BAGAIMANA MELINDUNGI TOKO MAGENTO ANDA DARI HACKED

Magento adalah salah satu platform e-commerce open-source terbesar di dunia, menjadi perhatian para peretas dengan niat jahat. Terlepas dari jumlah pekerjaan yang didedikasikan untuk mengamankan platform ini, peretas akan terus mencoba menemukan cara baru untuk menghindari tindakan keamanan.

Terlepas dari kenyataan bahwa Magento memiliki fitur keamanannya sendiri (dan merupakan salah satu yang terbaik), Anda tetap harus proaktif dan mengambil tindakan pencegahan seperti audit dan pengujian keamanan untuk menilai semua kerentanan.

Sebagai pakar Magento, kami menerima banyak permintaan dari pemilik e-niaga Magento yang perlu mencegah toko mereka dari serangan peretasan di masa mendatang yang membahayakan data pengguna mereka.

Jadi inilah situasinya: masalah keamanan akan selalu ada, alasan mengapa kami ingin berbagi dengan Anda serangkaian audit dan langkah-langkah penting yang dapat Anda ambil untuk melindungi toko online Anda dari peretasan.

Artikel ini mencantumkan cara pemilik toko, manajer pemasaran, manajer e-niaga, dll. dapat menerapkan langkah-langkah keamanan Magento yang penting.

PILIH INFRASTRUKTUR HOSTING YANG AMAN

Saat memilih penyedia hosting, pastikan mereka memiliki siklus hidup pengembangan perangkat lunak yang aman, dan mereka bekerja sesuai dengan standar industri (yaitu praktik terbaik keamanan OWASP).

Jika Anda sedang dalam proses membangun situs web baru, luncurkan situs melalui HTTPS. Ini akan mengenkripsi situs Anda dengan aman serta membantunya mendapatkan peringkat Google yang lebih tinggi. Untuk situs web yang sudah ada, kami menyarankan Anda untuk memutakhirkan situs agar berjalan di HTTPS.

LINGKUNGAN YANG AMAN

Perbarui semua perangkat lunak dan terapkan SEMUA patch keamanan yang direkomendasikan. Magento secara teratur merilis perbaikan dalam bentuk tambalan sehingga disarankan untuk memeriksa apakah semua tambalan terbaru diinstal pada sistem Anda.

Nonaktifkan FTP dan gunakan hanya komunikasi yang aman (SSH/SFTP/HTTPS) untuk mengelola file. Alasan mengapa disarankan untuk melakukan ini adalah karena FTP biasa mentransmisikan data dalam teks biasa, yang berarti bahwa informasi sensitif seperti nama pengguna dan kata sandi pengguna dapat diperoleh dengan mudah.

Jika Anda menggunakan server yang berbeda dari server web Apache, pastikan semua file dan direktori sistem dilindungi .

Izinkan hanya alamat IP yang Masuk Daftar Putih untuk mengakses panel admin. Jika Anda tidak yakin tentang cara mengelola izin ini, baca ini.

Terapkan autentikasi dua faktor untuk login Admin. Ini akan memberikan keamanan ekstra yang memerlukan kode sandi tambahan yang dibuat di ponsel Anda.

Perbarui perangkat lunak antivirus Anda secara teratur dan gunakan pemindai malware untuk mengamankan komputer yang Anda gunakan untuk mengakses Dasbor Admin Magento.

Selain itu, untuk memastikan sistem operasi server yang aman, pastikan tidak ada perangkat lunak yang tidak perlu yang berjalan di server.

MAGENTO AMAN

Untuk mengurangi paparan skrip yang mungkin mencoba menerobos URL Admin Anda, gunakan URL Admin unik yang tidak mudah ditebak.

Gunakan kata sandi yang kuat untuk akun Administrator Magento. Anda TIDAK boleh menggunakan kata sandi sederhana untuk admin Magento (tanggal lahir, nama, nama keluarga, dll) dan sekitar sebulan sekali, ubah kata sandi Anda. Selain itu, jangan bagikan kata sandi Anda dengan pihak ketiga. Jika ada kebutuhan untuk memberikan akses ke pengembang, buat pengguna terpisah untuk mereka dan hapus setelah pekerjaan selesai.

Periksa pengguna admin secara teratur untuk memastikan hanya orang yang tepat yang memiliki akses ke panel admin toko. Ini bisa menjadi saat yang tepat untuk menghapus / menghapus pengguna lama.

Sangat penting untuk memeriksa tingkat izin yang sesuai untuk mencegah akses lebih lanjut yang tidak diminta ke e-niaga Magento Anda. Pemeriksaan ini memastikan bahwa semua grup pengguna hanya diberikan hak akses yang dimaksudkan.

Patuhi pengaturan konfigurasi terkait keamanan Magento untuk Keamanan Admin, Opsi Kata Sandi, dan CAPTCHA.

Gunakan versi terbaru Magento untuk menikmati peningkatan keamanan terbaru. Jika tidak, instal semua patch keamanan seperti yang direkomendasikan oleh Magento.

Akhirnya, beberapa ekstensi Magento tidak diperlukan atau tidak lagi dikelola oleh pembuatnya dan oleh karena itu memiliki kerentanan. Penting untuk meninjau daftar pengaya Anda dan memeriksa apakah pengaya tersebut mutakhir. Ini membantu untuk menghapus ekstensi yang ditinggalkan dan mencopot pemasangannya.

MONITOR UNTUK TANDA ATAU GEJALA DARI SITUS MAGENTO YANG DIHACKED

Ketidaktersediaan toko web : Jika toko Anda terus-menerus tidak tersedia, atau diblokir oleh layanan hosting, Anda mungkin telah menjadi korban Serangan Denial-of-Service. Jenis serangan ini akan mengganggu keberadaan online Anda tetapi tidak mengancam keamanan data Anda.

Panel administrasi dan masalah konten : Jika Anda mengetahui ada pengguna baru dengan hak admin yang belum Anda buat, pemberitahuan perubahan yang dibuat pada konten toko Anda, atau Anda mungkin bahkan tidak dapat masuk, Anda mungkin menderita masalah kritis serangan berbahaya ke situs web dan bisnis Anda (Admin Panel Break in)

Performa buruk : Serangan Hacked Redirect bertujuan untuk mengambil lalu lintas toko Anda dan mengekspos pelanggan Anda ke malware, serangan phishing, atau spam iklan. Jika Anda melihat bahwa toko Anda tidak muncul di mesin pencari atau dialihkan ke halaman yang tidak diminta, ambil tindakan, Anda mungkin telah diretas.

Pencurian data yang dilaporkan : Anda mengalami serangan ini jika pelanggan Anda melaporkan aktivitas mencurigakan dengan akun mereka, atau kredensial kartu kredit mereka telah dicuri. Ini adalah serangan berbasis email dengan tujuan akses data dan pencurian identitas.

Tidak perlu berkomentar seberapa buruk hal ini dapat memengaruhi situs e-niaga Anda.

• Tinjau log server secara berkala untuk setiap aktivitas yang mencurigakan.
• Periksa apakah ada pengguna admin yang tidak sah telah dibuat. Anda dapat memantau Log Tindakan Admin.
• Periksa integritas data file di server untuk menghindari potensi instalasi malware.
• Pantau semua login sistem (FTP, SFTP, SSH) untuk aktivitas, unggahan, atau perintah yang tidak terduga

KEMBANGKAN RENCANA PEMULIHAN

Bahkan jika Anda telah menerapkan langkah-langkah keamanan yang ketat, buat rencana pemulihan/kesinambungan bisnis untuk skenario terburuk. sangat penting untuk mencadangkan seluruh data toko web Anda. Ini akan membantu memulihkan toko web Anda jika terjadi kehilangan data.

Pastikan ada cadangan file database dan server di lokasi eksternal. Pastikan cadangan ini diambil dengan benar dan dapat dipulihkan.

Jika terjadi serangan, sekecil apa pun, setel ulang semua kredensial termasuk yang basis data, akses file, kunci enkripsi gateway pembayaran, layanan web dan login admin Magento, FTP, SSH, dll.