10 najlepszych hacków do zabezpieczenia panelu administracyjnego w Magento

Magento jest światową sceną biznesu internetowego. Magento, jak mówi BuiltWith, napędza ponad 22% głównych 100 000 witryn eCommerce. Służy do budowania solidnych i bardzo użytkowych witryn. Magento to prawdziwy dostawca zabezpieczeń. Jak często już to słyszałeś?

Poświęć swój czas na ocenę niektórych metod ochrony panelu administracyjnego i pozbądź się włamań do witryny.

1. Wybierz złożoną nazwę użytkownika i hasło administratora

– Hasło powinno zawierać wielkie i małe litery, cyfry i kilka symboli z klawiatury

– Utwórz hasło składające się z co najmniej ośmiu znaków

– Staraj się unikać używania nazwy firmy. Możesz użyć skróconej formy nazwy, która jest czytelna tylko dla Ciebie.

– Ogólnie zalecamy zmianę hasła co 3-5 miesięcy.

2. Nie używaj wszędzie tego samego hasła

Aby powstrzymać się od handlu zaplecza Magento, użyj różnych haseł do izolowanych rekordów. Istnieje pewne ryzyko włamania się na strony z zewnątrz, więc Twoje hasło Magento może być bezradne. Staraj się nie używać ponownie hasła Magento do czegokolwiek innego.TE: kiedy zarządzasz zewnętrznymi projektantami, lepiej utwórz inny rekord ze specjalnymi certyfikatami.

3. Nie zapisuj hasła w przeglądarce

Słabym punktem jest funkcja zapisywania haseł w przeglądarce. Lepiej nie przechowywać hasła na swoim komputerze. W związku z tym zalecamy korzystanie z usług zarządzania hasłami innych firm.

4. Poproś o połączenie HTTPS/SSL

Jest to jedna z najważniejszych technik bezpieczeństwa dla serwisu Magento. Jak być może wiesz, strony internetowe przesyłane za pomocą HTTP:// nie są szyfrowane. I odwrotnie, gdy adres URL strony zaczyna się od HTTPS://, oznacza to, że używa protokołu Secure Sockets Layer. Korzystając ze standardu SSL, chronisz transakcje online z klientami i zapobiegasz włamaniom na Twoją witrynę. Co więcej, https na początku adresu URL pomoże Ci zwiększyć wiarygodność Twojego sklepu. Uważamy, że współcześni goście mają wiedzę, więc widać, że byliby bardziej skłonni do czynienia z Tobą.

Istnieją cztery proste kroki, aby uzyskać połączenie HTTPS://: –

– Przejdź do Panelu administracyjnego > System > Konfiguracja > Ogólne > Internet > Zabezpiecz.
– Zmień ustawienie Base_url z „http” na „https”
– Włącz używanie bezpiecznych adresów URL w Frontend
– Włącz używanie bezpiecznych adresów URL w Administratorze

Przed zmianą z http na https w swojej witrynie poproś administratora o skonfigurowanie szyfrowanego połączenia SSL w Apache.

5. Zmień domyślny adres URL administratora na niestandardowy URL

Możesz użyć jeszcze jednego podejścia do walki z atakami brute force.Często dowiadujemy się o dostępie do strony administratora magento przez adres URL administratora. Programiści mają tendencję do myślenia, że ​​sposób administratora jest najprostszym sposobem na rozpoczęcie spekulacji na temat nazwy użytkownika i haseł. W ten sposób przepisujemy Ci zmianę sposobu administratora na coś trudnego do złamania. Możesz zmienić sposób administratora na jeden z towarzyszących sposobów:

Idź Administrator > Sklepy > Konfiguracja > Zaawansowane > Administrator

6. Testuj sklep pod kątem otwartych problemów z bezpieczeństwem

Mając na uwadze ostateczny cel, jakim jest zwiększenie bezpieczeństwa Twojej witryny Magento, musisz zaktualizować łatki Magento Security. Wszystkie poprawki są dostępne do pobrania z oficjalnej strony. Po naprawieniu sklepu możesz przetestować prawidłowe tworzenie poprawek, korzystając z bezpłatnych administracji. Tutaj możesz skorzystać z internetowego skanera bezsilności dla poprawek: SUPEE-5344, SUPEE-5994, SUPEE-6285, SUPEE-6482 i XML XXE van 2012.

Możesz również użyć innego skanera do sprawdzenia, czy Twój sklep jest jeszcze bezsilny w stosunku do najnowszych problemów związanych z bezpieczeństwem.

7. Zrób kopię zapasową swojej witryny

Stwórz swoją strategię tworzenia kopii zapasowych i dodaj kolejną warstwę bezpieczeństwa. Zdecydowanie zalecamy przechowywanie plików kopii zapasowych na serwerze zupełnie innym, niż hostowana jest Twoja witryna Magento. Lepiej robić wiele kopii zapasowych przechowywanych w różnych lokalizacjach.

8. Użyj uwierzytelniania dwuskładnikowego

Zapewnij sobie bezpieczeństwo administratora dzięki uwierzytelnianiu 2F. Uwierzytelnianie dwuskładnikowe opiera się na aplikacji Google Authentication. Gdy administratorzy zeskanują kod QR, otrzymają losową sześciocyfrową liczbę, która jest generowana i zmieniana co 30 sekund. Dopiero po wprowadzeniu klucza weryfikacyjnego w polach użytkownika i hasła administratorzy mogli uzyskać dostęp do panelu administratora magento.

Ta metoda nie jest domyślnie dostępna w kolorze magenta. Jednak wprowadzenie tego dla strony logowania jest głęboko nakazane. Zgodnie z tymi zasadami możesz wykorzystać poufne w rozszerzeniach, aby wykonać tę użyteczność bezpieczeństwa. Eksperymentuj z ulepszonym administratorem, zabezpieczeniami, aby nadzorować bezpieczeństwo w poprzek witryny Magento.

Dzięki modułowi zyskasz dodatkową pewność, ustawiając dwustronną weryfikację dla wskazywania klientów administratora.

9. Użyj najnowszej wersji Magento na swojej stronie

Jeszcze jedną ważną rzeczą w strategii bezpieczeństwa jest wykorzystanie najnowszej wersji Magento w rozwoju Magento. Zdecydowanie zalecamy aktualizację wersji Magento o nowe wydania. Każde uaktualnienie zawiera nowe dostępne funkcje, naprawione problemy z funkcjonalnością oraz poprawki bezpieczeństwa związane z najnowszymi atakami. Po zastosowaniu łatek bezpieczeństwa dla swojej witryny idziesz o krok wyżej w zakresie bezpieczeństwa. Bądź na bieżąco z najnowszymi wersjami i nigdy nie daj się złamać stronie Magento.

10. Bezpieczny backend Magento, narzędzie do pobierania Magento Connect i kanały RSS z białą listą adresów IP

Kolejną wskazówką, jak zapobiec włamaniu się administratora magento, jest biała lista adresów IP. Jeśli przyzwyczaiłeś się do uzyskiwania dostępu do strony logowania administratora z tych samych komputerów, może to być dla Ciebie dobra decyzja dotycząca bezpieczeństwa. Upewnij się, że tylko żądani użytkownicy mają dostęp do Twojego administratora magento.

Dlatego zdecydowanie zalecamy ograniczenie dostępu administratora do dozwolonych adresów IP. Istnieją trzy główne źródła, które można wykorzystać do naruszenia bezpieczeństwa Twojej witryny:

Downloader Magento Connect jest znany jako punkt wejścia do ataków typu brute force w ostatnich czasach. Bardzo przydatna byłaby zmiana adresu URL menedżera Connect. Możesz określić zupełnie inną ścieżkę, aby zmylić hakerów. Ponadto możesz ograniczyć dostęp do lokalizacji /downloader/ według adresu IP za pomocą pliku .htaccess.

Kanały RSS były narażone na ataki typu brute force, które miały te same poświadczenia administratora. Jeśli nie potrzebujesz, aby użytkownicy mieli dostęp do kanału RSS , możesz skorzystać z funkcji ograniczonego dostępu. Po utworzeniu białej listy adresów IP możesz ustawić przekierowanie żądań od odwiedzających z ograniczonym dostępem do strony głównej.

Niezwykle ważne jest zablokowanie panelu administratora magento. Spotkaliśmy kilka osób, które zablokowały adresy IP ze wszystkich innych krajów. To naprawdę działa, jeśli masz pewność, że Twoi konsumenci są współobywatelami.

Powiązane: Jak zresetować hasło administratora w Magento