Los 10 mejores trucos para proteger su panel de administración en Magento

Magento es un escenario empresarial de Internet que impulsa el mundo. Magento, como dice BuiltWith, está impulsando más del 22% de los principales 100.000 sitios de comercio electrónico. Esto es para construir sitios sólidos y muy utilitarios. Magento es un auténtico proveedor de seguridad. ¿Con qué frecuencia lo ha escuchado hasta ahora?

Dedique su tiempo a evaluar algunos enfoques para proteger su panel de administración y deshacerse de la piratería de un sitio.

1.Elija un nombre de usuario y una contraseña de administrador complejos

- La contraseña debe incluir mayúsculas, minúsculas, números y algunos símbolos del teclado.

- Cree una contraseña con al menos ocho caracteres

- Intente evitar utilizar el nombre de la empresa. Puede utilizar la forma abreviada del nombre que está claro solo para usted.

- En general, le recomendamos que cambie las contraseñas cada 3-5 meses.

2. No uses la misma contraseña en todas partes

Para abstenerse de intercambiar su back-end de Magento, utilice diversas contraseñas para registros aislados. Existe un riesgo confiable de piratear sitios externos, por lo que su contraseña de Magento puede ser indefensa. Trate de no reutilizar la contraseña de Magento para cualquier otra cosa. TE: cuando esté administrando diseñadores externos, será mejor que haga un registro diferente con certificaciones especiales.

3. No guarde la contraseña en el navegador

La funcionalidad para guardar contraseñas del navegador es un punto débil. Sería mejor no almacenar la contraseña en su computadora. Por lo tanto, recomendamos utilizar servicios de administración de contraseñas de terceros.

4. Solicite una conexión HTTPS / SSL

Esta es una de las técnicas de seguridad más importantes para el sitio web de Magento. Como sabrá, las páginas web transportadas con HTTP: // no están encriptadas. Por el contrario, cuando la URL de la página comienza con HTTPS: // significa que está utilizando Secure Sockets Layer. Al utilizar el estándar SSL, protege las transacciones en línea con sus clientes y evita que su sitio sea pirateado. Además, https al comienzo de la URL lo ayudará a aumentar la credibilidad de su tienda. Creemos que los visitantes modernos están bien informados, por lo que puede ver que serían más propensos a tratar con usted.

Hay cuatro sencillos pasos para obtener la conexión HTTPS: //: -

- Vaya al Panel de administración> Sistema> Configuración> General> Web> Seguro.
- Cambie la configuración de Base_url de "http" a "https"
- Habilite el uso de URL seguras en Frontend
- Habilite el uso de URL seguras en Admin

Antes de cambiar de http a https en su sitio web, pídale a su administrador que configure la conexión encriptada SSL en Apache.

5. Cambie la URL de administrador predeterminada a una URL personalizada.

Puede usar un enfoque más para luchar contra los ataques de fuerza bruta. Con frecuencia, descubrimos cómo llegar a la página del administrador de magento a través de la URL del administrador. Los programadores tienden a sentir que la forma de administrador es el enfoque más sencillo para comenzar a especular con su nombre de usuario y contraseñas. De esta forma te indicamos que cambies la forma de administrador a algo que sea difícil de romper. Puede cambiar la forma de administrador de una de las formas siguientes:

Vaya a Admin> Tiendas> Configuración> Avanzado> Admin

6. Pruebe la tienda para detectar problemas de seguridad abiertos

Teniendo en cuenta el objetivo final de mejorar la seguridad de su sitio de Magento, necesita actualizar los parches de seguridad de Magento. Se puede acceder a todos los parches para descargarlos desde el sitio oficial. Una vez que haya arreglado su tienda, puede probar el establecimiento correcto de los parches utilizando administraciones gratuitas. Aquí puede utilizar un escáner de impotencia en línea para parches: SUPEE-5344, SUPEE-5994, SUPEE-6285, SUPEE-6482 y XML XXE van 2012.

También puede utilizar otro escáner para verificar si su tienda aún no tiene poder frente a los últimos problemas de seguridad.

7. Realice una copia de seguridad de su sitio web

Cree su estrategia de respaldo y agregue otra capa de seguridad. Le recomendamos encarecidamente que almacene sus archivos de respaldo en un servidor completamente diferente al que está alojado en su sitio web Magento. Es mejor hacer varias copias de seguridad guardadas en diferentes ubicaciones.

8. Utilice la autenticación de dos factores

Asegure la seguridad de su administrador con la autenticación 2F. La autenticación de dos factores se basa en la aplicación de autenticación de Google. Una vez que los administradores escanean el código QR, obtienen un número aleatorio de seis dígitos que se genera y cambia cada 30 segundos. Solo después de ingresar la clave de verificación a lo largo de los campos de usuario y contraseña, los administradores pueden acceder al panel de administración de magento.

Este método no está disponible en magenta por defecto. Sin embargo, la promulgación de esto para la página de inicio de sesión está estrictamente prescrita. A lo largo de estas líneas, puede utilizar confiado en aumentos para ejecutar esta utilidad de seguridad. Experimente con el administrador mejorado, seguridad para supervisar la seguridad de forma transversal en el sitio de Magento.

Con el módulo, obtendrá una garantía adicional al establecer la verificación de dos consideraciones para indicar clientes administradores.

9. Utilice la última versión de magento para su sitio web

Una cosa más importante en la estrategia de seguridad es el uso de la última versión de Magento en el desarrollo de Magento. Le recomendamos encarecidamente que actualice sus versiones de Magento para nuevos lanzamientos. Cada actualización viene con nuevas características disponibles, problemas de funcionalidad corregidos y parches de seguridad relacionados con los últimos ataques. Una vez que haya aplicado los parches de seguridad para su sitio web, dará un paso más en seguridad. Manténgase informado sobre las últimas versiones y nunca obtenga un craqueo de un sitio de Magento.

10. Backend seguro de magento, descargador de Magento Connect y feeds RSS con listas blancas de IP

Otro consejo para evitar el hackeo del administrador de magento es la lista blanca de IP. Si se acostumbró a acceder a la página de inicio de sesión del administrador desde las mismas computadoras, esta podría ser una buena decisión de seguridad para usted. Asegúrese de que solo los usuarios deseados tengan acceso a su administrador de magento.

Por lo tanto, recomendamos encarecidamente restringir el acceso de administrador a las direcciones IP permitidas. Hay tres fuentes principales que pueden utilizarse para comprometer la seguridad de su sitio web:

El descargador de Magento Connect se conoce como punto de entrada para ataques de fuerza bruta en los últimos tiempos. Sería muy útil cambiar la URL del administrador de Connect. Puede especificar una ruta completamente diferente para confundir a los piratas informáticos. Además, puede limitar el acceso a / downloader / location por dirección IP a través del archivo .htaccess.

Las fuentes RSS han estado expuestas a ataques de fuerza bruta, ya que tienen las mismas credenciales de administrador. Si no necesita que los usuarios accedan a la fuente RSS , puede utilizar la función de acceso restringido. Después de crear la lista blanca de IP, puede configurar la redirección de las solicitudes de visitantes restringidos a la página principal.

Es extremadamente importante bloquear su panel de administración de magento. Nos hemos encontrado con algunas personas que han bloqueado direcciones IP de todos los demás países. Esto realmente funciona si está seguro de que sus consumidores son conciudadanos.

Relacionado Cómo restablecer la contraseña de administrador en Magento