Magento, будучи однією з найпопулярніших платформ з відкритим кодом в електронній комерції, є головною мішенню для кібератак. Хоча експерти Magento роблять усе можливе для покращення безпеки з кожним випуском, не варто покладатися лише на патчі.
Незалежно від того, чи у вас невеликий магазин, чи велике підприємство, дотримання порад щодо безпеки Magento не є необов'язковим, а обов'язковим.
Саме тому сьогодні ви дізнаєтеся про найефективніші найкращі практики безпеки Magento та про те, як їх впровадити для Extra рівня безпеки. Як бонус, ми поділимося розширенням , яке допоможе вам автоматично контролювати та запобігати будь-яким загрозам безпеці.
Тож слідкуйте за оновленнями та почніть з перевірки функцій, з якими ви працюватимете.
Функції безпеки за замовчуванням у Magento
Як згадувалося раніше, функції Magento за замовчуванням включають низку опцій безпеки, розроблених для захисту вашого магазину та даних ваших клієнтів. Деякі з них:
- 2F-автентифікація: додає Extra рівень захисту для вашого бекенду, дозволяючи доступ лише авторизованим користувачам.
- CAPTCHA: захищає форми входу та реєстрації вашого магазину від атак методом перебору та ботів.
- Політика надійних паролів: заохочує адміністраторів створювати надійні паролі та регулярно їх змінювати.
- Список контролю доступу (ACL): дозволяє надавати користувачам доступ лише до певних розділів магазину через ролі користувачів. Це зменшує ризики від внутрішніх загроз.
- Безпечна обробка платежів: платформа дотримується стандарту безпеки даних індустрії платіжних карток (PCI DSS) для забезпечення безпечних платежів для ваших клієнтів.
- Регулярні оновлення безпеки: вирішують нові вразливості та проблеми безпеки.
- Моніторинг безпеки: Платформа надає такі інструменти, як Security Scan Tool, які допоможуть вам виявляти та запобігати порушенням безпеки.
- Регулярні резервні копії: Magento пропонує вам простий процес резервного копіювання та відновлення для легкого відновлення даних у разі непередбачених порушень безпеки.
- Підтримка HTTP та SSL: платформа використовує стандартизовані протоколи шифрування, щоб гарантувати безпечне зберігання та передачу конфіденційних даних.
Найкращі практики безпеки Magento
Ось контрольний список безпеки Magento, який ви повинні використовувати для захисту свого магазину.
1. Використовуйте інструмент сканування безпеки
Найважливіша порада з цих порад щодо безпеки Magento — знати, де вам потрібен захист. Саме це робить для вас стандартний Сканування безпеки Magento .
Він автоматично контролює ваш веб-сайт на наявність можливих ризиків безпеці, несанкціонованого доступу та шкідливого програмного забезпечення. Однак ви також можете запускати сканування вручну.
Хоча він охоплює багато функцій, інструмент сканування безпеки Magento є досить Basic, оскільки він не охоплює важливі проблеми безпеки, такі як шкідливе програмне забезпечення в базі даних та файлах. Але ми також скоро розповімо, як це контролювати.
2. Створіть унікальну URL-адресу адміністратора
Ніколи не використовуйте "admin", "backend" або будь-який інший поширений шлях до вашої панелі адміністратора. Це полегшує зловмисникам пошук вашої сторінки входу та запуск шкідливого скрипта для спроби входу.
Використовуйте один із трьох найпоширеніших способів змінити URL-адресу адміністративної панелі Magento та придумайте надійніший шлях.
Крім того, увімкніть журнал входу на відстежувати активність входу .
3. Обмежте доступ адміністратора за IP-адресою
Після зміни шляху адміністратора дотримуйтесь порад щодо безпеки Magento, а також обмежте доступ до вашого backend за IP-адресою. Це гарантує, що лише користувачі з певних місць розташування (IP-адрес) матимуть доступ до вашої адміністративної панелі.
Для цього внесіть зміни до файлу .htaccess у каталозі Magento pub. Але зверніть увагу на регулярне оновлення цих IP-адрес, особливо якщо ваша команда працює віддалено.
4. Увімкніть ReCAPTCHA
Magento reCAPTCHA – це потужний інструмент, який захищає як вашу адміністративну панель, так і фронтенд від ботів та спаму.
Він запобігає будь-якому несанкціонованому доступу та захищає ваші відгуки, реєстрацію, вхід, контакти та форми коментарів у блозі від спаму. Щоб почати використовувати його, просто перейдіть до Магазини > Налаштування > Безпека > Google ReCaptcha та налаштуйте його.
Примітка: для версій Magento, старіших за 2.3, потрібно встановити модуль MSP ReCaptcha.
5. Вимкніть спільний доступ до облікового запису адміністратора
Опція спільного входу дозволяє двом людям використовувати один і той самий логін і пароль для одночасної навігації по серверній частині. Однак найчастіше це відкриває двері для несанкціонованого доступу та ускладнює відстеження змін адміністратора.
Перейдіть до Магазини > Конфігурація > Додатково > Адміністратор > Безпека та вимкніть відповідну опцію.
Після цього лише один користувач з правами адміністратора зможе увійти з відповідним логіном і паролем. Отже, якщо хтось інший спробує увійти з тими ж обліковими даними, перший користувач буде виведений із системи.
Порада професіонала: згідно з порадами щодо безпеки Magento, кожен адміністратор повинен мати унікальний обліковий запис. Це запобігає блокуванню користувачів зі спільними обліковими даними до їхніх облікових записів, якщо інший адміністратор вирішить скинути пароль адміністратора .
6. Увімкніть примусову зміну пароля
Регулярна зміна пароля є однією з найпростіших практик безпеки Magento. Це зменшує ризик того, що боти врешті-решт вгадають пароль, щоб отримати доступ до вашого сервера.
Просто зробіть зміну пароля примусовою та встановіть для Термін служби пароля значення 90 днів. Це дозволяє вам забезпечити регулярне оновлення паролів.
7. Увімкнення 2F-автентифікації
Навіть якщо хакери отримають пароль або логін, ви все одно можете запобігти їх використанню за допомогою 2F-автентифікації. Це Extra рівень безпеки, який захищає ваші адміністративні дані від будь-яких порушень.
Перейдіть до Сховища > Конфігурація > Безпека > 2FA та виберіть постачальника.
Після налаштування 2F-автентифікації в Magento адміністраторам потрібно буде входити в систему за допомогою 6-значних кодів, які зазвичай генеруються Google Authenticator.
Примітка: хоча це не рекомендується, ви все одно можете Вимкнути 2F-автентифікацію в Magento для певних користувачів.
8. Використовуйте список контролю доступу
Коли ви створювати нових користувачів у Magento , вам слід призначати їх лише певним розділам вашого магазину. Це запобігає неправильному використанню різних розділів та зменшує кількість несанкціонованих змін.
Для Extra рівня безпеки відстежувати дії адміністратора запобігайте помилкам, якщо такі є.
9. Забезпечення відповідності PCI-DSS
Пріоритетність відповідності PCI дозволяє вам захистити платіжні дані ваших клієнтів та зберегти їхню довіру. Magento вже використовує ключі шифрування для захисту конфіденційних даних. Але згідно з найкращими практиками безпеки Magento 2, вам слід регулярно їх ротувати та керувати ними.
Крім того, переконайтеся, що ви обрали безпечний платіжний шлюз для Magento . Він має бути сумісним зі стандартом PCI, оскільки обробляє конфіденційні дані клієнтів під час оформлення замовлення.
10. Використовуйте SSL (HTTPS)
Це одна з найважливіших порад щодо безпеки Magento, особливо для нових магазинів. SSL ( https:// ) забезпечує безпечні транзакції інформації на сервері та в браузері. Крім того, це дійсний фактор ранжування для Google, який просуває користувачам надійні та довірені веб-сайти.
Попросіть адміністратора сервера або хостинг-провайдера налаштувати це та змінити Базові URL-адреси та Безпечні базові URL-адреси у Магазини > Конфігурація > Веб.
11. Перевірте розширення та користувацький код на наявність витоків безпеки
Хоча всі розробники Magento повинні дотримуватися вимог безпеки спільноти Magento, завжди існує ризик. Переконайтеся, що ви використовуєте лише надійні розширення та плагіни, які виключають можливість віддаленого виконання коду та слабкі можливості.
Регулярно контролюйте свої журнали помилок , дампи бази даних, каталоги .git та інші важливі файли на наявність будь-яких потенційних загроз.
Крім того, переконайтеся, що жоден із файлів не є загальнодоступним, оскільки хакери можуть його використати. Встановіть правильну папку та дозволи на доступ до файлів , щоб зменшити будь-які ризики.
12. Регулярно оновлюйте Magento
Як ми вже зазначали на початку, Magento регулярно випускає оновлення безпеки, щоб захистити ваш магазин від можливих загроз. Вони роблять це щоквартально або частіше, якщо є якась критична проблема безпеки, яку потрібно виправити.
Однак, щоб отримати ці виправлення, вам потрібно оновіть Magento до останньої версії та переконатися, що всі патчі, версії та розширення оновлені.
13. Встановіть розширений сканер безпеки
Не існує підходу «налаштував і забув», коли справа доходить до безпеки. Хакери не припинятимуть спроб, тому вам не слід припиняти покращувати свою безпеку.
Отже, після того, як ви впровадите всі ці поради щодо безпеки Magento, обов’язково завжди стежте за своїм магазином. А для цього вам потрібен потужний .
Він відстежує всі важливі вразливості безпеки, оцінює їх та дає поради щодо їх усунення.
Від поганої політики паролів та незахищених дозволів на доступ до файлів до виявлення шкідливого програмного забезпечення у файлах та базах даних. Цей інструмент забезпечує повний огляд критичних питань безпеки та своєчасно повідомляє вас про будь-які зміни у файлах.
Спробуйте, щоб бути спокійними та слідкувати за безпекою свого магазину безпосередньо в адміністративній панелі.
Поради щодо безпеки Magento: що далі?
Люди дуже обережно ставляться до інформації, якою вони діляться в Інтернеті в наші дні. Ось чому безпека є одним з ключових факторів, що відрізняють електронну комерцію.
Купуючи у вашому магазині, ви повинні почуватися безпечно та надавати деякі особисті дані під час оформлення замовлення. Щоб це підтримувати, вам потрібно запобігти навіть найменшій можливості витоку цих даних.
А оскільки більшість цих даних зберігається в адміністративній частині, ознайомтеся з порадами щодо покращення Безпека адміністратора Magento .
