本文概述
- 两要素授权
- 及时更新软件
- 定期备份
- 使用复杂密码
- 使用防火墙
- 不要在其他网站上重复使用密码
- 定期更改密码
- 不要在你的PC上存储密码
- 注意错误或可疑活动
- 更改后端网址
- 使用HTTPS / SSL
- 忘记FTP
- 设置最低访问权限
- 阻止所有有害国家
最新的预测表明, 到2020年, 全球电子商务的增长将达到两位数。
文章图片
电子商务迅猛发展, 成千上万的服务器日夜工作, 而私人信息(当然包括财务数据)对黑客来说是一个巨大的诱惑。
电子商务网站是恶意因素的极具吸引力的目标, 因为进行销售需要个人和付款数据。
Magento在电子商务平台中拥有超过7%的市场份额, 而Astra的最新发现表明, 62%的商店至少有一个漏洞。
文章图片
在本文中, 我将考虑Magneto最重要, 最及时的安全建议。
通常, 攻击者会破解电子商务网站:
- 将其用于电子垃圾邮件;
- 将其用于网络钓鱼(尝试接收敏感信息, 例如密码或信用卡详细信息);
- 破坏或损害你的网站:
- 窃取他们可以利用的信息。
毋庸置疑, 黑客可能出于某种原因(例如, 在工业间谍活动的框架内)希望获取你的信息, 但是第一件事是你不应该向他们提供客户的私人信息, 包括信用卡详细信息。
【保护Magento免受在线威胁的14个基本技巧】如果这些数据是由于黑客攻击而被盗, 则可能会严重损害你的声誉并损害你的客户。
欢迎将这些Magento安全规则应用于你的商店。
两要素授权 如果可以窃取, 即使是最安全的密码也毫无价值。为了提高商店的安全级别, 强烈建议利用任何第二授权因素, 例如仅允许来自特定IP的后端, 以实现双向验证。
要限制后端访问, 请将这些行添加到Apache Web服务器配置的VirtualHost部分中(请注意–如果将以下行添加到.htaccess文件中, 将导致错误):
Order Deny, AllowDeny from AllAllow from 192.168.100.182 #don't forget to update this with your IP
如果你正在寻找Magento双重身份验证解决方案, 请随时检查Amasty扩展程序。
及时更新软件 软件更新不仅为你提供新功能, 而且还提供错误修复和漏洞点消除功能。因此, 利用当前可用的最新软件版本异常重要。
要升级系统, 请应用以下简单命令:
RHEL / CentOS
yum update
Debian / Ubuntu
apt-get update
定期备份 没有人能免受黑客的攻击, 但是有一种让自己感到更安全的方法:定期备份可以使你免受许多可能对你的业务至关重要的问题的困扰。
你应该定期保存备份副本, 不要尝试将其保留在原始网站的服务器上, 并且应不时将其备份到沙盒中以检查其是否正常运行。
将备份文件保存在带有网站的服务器上是危险的, 这不仅是因为如果服务器崩溃了, 副本应该是安全的, 还因为如果黑客入侵了你的服务器, 他还将获得对备份文件的访问权限副本, 这当然是非常不需要的。
使用复杂密码 根据SplashData的说法, 123456是2013年最常见的密码之一(当然, 也是最不安全的密码之一)。
管理员密码是你的Magento商店安全的基石。而且它应该足够坚固!容易的假释很容易被破解, 因此可以使用十多个字符(包括小写和大写)以及特殊字符(如^ $#%*), 这样就不会强制输入密码, 因为即使使用最新程序, 也要花费数年的时间破解。
你可以使用LastPass密码生成器。
文章图片
使用防火墙
文章图片
你可以使用两种类型的防火墙来保护你的Magento商店。
WAF(Web应用程序防火墙)–保护你的在线商店免受Web安全漏洞的侵害, 例如SQLi, XSS, 蛮力攻击, Bot, 垃圾邮件, 恶意软件, DD0S等。
你可以考虑使用基于云的WAF来防御第7层。
系统/网络防火墙–禁止公共访问除Web服务器以外的所有内容。如果你没有永久的IP地址来通过防火墙访问它, 请应用VPN或端口敲门技术。
在RHEL / CentOS中, 你可以在/ etc / sysconfig / iptables中找到防火墙设置。对于Debian / Ubuntu, 请应用iptables-persistent(/etc/iptables-persistent/rules.v4)。
你也可以考虑使用SUCURI对Magento在线商店进行连续的安全监视和保护。
不要在其他网站上重复使用密码 此Magento安全问题适用于你拥有的所有受密码保护的信息。根据passwordresearch.com的报告, 超过15%的用户将相同的密码用于许多服务。
没有多少人知道, 对多个登录名使用相同的密码确实会带来立即丢失所有帐户的风险。
再过一次:所有密码都必须唯一, 别无其他方式。请注意, 将本文搁置一会儿, 如果没有, 请进行更改。否则, 你可能会因为谨慎而受到伤害。
定期更改密码 你的密码不应该保持不变。我们强烈建议至少每六个月更改一次密码。
即使密码被盗(即使黑客没有应用密码), 不断的更改也会使更早泄露的信息一文不值。还请确保为使用该网站的所有客户端更改了密码。
不要在你的PC上存储密码 Trojan软件的很大一部分会窃取你保存的密码。你应该对浏览器和FTP客户端保持谨慎, 因为密码经常通过这些应用程序被盗。
如果不使用主密码(在保留访问详细信息的同时会加密其余密码的密码), 则不要使用此软件保存密码。忽略此建议很容易导致数据泄漏。
你可以尝试使用此处列出的密码管理器。
注意错误或可疑活动 定期进行安全检查, 以检查是否有攻击迹象, 并在有安全隐患的客户联系时进行检查。你可能要为此目的应用” 管理员操作日志Magento” 扩展, 并且已使用对网络安全至关重要的以下功能进行了更新:
- 与以前的登录相比, 你可以设置一个公告, 以便成功地从一个不寻常的国家/地区登录。
- 你可以为过去一个小时内许多失败的登录尝试设置一个公告, 这可能表明存在闯入尝试。
- 后端登录失败页面返回的” 403 Forbidden” 状态, 有助于与服务器安全工具集成。
更改后端网址 这种方法更多地是出于默默无闻的安全性, 但它可以作为对抗僵尸程序和暴力攻击的附加方法。要更改后端URL, 可以编辑app / etc / local.xml(admin / routers / adminhtml部分)。
<
admin>
<
routers>
<
adminhtml>
<
args>
<
frontName>
<
![CDATA[your-secure-location]]>
<
/frontName>
<
/args>
<
/adminhtml>
<
/routers>
<
/admin>
我们不建议你使用Magento管理面板的本机界面更改默认管理URL。你必须确保新的URL地址难以猜测。此外, 你可能要在此之后清除缓存。
然后, 你应该检查新的URL, 并确保旧的URL返回404错误页面。
使用HTTPS / SSL 如果你使用公共热点(例如, 在购物中心中)访问后端, 则可能会遭受MitM攻击而受伤。通过HTTPS可以访问在线商店可为购物者提供安全性, 因为所有交易数据都已通过SSL / TLS协议从用户加密到你的服务器。
你可以使用免费的SSL证书, 也可以购买。
忘记FTP 在Internet诞生之初就引入了FTP协议, 有时安全性并不是问题。如今, 由于使用纯文本进行授权并且可以毫不费力地进行拦截, 因此非常不希望使用FTP协议。
使用SFTP协议, 因为它还可以使你摆脱IP流(NAT)问题, 因为并非每个人都拥有用于Internet使用的公共IP。请按照本指南为Magento配置SFTP。
设置最低访问权限 你应该始终限制Web服务器活动的访问权限。你需要在Magento中的app / etc., media和var中的记录, 以及在使用编译时包括include /的记录。仅对于使用Magento Connect可能需要扩展权限。
最好的安全性组合如下:让网站源代码属于第一个用户(例如admin), 然后Web服务器将与第二个用户(例如Apache)一起运行代码。让我们看一下此组合的访问权限设置示例:
chown -R admin:apache /path/to/your/magentofind /path/to/your/magento -type f -print0 | xargs -r0 chmod 640find /path/to/your/magento -type d -print0 | xargs -r0 chmod 750chmod -R g+w /path/to/your/magento/{app/etc, media, var}
#仅当使用编译时
chmod -R g+w /path/to/your/magento/includes
阻止所有有害国家 如果你不在全球范围内发货, 请阻止其他国家/地区。
有一个很棒的工具, 称为GeoIP旧版Apache模块, 可根据国家/地区帮助允许, 重定向或阻止用户。
例如, 如果你仅将商品发送到美国, 则可以保护自己免受任何攻击-众所周知, 大量恶意流量来自中国, 通过阻止它, 你可以避免任何闯入尝试来自这个国家。
我们确信我们的Magento安全建议将帮助你确保信息安全无虞。你有任何疑问或想分享你的Magento店铺保护经验吗?此外, 对于更复杂的Magento安全问题, 请检查Amasty的Magento安全套件。
Sergei Prakapovich的文章
推荐阅读
- 如何保护Joomla网站免受蛮力攻击()
- 8个Joomla安全扫描程序,查找漏洞和配置错误
- 保护和强化Joomla网站的10个最佳实践
- 如何实现安全性HTTP标头以防止漏洞()
- 如何在Nginx上安装和配置ModSecurity
- 如何在Nginx中实现HTTPOnly和安全Cookie()
- 在Apache中使用HttpOnly和Secure标志保护cookie
- JDK和Applets
- 使用Apache poi和android的HSSFCellStyle错误