Os 10 principais truques para proteger seu painel de administração no Magento

Magento é um mundo que impulsiona o palco dos negócios na Internet. Magento, como diz a BuiltWith, está conduzindo mais de 22% dos 100.000 principais sites de comércio eletrônico. Isso é para construir sites sólidos e muito utilitários. Magento é um verdadeiro fornecedor de segurança. Com que frequência você já ouviu isso?

Gaste seu tempo avaliando algumas abordagens para proteger seu painel de administração e se livrar de hackear um site.

1. Escolha um nome de usuário e senha de administrador complexos

- A senha deve incluir letras maiúsculas, minúsculas, números e alguns símbolos do teclado

- Crie uma senha com pelo menos oito caracteres

- Evite usar o nome da empresa. Você pode usar a forma abreviada do nome que fica claro apenas para você.

- No geral, recomendamos que você altere as senhas a cada 3-5 meses.

2. Não use a mesma senha em todos os lugares

Para se abster de negociar seu back-end do Magento, utilize diversas senhas para registros isolados. Existe um risco confiável de hackear sites estranhos, então sua senha Magento pode ser inútil. Tente não reutilizar a senha do Magento para qualquer outra coisa. TE: quando você estiver gerenciando designers externos, é melhor fazer um registro diferente com certificações especiais.

3. Não salve a senha no navegador

A funcionalidade de salvar senha do navegador é um ponto fraco. Seria melhor não armazenar a senha no seu computador. Portanto, recomendamos o uso de serviços de gerenciamento de senhas de terceiros.

4. Solicitar conexão HTTPS / SSL

Esta é uma das técnicas de segurança mais importantes para o site Magento. Como você deve saber, as páginas da web transportadas com HTTP: // não são criptografadas. Por outro lado, quando o URL da página começa com HTTPS: // significa que está usando Secure Sockets Layer. Usando o padrão SSL, você protege as transações online com seus clientes e evita que seu site seja hackeado. Além disso, https no início da URL o ajudará a aumentar a credibilidade da sua loja. Consideramos que os visitantes modernos são bem informados, então você pode ver que eles estariam mais propensos a lidar com você.

Existem quatro etapas fáceis para obter a conexão HTTPS: //: -

- Vá para Painel de administração> Sistema> Configuração> Geral> Web> Seguro.
- Altere a configuração Base_url de “http” para “https”
- Habilite o uso de URLs seguros no frontend
- Habilite o uso de URLs seguros em Admin

Antes de mudar de http para https em seu site, peça ao seu administrador para configurar a conexão criptografada SSL no Apache.

5. Altere o URL de administrador padrão para URL personalizado

Você pode usar mais uma abordagem para lutar contra ataques de força bruta. Frequentemente descobrimos como chegar à página do administrador do magento através da URL do administrador. Os programadores tendem a achar que o método do administrador é a abordagem mais direta para começar a especular seu nome de usuário e senhas. Desta forma, prescrevemos que você altere a forma de administrador para algo que seja difícil de quebrar. Você pode alterar a forma de administrador de uma das seguintes maneiras:

Acesse Admin> Stores> Configuration> Advanced> Admin

6. Loja de teste para problemas de segurança abertos

Tendo em mente o objetivo final de aumentar a segurança do seu site Magento, você precisa atualizar os patches de segurança do Magento. Todos os patches podem ser baixados do site oficial. Depois de consertar sua loja, você pode testar o estabelecimento correto dos patches utilizando administrações gratuitas. Aqui você pode utilizar um scanner online de impotência para patches: SUPEE-5344, SUPEE-5994, SUPEE-6285, SUPEE-6482 e XML XXE van 2012.

Você também pode utilizar outro scanner para verificar se sua loja ainda está sem energia em relação aos problemas de segurança mais recentes.

7. Faça backup do seu site

Crie sua estratégia de backup e adicione outra camada de segurança. Recomendamos fortemente que você armazene seus arquivos de backup em um servidor completamente diferente do que o seu site Magento está hospedado. Melhor fazer backups múltiplos mantidos em locais diferentes.

8. Use autenticação de dois fatores

Garanta a segurança de seu administrador com autenticação 2F. A autenticação de dois fatores é baseada no aplicativo Google Authentication. Depois que os administradores escaneiam o código QR, eles recebem um número aleatório de seis dígitos que é gerado e alterado a cada 30 segundos. Somente após inserir a chave de verificação nos campos de usuário e senha, os administradores podem acessar o painel de administração do magento.

Este método não está disponível em magenta por padrão. No entanto, a decretação disso para a página de login é profundamente prescrita. Ao longo dessas linhas, você pode utilizar aumentos confidenciais para executar esta utilidade de segurança. Experimente com o administrador aprimorado, segurança para supervisionar a segurança transversalmente no site Magento.

Com o módulo, você obterá segurança adicional definindo a verificação de duas considerações para indicar clientes administradores.

9. Use a versão magento mais recente para o seu site

Uma coisa mais importante na estratégia de segurança é usar a última versão do Magento no desenvolvimento do Magento. É altamente recomendável que você atualize suas versões do Magento para novos lançamentos. Cada atualização vem com novos recursos disponíveis, os problemas de funcionalidade corrigidos e com patches de segurança relacionados aos ataques mais recentes. Depois de aplicar os patches de segurança ao seu site, você dá um passo à frente na segurança. Mantenha-se informado sobre as versões mais recentes e nunca deixe um site Magento crackear.

10. Proteger o backend do magento, o downloader do Magento Connect e feeds RSS com lista de permissões de IP

Outra dica para evitar o hack do magento admin é a lista de permissões de IP. Se você se acostumou a acessar a página de login do administrador nos mesmos computadores, essa pode ser uma boa decisão de segurança para você. Certifique-se de que apenas os usuários desejados tenham acesso ao seu administrador magento.

Portanto, é altamente recomendável restringir o acesso do administrador aos endereços IP permitidos. Existem três fontes principais que podem ser usadas para comprometer a segurança do seu site:

O downloader do Magento Connect é conhecido como ponto de entrada para ataques de força bruta nos últimos tempos. Seria muito útil alterar a URL do gerenciador de conexão. Você pode especificar um caminho completamente diferente para confundir os hackers. Além disso, você pode limitar o acesso a / downloader / localização por endereço IP por meio do arquivo .htaccess.

Os feeds RSS foram expostos a ataques de força bruta, tendo as mesmas credenciais de administrador. Se você não precisa que os usuários acessem o feed RSS , você pode usar o recurso de acesso restrito. Depois de criar a lista de permissões de IP, você pode definir o redirecionamento das solicitações de visitantes restritos para a página principal.

É extremamente importante bloquear o painel de administração do magento. Conhecemos algumas pessoas que bloquearam endereços IP de todos os outros países. Isso realmente funciona se você tiver certeza de que seus consumidores são concidadãos.

Relacionado: Como redefinir a senha do administrador no Magento