I 10 migliori hack per proteggere il tuo pannello di amministrazione in Magento

Magento è un palcoscenico mondiale che guida il business di Internet. Magento, come afferma BuiltWith, sta guidando oltre il 22% dei principali 100.000 siti di eCommerce. Questo è per la costruzione di siti solidi e molto utilitaristici. Magento è un vero fornitore di sicurezza. Con quale frequenza l'hai sentito finora?

Dedica il tuo tempo a valutare alcuni approcci per proteggere il tuo pannello di amministrazione e sbarazzarti dell'hacking di un sito.

1.Scegli un nome utente e una password complessi per l'amministratore

– La password dovrebbe includere lettere maiuscole, minuscole, numeri e alcuni simboli della tastiera

– Crea una password con almeno otto caratteri

– Cerca di evitare di usare il nome dell'azienda. Puoi usare la forma abbreviata del nome che è chiara solo per te.

– In generale ti consigliamo di cambiare le password ogni 3-5 mesi.

2. Non usare la stessa password ovunque

Per astenersi dallo scambiare il back-end Magento, utilizzare password diverse per i record isolati. Esiste un rischio affidabile di hackerare siti esterni, quindi la tua password Magento potrebbe essere impotente. Cerca di non riutilizzare la password Magento per nient'altro.TE: quando gestisci designer esterni faresti meglio a fare un record diverso con certificazioni speciali.

3. Non salvare la password nel browser

La funzionalità di salvataggio della password del browser è un punto debole. Sarebbe meglio non memorizzare la password sul tuo computer. Pertanto consigliamo di utilizzare servizi di gestione delle password di terze parti.

4. Richiedi connessione HTTPS/SSL

Questa è una delle tecniche di sicurezza più importanti per il sito Web Magento. Come forse saprai, le pagine web trasportate con HTTP:// non sono crittografate. Al contrario, quando l'URL della pagina inizia con HTTPS:// significa che sta utilizzando Secure Sockets Layer. Utilizzando lo standard SSL proteggi le transazioni online con i tuoi clienti e previeni l'hacking del tuo sito. Inoltre, https all'inizio dell'URL ti aiuterà ad aumentare la credibilità del tuo negozio. Troviamo che i visitatori moderni siano informati, quindi puoi vedere che sarebbero più inclini a trattare con te.

Ci sono quattro semplici passaggi per ottenere la connessione HTTPS://: –

– Vai a Pannello di amministrazione > Sistema > Configurazione > Generale > Web > Sicuro.
– Modificare l'impostazione Base_url da “http” a “https”
– Abilita l'utilizzo di URL protetti in Frontend
– Abilita l'uso di URL protetti in Admin

Prima di passare da http a https sul tuo sito web, chiedi al tuo amministratore di impostare una connessione crittografata SSL in Apache.

5. Cambia l'URL amministratore predefinito in URL personalizzato

Puoi utilizzare un altro approccio per combattere gli attacchi di forza bruta. Scopriamo spesso come accedere alla pagina dell'amministratore di Magento tramite l'URL dell'amministratore. I programmatori tendono a ritenere che la via dell'amministratore sia l'approccio più diretto per iniziare a speculare su nome utente e password. In questo modo ti prescriviamo di cambiare il modo di amministratore in qualcosa che è difficile da rompere. Puoi cambiare il modo di amministratore in uno dei modi seguenti:

Vai ad Admin > Stores > Configuration > Advanced > Admin

6. Prova il negozio per problemi di sicurezza aperti

Tenendo presente l'obiettivo finale di migliorare la sicurezza del tuo sito Magento, devi attualizzare le patch di sicurezza Magento. Tutte le patch sono accessibili per essere scaricate dal sito ufficiale. Una volta riparato il tuo negozio, puoi testare la corretta creazione delle patch utilizzando le amministrazioni libere. Qui puoi utilizzare uno scanner di impotenza online per le patch: SUPEE-5344, SUPEE-5994, SUPEE-6285, SUPEE-6482 e XML XXE van 2012.

Puoi anche utilizzare un altro scanner per verificare se il tuo negozio è ancora impotente contro gli ultimi problemi di sicurezza.

7. Fai il backup del tuo sito web

Crea la tua strategia di backup e aggiungi un altro livello di sicurezza. Ti consigliamo vivamente di archiviare i tuoi file di backup su un server completamente diverso da quello in cui è ospitato il tuo sito Web Magento. Meglio fare più backup conservati in posizioni diverse.

8. Usa l'autenticazione a due fattori

Assicurati la sicurezza dell'amministratore con l'autenticazione 2F. L'autenticazione a due fattori si basa sull'applicazione di autenticazione di Google. Una volta che gli amministratori scansionano il codice QR, ottengono un numero casuale di sei cifre che viene generato e modificato ogni 30 secondi. Solo dopo aver inserito la chiave di verifica lungo i campi utente e password, gli amministratori possono accedere al pannello di amministrazione di Magento.

Questo metodo non è disponibile in magenta per impostazione predefinita. Tuttavia l'emanazione di questo per la pagina di accesso è profondamente prescritta. Lungo queste linee, puoi utilizzare confidenziali potenziamenti per eseguire questa utilità di sicurezza. Sperimenta con l'amministratore migliorato, Sicurezza per supervisionare la sicurezza trasversalmente sul sito Magento.

Con il modulo otterrai un'ulteriore garanzia impostando la verifica a due considerazioni per indicare i clienti amministratore.

9. Usa l'ultima versione di Magento per il tuo sito web

Un'altra cosa importante nella strategia di sicurezza è l'utilizzo dell'ultima versione di Magento nello sviluppo di Magento. Ti consigliamo vivamente di aggiornare le tue versioni di Magento per le nuove versioni. Ogni aggiornamento include nuove funzionalità disponibili, problemi di funzionalità risolti e patch di sicurezza relative agli ultimi attacchi. Dopo aver applicato le patch di sicurezza per il tuo sito web, fai un passo avanti in termini di sicurezza. Tieniti informato sulle ultime versioni e non craccare mai un sito Magento.

10. Backend Magento sicuro, downloader Magento Connect e feed RSS con whitelisting IP

Un altro consiglio per prevenire l'hacking dell'amministratore di Magento è la whitelist di IP. Se sei abituato ad accedere alla pagina di accesso dell'amministratore dagli stessi computer, questa potrebbe essere una buona decisione di sicurezza per te. Assicurati che solo gli utenti desiderati abbiano accesso al tuo amministratore Magento.

Pertanto, consigliamo vivamente di limitare l'accesso dell'amministratore agli indirizzi IP consentiti. Ci sono tre fonti principali che possono essere utilizzate per compromettere la sicurezza del tuo sito web:

Il downloader Magento Connect è noto come punto di ingresso per attacchi di forza bruta negli ultimi tempi. Sarebbe molto utile cambiare l'URL di Connect Manager. Puoi specificare un percorso completamente diverso per confondere gli hacker. Inoltre è possibile limitare l'accesso alla posizione /downloader/ tramite l'indirizzo IP tramite il file .htaccess.

I feed RSS sono stati esposti ad attacchi di forza bruta visto che hanno le stesse credenziali di amministratore. Se non hai bisogno che gli utenti accedano al feed RSS , puoi utilizzare la funzione di accesso limitato. Dopo aver creato la whitelist IP, puoi impostare il reindirizzamento delle richieste dai visitatori con restrizioni alla pagina principale.

È estremamente importante bloccare il pannello di amministrazione di Magento. Abbiamo incontrato alcune persone che hanno bloccato gli indirizzi IP di tutti gli altri paesi. Funziona davvero se sei certo che i tuoi consumatori siano concittadini.

Correlati: Come reimpostare la password dell'amministratore in Magento