Първи стъпки в сигурността на Magento

Сигурността в Magento, е дългосрочен процес, а не еднократно действие.

Първи стъпки в сигурността на Magento

Секторът “Електронна търговия” расте неимоверно бързо и в резултат на това, онлайн магазините стават примамлива мишена за хакери, целящи да откраднат вашата информация или личните и платежни данни на клиентите ви. Всичко това става лесно за тях, ако не следвате правилата и не поддържате вашия магазин сигурен.

В този пост, ще минем през най-важните стъпки за запазване на сигурността на Magento магазина ви.

Хакерите хакват онлайн магазини за да:

  • ги използват за “phishing”;
  • ги използват за имейл спам;
  • нарушат функционалността им;
  • откраднат информация, като най-често това са лични данни и кредитни карти.

Най-важната причина, поради която трябва да защитите магазина си, е личната информация на клиентите ви. Разбира се, хакерите биха целяли да откраднат и вашата информация, но най-напред трябва да се погрижите за личните и платежни данни на вашите клиенти. Един такъв “теч” на информация може да навреди сериозно на репутацията ви, както и на доверието, което имат клиентите ви към вас.

Ето и задължителните стъпки, от които трябва да се тръгне, за да сте сигурни, че магазинът ви е сигурен.

1. Навремено обновяване на Magento

Обновяването на Magento е от изключително значение, когато става въпрос за сигурност. Всяка нова версия освен нова функционалност, носи със себе си и обновления в сигурността на самото Magento. Регулярно се откриват пропуски в сигурността на Magento, в резултат на което излизат ъпдейти, които решават тези проблеми. За вас е изключително важно, да инсталирате тези ъпдейти в най-кратки срокове. Тъй като Magento е доста популярна платформа, всеки пропуск в сигурността става публично достояние в рамките на часове, и ако се забавите с инсталирането на ъпдейтите, може да се окаже късно.

2. Редовно правете анализ на сигурността

Бъдете сигурни, че редовно анализирайте сайта си за зловреден код и пропуски в сигурността. Дори Magento да е защитен с всички ъпдейти, използването на някои разширения, също може да изложи магазина ви на риск. Често се срещат разширения, които също съдържат пропуски в сигурността.

Чрез тези анализи, вие бихте открили навреме код, който не е част от Magento.  Подобно на вирус, този код засяга определени процеси в Magento, като например разплащането, регистрацията и тн. Той може без проблем при всяка поръчка, да запазва във файл или да изпраща данните за поръчката и плащането на трети лица и това да продължава с месеци, без да бъде засечено. Това са и най-опасните и трудни за намиране “вируси”, защото може да откраднат голям обем информация.

Ако не знаете къде и как да търсите подобни вируси, свържете се с нас. Ще се радваме да помогнем.

3. Редовно правете бекъп на магазина и базата данни

Никога не може да сте 100% защитени от хакерски атаки, но със сигурност можете да се подсигурите в случай на проникване в магазина ви. Възможно най-често правете бекъп на файловете на Magento, както и на базата данни. По този начин, ще имате вариант за реагиране и по най-бързия начин ще върнете магазина си към нормална работа. Важно е да не съхранявате тези бекъпи на същия сървър, на който се помещава и самият магазин. Съхранявайте копията на локални дискове или отделни сървъри.

4. Използвайте силни пароли за достъп до Magento

Паролата за достъп до администраторския панел, трябва да е сложна, за да не може да се хакне лесно. Използвайте пароли с над 10 символа, които  съдържат главни и малки букви, номера и специални символи, като $%^&.

5. Не използвайте паролата за Magento, за каквото и да било друго

Редовна практика е да имате една и съща парола, която да използвате за много сайтове. Така лесно я запомняте, но със сигурност поставяте на риск много неща и най-вече Magento магазина ви. Винаги използвайте Mаgento паролата само за магазина.

6. Не записвайте пароли на компютъра си

Никога е запазвайте паролите си на компютъра. Вирусите, които може да имате на компютъра ви, често крадат пароли, запазени в него, в резултат на което, чуждо лице може да се сдобие с паролата ви за достъп.

7. Сменяйте паролите си редовно

Дори паролите ви да попаднат в грешните ръце, ако ги сменяте редовно, те съ сигурност ще станат безполезни. Съветваме ви да сменяте паролите си на всеки 3-6 месеца.

8. Използвайте “two-factor authorization”

Колкото и да е сигурна паролата ви, не разчитайте само на нея. Добра практика е да добавите втори фактор за достъп. Пример за това е ограничаване на достъпа по IP адрес. В този случай, дори и някой да има паролата ви, ако IP-то му не е сред разрешените за достъп, той няма как да бъде допуснат до административния панел. Можете да ограничите достъпа, като добавите следното към VirtualHost частта в конфигурацията на Apache:

Order Deny,Allow

Deny from All

Allow from 192.168.100.182

Заместете 192.168.100.182 с вашето IP.

9. Използвайте Firewall

Използвайки Firewall можете да забраните достъп до всичко освен уеб сървъра. Можете да използвате и Firewall услуга, като Sucuri. С тази услуга, целия трафик, ще минава през Firewall-а и нежеланият и съмнителен трафик, ще бъде блокиран.

10. Наблюдавайте където на Magento за съмнителна активност и грешки

Често можете да откриете съмнителни грешки в логовете при опити за осигуряване на достъп до магазина ви. Също така можете да проследите от кои IP адреси се прави опит да се отворят директно определени адреси, като това най-често са ботове и ще забележите многобройни опити от един и същи IP адрес.

11. Сменете адреса на администраторския панел

Чрез смяна на адреса на административния панел, бихте заблудили ботовете и така те няма как да стигнат до самата страница, къето да се опитат да отгатнат паролата ви.

Използвайте адрес, който трудно би бил отгатнат. За да смените адреса, намерете файла  app/etc/local.xml и сменете следната част (admin / routers / adminhtml section):

<admin>

<routers>

<adminhtml>

<args>

<frontName><![CDATA[your-secure-location]]></frontName>

</args>

</adminhtml>

</routers>

</admin>