Najlepsze strategie bezpieczeństwa w celu ochrony Twojego sklepu Magento

(To jest post gościnny od naszych przyjaciół z JetRails, dostawcy hostingu Magento, który oferuje konfiguracje klientów na dedykowanych serwerach w chmurze AWS.)

Twoja witryna sklepowa Magento jest cennym celem dla hakerów i wymaga rygorystycznych środków bezpieczeństwa, aby zminimalizować jego podatności. Jako dedykowany dostawca hostingu Magento, JetRails jest często wzywany jako służby ratunkowe w celu zwalczania złośliwych ataków. Mamy doświadczenie z pierwszej ręki w zakresie katastrofalnego wpływu, jaki naruszenie bezpieczeństwa może mieć na Twoją firmę.

Postępowanie zgodnie z najlepszymi praktykami i protokołami w zakresie bezpieczeństwa jest najlepszą ochroną w zakresie ochrony witryny sklepowej Magento. Użyj tej listy kontrolnej jako przewodnika po środkach bezpieczeństwa przed najczęstszymi zagrożeniami, w tym wstrzykiwaniem złośliwego kodu, złośliwym oprogramowaniem, atakami typu brute force i przerażającymi atakami DDoS.

Najlepsze praktyki bezpieczeństwa Magento

Zobacz naszą listę kontrolną najlepszych praktyk bezpieczeństwa Magento, aby zapewnić sobie ochronę przed najczęstszymi zagrożeniami internetowymi.

Bezpieczne lokalizacje domyślne

Każda instalacja Magento ma kilka folderów zaplecza używanych do celów administracyjnych. Te punkty wejścia są domyślnie zlokalizowane w /admin, /downloader, /var i różnych punktach końcowych /rss. Ponieważ te foldery są ustawione w określonych i znanych lokalizacjach, mogą stanowić drogę do złośliwych ataków na Twoją witrynę. Ataki siłowe na ścieżki administracyjne mogą bardzo obciążać Twoje zasoby — ograniczając liczbę odwiedzających, wpływając na szybkość i niszcząc stabilność. Jest to problem najściślej związany z instalacjami Magento 1.x w porównaniu z instalacjami Magento 2.x (które automatycznie wymagają tego protokołu bezpieczeństwa). Blokowanie dostępu, dostosowywanie i zabezpieczanie ścieżek administracyjnych znacznie utrudnia hakerom wykorzystanie tej luki.

Uwierzytelnianie dwuetapowe

Uwierzytelnianie dwuskładnikowe, znane również jako 2FA, dodaje drugi poziom ochrony w celu uwierzytelniania poświadczeń logowania dla użytkowników administracyjnych i jest krytycznym elementem bezpieczeństwa Magento. W przypadku standardowej instalacji Magento użytkownik otrzymuje tylko jedną metodę uwierzytelniania, która ma ograniczenia bezpieczeństwa. Dodanie uwierzytelniania dwuskładnikowego stało się najlepszą praktyką w całej branży i ma kluczowe znaczenie dla zabezpieczenia Twojej witryny. Wtyczki Magento 2FA można znaleźć na Magento Marketplace, w tym Magento Two-Factor Authentication by JetRails.

Zapora aplikacji internetowej

Korzystanie z zapory aplikacji sieci Web (WAF), takiej jak Cloudflare, pozwoli powstrzymać luki w zabezpieczeniach, blokując złośliwy ruch, zanim faktycznie dotrze on do serwera. WAF może filtrować, monitorować i blokować ruch przychodzący na podstawie określonych reguł, które skonfigurujesz. Na przykład Geoblokowanie pozwala ograniczyć dostęp botów i/lub ludzi z określonych regionów świata. Kolejną zaletą Cloudflare WAF jest kolektywna inteligencja, która pozwala blokować nie tylko ruch, który zidentyfikowałeś jako złośliwy, ale także ruch uznany za złośliwy przez całą społeczność Cloudflare. Dodatkowo WAF może zapewnić pewną ochronę przed niezastosowanymi łatami Magento. Jednak bardzo ważne jest, aby zawsze mieć zainstalowane najnowsze łatki bezpieczeństwa Magento, a nie polegać wyłącznie na (nawet bardzo wyrafinowanym) firewallu.

Aktualizowanie łatek Magento

Oprogramowanie open source Magento oferuje społecznościom e-commerce ogromną elastyczność w dostosowywaniu swoich witryn i spełnianiu potrzeb klientów. Jednak odpowiedzialność za przestrzeganie protokołów bezpieczeństwa, aktualizowanie poprawek bezpieczeństwa i zapobieganie podatnościom wymaga działania ze strony właścicieli witryn sklepowych i zespołu programistów.

Po wykryciu luki w zabezpieczeniach programiści Magento wprowadzają niewielkie zmiany w określonej linii kodu. Ta poprawka w kodzie jest wysyłana przez Magento jako poprawka bezpieczeństwa do samodzielnej instalacji. Hakerzy są również świadomi tych luk, co oznacza, że ​​łatki bezpieczeństwa powinny być instalowane natychmiast po ich wydaniu. Świetnym źródłem do wykorzystania jest MageReport, który sprawdzi twoją witrynę, aby określić, czy są wymagane instalacje poprawek Magento. Aktualizacje poprawek bezpieczeństwa można również znaleźć w Centrum Bezpieczeństwa Magento. Twoi partnerzy technologiczni powinni informować Cię o dostępności poprawek.

Wtyczki innych firm

Wtyczki innych firm do Magento mogą tworzyć nieskończone opcje ulepszania witryny sklepowej i obsługi klienta. Jednak dodanie funkcji może również spowodować nieoczekiwane luki w zabezpieczeniach. Aby zapewnić zachowanie bezpieczeństwa po zainstalowaniu wtyczek innych firm, programista będzie musiał ręcznie sprawdzić dostępność aktualizacji u wszystkich dostawców i aplikacji. Wtyczki innych firm muszą być dokładnie monitorowane i łatane, ponieważ ujawniane są luki w zabezpieczeniach. Magento Marketplace stał się znacznie bardziej rygorystyczny w sprawdzaniu wtyczek dla Magento 2, ale ta sama zasada dotyczy zarówno Magento 1, jak i Magento 2.

Wersje systemu operacyjnego/PHP

Podobnie jak w przypadku instalacji Magento, system operacyjny serwera musi być aktualizowany za pomocą najnowszych poprawek jądra i bezpieczeństwa. Niezastosowanie się do tego może spowodować poważne luki w zabezpieczeniach, takie jak luki Meltdown i Spectre ujawnione na początku 2018 r., które umożliwiły złośliwemu kodowi odczytanie pamięci jądra.

Dotyczy to również PHP, który odczytuje i wykonuje kod źródłowy Magento. Każda nowa iteracja PHP zabezpiecza podatności, które zostały ujawnione w kolejnych wersjach. Ponadto starsze wersje PHP nie przejdą skanowania zgodności PCI.

Niezwykle ważna jest współpraca z dostawcą usług zarządzanych, który będzie odpowiedzialny za utrzymanie całego stosu oprogramowania, w tym jądra i powiązanych usług.

Zgodność z PCI

Payment Card Industry Data Security Standard (PCI DSS) dotyczy firm dowolnej wielkości, które akceptują płatności kartą kredytową. Ponieważ większość sklepów Magento obsługuje konta klientów, rozsądne jest spełnienie standardów zgodności PCI. Jeśli Twoja firma zamierza akceptować płatności kartą i przetwarzać dane posiadaczy kart klientów, musisz również bezpiecznie przechowywać swoje dane u dostawcy hostingu zgodnego z PCI. Przeprowadzenie skanowania PCI przez zatwierdzonego dostawcę, takiego jak Trustwave, może ujawnić wyzwania związane z bezpieczeństwem, które mogą utrudniać uzyskanie zgodności z PCI.

Dostęp z najniższymi uprawnieniami

Inną ważną kwestią projektową przy zabezpieczaniu witryny Magento przed złośliwym zachowaniem jest koncepcja dostępu z najmniejszymi uprawnieniami. Zasada ta wymaga, aby użytkownicy mieli dostęp tylko do minimalnego podzbioru funkcji, które są potrzebne do wykonania określonego zadania. Na przykład pracownicy działu wysyłki powinni mieć dostęp tylko do funkcji wysyłki; podobnie osoby zajmujące się rozliczeniami powinny mieć tylko możliwość wpływania na rozliczenia. Korzystając z kombinacji uprawnień tylko do odczytu i oddzielania działów, zwiększy się bezpieczeństwo poufnych danych klientów.

Bezpieczeństwo dostępu

Hasła należy regularnie zmieniać i nie należy ich udostępniać. Ćwiczenie dobrych protokołów haseł ma kluczowe znaczenie dla bezpieczeństwa. Nie wysyłaj haseł w e-mailach, SMS-ach, komunikatorach internetowych, zgłoszeniach pomocy technicznej ani w żaden inny nieszyfrowany sposób. W przypadku dostępu do systemu zwykle nie jest dobrym pomysłem zezwalanie na uwierzytelnianie hasłem dla użytkowników powłoki lub SFTP. Jeśli to możliwe, używaj kluczy SSH zamiast haseł.

Świetnym źródłem bezpiecznego przechowywania haseł jest LastPass, darmowy system zarządzania, który działa na każdej przeglądarce i urządzeniu mobilnym. Może również generować bezpieczne hasła i oferuje najsilniejsze obecnie dostępne standardy szyfrowania.

Chroń swoje środowisko programistyczne

Bardzo ważne jest, aby ograniczyć dostęp do środowiska programistycznego osobom innym niż programiści. Pamiętaj, że Twoje środowisko deweloperskie jest lustrem Twojej witryny produkcyjnej (na żywo) z równie cennymi informacjami. Często programiści ponownie używają haseł i kluczy SSH zarówno w programach deweloperskich, jak i prod, dlatego ważne jest utrzymanie tych samych rygorystycznych protokołów bezpieczeństwa w obu środowiskach.

Otaczaj się wspaniałym zespołem

Każdy z tych kroków zapewnia inną warstwę ochrony i można go włączyć do strategii bezpieczeństwa, aby pomóc w ograniczeniu ryzyka i wyeliminowaniu zagrożeń dla witryny sklepowej Magento. Współpraca z dobrą firmą hostingową i solidnym zespołem programistycznym ma fundamentalne znaczenie dla osiągnięcia solidnego planu bezpieczeństwa. W ostatecznym rozrachunku zabezpieczenie witryny e-commerce polega na ochronie zasobów, klientów i reputacji.

O autorze: Davida Wexler, dyrektor ds. marketingu JetRails

Davida Wexler jest dyrektorem ds. marketingu JetRails, dostawcy hostingu Magento oferującego niestandardowe konfiguracje na serwerach dedykowanych oraz w chmurze AWS. Z biurami w Chicago, JetRails koncentruje się na bezpieczeństwie, akceleracji i wydajności platform e-commerce. Firma z pasją pomaga swoim klientom rozwijać się i napędzać sukces Magento. Ostatecznie wierzą, że e-commerce to ludzie, a nie serwery. *Davida nie jest pracownikiem nChannel. Jest gościnnym blogerem.