Top sikkerhedspraksis i Magento og hvordan man implementerer dem

Iforestil dig at lade døren stå åben til din butik efter lukning eller. Eller ikke installere nogen sikkerhedsforanstaltninger, såsom et alarmsystem, hvis nogen forsøger at bryde ind i din butik. Det ville du nok ikke gøre.
Hvis du har en online butik, er der også nogle sikkerhedsforanstaltninger, du bør tage, for at holde din butik og dine kunders data sikre. Faktisk burde det være en af ​​dine topprioriteter.
Magento er en meget kraftfuld open source platform – men som med enhver anden platform er den ofte målrettet mod serverangreb, kreditkort skimming, cross-domæne scripting, fjernudførelse af kode osv.
Selvom der ikke er nogen måde at eliminere alle sikkerhedsrisici, er der trin, du kan tage for at gøre din butik til et mindre sandsynligt mål. Denne artikel vil dække de bedste bedste fremgangsmåder, du bør følge. Artiklen er baseret på vores mange års erfaring og på Adobes security best practices guide.

Sikring af dit administratorpanel

Det anbefales, at du tager flere trin for at sikre dit adminpanel. Hvis nogen uautoriseret får adgang til din admin, kan de injicere kode direkte på dit websted, for eksempel til kreditkort skimming.

1. Brug ikke standard administratoradgang URL

Brug ikke admin-logins som "admin" eller "backend". De er nemme at finde, da de er nemme at gætte. Det anbefales derfor at bruge en brugerdefineret admin-URL, der indeholder minimum 7 tegn og er en kombination af tal, bogstaver og symboler. Du kan bruge en adgangskodegenerator til at oprette din admin-URL.

Sådan ændres Admin Base URL i Magento2:

Du kan følge Adobe-vejledningen for at ændre din grundlæggende URL og sti her.
Vi anbefaler altid, at en udvikler hjælper dig med at ændre URL'en, hvis du ikke ved, hvordan du redigerer konfigurationsfiler på serveren.

2. Tilføj hemmelig nøgle til URL'er i Magento 2

For at forhindre CSRF-angreb https://portswigger.net/web-security/csrf på din Magento-backend, anbefaler vi, at du aktiverer hemmelig nøgle til URL'er.

Sådan aktiverer du Tilføj hemmelig nøgle til din URL på Magento 2:

Gå til Butikker > Konfiguration > AVANCERET > Admin > Sikkerhed > Tilføj hemmelig nøgle til URL'er
Dette vil tilføje et hemmeligt nøgle/værdi-par ved suffikset

3. Begræns adgangskodens levetid og indstil tvungen adgangskodeændring

Det er meget vigtigt, at hver enkelt bruger, der har adgang til dit adminpanel, holder god adgangskodehygiejne – det betyder at have en unik, svær at gætte adgangskode og opdatere den ofte.
Vi anbefaler at bruge en adgangskodegenerator til at generere unikke adgangskoder, såsom roboform, lastpass eller 1password. Det anbefales, at en adgangskode indeholder mindst 7 tegn og består af bogstaver, symboler og tal.
Vi anbefaler også, at du begrænser levetiden for administratorbrugeres adgangskoder og ændrer adgangskodeændringen for at blive tvunget.
For at ændre indstillingerne for administratoradgangskoden skal du gå til Butikker > Konfiguration > AVANCERET > Admin > Sikkerhed >

Indstil de ønskede dage, en adgangskode skal være gyldig for i Adgangskodelevetid (dage), og sørg for, at feltet Adgangskodeændring er sat til Tvunget. Nu vil administratorbrugere blive bedt om at opdatere deres adgangskode, når de forsøger at logge på, efter at adgangskoden udløber.

4. Tilføj CAPTCHA i frontend og admin panel

Det anbefales stærkt at bruge CAPTCHA på dit websted, enten Magento indbygget captcha eller Google reCAPTCHA. En CAPTCHA er en visuel enhed, der sikrer, at kun mennesker, ikke computere (bots), interagerer med dit websted.
Mange gange vil bots blive brugt til at overbelaste serveren med flere anmodninger, både til adminpanelet, men endnu mere ved tilmelding til nyhedsbrev, oprettelse af en konto, kontaktformular osv. Ikke alene kan dette lægge unødvendigt pres på din serverbelastning, men det kan også resultere i, at tusindvis af spambrugere tilmelder sig dit nyhedsbrev, som du så skal bruge tid på at rydde op i, eller endnu værre kan din betalingsplan hos din e-mailmarketingudbyder blive dyrere.

Sådan tilføjer du CAPTCHA eller Google reCAPTCHA til Magento 2:

5. Brug den seneste Magento-version og patches

Adobe udgiver nye versioner og sikkerhedsrettelser i løbet af året. Hver udgivelse indeholder flere sikkerhedsrettelser til kendte sårbarheder. Magento er en Open Source-software, hvilket betyder, at alle kan få adgang til koden og misbruge enhver sårbarhed. Heldigvis er der et stærkt fællesskab af udviklere, der sammen med Adobe finder og ordner disse. Derfor anbefaler vi, at du opdaterer så hurtigt som muligt, efter en ny udgivelse eller patch. Vi skrev lidt mere om risikoen ved at være på en forældet og ikke-understøttet Magento-version here

6. Scan din Magento-butik for malware

Adobe tilbyder et gratis sikkerhedsværktøj til at scanne dit websted for kendte sikkerhedsrisici, malware og uautoriseret adgang. Du kan finde det her https://account.magento.com/scanner/dashboard
Du kan bruge det til at overvåge dit websted i fremtiden, når det er konfigureret.
Hvorfor er det dårligt, hvis din butik er inficeret med malware, og hvad er konsekvenserne?

  • Malware kan opsnappe en kundes personlige data (såsom navn, adresse, kreditkortoplysninger. Kan bruges til spamming, identitetstyveri, kreditkorttyveri osv.)
  • Forsøg på "svig med betalingsomledning"
  • Inficer din kundes maskiner med malware.

Ethvert af ovenstående punkter kan forårsage stor skade på dit omdømme, og afhængigt af alvoren og hvor din virksomhed er placeret, kan det være dyrt såvel i bøder og advokatomkostninger.
Så det anbefales løbende at scanne og overvåge for malware på din Magento-butik.

7. Hold administratorbrugeres computer sikker

Vi vil anbefale alle at holde deres computere sikre, men det er endnu vigtigere, at alle, der har administratoradgang til din Magento-butik, holder deres computer sikker. Det betyder, at de skal scanne deres computer for malware/virus, sikre sig, at de har en sikker adgangskode til deres computer og afstå fra at klikke på mistænkelige e-mails og links.

8. Brug korrekte tilladelser på dine filer

Core Magento og mappefiler bør alle være indstillet til "read only", inklusive app/etc/local.xml. Hackere vil forsøge at inficere Magento 2-butikker, som ikke har disse filer indstillet til "read only", så fraråd dem ved at have de korrekte filtilladelser.

9. Brug IP-hvidliste til din administrator

Lav en liste over IP-adresser, der kan få adgang til dit adminpanel. Dette kan begrænse "slyngelske forbindelser". I tilfælde af at dine administratoroplysninger bliver stjålet, vil dette sikre, at de ikke kan logge ind med dem, da deres IP ikke vil være den samme som din,
Det kunne også være en mulighed, hvis du vil begrænse de steder, hvor dine medarbejdere kan logge ind fra.

10. Fjern ubrugte 3. parts udvidelser

Jo flere 3. parts udvidelser du har installeret, jo større chance er der for, at en sikkerhedssårbarhed er til stede, især hvis du ikke bruger og opdaterer dem. For hvert stykke software, du bruger, er der en potentiel sårbarhed, så hvorfor tage chancen med udvidelser, du ikke engang bruger?

Gå din udvidelsesliste igennem og tjek, hvilke du bruger, og sørg for at fjerne dem, du ikke længere bruger.

Konklusion

Dette er blot nogle få af mange, mange trin, du kan tage for at holde din butik sikker. Hvis du er usikker på, om din butik er sikker, vil du modtage en anmeldelse af de udvidelser, du bruger, vil have hjælp til at tjekke for malware, er du velkommen til at kontakte os her på vConnect ved at bruge kontaktformularen nedenfor eller skrive en e-mail til konta[email protected], så kontakter vi dig for et uforpligtende tilbud.