SO SCHÜTZEN SIE IHREN MAGENTO STORE VOR HACKING

Magento ist eine der größten Open-Source-E-Commerce-Plattformen der Welt und wird zu einer Augenweide für Hacker mit böswilligen Absichten. Ungeachtet der Menge an Arbeit, die für die Sicherung dieser Plattform aufgewendet wird, werden Hacker immer wieder versuchen, neue Wege zu finden, um Sicherheitsmaßnahmen zu umgehen.

Trotz der Tatsache, dass Magento über eigene Sicherheitsfunktionen verfügt (und diese gehören zu den besten), müssen Sie dennoch proaktiv sein und vorbeugende Maßnahmen wie Sicherheitsaudits und Tests ergreifen, um alle Schwachstellen zu bewerten.

Als Magento-Experten erhalten wir viele Anfragen von Magento-E-Commerce-Besitzern, die ihre Shops vor zukünftigen Hack-Angriffen schützen müssen, die ihre Benutzerdaten gefährden.

Hier ist also die Situation: Sicherheitsbedenken werden immer vorhanden sein, weshalb wir Ihnen eine Reihe von Prüfungen und wichtigen Schritten mitteilen möchten, die Sie unternehmen können, um Ihren Online-Shop vor Hackerangriffen zu schützen.

Dieser Artikel listet Möglichkeiten auf, wie Ladenbesitzer, Marketing-Manager, E-Commerce-Manager usw. wesentliche Magento-Sicherheitsmaßnahmen implementieren können.

WÄHLEN SIE EINE SICHERE HOSTING-INFRASTRUKTUR

Stellen Sie bei der Auswahl eines Hosting-Anbieters sicher, dass dieser über einen sicheren Softwareentwicklungslebenszyklus verfügt und gemäß Industriestandards arbeitet (dh den Best Practices für OWASP-Sicherheit).

Wenn Sie dabei sind, eine neue Website zu erstellen, starten Sie die Website über HTTPS. Dies wird Ihre Website sicher verschlüsseln und ihr helfen, höhere Google-Rankings zu erhalten. Bei einer bestehenden Website empfehlen wir Ihnen, die Website für die Ausführung auf HTTPS zu aktualisieren.

SICHERE UMGEBUNG

Halten Sie die gesamte Software auf dem neuesten Stand und wenden Sie ALLE empfohlenen Sicherheitspatches an. Magento veröffentlicht regelmäßig Fehlerbehebungen in Form von Patches, daher wird empfohlen, zu überprüfen, ob alle neuesten Patches auf Ihrem System installiert sind.

Deaktivieren Sie FTP und verwenden Sie nur sichere Kommunikation (SSH/SFTP/HTTPS), um Dateien zu verwalten. Der Grund, warum dies ratsam ist, liegt darin, dass Plain FTP Daten im Klartext überträgt, was bedeutet, dass vertrauliche Informationen wie Benutzernamen und Passwörter von Benutzern leicht erlangt werden können.

Wenn Sie einen anderen Server als den Apache-Webserver verwenden, stellen Sie sicher, dass alle Systemdateien und -verzeichnisse geschützt sind .

Erlauben Sie nur IP-Adressen auf der Whitelist den Zugriff auf das Admin-Panel. Wenn Sie sich nicht sicher sind, wie Sie diese Berechtigungen verwalten sollen, lesen Sie dies.

Implementieren Sie die Zwei-Faktor-Authentifizierung für Administratoranmeldungen. Dies bietet zusätzliche Sicherheit und erfordert einen zusätzlichen Passcode, der auf Ihrem Telefon generiert wird.

Aktualisieren Sie regelmäßig Ihre Antivirensoftware und verwenden Sie einen Malware-Scanner, um den Computer zu sichern, den Sie für den Zugriff auf das Magento Admin Dashboard verwenden.

Stellen Sie außerdem sicher, dass auf dem Server keine unnötige Software ausgeführt wird, um ein sicheres Serverbetriebssystem zu gewährleisten.

SICHERES MAGENTO

Verwenden Sie eine eindeutige Admin-URL , die nicht leicht zu erraten ist, um die Gefährdung durch Skripts zu verringern, die versuchen könnten, Ihre Admin-URL zu durchbrechen.

Verwenden Sie ein sicheres Passwort für das Magento-Administratorkonto. Sie sollten NIEMALS einfache Passwörter für den Magento-Adminbereich verwenden (Geburtsdaten, Vornamen, Nachnamen usw.) und etwa einmal im Monat Ihre Passwörter ändern. Geben Sie Ihr Passwort außerdem nicht an Dritte weiter. Wenn es notwendig ist, Entwicklern Zugriff zu gewähren, erstellen Sie einen separaten Benutzer für sie und löschen Sie ihn, nachdem die Arbeit abgeschlossen ist.

Überprüfen Sie die Admin-Benutzer regelmäßig , um sicherzustellen, dass nur die richtigen Personen Zugriff auf das Store-Admin-Panel haben. Dies kann ein guter Zeitpunkt sein, um alte Benutzer zu entfernen/löschen.

Es ist wichtig, die entsprechende Berechtigungsstufe zu überprüfen, um jeden weiteren unerwünschten Zugriff auf Ihren Magento-E-Commerce zu verhindern. Diese Prüfung stellt sicher, dass allen Benutzergruppen nur vorgesehene Zugriffsrechte gewährt werden.

Halten Sie sich an die sicherheitsbezogenen Konfigurationseinstellungen von Magento für Admin-Sicherheit, Passwortoptionen und CAPTCHA.

Verwenden Sie die neueste Version von Magento , um die neuesten Sicherheitsverbesserungen zu genießen. Installieren Sie andernfalls alle von Magento empfohlenen Sicherheitspatches.

Schließlich werden einige Magento-Erweiterungen von ihren Erstellern nicht mehr benötigt oder nicht mehr gepflegt und weisen daher Schwachstellen auf. Es ist wichtig, dass Sie Ihre Liste mit Add-Ons überprüfen und überprüfen, ob sie auf dem neuesten Stand sind. Dies hilft, die aufgegebenen Erweiterungen zu entfernen und zu deinstallieren.

ÜBERWACHEN SIE AUF ZEICHEN ODER SYMPTOME EINER GEHACKTEN MAGENTO-WEBSITE

Nichtverfügbarkeit des Webshops : Wenn Ihr Shop ständig nicht verfügbar ist oder vom Hosting-Service blockiert wird, wurden Sie möglicherweise Opfer eines Denial-of-Service-Angriffs. Diese Art von Angriff stört Ihre Online-Präsenz, gefährdet aber nicht Ihre Datensicherheit.

Administrationsbereich und Probleme mit Inhalten : Wenn Sie feststellen, dass es einen neuen Benutzer mit Administratorrechten gibt, den Sie nicht erstellt haben, Änderungen an Ihrem Shop-Inhalt bemerken oder Sie sich vielleicht nicht einmal anmelden können, leiden Sie möglicherweise unter einem kritischen gefährlicher Angriff auf Ihre Website und Ihr Unternehmen (Einbruch in das Admin-Panel)

Schlechte Leistung : Der Hacked Redirect-Angriff zielt darauf ab, den Datenverkehr Ihres Shops zu erfassen und Ihre Kunden Malware, Phishing-Angriffen oder Werbe-Spam auszusetzen. Wenn Sie bemerken, dass Ihr Shop nicht in Suchmaschinen erscheint oder auf unerwünschte Seiten umgeleitet wird, ergreifen Sie Maßnahmen, Sie wurden möglicherweise gehackt.

Gemeldeter Datendiebstahl : Sie haben diesen Angriff erlitten, wenn Ihre Kunden verdächtige Aktivitäten mit ihren Konten melden oder ihre Kreditkartendaten gestohlen wurden. Dies sind E-Mail-basierte Angriffe mit der Absicht des Datenzugriffs und des Identitätsdiebstahls.

Sie müssen nicht erwähnen, wie stark sich dies auf Ihre E-Commerce-Site auswirken könnte.

• Überprüfen Sie die Serverprotokolle regelmäßig auf verdächtige Aktivitäten.
• Überprüfen Sie, ob nicht autorisierte Administratorbenutzer erstellt wurden. Sie können das Admin Actions Log überwachen.
• Überprüfen Sie die Datenintegrität von Dateien auf dem Server, um eine potenzielle Malware-Installation zu vermeiden.
• Überwachen Sie alle Systemanmeldungen (FTP, SFTP, SSH) auf unerwartete Aktivitäten, Uploads oder Befehle

ENTWICKELN SIE EINEN WIEDERHERSTELLUNGSPLAN

Selbst wenn Sie strenge Sicherheitsmaßnahmen angewendet haben, erstellen Sie einen Wiederherstellungs-/Geschäftskontinuitätsplan für das Worst-Case-Szenario. Es ist wichtig, dass Sie Ihre gesamten Webshop-Daten sichern. Dies hilft bei der Wiederherstellung Ihres Webshops im Falle eines Datenverlusts.

Stellen Sie sicher, dass vorhandene Sicherungen von Datenbank- und Serverdateien an einem externen Speicherort vorhanden sind. Stellen Sie sicher, dass diese Sicherungen korrekt erstellt werden und wiederhergestellt werden können.

Im Falle eines Angriffs, egal wie klein, setzen Sie alle Anmeldeinformationen zurück, einschließlich der Datenbank, des Dateizugriffs, der Verschlüsselungsschlüssel des Zahlungsgateways, der Webdienste und der Magento-Administratoranmeldung, FTP, SSH usw.