กลยุทธ์การรักษาความปลอดภัยชั้นยอดเพื่อปกป้องร้านค้าวีโอไอพีของคุณ

(นี่คือโพสต์จากเพื่อนของเราที่ JetRails ซึ่งเป็นผู้ให้บริการโฮสติ้ง Magento ที่เสนอการกำหนดค่าลูกค้าบนเซิร์ฟเวอร์เฉพาะใน AWS Cloud)

หน้าร้าน Magento ของคุณเป็นเป้าหมายที่มีมูลค่าสูงสำหรับแฮกเกอร์และต้องการมาตรการรักษาความปลอดภัยที่เข้มงวดเพื่อลดช่องโหว่ให้เหลือน้อยที่สุด ในฐานะผู้ให้บริการโฮสติ้ง Magento โดยเฉพาะ JetRails มักถูกเรียกให้เป็นผู้เผชิญเหตุฉุกเฉินเพื่อต่อสู้กับการโจมตีที่เป็นอันตราย เรามีประสบการณ์ตรงเกี่ยวกับผลกระทบร้ายแรงที่การละเมิดความปลอดภัยอาจมีต่อธุรกิจของคุณ

การปฏิบัติตามแนวทางปฏิบัติและโปรโตคอลด้านความปลอดภัยที่ดีที่สุดคือการป้องกันที่ดีที่สุดในการปกป้องหน้าร้าน Magento ของคุณ ใช้รายการตรวจสอบนี้เป็นแนวทางสำหรับมาตรการด้านความปลอดภัยจากภัยคุกคามที่พบบ่อยที่สุด รวมถึงการแทรกโค้ดที่เป็นอันตราย มัลแวร์ การโจมตีแบบเดรัจฉาน และ DDoS ที่น่ากลัว

แนวทางปฏิบัติที่ดีที่สุดของ Magento Security

ดูรายการตรวจสอบแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ Magento เพื่อให้แน่ใจว่าคุณได้รับการปกป้องจากภัยคุกคามออนไลน์ที่พบบ่อยที่สุด

ตำแหน่งเริ่มต้นที่ปลอดภัย

การติดตั้ง Magento แต่ละรายการมีโฟลเดอร์แบ็คเอนด์หลายโฟลเดอร์ที่ใช้เพื่อวัตถุประสงค์ในการดูแลระบบ โดยค่าเริ่มต้น จุดเริ่มต้นเหล่านี้อยู่ที่ /admin, /downloader, /var และ /rss endpoints ต่างๆ เนื่องจากโฟลเดอร์เหล่านี้ถูกตั้งค่าไว้ที่ตำแหน่งเฉพาะและเป็นที่รู้จัก จึงสามารถเป็นทางเข้าสำหรับการโจมตีที่ประสงค์ร้ายในไซต์ของคุณ การโจมตีด้วยกำลังดุร้ายไปยังเส้นทางผู้ดูแลระบบของคุณอาจทำให้ทรัพยากรของคุณตึงเครียดอย่างมาก – จำกัดความสามารถของผู้เข้าชม ส่งผลกระทบต่อความเร็ว และความเสถียรในการกัดเซาะ นี่เป็นปัญหาที่เกี่ยวข้องมากที่สุดกับการติดตั้ง Magento 1.x กับการติดตั้ง Magento 2.x (ซึ่งต้องใช้โปรโตคอลความปลอดภัยนี้โดยอัตโนมัติ) การบล็อกการเข้าถึง การปรับแต่ง และการรักษาความปลอดภัยเส้นทางผู้ดูแลระบบทำให้แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่นี้ได้ยากขึ้นมาก

การรับรองความถูกต้องด้วยสองปัจจัย

การรับรองความถูกต้องด้วยสองปัจจัยหรือที่เรียกว่า 2FA จะเพิ่มระดับการป้องกันที่สองในการตรวจสอบข้อมูลรับรองการเข้าสู่ระบบสำหรับผู้ใช้ที่เป็นผู้ดูแลระบบและเป็นองค์ประกอบที่สำคัญสำหรับการรักษาความปลอดภัย Magento ด้วยการติดตั้งแบบสต็อก Magento ผู้ใช้จะได้รับวิธีการตรวจสอบสิทธิ์เพียงวิธีเดียวเท่านั้นซึ่งมีข้อจำกัดด้านความปลอดภัย การเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยได้กลายเป็นแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรมและมีความสำคัญต่อการรักษาความปลอดภัยเว็บไซต์ของคุณ ปลั๊กอิน Magento 2FA สามารถพบได้ใน Magento Marketplace รวมถึง Magento Two-Factor Authentication โดย JetRails

ไฟร์วอลล์แอปพลิเคชันเว็บ

การใช้ Web Application Firewall (WAF) เช่น Cloudflare จะช่วยให้คุณสามารถยับยั้งช่องโหว่ด้านความปลอดภัยได้โดยการปิดกั้นการรับส่งข้อมูลที่เป็นอันตรายก่อนที่จะเข้าถึงเซิร์ฟเวอร์ของคุณจริงๆ WAF สามารถกรอง ตรวจสอบ และบล็อกการรับส่งข้อมูลขาเข้าตามกฎเฉพาะที่คุณกำหนดค่า ตัวอย่างเช่น Geoblocking อนุญาตให้คุณจำกัดการเข้าถึงของบอทและ/หรือของมนุษย์จากภูมิภาคทั่วโลกที่เฉพาะเจาะจง ประโยชน์อีกประการของ Cloudflare WAF คือ Collective Intelligence ซึ่งช่วยให้คุณบล็อกไม่เฉพาะการรับส่งข้อมูลที่คุณระบุว่าเป็นอันตราย แต่การรับส่งข้อมูลใดๆ ที่ชุมชน Cloudflare ถือว่าเป็นอันตรายทั้งหมด นอกจากนี้ WAF ยังสามารถป้องกันแพทช์ Magento ที่ยังไม่ได้ใช้งานได้อีกด้วย อย่างไรก็ตาม มันสำคัญมากที่จะต้องติดตั้งแพตช์ความปลอดภัย Magento ล่าสุดเสมอ เทียบกับการพึ่งพาไฟร์วอลล์ (แม้แต่ไฟร์วอลล์ที่มีความซับซ้อนมาก) เท่านั้น

กำลังอัปเดต Magento Patches

ซอฟต์แวร์โอเพ่นซอร์สของ Magento ช่วยให้ชุมชนอีคอมเมิร์ซมีความยืดหยุ่นอย่างมากในการปรับแต่งไซต์และตอบสนองความต้องการของลูกค้า อย่างไรก็ตาม ความรับผิดชอบในการปฏิบัติตามโปรโตคอลความปลอดภัย การอัปเดตแพตช์ความปลอดภัย และการยับยั้งช่องโหว่นั้นจำเป็นต้องดำเนินการจากเจ้าของหน้าร้านและทีมพัฒนา

เมื่อมีการค้นพบช่องโหว่ด้านความปลอดภัย นักพัฒนา Magento จะทำการเปลี่ยนแปลงเล็กน้อยในโค้ดบางบรรทัด การปรับแต่งในโค้ดนี้ถูกส่งโดย Magento เป็นแพตช์ความปลอดภัยที่จะติดตั้งเอง แฮกเกอร์ทราบถึงช่องโหว่เหล่านี้เช่นกัน ซึ่งหมายความว่าควรติดตั้งแพตช์ความปลอดภัยทันทีที่ปล่อยออกมา แหล่งข้อมูลที่ดีในการใช้คือ MageReport ซึ่งจะตรวจสอบไซต์ของคุณเพื่อดูว่าจำเป็นต้องมีการติดตั้งโปรแกรมแก้ไข Magento หรือไม่ การอัปเดตความปลอดภัยแพตช์ยังสามารถพบได้ที่ Magento Security Center พันธมิตรด้านเทคโนโลยีของคุณควรแจ้งเตือนคุณเมื่อมีแพตช์ให้บริการ

ปลั๊กอินของบุคคลที่สาม

ปลั๊กอินของบริษัทอื่นสำหรับ Magento สามารถสร้างตัวเลือกที่ไม่มีที่สิ้นสุดสำหรับการปรับปรุงหน้าร้านและประสบการณ์ลูกค้าของคุณ อย่างไรก็ตาม การเพิ่มคุณสมบัติอาจทำให้เกิดช่องโหว่ที่ไม่คาดคิดได้เช่นกัน เพื่อให้แน่ใจว่ามีการรักษาความปลอดภัยหลังจากติดตั้งปลั๊กอินของบุคคลที่สาม นักพัฒนาของคุณจะต้องตรวจสอบผู้ขายและแอปพลิเคชันทั้งหมดสำหรับการอัปเดตด้วยตนเอง ปลั๊กอินของบุคคลที่สามต้องได้รับการตรวจสอบและแก้ไขอย่างระมัดระวังเนื่องจากมีการเปิดเผยช่องโหว่ Magento Marketplace เข้มงวดขึ้นมากในการตรวจสอบปลั๊กอินสำหรับ Magento 2 แต่หลักการเดียวกันนี้ใช้กับทั้ง Magento 1 และ Magento 2

เวอร์ชัน OS/PHP

เช่นเดียวกับการติดตั้ง Magento ระบบปฏิบัติการเซิร์ฟเวอร์ของคุณต้องได้รับการอัปเดตด้วยเคอร์เนลและแพตช์ความปลอดภัยใหม่ล่าสุด การไม่ทำเช่นนั้นอาจส่งผลให้เกิดช่องว่างด้านความปลอดภัยที่สำคัญ เช่น ช่องโหว่ Meltdown และ Spectre ที่เปิดเผยในต้นปี 2018 ซึ่งทำให้โค้ดที่เป็นอันตรายสามารถอ่านหน่วยความจำเคอร์เนลได้

สิ่งนี้เป็นจริงสำหรับ PHP ซึ่งอ่านและรันซอร์สโค้ดวีโอไอพี การทำซ้ำ PHP ใหม่ทุกครั้งจะป้องกันช่องโหว่ที่เปิดเผยในเวอร์ชันต่อ ๆ ไป นอกจากนี้ PHP เวอร์ชันเก่าจะไม่ผ่านการสแกนตามมาตรฐาน PCI

เป็นสิ่งสำคัญอย่างยิ่งที่จะต้องทำงานร่วมกับผู้ให้บริการที่มีการจัดการ ซึ่งจะรับผิดชอบในการบำรุงรักษาชุดซอฟต์แวร์ทั้งหมด รวมถึงเคอร์เนลและบริการที่เกี่ยวข้อง

การปฏิบัติตาม PCI

มาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ใช้กับบริษัททุกขนาดที่รับชำระเงินด้วยบัตรเครดิต เนื่องจากหน้าร้าน Magento ส่วนใหญ่จัดการกับบัญชีลูกค้า การปฏิบัติตามมาตรฐาน PCI จึงควรระมัดระวัง หากบริษัทของคุณตั้งใจที่จะรับชำระเงินด้วยบัตรและประมวลผลข้อมูลผู้ถือบัตรของลูกค้า คุณจะต้องโฮสต์ข้อมูลของคุณอย่างปลอดภัยกับผู้ให้บริการโฮสต์ที่สอดคล้องกับ PCI ด้วยเช่นกัน การเรียกใช้การสแกน PCI ผ่านผู้จำหน่ายที่ได้รับอนุมัติ เช่น Trustwave สามารถเปิดเผยความท้าทายด้านความปลอดภัยที่อาจขัดขวางความสามารถในการรับการปฏิบัติตามมาตรฐาน PCI ของคุณ

การเข้าถึงสิทธิ์น้อยที่สุด

การพิจารณาการออกแบบที่สำคัญอีกประการหนึ่งในการรักษาความปลอดภัยเว็บไซต์ Magento ของคุณจากพฤติกรรมที่เป็นอันตรายคือแนวคิดของการเข้าถึงสิทธิ์น้อยที่สุด หลักการนี้กำหนดให้ผู้ใช้ต้องได้รับสิทธิ์ในการเข้าถึงเฉพาะชุดย่อยของฟังก์ชันที่จำเป็นต่อการทำงานเฉพาะ ตัวอย่างเช่น พนักงานในแผนกจัดส่งควรมีสิทธิ์เข้าถึงฟังก์ชันการจัดส่งเท่านั้น ในทำนองเดียวกัน ผู้ที่อยู่ในการเรียกเก็บเงินควรมีความสามารถในการส่งผลกระทบต่อการเรียกเก็บเงินเท่านั้น ด้วยการใช้การอนุญาตแบบอ่านอย่างเดียวและการแยกแผนก ความปลอดภัยของข้อมูลลูกค้าที่ละเอียดอ่อนของคุณจะได้รับการปรับปรุง

ความปลอดภัยในการเข้าถึง

ควรเปลี่ยนรหัสผ่านเป็นประจำและไม่ควรแชร์ การฝึกใช้โปรโตคอลรหัสผ่านที่ดีมีความสำคัญต่อการรักษาความปลอดภัย อย่าส่งรหัสผ่านในอีเมลข้อความธรรมดา, SMS, IM, ตั๋วสนับสนุน หรือวิธีอื่นๆ ที่ไม่ได้เข้ารหัส สำหรับการเข้าถึงระบบ ไม่ควรอนุญาตให้ตรวจสอบรหัสผ่านสำหรับผู้ใช้เชลล์หรือ SFTP เมื่อใดก็ตามที่เป็นไปได้ ให้ใช้คีย์ SSH แทนรหัสผ่าน

แหล่งข้อมูลที่ยอดเยี่ยมในการจัดเก็บรหัสผ่านอย่างปลอดภัยคือ LastPass ซึ่งเป็นระบบการจัดการฟรีที่ทำงานบนทุกเบราว์เซอร์และอุปกรณ์มือถือ นอกจากนี้ยังสามารถสร้างรหัสผ่านที่ปลอดภัยและนำเสนอมาตรฐานการเข้ารหัสที่เข้มงวดที่สุดที่มีอยู่ในปัจจุบัน

ปกป้องสภาพแวดล้อม Dev ของคุณ

เป็นสิ่งสำคัญมากที่จะจำกัดการเข้าถึงสภาพแวดล้อมการพัฒนาของคุณจากใครก็ตามที่ไม่ใช่นักพัฒนาของคุณ โปรดจำไว้ว่า สภาพแวดล้อมการพัฒนาของคุณเป็นเสมือนภาพจำลองของไซต์ที่ใช้งานจริง (สด) ที่มีข้อมูลที่มีค่าเท่าเทียมกัน บ่อยครั้ง นักพัฒนาจะใช้รหัสผ่านและคีย์ SSH ซ้ำทั้งใน dev และ prod ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องรักษาโปรโตคอลความปลอดภัยที่เข้มงวดเดียวกันในทั้งสองสภาพแวดล้อม

ล้อมรอบตัวคุณด้วยทีมที่ยอดเยี่ยม

แต่ละขั้นตอนเหล่านี้มีชั้นการป้องกันที่แตกต่างกันและสามารถรวมเข้ากับกลยุทธ์การรักษาความปลอดภัยเพื่อช่วยคุณลดความเสี่ยงและกำจัดภัยคุกคามต่อหน้าร้าน Magento ของคุณ การทำงานกับบริษัทโฮสติ้งที่ดีและทีมพัฒนาที่แข็งแกร่งเป็นพื้นฐานในการบรรลุแผนการรักษาความปลอดภัยที่แข็งแกร่ง ในท้ายที่สุด การรักษาความปลอดภัยให้กับไซต์อีคอมเมิร์ซของคุณคือการปกป้องทรัพย์สิน ลูกค้า และชื่อเสียงของคุณ

เกี่ยวกับผู้แต่ง: Davida Wexler ผู้อำนวยการฝ่ายการตลาดของ JetRails

Davida Wexler เป็นผู้อำนวยการฝ่ายการตลาดของ JetRails ซึ่งเป็นผู้ให้บริการโฮสติ้ง Magento ที่นำเสนอการกำหนดค่าแบบกำหนดเองบนเซิร์ฟเวอร์เฉพาะและใน AWS Cloud ด้วยสำนักงานในชิคาโก JetRails ให้ความสำคัญกับความปลอดภัย การเร่งความเร็ว และประสิทธิภาพสำหรับแพลตฟอร์มอีคอมเมิร์ซ บริษัทมีความกระตือรือร้นในการช่วยให้ลูกค้าเติบโตและขับเคลื่อนความสำเร็จของวีโอไอพี ท้ายที่สุดแล้ว พวกเขาเชื่อว่าอีคอมเมิร์ซเป็นเรื่องเกี่ยวกับผู้คนไม่ใช่เซิร์ฟเวอร์ *Davida ไม่ใช่พนักงานของ nChannel เธอเป็นบล็อกเกอร์รับเชิญ