Bulletproof Magento Security: Cách bảo mật trang web Magento trong 14 bước
Bước #1: Kiểm tra bảo mật
Có rất nhiều bộ phận chuyển động trong bảo mật Magento. Không nhà phát triển, kiến trúc sư, người quản lý hoặc các vai trò khác hiểu Có rất nhiều phần chuyển động trong bảo mật Magento. Không có nhà phát triển, kiến trúc sư giải pháp, người quản lý hoặc các vai trò khác hiểu rủi ro bảo mật cũng như chuyên gia bảo mật có trình độ. Đó là lý do tại sao bước đầu tiên là nhờ một chuyên gia kiểm tra trang web của bạn. Tốt nhất, bạn nên thực hiện việc này ít nhất mỗi năm một lần để giữ an toàn.
Bước #2: Quét bảo mật tự động
Tin tuyệt vời, bạn không cần phải đến bên thứ ba mỗi khi muốn quét. Magento cung cấp Quét bảo mật miễn phí.
Magento Security Scan cho phép bạn giám sát tất cả các trang web của mình (nếu bạn có nhiều trang web) để biết các rủi ro có thể xảy ra và làm nổi bật các bản vá và cập nhật mà bạn yêu cầu. Đặt lịch (Magento khuyên bạn nên quét hàng tuần) và nhận báo cáo cũng như hành động khắc phục cho từng thử nghiệm không thành công. Để bắt đầu, kiểm tra hướng dẫn này.
Ngoài ra còn có các công cụ quét miễn phí như Báo cáo pháp sư, nhưng nó không chuyên sâu như công cụ của Magento và không cung cấp tính năng quét tự động hoặc theo lịch trình.
Bước #3: Bảo mật quản trị viên Magento
Magento đề xuất một cách tiếp cận nhiều lớp để bảo vệ tài khoản quản trị của bạn(S).
Bạn có thể:
- Đặt mức độ bảo mật cho mật khẩu
- Đặt số lần thử đăng nhập
- Định cấu hình thời lượng bàn phím không hoạt động trước khi phiên hết hạn
- Yêu cầu tên người dùng và mật khẩu phân biệt chữ hoa chữ thường
mật khẩu quản trị viên
Tùy chọn mật khẩu cho Quản trị viên
Trên thanh bên Quản trị viên, hãy chuyển đến Cửa hàng > Cài đặt > Cấu hình.
Trong bảng điều khiển bên trái dưới Nâng cao, chọn Quản trị viên.
Mở rộng Bảo mật phần.
Thay đổi URL quản trị mặc định
Bạn nên thay đổi URL quản trị mặc định thành một URL khác để làm cho nó ít trở thành mục tiêu của tin tặc hơn.
URL cơ sở mặc định: http://yourdomain.com/magento/
Đường dẫn và URL quản trị mặc định: http://yourdomain.com/magento/admin
Có một cách đơn giản để thay đổi URL quản trị có sẵn trong bảng quản trị, nhưng hãy nhớ rằng bất kỳ lỗi nào cũng sẽ khiến tất cả quản trị viên không thể truy cập trang web của bạn và cách duy nhất để khắc phục là chỉnh sửa các tệp cấu hình máy chủ (không phải thứ bạn muốn trải nghiệm, hãy tin tưởng chúng tôi).
Danh sách trắng IP
Bạn có thể đã nghe nói về danh sách đen — khi bạn chặn quyền truy cập vào một trang web, địa chỉ IP hoặc mạng nhất định.
Danh sách trắng thì ngược lại — cho phép truy cập vào một số thông tin, trang web nhất định và trong trường hợp của chúng tôi là bảng quản trị Magento, chỉ tới các địa chỉ IP đáng tin cậy.
Bước #4: Đặt vai trò người dùng
Magento bao gồm các tùy chọn để hạn chế quyền truy cập cho quản trị viên. Nói cách khác, bạn có thể tạo quyền để giới hạn những gì quản trị viên trang nhìn thấy và cấp cho họ quyền truy cập hạn chế.
Bạn có thể thiết lập vai trò người dùng bằng cách đi tới thanh bên Quản trị viên. Nhấp chuột WELFARE, Dưới quyền, chọn Vai trò người sử dụng. Ở góc trên bên phải, nhấp vào Thêm vai trò mới.
Sau khi gán một Tên vai trò và nhập mật khẩu của bạn, bạn có thể thiết lập Phạm vi vai trò (xem hình bên dưới).
Magento Commerce cho phép bạn ghi nhật ký bất kỳ hành động nào do quản trị viên thực hiện. Bạn có thể bật Nhật ký hành động bằng cách điều hướng đến Cửa hàng > Cài đặt > Cấu hình. Trong bảng điều khiển bên trái, mở rộng Nâng cao Và chọn Quản trị viên. Mở rộng Ghi nhật ký hành động của quản trị viên phần và chọn hộp kiểm bật ghi nhật ký quản trị viên cho mỗi hành động bạn muốn đăng nhập.
Bước #5: Định cấu hình Captcha và Google reCaptcha
Trong Magento, bạn có thể thiết lập cả hai Mã xác nhận và Google reCaptcha cho quản trị viên và khách hàng. Cả hai đều bảo vệ bạn khỏi thư rác và các loại lạm dụng tự động khác.
Mã xác nhận là một bài kiểm tra xác thực của con người, tức là các chữ và số mờ, nguệch ngoạc mà bạn có thể phải nheo mắt để nhìn thấy.
Google reCaptcha là một loại xác thực vượt trội của con người, tức là hộp kiểm “Tôi không phải là người máy”.
ReCAPTCHA ẩn (khuyên dùng Magento) — tự động xác minh người dùng là con người mà không có bất kỳ tương tác nào. Nghe có vẻ kỳ diệu, nhưng Google đã tìm ra cách để làm điều đó.
Bước #6: Xác thực hai yếu tố (2FA)
Xác thực hai yếu tố, hay viết tắt là 2FA, là một phương pháp xác nhận danh tính của người dùng bằng cách yêu cầu người dùng hoàn thành bước thứ hai trong quy trình xác minh. Magento 2FA chỉ khả dụng cho người dùng Quản trị viên và không được mở rộng cho tài khoản khách hàng.
Đây là cách bạn có thể định cấu hình 2FA trong Magento:
Trên thanh bên Quản trị viên, hãy chuyển đến Cửa hàng > Cài đặt > Cấu hình.
Trong bảng điều khiển bên trái, mở rộng Bảo mật và chọn 2FA.
Bước # 7: Khóa mã hóa
Khi bạn kích hoạt Magento lần đầu tiên, hệ thống sẽ tự động tạo khóa mã hóa. Khóa này được sử dụng để bảo vệ mật khẩu và các dữ liệu nhạy cảm khác như thông tin thẻ tín dụng và mật khẩu tích hợp (mô-đun thanh toán và vận chuyển).
Magento khuyên bạn nên giữ khóa này an toàn và ẩn mọi lúc. Nếu gặp sự cố rò rỉ dữ liệu, bạn có thể tạo khóa mã hóa mới để ngăn bất kỳ ai truy cập dữ liệu bằng khóa cũ.
Bạn có thể tạo một khóa mới trong bảng quản trị. Để nhắc lại, chúng tôi khuyên bạn không nên tự làm việc này.
Bước #8: Yêu cầu mật khẩu
Magento yêu cầu tối thiểu bảy ký tự (cả chữ và số). Chúng tôi khuyên bạn nên sử dụng thứ gì đó mạnh mẽ hơn một chút — mật khẩu gồm 10-12 ký tự chữ và số.
Pro-tip — Đừng cố tự nghĩ ra mật khẩu. Chúng tôi khuyên bạn nên sử dụng LastPass để tạo ngẫu nhiên một mật khẩu.
Thay đổi mật khẩu của bạn nếu bạn nghi ngờ có sự vi phạm dữ liệu, bất kể tài khoản của bạn có bị tấn công hay không và đặt lời nhắc thay đổi mật khẩu của bạn mỗi năm một lần.
Bạn có thể đặt mức độ bảo mật cho mật khẩu được sử dụng bởi cả khách hàng và quản trị viên trực tiếp trong giao diện quản trị
Tùy chọn mật khẩu cho khách hàng
Trên thanh bên Quản trị viên, hãy chuyển đến Cửa hàng > Cài đặt > Cấu hình.
Trong bảng điều khiển bên trái, mở rộng khách hàng và chọn Cấu hình khách hàng.
Mở rộng Tùy chọn mật khẩu phần.
Bước #9: Tuân thủ PCI
Các công ty thẻ tín dụng lớn đã tạo Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS) để đảm bảo người bán áp dụng các biện pháp bảo mật quan trọng. Người bán không tuân thủ các yêu cầu của PCI có thể bị phạt số tiền lớn, điều này cũng có thể dẫn đến việc họ mất khả năng xử lý thanh toán.
Magento giúp người bán tuân thủ PCI dễ dàng hơn — Magento Commerce Cloud được chứng nhận PCI và cung cấp Magento tích hợp Cổng thanh toán như PayPal, Authorize.Net và những người khác truyền thông tin thẻ tín dụng một cách an toàn.
12 Yêu cầu đối với PCI-DSS | |
Xây dựng và duy trì một mạng an toàn | Yêu cầu 1: Cài đặt và duy trì cấu hình tường lửa để bảo vệ dữ liệu của chủ thẻ Yêu cầu 2: Không sử dụng các giá trị mặc định do nhà cung cấp cung cấp cho mật khẩu hệ thống và các thông số bảo mật khác |
Bảo vệ dữ liệu của chủ thẻ | Yêu cầu 3: Bảo vệ dữ liệu lưu trữ của chủ thẻ Yêu cầu 4: Mã hóa truyền dữ liệu chủ thẻ qua các mạng công khai, mở |
Duy trì chương trình quản lý lỗ hổng bảo mật | Yêu cầu 5: Sử dụng và cập nhật thường xuyên phần mềm diệt virus Yêu cầu 6: Phát triển và duy trì các hệ thống và ứng dụng an toàn |
Thực hiện các biện pháp kiểm soát truy cập mạnh mẽ | Yêu cầu 7: Hạn chế quyền truy cập vào dữ liệu chủ thẻ theo nhu cầu kinh doanh cần biết Yêu cầu 8: Chỉ định một ID duy nhất cho mỗi người có quyền truy cập máy tính Yêu cầu 9: Hạn chế quyền truy cập vật lý vào dữ liệu chủ thẻ |
Thường xuyên theo dõi và kiểm tra mạng | Yêu cầu 10: Theo dõi và giám sát tất cả quyền truy cập vào tài nguyên mạng và dữ liệu chủ thẻ Yêu cầu 11: Thường xuyên kiểm tra hệ thống và quy trình bảo mật |
Duy trì Chính sách Bảo mật Thông tin | Yêu cầu 12: Duy trì chính sách giải quyết vấn đề bảo mật thông tin |
Lưu ý quan trọng: KHÔNG SỬ DỤNG Mô-đun thẻ tín dụng đã lưu trong môi trường Sản xuất!
Thẻ tín dụng đã lưu không tuân thủ PCI và bạn có thể tiết lộ thông tin thẻ tín dụng của khách hàng.
Bước # 10: Cài đặt tiện ích mở rộng bảo mật
Khi chức năng gốc không đủ, các tiện ích mở rộng sẽ giải cứu. Magento có một kho tiện ích mở rộng bảo mật phong phú — cả trả phí và miễn phí. Dưới đây là một số bạn có thể thử:
Bước #11: Giải pháp tự động hóa bảo mật
Tự động hóa bảo mật là quá trình tự động xử lý các tác vụ liên quan đến bảo mật như quét vi-rút, phát hiện xâm nhập, tạo bản sao lưu, gia hạn chứng chỉ SSL, v.v.
IBM đã thực hiện một khám phá đột phá: các tổ chức không có giải pháp bảo mật tự động có chi phí vi phạm cao hơn 95% so với các tổ chức có triển khai tự động hóa hoàn toàn.
Bước #12: Bảo hiểm trách nhiệm mạng
Cũng giống như bất kỳ loại hình bảo hiểm nào khác (xe hơi, nhà ở, v.v.), bảo hiểm mạng bảo vệ doanh nghiệp khỏi những thiệt hại do các cuộc tấn công mạng gây ra. Đặc biệt, trách nhiệm pháp lý bao gồm
- Vi phạm dữ liệu sau hành vi trộm cắp của nhân viên và/hoặc rò rỉ dữ liệu.
- Gián đoạn kinh doanh trên mạng, chẳng hạn như hack của bên thứ ba hoặc bản vá lỗi phần mềm không thành công.
- Vi phạm dữ liệu sau khi hack.
- Lỗi và thiếu sót dẫn đến xâm nhập an ninh.
Bước #13: Lập kế hoạch & nhóm ứng phó sự cố
Nếu bạn không có kế hoạch ứng phó sự cố (hoặc bạn không biết đây là gì), hãy tạo một kế hoạch.
Để làm cho nó dễ dàng hơn, chúng tôi đã lấy của Talesh Seeparsan Mẫu kế hoạch ứng phó sự cố tập trung vào Magento và tạo một bảng tính Google mà bạn có thể sao chép để sử dụng cho riêng mình.
Điều kiện tiên quyết để sử dụng mẫu:
- Tạo Nhóm ứng phó sự cố (IRT) để xử lý các sự cố bảo mật cho từng khía cạnh của giải pháp thương mại điện tử được xác định trong cái bàn này.
- Thường xuyên theo dõi và phân tích lưu lượng mạng và hiệu suất hệ thống.
- Thường xuyên kiểm tra tất cả nhật ký và cơ chế ghi nhật ký, bao gồm nhật ký sự kiện hệ điều hành, nhật ký dành riêng cho ứng dụng và nhật ký hệ thống phát hiện xâm nhập.
- Xác minh quy trình sao lưu và khôi phục của bạn. Bạn nên biết nơi duy trì các bản sao lưu, ai có thể truy cập chúng và quy trình khôi phục dữ liệu và khôi phục hệ thống của bạn. Đảm bảo rằng bạn thường xuyên xác minh các bản sao lưu và phương tiện bằng cách khôi phục dữ liệu có chọn lọc.
IBM thấy rằng các công ty có IRT và thử nghiệm rộng rãi các kế hoạch phản ứng của họ tiết kiệm được hơn 1.2 triệu đô la. Cụ thể hơn, nghiên cứu cho thấy rằng tác động kết hợp của IRT và thử nghiệm kế hoạch ứng phó sự cố, thông qua diễn tập và mô phỏng, đã giúp các nhóm phản ứng nhanh hơn và tiết kiệm chi phí nhiều hơn bất kỳ quy trình bảo mật đơn lẻ nào.
Bước #14: Giữ cho Magento được vá và cập nhật
Không có lý do gì để không có một cửa hàng Magento được vá lỗi và cập nhật đầy đủ.
Để cài đặt bản vá bảo mật Magento, bạn nên
- Sao lưu hệ thống tệp, phương tiện và cơ sở dữ liệu để tránh mất dữ liệu trong trường hợp xảy ra sự cố.
- Tải xuống một bản vá (còn gọi là hotfix) từ Trung tâm bảo mật Magento. Xin lưu ý rằng bạn sẽ cần biết phiên bản Magento của mình để tải xuống bản vá chính xác.
- Áp dụng một bản vá thông qua Gói bản vá chất lượng Magento (MQP), dòng lệnh hoặc Trình soạn thảo.
Quét trang web của bạn, xác định bất kỳ bản vá nào bạn cần cài đặt và vui lòng không để tin tặc truy cập dễ dàng thông qua lỗ hổng. Đăng ký Cơ quan đăng ký cảnh báo bảo mật Magento và thỉnh thoảng ghé thăm Trung tâm bảo mật Magento để biết tin tức và thông tin mới nhất.
Để tiết kiệm cho mình một số rắc rối, bạn cũng có thể thuê một nhà phát triển Magento. Họ sẽ cài đặt bản vá bảo mật Magento ngay lập tức — có thể là bản sửa lỗi nóng hoặc bản vá tùy chỉnh.
Phải làm gì nếu trang web của bạn đã bị tấn công
Không hoảng loạn. Nếu có vi phạm dữ liệu hoặc lộ thông tin thì không có cách nào để lấy lại thông tin đó. Ưu tiên của bạn là xác định những gì đã bị lộ, thu thập bằng chứng và đảm bảo dữ liệu không bị rò rỉ.
Thực hiện theo Kế hoạch ứng phó sự cố của bạn:
- Đánh giá ban đầu
- Truyền đạt sự việc
- Kiềm chế thiệt hại và giảm thiểu rủi ro
- Xác định mức độ nghiêm trọng của sự thỏa hiệp
- Bảo quản bằng chứng
- Giao tiếp bất kỳ thông báo bên ngoài
- Biên soạn và sắp xếp bằng chứng sự cố
Trải nghiệm Elogic với các cuộc tấn công mạng
Để tìm hiểu những điều mà các nhà phát triển Elogic gặp phải trong công việc của họ, chúng tôi đã hỏi xung quanh và biết được hai câu chuyện hoang đường về mục đích xấu.
Sự thất bại trong khai thác Bitcoin
Một trong những nhà phát triển full-stack giàu kinh nghiệm nhất của chúng tôi tại Elogic, Andriy Biloshytskiy, đã có một trải nghiệm thú vị cách đây vài năm. Một điều gì đó rất kỳ lạ đã xảy ra với một trong những dự án mà anh ấy đang thực hiện vào thời điểm đó.
Không có bản cập nhật nào gần đây trên trang web, không có gì thay đổi, ngoại trừ trang web không hoạt động,” Andriy nói. “Vì vậy, tôi đã thực hiện một cuộc điều tra ngắn gọn và tìm thấy một thứ vừa kỳ quặc vừa thú vị — có một đoạn mã JavaScript không có thẻ đóng, thứ đã gây ra sự cố. Sau khi tìm kiếm trên Google, tôi phát hiện ra tập lệnh độc hại nhằm mục đích hút sức mạnh tính toán của những người ghé thăm cửa hàng — để khai thác Bitcoin.
– Andriy Biloshytskiy, nhà phát triển Full-stack tại Elogic Commerce
Thủ phạm (có thể là quản trị viên cửa hàng) không bao giờ bị bắt. Cửa hàng không có nhật ký quản trị nên không có cách nào để biết chắc chắn ai là người chịu trách nhiệm.
Virus bất ngờ
Khi các nhà phát triển làm việc trên các dự án, họ thường sao chép cửa hàng trên PC hoặc máy chủ làm việc của họ để kiểm tra và viết mã mới. Câu chuyện này xảy ra sau khi một trong những nhà phát triển của chúng tôi nhân bản một cửa hàng nhưng thay vì bắt đầu làm việc ngay, anh ấy lại nhìn thấy một cửa sổ bật lên.
Cửa sổ bật lên là một cảnh báo từ phần mềm chống vi-rút của anh ấy và nguồn lây nhiễm là phiên bản Magento mới được cài đặt. Sau khi xác định vị trí tệp bị nhiễm, một tệp PHP lõi, nhà phát triển đã xóa mã độc và tiếp tục công việc của mình.
Bài học của câu chuyện là: cho dù cuộc tấn công có mục tiêu, lỗi của con người hay trục trặc/lỗ hổng hệ thống, bạn có thể giúp ngăn chặn vi phạm bằng cách triển khai và tuân theo các tiêu chuẩn bảo mật.
Thương mại Magento có an toàn hơn nguồn mở Magento không?
Trong khi lựa chọn giữa Magento 2 Thương mại so với Nguồn mở, bạn có thể thắc mắc cái nào an toàn hơn. Mặc dù đúng là cả hai phiên bản Magento đều cung cấp các bộ tính năng nổi bật (tất nhiên là tùy thuộc vào nhu cầu kinh doanh của người bán), chúng tôi có thể đảm bảo tính bảo mật của Magento Commerce (hay còn gọi là Adobe Commerce).
Dưới đây là năm lợi thế bảo mật chính khi sử dụng Magento Commerce và Commerce Cloud.
Tuân thủ PCI
Tuân thủ PCI không phải là một tính năng được liệt kê trong Nguồn mở Magento, nhưng nó có trong Magento Commerce. Tốt hơn nữa, Magento Commerce Cloud được chứng nhận PCI là Nhà cung cấp giải pháp cấp 1, vì vậy người bán có thể sử dụng Chứng thực tuân thủ PCI của Magento để hỗ trợ quy trình chứng nhận PCI của riêng họ.
Chia sẻ trách nhiệm bảo mật
Đám mây thương mại Magento có một mô hình bảo mật chia sẻ trách nhiệm nơi bạn, Magento và Amazon Web Services (các dịch vụ đám mây tốt nhất) chia sẻ trách nhiệm về bảo mật vận hành. Bạn chịu trách nhiệm kiểm tra mã tùy chỉnh và bất kỳ ứng dụng tùy chỉnh nào. Magento đảm bảo bản thân nền tảng được bảo mật và Amazon đảm nhận việc bảo mật vật lý cho các máy chủ và tuân thủ.
Nhật ký hành động
Magento Commerce cung cấp cho bạn khả năng lưu giữ hồ sơ về mọi thay đổi (hành động) do quản trị viên làm việc trong cửa hàng của bạn thực hiện. Thông tin đã ghi bao gồm tên của người dùng, hành động và liệu hành động đó có thành công hay không và nó cũng ghi lại địa chỉ IP và ngày tháng.
Tường lửa ứng dụng web (WAF)
Giống như tường lửa trên PC, WAF ngăn chặn lưu lượng độc hại xâm nhập vào mạng bằng cách sử dụng một bộ quy tắc bảo mật. Bất kỳ lưu lượng truy cập nào kích hoạt các quy tắc đều bị chặn trước khi nó tự giải phóng trên trang web hoặc mạng của bạn. Magento Commerce Cloud sử dụng CDN nhanh chóng cho các dịch vụ WAF.
Mạng phân phối nội dung (CDN) & Bảo vệ DDoS
Magento Commerce Cloud cũng sử dụng Fastly CDN cho các tính năng bảo mật bổ sung như bảo vệ DDoS, bao gồm giảm thiểu DDoS Lớp 3, 4 và 7
Bài học rút ra — Mẹo bảo mật Magento và các phương pháp hay nhất
Bảo mật trang web và rộng hơn là an ninh mạng nên là một trong những ưu tiên chính của bạn. Bạn không chỉ điều hành một blog hoặc trang cá nhân, bạn có trách nhiệm bảo vệ thông tin bí mật, bao gồm tên, địa chỉ, số điện thoại và thông tin thẻ tín dụng.
Ghi nhớ:
- Ngay cả một trang web được vá và cập nhật đầy đủ cũng có thể bị tấn công. Ví dụ: mật khẩu quản trị viên yếu có thể bị cưỡng bức và tin tặc có thể xâm nhập ngay và thu thập mọi thứ chúng muốn. Vì vậy, hãy thực hiện kiểm tra bảo mật Magento thường xuyên.
- Bạn không thể tính đến các lỗ hổng mới hoặc khai thác zero-day (một cuộc tấn công mạng xảy ra vào cùng ngày điểm yếu được phát hiện). Tuy nhiên, một kế hoạch ứng phó sự cố mạnh mẽ có thể giúp bạn đi trước một bước.
- “Một ounce phòng bệnh đáng giá một cân chữa bệnh.” Ben Franklin đã đúng. Nếu bạn đã lưu ý đến việc định cấu hình cửa hàng của mình về vấn đề bảo mật, tuân thủ quy trình an ninh mạng mà chúng tôi đã vạch ra và bảo vệ cửa hàng của bạn, thì bạn có thể tiết kiệm cho mình rất nhiều thời gian và công sức.
- Đừng thỏa hiệp về bảo mật, nếu không sự thiếu bảo mật của bạn sẽ làm hại bạn.
Câu hỏi thường gặp về bảo mật Magento
Magento có an toàn không?
Sau thất bại của Magento 1, Adobe đã nâng cấp Magento 2 lên các cấp độ bảo mật mới. Kiến trúc thương mại điện tử Magento được thiết kế để cung cấp một môi trường bảo mật cao nhờ Tường lửa ứng dụng web (WAF), CDN nhanh để bảo vệ DDoS bổ sung và băm để mã hóa dữ liệu. Các bản vá bảo mật được phát hành hàng quý và Magento Security Scanner luôn sẵn có. Người bán có thể sử dụng thêm chứng chỉ SSL, CAPTCHA, xác thực hai yếu tố và các phương pháp hay nhất về bảo mật Magento khác để bảo vệ khách hàng của họ.
Vì vậy, có thể nói rằng Magento là một trong những nền tảng an toàn nhất trong số những nền tảng được cung cấp trên thị trường thương mại điện tử.
Làm thế nào để bảo mật trang web Magento?
Một số phương pháp hay nhất để bảo mật Magento bao gồm:
- Cung cấp kiểm tra thường xuyên về bảo mật Magento — có thể bằng công cụ quét phần mềm độc hại Magento tự động hoặc với sự trợ giúp của chuyên gia Magento.
- Sử dụng các kết nối được mã hóa (SSL/HTTPS).
- Kích hoạt xác thực hai yếu tố.
- Sao lưu trang web của bạn thường xuyên.
- Chọn nhà cung cấp hosting đáng tin cậy
- Tận dụng các tính năng bảo mật gốc của Magento và cài đặt các tiện ích mở rộng bảo mật bất cứ khi nào cần.
- Lập kế hoạch hành động cho trường hợp khẩn cấp trên mạng.
Xem danh sách kiểm tra bảo mật Magento đầy đủ ở trên.
Magento PCI có tuân thủ không?
Tuân thủ Magento PCI phụ thuộc vào phiên bản của nó:
Mã nguồn Mở của Magento không tuân thủ PCI, vì vậy bạn sẽ phải sử dụng phương thức thanh toán của bên thứ ba chuyển hướng bạn đến một trang web khác để thực hiện giao dịch (như PayPal, Authorize.net) hoặc phương thức thanh toán tuân thủ SaaS PCI (CRE Secure).
Đám mây thương mại và thương mại Magento được PCI chứng nhận là Nhà cung cấp giải pháp cấp 1.
Nguồn: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- truy cập
- Tài khoản
- Hoạt động
- hoạt động
- thêm vào
- quản trị viên
- Adobe
- Lợi thế
- biện hộ
- thuật toán
- Tất cả
- Cho phép
- đàn bà gan dạ
- Amazon Web Services
- trong số
- công bố
- antivirus
- Các Ứng Dụng
- các ứng dụng
- kiến trúc
- xung quanh
- Các cuộc tấn công
- Xác thực
- Tự động
- Tự động hóa
- sao lưu
- sao lưu
- BEST
- thực hành tốt nhất
- lớn nhất
- Một chút
- Bitcoin
- Khai thác mỏ Bitcoin
- Blog
- chương trình
- vi phạm
- vi phạm
- lỗi
- kinh doanh
- các doanh nghiệp
- Chiến dịch
- xe hơi
- mà
- bị bắt
- gây ra
- Giấy chứng nhận
- Chứng nhận
- thay đổi
- phí
- Séc
- đám mây
- dịch vụ điện toán đám mây
- mã
- Lập trình
- Thương mại
- cộng đồng
- Các công ty
- tuân thủ
- máy tính
- khả năng tính toán
- Kết nối
- Chi phí
- Crash
- Tạo
- tín dụng
- thẻ tín dụng
- Thẻ tín dụng
- chữa bệnh
- khách hàng
- không gian mạng
- Cyber Attack
- Tấn công mạng
- An ninh mạng
- dữ liệu
- vi phạm dữ liệu
- mất dữ liệu
- bảo mật dữ liệu
- Cơ sở dữ liệu
- ngày
- DDoS
- nhiều
- giao hàng
- Phát hiện
- phát triển
- Nhà phát triển
- phát triển
- Phát triển
- Thiết bị (Devices)
- ĐÃ LÀM
- phát hiện
- phát hiện
- diệt vong
- thương mại điện tử
- thương mại điện tử
- nhân viên
- mã hóa
- Kỹ sư
- Môi trường
- vv
- Sự kiện
- Mở rộng
- kinh nghiệm
- các chuyên gia
- mở rộng
- Đặc tính
- Tính năng
- tài chính
- dữ liệu tài chính
- Lửa
- Tên
- Sửa chữa
- Khung
- Miễn phí
- Full
- tương lai
- gif
- Gói Vàng
- tốt
- Tìm kiếm Google
- tuyệt vời
- hướng dẫn
- tấn
- tin tặc
- hack
- Xử lý
- băm
- tại đây
- Thuê
- Trang Chủ
- lưu trữ
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- ý tưởng
- xác định
- Bản sắc
- hình ảnh
- Va chạm
- ứng phó sự cố
- Bao gồm
- ngành công nghiệp
- nhiễm trùng
- Thông tin
- thông tin
- bảo mật thông tin
- Cơ sở hạ tầng
- bảo hiểm
- hội nhập
- ý định
- tương tác
- phát hiện xâm nhập
- điều tra
- tham gia
- IP
- Địa chỉ IP
- các vấn đề
- IT
- JavaScript
- Việc làm
- giữ
- Key
- lớn
- mới nhất
- Tin mới nhất
- hàng đầu
- Rò rỉ
- LEARN
- học
- Cấp
- trách nhiệm
- Hạn chế
- Dòng
- chính
- Làm
- phần mềm độc hại
- quản lý
- thị trường
- Marketing
- thị trường
- Phương tiện truyền thông
- Merchant
- Thương gia
- Khai thác mỏ
- tên
- net
- mạng
- lưu lượng mạng
- tin tức
- số
- cung cấp
- Cung cấp
- chính thức
- Tiếp nhận nhận việc
- Trực tuyến
- mở
- mã nguồn mở
- mở ra
- hoạt động
- hệ điều hành
- Hoạt động
- Các lựa chọn
- Nền tảng khác
- Khác
- Panic
- Mật khẩu
- Mật khẩu
- Vá
- Các bản vá lỗi
- thanh toán
- thanh toán
- PayPal
- PC
- PCI DSS
- người
- hiệu suất
- dữ liệu cá nhân
- Nhân viên
- Lừa đảo
- tấn công lừa đảo
- vật lý
- An ninh và Bảo vệ
- nền tảng
- Nền tảng
- Plugin
- điều luật
- quyền lực
- Phòng chống
- riêng tư
- Sản phẩm
- Sản lượng
- dự án
- bảo vệ
- bảo vệ
- công khai
- chất lượng
- phục hồi
- Báo cáo
- Yêu cầu
- tài nguyên
- Thông tin
- phản ứng
- Kết quả
- xem xét
- Đánh giá
- quy tắc
- chạy
- chạy
- SaaS
- an toàn
- quét
- quét
- Tìm kiếm
- an ninh
- hệ thống an ninh
- cập nhật bảo mật
- nhìn
- DỊCH VỤ
- định
- Chia sẻ
- Shell
- Giao Hàng
- ngắn
- Đơn giản
- Các trang web
- So
- Phần mềm
- Giải pháp
- thư rác
- Bảng tính
- tiêu chuẩn
- bắt đầu
- ở lại
- là gắn
- hàng
- cửa hàng
- Những câu chuyện
- Học tập
- trình
- thành công
- Hỗ trợ
- Hỗ trợ
- hệ thống
- hệ thống
- Mục tiêu
- Kỹ thuật
- thử nghiệm
- Kiểm tra
- Tương lai
- Dự án
- Nguồn
- trộm cắp
- các mối đe dọa
- thời gian
- lời khuyên
- Tone
- theo dõi
- giao thông
- giao dịch
- NIỀM TIN
- Cập nhật
- Cập nhật
- URI
- us
- usb
- Người sử dụng
- Xác minh
- virus
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- web
- các dịch vụ web
- Website
- trang web
- hàng tuần
- Là gì
- CHÚNG TÔI LÀ
- WordPress
- từ
- Công việc
- quy trình làm việc
- công trinh
- giá trị
- X
- XSS
- năm
- năm