Top 10 Hacks zur Sicherung Ihres Admin-Panels in Magento

Magento ist eine weltweit treibende Internet-Business-Bühne. Magento, wie BuiltWith sagt, treibt mehr als 22% der 100.000 wichtigsten E-Commerce-Sites an. Dies ist für den Bau solider und sehr nützlicher Websites. Magento ist ein echter Anbieter von Sicherheit. Wie oft haben Sie es bis jetzt gehört?

Verbringen Sie Ihre Zeit damit, einige Ansätze zu evaluieren, um Ihr Admin-Panel zu schützen und das Hacken einer Site loszuwerden.

1.Wählen Sie einen komplexen Administrator-Benutzernamen und -Passwort

– Das Passwort sollte Großbuchstaben, Kleinbuchstaben, Zahlen und einige Symbole von der Tastatur enthalten

– Erstellen Sie ein Passwort mit mindestens acht Zeichen Länge

– Vermeiden Sie die Verwendung des Firmennamens. Sie können die Kurzform des Namens verwenden, die nur für Sie klar ist.

– Insgesamt empfehlen wir Ihnen, Passwörter alle 3-5 Monate zu ändern.

2. Verwenden Sie nicht überall das gleiche Passwort

Um keinen Handel mit Ihrem Magento-Backend zu betreiben, verwenden Sie bitte verschiedene Passwörter für isolierte Datensätze. Es besteht zuverlässig die Gefahr, dass externe Websites gehackt werden, sodass Ihr Magento-Passwort möglicherweise hilflos ist. Versuchen Sie, das Magento-Passwort nicht für andere Zwecke zu verwenden. TE: Wenn Sie externe Designer verwalten, sollten Sie mit speziellen Zertifizierungen einen anderen Eintrag erstellen.

3. Passwort nicht im Browser speichern

Die Funktion zum Speichern von Browserkennwörtern ist eine Schwachstelle. Es wäre besser, das Passwort nicht auf Ihrem Computer zu speichern. Dabei empfehlen wir die Nutzung von Passwortverwaltungsdiensten von Drittanbietern.

4. HTTPS/SSL-Verbindung anfordern

Dies ist eine der wichtigsten Sicherheitstechniken für Magento-Websites. Wie Sie vielleicht wissen, werden mit HTTP:// transportierte Webseiten nicht verschlüsselt. Umgekehrt bedeutet, dass die Seiten-URL mit HTTPS:// beginnt, dass sie Secure Sockets Layer verwendet. Mit dem SSL-Standard schützen Sie Online-Transaktionen mit Ihren Kunden und verhindern, dass Ihre Site hackt. Darüber hinaus hilft Ihnen https am Anfang der URL, die Glaubwürdigkeit Ihres Shops zu erhöhen. Wir finden, dass moderne Besucher sachkundig sind, sodass Sie sehen können, dass sie anfälliger für den Umgang mit Ihnen sind.

Es gibt vier einfache Schritte, um eine HTTPS://-Verbindung herzustellen: –

– Gehen Sie zu Admin Panel > System > Konfiguration > Allgemein > Web > Sicher.
– Ändern Sie die Base_url-Einstellung von „http“ auf „https“
– Aktivieren Sie die Verwendung sicherer URLs im Frontend
– Aktivieren Sie die Verwendung sicherer URLs in Admin

Bevor Sie auf Ihrer Website von http zu https wechseln, bitten Sie Ihren Administrator, eine SSL-verschlüsselte Verbindung in Apache einzurichten.

5. Ändern Sie die standardmäßige Admin-URL in eine benutzerdefinierte URL

Sie können einen weiteren Ansatz verwenden, um Brute-Force-Angriffe zu bekämpfen. Wir erfahren häufig, wie Sie über die Administrator-URL zur Magento-Administratorseite gelangen. Programmierer neigen dazu, zu glauben, dass der Administratorweg der einfachste Ansatz ist, um mit der Spekulation Ihres Benutzernamens und Ihrer Passwörter zu beginnen. Auf diese Weise schreiben wir Ihnen vor, den Administratorweg auf etwas zu ändern, das schwer zu knacken ist. Sie können den Administratorweg auf eine der folgenden Arten ändern:

Gehen Sie zu Admin > Stores > Konfiguration > Erweitert > Admin

6. Shop auf offene Sicherheitsprobleme testen

Angesichts des Endziels, die Sicherheit Ihrer Magento-Site zu verbessern, müssen Sie Magento-Sicherheitspatches aktualisieren. Alle Patches können von der offiziellen Website heruntergeladen werden. Sobald Sie Ihren Shop repariert haben, können Sie die richtige Einrichtung der Patches testen, indem Sie kostenlose Verwaltungen verwenden. Hier können Sie einen Online-Powerless-Scanner für Patches verwenden: SUPEE-5344, SUPEE-5994, SUPEE-6285, SUPEE-6482 und XML XXE van 2012.

Sie können auch einen anderen Scanner verwenden, um zu überprüfen, ob Ihr Geschäft gegenüber den neuesten Sicherheitsproblemen noch machtlos ist.

7. Erstellen Sie ein Backup Ihrer Website

Erstellen Sie Ihre Backup-Strategie und fügen Sie eine weitere Sicherheitsebene hinzu. Wir empfehlen Ihnen dringend, Ihre Backup-Dateien auf einem anderen Server zu speichern, als Ihre Magento-Website gehostet wird. Es ist besser, mehrere Backups an verschiedenen Orten durchzuführen.

8. Verwenden Sie die Zwei-Faktor-Authentifizierung

Verbessern Sie Ihre Administratorsicherheit mit 2F-Authentifizierung. Die Zwei-Faktor-Authentifizierung basiert auf der Google-Authentifizierungsanwendung. Sobald Administratoren den QR-Code scannen, erhalten sie eine zufällige sechsstellige Zahl, die alle 30 Sekunden generiert und geändert wird. Erst nach Eingabe des Verifizierungsschlüssels entlang der Benutzer- und Passwortfelder konnten Admins auf das Magento Admin-Panel zugreifen.

Diese Methode ist standardmäßig nicht in Magenta verfügbar. Allerdings ist die Ausführung dieser für die Login-Seite zutiefst vorgeschrieben. In diesem Sinne können Sie Confided in Augmentationen verwenden, um diesen Sicherheitsnutzen auszuführen. Experimentieren Sie mit dem verbesserten Administrator, Sicherheit, um die Sicherheit quer über die Magento-Site zu überwachen.

Mit dem Modul erhalten Sie zusätzliche Sicherheit, indem Sie die Zwei-Betrachtungs-Verifizierung für die Angabe von Administrator-Clients einstellen.

9. Verwenden Sie die neueste Magento-Version für Ihre Website

Ein weiterer wichtiger Punkt in der Sicherheitsstrategie ist die Verwendung der neuesten Magento-Version in der Magento-Entwicklung. Wir empfehlen Ihnen dringend, Ihre Magento-Versionen für neue Releases zu aktualisieren. Jedes Upgrade enthält neue verfügbare Funktionen, behobene Funktionsprobleme und Sicherheitspatches für die neuesten Angriffe. Sobald Sie Sicherheitspatches für Ihre Website installiert haben, gehen Sie einen Schritt weiter in Sachen Sicherheit. Bleiben Sie über die neuesten Versionen auf dem Laufenden und lassen Sie nie eine Magento-Site knacken.

10. Sicheres Magento-Backend, Magento Connect-Downloader und RSS-Feeds mit IP-Whitelisting

Ein weiterer Tipp, um Magento-Admin-Hack zu verhindern, ist das IP-Whitelisting. Wenn Sie sich daran gewöhnt haben, von denselben Computern auf die Administrator-Anmeldeseite zuzugreifen, könnte dies eine gute Sicherheitsentscheidung für Sie sein. Stellen Sie sicher, dass nur gewünschte Benutzer Zugriff auf Ihren Magento-Admin erhalten.

Daher empfehlen wir dringend, den Administratorzugriff auf zulässige IP-Adressen zu beschränken. Es gibt drei Hauptquellen, die verwendet werden können, um die Sicherheit Ihrer Website zu gefährden:

Der Magento Connect Downloader ist in letzter Zeit als Einstiegspunkt für Brute-Force-Angriffe bekannt. Es wäre sehr nützlich, die Connect-Manager-URL zu ändern. Sie können einen völlig anderen Pfad angeben, um Hacker zu verwirren. Darüber hinaus können Sie den Zugriff auf den /downloader/-Speicherort nach IP-Adresse über die .htaccess-Datei einschränken.

RSS-Feeds waren Brute-Force-Angriffen ausgesetzt, da sie dieselben Administratoranmeldeinformationen haben. Wenn Benutzer nicht auf den RSS-Feed zugreifen müssen, können Sie die Funktion für eingeschränkten Zugriff verwenden. Nachdem Sie eine IP-Whitelist erstellt haben, können Sie die Weiterleitung der Anfragen von eingeschränkten Besuchern auf die Hauptseite festlegen.

Es ist äußerst wichtig, Ihr Magento-Admin-Panel zu sperren. Wir haben einige Leute getroffen, die IP-Adressen aus allen anderen Ländern blockiert haben. Dies funktioniert wirklich, wenn Sie sicher sind, dass Ihre Verbraucher Mitbürger sind.

Verwandte: So setzen Sie das Admin-Passwort in Magento zurück