Лучшие стратегии безопасности для защиты вашего магазина Magento

(Это гостевой пост от наших друзей из JetRails, хостинг-провайдера Magento, предлагающего клиентские конфигурации на выделенных серверах в облаке AWS.)

Ваша витрина магазина Magento является важной целью для хакеров и требует строгих мер безопасности, чтобы свести к минимуму ее уязвимости. Как специализированный хостинг-провайдер Magento, JetRails часто вызывается в качестве экстренного реагирования для борьбы со злонамеренными атаками. Мы не понаслышке знаем о катастрофических последствиях нарушения безопасности для вашего бизнеса.

Следование передовым методам и протоколам безопасности — лучший способ защитить вашу витрину Magento. Используйте этот контрольный список в качестве руководства по мерам защиты от наиболее распространенных угроз, включая внедрение вредоносного кода, вредоносное ПО, атаки методом грубой силы и ужасные DDoS.

Лучшие практики безопасности Magento

Ознакомьтесь с нашим контрольным списком лучших практик безопасности Magento, чтобы убедиться, что вы защищены от наиболее распространенных онлайн-угроз.

Безопасные местоположения по умолчанию

Каждая установка Magento имеет несколько внутренних папок, используемых для административных целей. Эти точки входа по умолчанию расположены в /admin, /downloader, /var и различных конечных точках /rss. Поскольку эти папки установлены в определенных и известных местах, они могут быть входом для вредоносных атак на ваш сайт. Атаки грубой силы на ваши пути администратора могут привести к огромной нагрузке на ваши ресурсы, ограничивая количество посетителей, влияя на скорость и снижая стабильность. Эта проблема наиболее тесно связана с установками Magento 1.x по сравнению с установками Magento 2.x (которые автоматически требуют этого протокола безопасности). Блокирование доступа, настройка и защита путей администратора значительно усложняют использование этой уязвимости хакерами.

Двухфакторная аутентификация

Двухфакторная аутентификация, также известная как 2FA, добавляет второй уровень защиты для аутентификации учетных данных для входа в систему для пользователей-администраторов и является важным компонентом безопасности Magento. При стандартной установке Magento пользователю предоставляется только один метод аутентификации, который имеет ограничения безопасности. Добавление двухфакторной аутентификации стало общепринятой отраслевой практикой и имеет жизненно важное значение для защиты вашего веб-сайта. Плагины Magento 2FA можно найти на Magento Marketplace, включая двухфакторную аутентификацию Magento от JetRails.

Брандмауэр веб-приложений

Использование брандмауэра веб-приложений (WAF), такого как Cloudflare, позволит вам предотвратить уязвимости безопасности, блокируя вредоносный трафик до того, как он действительно достигнет вашего сервера. WAF может фильтровать, отслеживать и блокировать входящий трафик на основе определенных правил, которые вы настраиваете. Например, геоблокировка позволяет ограничить доступ ботов и/или людей из определенных регионов мира. Еще одним преимуществом Cloudflare WAF является Коллективный разум, который позволяет вам блокировать не только трафик, который вы идентифицировали как вредоносный, но и любой трафик, признанный вредоносным всем сообществом Cloudflare. Кроме того, WAF может обеспечить некоторую защиту от непримененных исправлений Magento. Тем не менее, очень важно всегда устанавливать последние исправления безопасности Magento, а не полагаться исключительно на (даже очень сложный) брандмауэр.

Обновление патчей Magento

Программное обеспечение Magento с открытым исходным кодом предлагает сообществам электронной коммерции огромную гибкость для настройки своих сайтов и удовлетворения потребностей своих клиентов. Однако ответственность за соблюдение протоколов безопасности, обновление исправлений безопасности и предотвращение уязвимостей требует действий со стороны владельцев витрин и команды разработчиков.

При обнаружении уязвимости в системе безопасности разработчики Magento вносят незначительные изменения в определенную строку кода. Эта подстройка в коде рассылается Magento как исправление безопасности, которое нужно установить самостоятельно. Хакеры также знают об этих уязвимостях, а это означает, что исправления безопасности должны устанавливаться сразу после их выпуска. Отличным ресурсом для использования является MageReport, который проверит ваш сайт, чтобы определить, требуется ли установка каких-либо исправлений Magento. Обновления безопасности исправлений также можно найти в Центре безопасности Magento. Ваши технологические партнеры должны оповещать вас о выпуске исправлений.

Сторонние плагины

Сторонние плагины для Magento могут создавать бесконечные возможности для улучшения вашей витрины и обслуживания клиентов. Однако добавление функций также может привести к неожиданным уязвимостям. Чтобы гарантировать сохранение безопасности после установки сторонних плагинов, вашему разработчику потребуется вручную проверить наличие обновлений у всех поставщиков и приложений. Сторонние плагины необходимо тщательно отслеживать и исправлять по мере выявления уязвимостей. Magento Marketplace стал намного строже в отношении проверки плагинов для Magento 2, но тот же принцип применяется как для Magento 1, так и для Magento 2.

Версии ОС/PHP

Как и ваша установка Magento, операционная система вашего сервера должна быть обновлена ​​с помощью новейших исправлений ядра и безопасности. Невыполнение этого требования может привести к серьезным пробелам в безопасности, таким как уязвимости Meltdown и Spectre, обнаруженные в начале 2018 года, которые позволяли вредоносному коду считывать память ядра.

Это также верно для PHP, который читает и выполняет исходный код Magento. Каждая новая итерация PHP устраняет уязвимости, обнаруженные в последующих версиях. Кроме того, более старые версии PHP не проходят сканирование на соответствие PCI.

Жизненно важно работать с поставщиком управляемых услуг, который будет нести ответственность за поддержку всего стека программного обеспечения, включая ядро ​​и сопутствующие услуги.

Соответствие PCI

Стандарт безопасности данных индустрии платежных карт (PCI DSS) применяется к компаниям любого размера, которые принимают платежи по кредитным картам. Поскольку большинство витрин Magento работают с учетными записями клиентов, разумно соблюдать стандарты соответствия PCI. Если ваша компания намерена принимать платежи по картам и обрабатывать данные держателей карт клиентов, вам также необходимо безопасно разместить свои данные у хостинг-провайдера, совместимого с PCI. Выполнение сканирования PCI через утвержденного поставщика, такого как Trustwave, может выявить проблемы безопасности, которые могут помешать вам добиться соответствия требованиям PCI.

Наименее привилегированный доступ

Еще одно важное соображение при проектировании защиты вашего веб-сайта Magento от злонамеренного поведения — это концепция доступа с наименьшими привилегиями. Этот принцип требует, чтобы пользователям был предоставлен доступ только к минимальному подмножеству функций, необходимых для выполнения конкретной задачи. Например, сотрудники отдела доставки должны иметь доступ только к функциям доставки; точно так же те, кто занимается выставлением счетов, должны иметь возможность влиять только на выставление счетов. Используя комбинацию разрешений только для чтения и разделения отделов, безопасность ваших конфиденциальных данных о клиентах будет повышена.

Безопасность доступа

Пароли следует регулярно менять, и их не следует разглашать. Практика хороших протоколов паролей имеет важное значение для безопасности. Не отправляйте пароли в открытом тексте по электронной почте, SMS, IM, билетах в службу поддержки или любым другим незашифрованным способом. Для доступа к системе обычно не рекомендуется разрешать аутентификацию по паролю для пользователей оболочки или SFTP. По возможности используйте ключи SSH вместо паролей.

Отличным ресурсом для безопасного хранения паролей является LastPass, бесплатная система управления, которая работает в любом браузере и на любом мобильном устройстве. Он также может генерировать безопасные пароли и предлагает самые надежные стандарты шифрования, доступные в настоящее время.

Защитите свою среду разработки

Очень важно ограничить любой доступ к вашей среде разработки для всех, кроме ваших разработчиков. Помните, что ваша среда разработки — это зеркало вашего рабочего (живого) сайта с не менее ценной информацией. Часто разработчики повторно используют пароли и ключи SSH как в dev, так и в prod, поэтому очень важно поддерживать одни и те же строгие протоколы безопасности в обеих средах.

Окружите себя отличной командой

Каждый из этих шагов обеспечивает отдельный уровень защиты и может быть включен в стратегию безопасности, чтобы помочь вам снизить риски и устранить угрозы для вашей витрины магазина Magento. Работа с хорошей хостинговой компанией и надежной командой разработчиков имеет основополагающее значение для достижения надежного плана безопасности. В конце концов, защита вашего сайта электронной коммерции — это защита ваших активов, ваших клиентов и вашей репутации.

Об авторе: Давида Векслер, директор по маркетингу JetRails

Давида Векслер — директор по маркетингу JetRails, хостинг-провайдера Magento, предлагающего индивидуальные конфигурации на выделенных серверах и в облаке AWS. JetRails с офисами в Чикаго уделяет особое внимание безопасности, ускорению и производительности платформ электронной коммерции. Компания увлечена тем, чтобы помогать своим клиентам расти и добиваться успеха Magento. В конце концов, они считают, что электронная коммерция — это люди, а не серверы. *Давида не является сотрудником nChannel. Она приглашенный блогер.