Top 10 Hack-uri pentru a vă securiza panoul de administrare în Magento

Magento este o etapă de afaceri pe internet care conduce la nivel mondial. Magento, după cum spune BuiltWith, conduce peste 22% din principalele 100.000 de site-uri de comerț electronic. Aceasta este pentru construirea de site-uri solide și foarte utilitare. Magento este un furnizor autentic de securitate. Cât de des ai auzit-o până acum?

Petreceți-vă timpul pentru a evalua unele abordări pentru a vă proteja panoul de administrare și a scăpa de piratarea unui site.

1.Alegeți un nume de utilizator și o parolă de administrator complexe

– Parola trebuie să includă litere mari, minuscule, cifre și câteva simboluri de la tastatură

– Creați o parolă cu cel puțin opt caractere

– Încercați să evitați utilizarea numelui companiei. Puteți folosi forma prescurtată a numelui care este clară numai pentru dvs.

– În general, vă recomandăm să schimbați parolele la fiecare 3-5 luni.

2. Nu utilizați aceeași parolă peste tot

Pentru a vă abține de la tranzacționarea back-end-ului dvs. Magento, vă rugăm să utilizați diverse parole pentru înregistrări izolate. Există în mod sigur un risc de a pirata site-uri externe, așa că parola dvs. Magento poate fi neputincioasă. Încercați să nu refolosiți parola Magento pentru orice altceva.TE: atunci când gestionați designeri externi, mai bine faceți o înregistrare diferită cu certificări speciale.

3. Nu salvați parola în browser

Funcționalitatea de salvare a parolelor browserului este un punct slab. Ar fi mai bine să nu stocați parola pe computer. Prin urmare, vă recomandăm să utilizați servicii terțe de gestionare a parolelor.

4. Solicitați conexiune HTTPS/SSL

Aceasta este una dintre cele mai importante tehnici de securitate pentru site-ul Magento. După cum probabil știți, paginile web transportate cu HTTP:// nu sunt criptate. În schimb, când adresa URL a paginii începe cu HTTPS:// înseamnă că folosește Secure Sockets Layer. Folosind standardul SSL, protejați tranzacțiile online cu clienții dvs. și împiedicați piratarea site-ului dvs. Mai mult, https de la începutul adresei URL vă va ajuta să creșteți credibilitatea magazinului dvs. Considerăm că vizitatorii moderni sunt cunoscători, astfel încât să puteți vedea că ar fi mai predispuși să trateze cu dvs.

Există patru pași simpli pentru a obține conexiunea HTTPS://: –

– Accesați Panoul de administrare > Sistem > Configurare > General > Web > Securizat.
– Schimbați setarea Base_url de la „http” la „https”
– Activați utilizarea adreselor URL securizate în Frontend
– Activați utilizarea adreselor URL securizate în Admin

Înainte de a schimba de la http la https pe site-ul dvs. web, vă rugăm să cereți administratorului să configureze conexiunea criptată SSL în Apache.

5. Schimbați adresa URL implicită de administrator la adresa URL personalizată

Puteți folosi încă o abordare pentru a lupta împotriva atacurilor cu forță brută. Aflam frecvent despre accesarea paginii de administrator Magento prin adresa URL a administratorului. Programatorii tind să simtă că modul de administrare este cea mai simplă abordare pentru a începe să speculeze numele de utilizator și parolele. În acest fel, vă prescriem să schimbați modul de administrator la ceva care este greu de spart. Puteți schimba modul de administrator într-unul dintre modurile însoțitoare:

Accesați Administrator > Magazine > Configurare > Avansat > Administrator

6. Magazin de testare pentru probleme de securitate deschise

Ținând cont de obiectivul final de a îmbunătăți securitatea site-ului dvs. Magento, trebuie să actualizați corecțiile de securitate Magento. Toate patch-urile sunt accesibile pentru a fi descărcate de pe site-ul oficial. Odată ce v-ați reparat magazinul, puteți testa stabilirea corectă a patch-urilor utilizând administrări gratuite. Aici puteți utiliza un scaner de neputință online pentru corecții: SUPEE-5344, SUPEE-5994, SUPEE-6285, SUPEE-6482 și XML XXE van 2012.

De asemenea, puteți utiliza un alt scaner pentru a verifica dacă magazinul dvs. este încă neputincios față de cele mai recente probleme de securitate.

7. Faceți o copie de rezervă a site-ului dvs. web

Creați-vă strategia de rezervă și adăugați un alt nivel de securitate. Vă recomandăm insistent să stocați fișierele de rezervă pe un server complet diferit de cel găzduit site-ul dvs. Magento. Mai bine să faci mai multe copii de rezervă păstrate în locații diferite.

8. Utilizați autentificarea cu doi factori

Asigurați-vă securitatea administratorului cu autentificarea 2F. Autentificarea cu doi factori se bazează pe aplicația Google Authentication. Odată ce administratorii scanează codul QR, primesc un număr aleatoriu de șase cifre care este generat și modificat la fiecare 30 de secunde. Doar după introducerea cheii de verificare în câmpurile utilizator și parolă, administratorii au putut accesa panoul de administrare magento.

Această metodă nu este disponibilă implicit în magenta. Cu toate acestea, adoptarea acestei pagini pentru autentificare este profund prescrisă. În acest sens, puteți utiliza confid in augments pentru a executa această utilitate de securitate. Experimentați cu Administratorul îmbunătățit, Securitate pentru a supraveghea securitatea pe site-ul Magento.

Cu modulul, veți obține o asigurare suplimentară prin setarea verificării cu două analize pentru indicarea clienților administrator.

9. Utilizați cea mai recentă versiune magento pentru site-ul dvs. web

Încă un lucru important în strategia de securitate este utilizarea celei mai recente versiuni Magento în dezvoltarea Magento. Vă recomandăm să vă actualizați versiunile Magento pentru noile versiuni. Fiecare upgrade vine cu noi caracteristici disponibile, probleme de funcționalitate remediate și cu patch-uri de securitate legate de cele mai recente atacuri. Odată ce ați aplicat corecții de securitate pentru site-ul dvs., faceți un pas mai sus în securitate. Rămâneți la curent cu cele mai recente versiuni și nu primiți niciodată spargerea unui site Magento.

10. Backend Magento securizat, programul de descărcare Magento Connect și fluxurile RSS cu lista albă IP

Un alt sfat pentru a preveni hackul de administrator al Magento este lista albă IP. Dacă v-ați obișnuit să accesați pagina de autentificare admin de pe aceleași computere, aceasta ar putea fi o decizie bună de securitate pentru dvs. Asigurați-vă că numai utilizatorii doriti au acces la administratorul dvs. magento.

Prin urmare, vă recomandăm să restricționați accesul administratorului la adresele IP permise. Există trei surse principale care pot fi folosite pentru a compromite securitatea site-ului dvs.:

Descărcătorul Magento Connect este cunoscut ca punct de intrare pentru atacurile cu forță brută în ultima vreme. Ar fi foarte util să schimbați adresa URL a managerului de conectare. Puteți specifica o cale complet diferită pentru a deruta hackerii. În plus, puteți limita accesul la locația /downloader/ prin adresa IP prin fișierul .htaccess.

Fluxurile RSS au fost expuse atacurilor de forță brută, deoarece au aceleași acreditări de administrator. Dacă nu aveți nevoie de utilizatori pentru a accesa fluxul RSS , puteți utiliza funcția de acces restricționat. După ce ați creat lista albă IP, puteți seta redirecționarea solicitărilor de la vizitatorii restricționați către pagina principală.

Este extrem de important să blocați panoul de administrare magento. Am fost întâlniți câteva persoane care au blocat adrese IP din toate celelalte țări. Acest lucru funcționează cu adevărat dacă sunteți sigur că consumatorii dvs. sunt concetățeni.

Înrudit: Cum să resetați parola de administrator în Magento