保护Magento免受在线威胁的14个基本技巧 _Web安全

本文概述

两要素授权
及时更新软件
定期备份
使用复杂密码
使用防火墙
不要在其他网站上重复使用密码
定期更改密码
不要在你的PC上存储密码
注意错误或可疑活动
更改后端网址
使用HTTPS / SSL
忘记FTP
设置最低访问权限
阻止所有有害国家

运营电子商务网站具有挑战性, 应该考虑采取一切措施来保护免受网络攻击。
最新的预测表明, 到2020年, 全球电子商务的增长将达到两位数。

文章图片
电子商务迅猛发展, 成千上万的服务器日夜工作, 而私人信息(当然包括财务数据)对黑客来说是一个巨大的诱惑。
电子商务网站是恶意因素的极具吸引力的目标, 因为进行销售需要个人和付款数据。
Magento在电子商务平台中拥有超过7％的市场份额, 而Astra的最新发现表明, 62％的商店至少有一个漏洞。

文章图片
在本文中, 我将考虑Magneto最重要, 最及时的安全建议。
通常, 攻击者会破解电子商务网站：

将其用于电子垃圾邮件；
将其用于网络钓鱼(尝试接收敏感信息, 例如密码或信用卡详细信息)；
破坏或损害你的网站：
窃取他们可以利用的信息。

首先, 你必须为你的Magento商店辩护, 因为你应该保护客户的信息。
毋庸置疑, 黑客可能出于某种原因(例如, 在工业间谍活动的框架内)希望获取你的信息, 但是第一件事是你不应该向他们提供客户的私人信息, 包括信用卡详细信息。
【保护Magento免受在线威胁的14个基本技巧】如果这些数据是由于黑客攻击而被盗, 则可能会严重损害你的声誉并损害你的客户。
欢迎将这些Magento安全规则应用于你的商店。
两要素授权如果可以窃取, 即使是最安全的密码也毫无价值。为了提高商店的安全级别, 强烈建议利用任何第二授权因素, 例如仅允许来自特定IP的后端, 以实现双向验证。
要限制后端访问, 请将这些行添加到Apache Web服务器配置的VirtualHost部分中(请注意–如果将以下行添加到.htaccess文件中, 将导致错误)：

Order Deny, AllowDeny from AllAllow from 192.168.100.182 #don't forget to update this with your IP

如果你正在寻找Magento双重身份验证解决方案, 请随时检查Amasty扩展程序。
及时更新软件软件更新不仅为你提供新功能, 而且还提供错误修复和漏洞点消除功能。因此, 利用当前可用的最新软件版本异常重要。
要升级系统, 请应用以下简单命令：
RHEL / CentOS

yum update

Debian / Ubuntu

apt-get update

定期备份没有人能免受黑客的攻击, 但是有一种让自己感到更安全的方法：定期备份可以使你免受许多可能对你的业务至关重要的问题的困扰。
你应该定期保存备份副本, 不要尝试将其保留在原始网站的服务器上, 并且应不时将其备份到沙盒中以检查其是否正常运行。
将备份文件保存在带有网站的服务器上是危险的, 这不仅是因为如果服务器崩溃了, 副本应该是安全的, 还因为如果黑客入侵了你的服务器, 他还将获得对备份文件的访问权限副本, 这当然是非常不需要的。
使用复杂密码根据SplashData的说法, 123456是2013年最常见的密码之一(当然, 也是最不安全的密码之一)。
管理员密码是你的Magento商店安全的基石。而且它应该足够坚固！容易的假释很容易被破解, 因此可以使用十多个字符(包括小写和大写)以及特殊字符(如^ $＃％*), 这样就不会强制输入密码, 因为即使使用最新程序, 也要花费数年的时间破解。
你可以使用LastPass密码生成器。

文章图片
使用防火墙

文章图片
你可以使用两种类型的防火墙来保护你的Magento商店。
WAF(Web应用程序防火墙)–保护你的在线商店免受Web安全漏洞的侵害, 例如SQLi, XSS, 蛮力攻击, Bot, 垃圾邮件, 恶意软件, DD0S等。
你可以考虑使用基于云的WAF来防御第7层。
系统/网络防火墙–禁止公共访问除Web服务器以外的所有内容。如果你没有永久的IP地址来通过防火墙访问它, 请应用VPN或端口敲门技术。
在RHEL / CentOS中, 你可以在/ etc / sysconfig / iptables中找到防火墙设置。对于Debian / Ubuntu, 请应用iptables-persistent(/etc/iptables-persistent/rules.v4)。
你也可以考虑使用SUCURI对Magento在线商店进行连续的安全监视和保护。
不要在其他网站上重复使用密码此Magento安全问题适用于你拥有的所有受密码保护的信息。根据passwordresearch.com的报告, 超过15％的用户将相同的密码用于许多服务。
没有多少人知道, 对多个登录名使用相同的密码确实会带来立即丢失所有帐户的风险。
再过一次：所有密码都必须唯一, 别无其他方式。请注意, 将本文搁置一会儿, 如果没有, 请进行更改。否则, 你可能会因为谨慎而受到伤害。
定期更改密码你的密码不应该保持不变。我们强烈建议至少每六个月更改一次密码。
即使密码被盗(即使黑客没有应用密码), 不断的更改也会使更早泄露的信息一文不值。还请确保为使用该网站的所有客户端更改了密码。
不要在你的PC上存储密码 Trojan软件的很大一部分会窃取你保存的密码。你应该对浏览器和FTP客户端保持谨慎, 因为密码经常通过这些应用程序被盗。
如果不使用主密码(在保留访问详细信息的同时会加密其余密码的密码), 则不要使用此软件保存密码。忽略此建议很容易导致数据泄漏。
你可以尝试使用此处列出的密码管理器。
注意错误或可疑活动定期进行安全检查, 以检查是否有攻击迹象, 并在有安全隐患的客户联系时进行检查。你可能要为此目的应用” 管理员操作日志Magento” 扩展, 并且已使用对网络安全至关重要的以下功能进行了更新：

与以前的登录相比, 你可以设置一个公告, 以便成功地从一个不寻常的国家/地区登录。
你可以为过去一个小时内许多失败的登录尝试设置一个公告, 这可能表明存在闯入尝试。
后端登录失败页面返回的” 403 Forbidden” 状态, 有助于与服务器安全工具集成。

此外, 你可以使用网络安全扫描程序自动并定期分析电子商务网站的漏洞。
更改后端网址这种方法更多地是出于默默无闻的安全性, 但它可以作为对抗僵尸程序和暴力攻击的附加方法。要更改后端URL, 可以编辑app / etc / local.xml(admin / routers / adminhtml部分)。

< admin> < routers> < adminhtml> < args> < frontName> < ![CDATA[your-secure-location]]> < /frontName> < /args> < /adminhtml> < /routers> < /admin>

我们不建议你使用Magento管理面板的本机界面更改默认管理URL。你必须确保新的URL地址难以猜测。此外, 你可能要在此之后清除缓存。
然后, 你应该检查新的URL, 并确保旧的URL返回404错误页面。
使用HTTPS / SSL 如果你使用公共热点(例如, 在购物中心中)访问后端, 则可能会遭受MitM攻击而受伤。通过HTTPS可以访问在线商店可为购物者提供安全性, 因为所有交易数据都已通过SSL / TLS协议从用户加密到你的服务器。
你可以使用免费的SSL证书, 也可以购买。
忘记FTP 在Internet诞生之初就引入了FTP协议, 有时安全性并不是问题。如今, 由于使用纯文本进行授权并且可以毫不费力地进行拦截, 因此非常不希望使用FTP协议。
使用SFTP协议, 因为它还可以使你摆脱IP流(NAT)问题, 因为并非每个人都拥有用于Internet使用的公共IP。请按照本指南为Magento配置SFTP。
设置最低访问权限你应该始终限制Web服务器活动的访问权限。你需要在Magento中的app / etc., media和var中的记录, 以及在使用编译时包括include /的记录。仅对于使用Magento Connect可能需要扩展权限。
最好的安全性组合如下：让网站源代码属于第一个用户(例如admin), 然后Web服务器将与第二个用户(例如Apache)一起运行代码。让我们看一下此组合的访问权限设置示例：

chown -R admin:apache /path/to/your/magentofind /path/to/your/magento -type f -print0 | xargs -r0 chmod 640find /path/to/your/magento -type d -print0 | xargs -r0 chmod 750chmod -R g+w /path/to/your/magento/{app/etc, media, var}

＃仅当使用编译时

chmod -R g+w /path/to/your/magento/includes

阻止所有有害国家如果你不在全球范围内发货, 请阻止其他国家/地区。
有一个很棒的工具, 称为GeoIP旧版Apache模块, 可根据国家/地区帮助允许, 重定向或阻止用户。
例如, 如果你仅将商品发送到美国, 则可以保护自己免受任何攻击-众所周知, 大量恶意流量来自中国, 通过阻止它, 你可以避免任何闯入尝试来自这个国家。
我们确信我们的Magento安全建议将帮助你确保信息安全无虞。你有任何疑问或想分享你的Magento店铺保护经验吗？此外, 对于更复杂的Magento安全问题, 请检查Amasty的Magento安全套件。
Sergei Prakapovich的文章