10 สุดยอดเคล็ดลับในการรักษาความปลอดภัยแผงการดูแลระบบของคุณในวีโอไอพี

Magento เป็นเวทีขับเคลื่อนธุรกิจอินเทอร์เน็ตระดับโลก Magento ตามที่ BuiltWith กล่าวว่ากำลังขับเคลื่อนมากกว่า 22% ของเว็บไซต์อีคอมเมิร์ซหลัก 100,000 แห่ง นี้สำหรับการสร้างไซต์ที่มั่นคงและเป็นประโยชน์มาก Magento เป็นซัพพลายเออร์ด้านความปลอดภัยอย่างแท้จริง ตอนนี้คุณได้ยินมันบ่อยแค่ไหน?

ใช้เวลาของคุณในการประเมินแนวทางบางอย่างในการปกป้องแผงการดูแลระบบและกำจัดการแฮ็กไซต์

1. เลือกชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบที่ซับซ้อน

– รหัสผ่านควรประกอบด้วยตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์สองสามตัวจากแป้นพิมพ์

– สร้างรหัสผ่านที่มีความยาวอย่างน้อยแปดตัวอักษร

– พยายามหลีกเลี่ยงการใช้ชื่อบริษัท คุณสามารถใช้รูปแบบย่อของชื่อที่ชัดเจนสำหรับคุณเท่านั้น

– โดยรวมแล้ว เราขอแนะนำให้คุณเปลี่ยนรหัสผ่านทุกๆ 3-5 เดือน

2. อย่าใช้รหัสผ่านเดียวกันทุกที่

เพื่อละเว้นจากการแลกเปลี่ยนส่วนหลังของวีโอไอพี โปรดใช้รหัสผ่านที่หลากหลายเพื่อแยกบันทึก มีความเสี่ยงที่จะแฮ็คไซต์ภายนอกอยู่เสมอ ดังนั้นรหัสผ่านวีโอไอพีของคุณจึงอาจช่วยไม่ได้ พยายามอย่าใช้รหัสผ่าน Magento ซ้ำสำหรับอย่างอื่น TE: เมื่อคุณจัดการนักออกแบบภายนอก คุณควรสร้างบันทึกที่แตกต่างออกไปด้วยการรับรองพิเศษ

3. อย่าบันทึกรหัสผ่านในเบราว์เซอร์

ฟังก์ชันการบันทึกรหัสผ่านของเบราว์เซอร์เป็นจุดอ่อน จะดีกว่าที่จะไม่เก็บรหัสผ่านบนคอมพิวเตอร์ของคุณ ดังนั้นเราจึงแนะนำให้ใช้บริการจัดการรหัสผ่านของบุคคลที่สาม

4. ขอการเชื่อมต่อ HTTPS/SSL

นี่เป็นหนึ่งในเทคนิคการรักษาความปลอดภัยที่สำคัญที่สุดสำหรับเว็บไซต์ Magento อย่างที่คุณอาจทราบแล้วว่าหน้าเว็บที่ส่งด้วย HTTP:// ไม่ได้เข้ารหัส ในทางกลับกัน เมื่อ URL ของเพจเริ่มต้นด้วย HTTPS:// หมายความว่ากำลังใช้ Secure Sockets Layer การใช้มาตรฐาน SSL คุณจะปกป้องธุรกรรมออนไลน์กับลูกค้าของคุณและป้องกันไม่ให้ไซต์ของคุณถูกแฮ็ก นอกจากนี้ https ที่จุดเริ่มต้นของ URL จะช่วยให้คุณเพิ่มความน่าเชื่อถือให้กับร้านค้าของคุณ เราพบว่าผู้เยี่ยมชมสมัยใหม่มีความรู้ คุณจึงเห็นได้ว่าพวกเขามีแนวโน้มที่จะจัดการกับคุณมากกว่า

มีสี่ขั้นตอนง่ายๆ ในการเชื่อมต่อ HTTPS://: –

– ไปที่ แผงการดูแลระบบ > ระบบ > การกำหนดค่า > ทั่วไป > เว็บ > ปลอดภัย
– เปลี่ยนการตั้งค่า Base_url จาก “http” เป็น “https”
– เปิดใช้งานโดยใช้ URL ที่ปลอดภัยใน Frontend
– เปิดใช้งานโดยใช้ URL ที่ปลอดภัยใน Admin

ก่อนที่จะเปลี่ยนจาก http เป็น https บนเว็บไซต์ของคุณ โปรดขอให้ผู้ดูแลระบบตั้งค่าการเชื่อมต่อที่เข้ารหัส SSL ใน Apache

5. เปลี่ยน URL ผู้ดูแลระบบเริ่มต้นเป็น URL ที่กำหนดเอง

คุณสามารถใช้อีกหนึ่งแนวทางในการต่อสู้กับการโจมตีแบบเดรัจฉาน เรามักพบข้อมูลเกี่ยวกับการเข้าถึงหน้าผู้ดูแลระบบวีโอไอพีผ่าน URL ของผู้ดูแลระบบ โปรแกรมเมอร์มักจะรู้สึกว่าวิธีการของผู้ดูแลระบบเป็นวิธีที่ตรงไปตรงมาที่สุดในการเริ่มต้นคาดเดาชื่อผู้ใช้และรหัสผ่านของคุณ ด้วยวิธีนี้ เรากำหนดให้คุณเปลี่ยนวิธีการของผู้ดูแลระบบเป็นสิ่งที่ยากต่อการแตกหัก คุณสามารถเปลี่ยนวิธีการของผู้ดูแลระบบได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้

ไปที่ผู้ดูแลระบบ > ร้านค้า > การกำหนดค่า > ขั้นสูง > ผู้ดูแลระบบ

6. ทดสอบร้านค้าสำหรับปัญหาความปลอดภัยแบบเปิด

โดยคำนึงถึงเป้าหมายสุดท้ายในการเพิ่มความปลอดภัยให้กับไซต์วีโอไอพีของคุณ คุณต้องทำให้โปรแกรมแก้ไข Magento Security เป็นจริง แพทช์ทั้งหมดสามารถดาวน์โหลดได้จากเว็บไซต์อย่างเป็นทางการ เมื่อคุณแก้ไขร้านค้าของคุณแล้ว คุณสามารถทดสอบการติดตั้งแพตช์ที่ถูกต้องโดยใช้บริการฟรี ที่นี่คุณสามารถใช้เครื่องสแกนไร้อำนาจออนไลน์สำหรับแพทช์: SUPEE-5344, SUPEE-5994, SUPEE-6285, SUPEE-6482 และ XML XXE van 2012

คุณยังสามารถใช้เครื่องสแกนอื่นเพื่อตรวจสอบว่าร้านค้าของคุณยังไม่มีอำนาจในการแก้ไขปัญหาด้านความปลอดภัยล่าสุดหรือไม่

7. สำรองข้อมูลเว็บไซต์ของคุณ

สร้างกลยุทธ์การสำรองข้อมูลและเพิ่มระดับการรักษาความปลอดภัยอีกชั้นหนึ่ง เราขอแนะนำให้คุณเก็บไฟล์สำรองของคุณไว้บนเซิร์ฟเวอร์ที่แตกต่างอย่างสิ้นเชิงกับเว็บไซต์ Magento ของคุณ ดีกว่าที่จะทำการสำรองข้อมูลหลาย ๆ ที่เก็บไว้ในที่ต่างกัน

8. ใช้การรับรองความถูกต้องด้วยสองปัจจัย

เพิ่มความปลอดภัยให้กับผู้ดูแลระบบของคุณด้วยการตรวจสอบสิทธิ์ 2F การตรวจสอบสิทธิ์แบบสองปัจจัยขึ้นอยู่กับแอปพลิเคชัน Google Authentication เมื่อผู้ดูแลระบบสแกนรหัส QR พวกเขาจะได้รับตัวเลขหกหลักแบบสุ่มที่สร้างขึ้นและเปลี่ยนแปลงทุก ๆ 30 วินาที หลังจากป้อนรหัสยืนยันตามช่องผู้ใช้และรหัสผ่าน ผู้ดูแลระบบจะสามารถเข้าถึงแผงผู้ดูแลระบบวีโอไอพีได้

วิธีนี้ไม่พร้อมใช้งานในสีม่วงแดงโดยค่าเริ่มต้น อย่างไรก็ตาม การบังคับใช้นี้สำหรับหน้าเข้าสู่ระบบมีการกำหนดไว้อย่างลึกซึ้ง ตลอดแนวเหล่านี้ คุณสามารถใช้ข้อมูลที่ได้รับความไว้วางใจในการเสริมเพื่อดำเนินการให้เป็นประโยชน์ด้านความปลอดภัยนี้ ทดลองใช้ Improved Admin, Security เพื่อดูแลความปลอดภัยตามขวางบนไซต์ Magento

ด้วยโมดูลนี้ คุณจะได้รับการรับรองเพิ่มเติมโดยการตั้งค่าการตรวจสอบสองข้อเพื่อระบุลูกค้าผู้ดูแลระบบ

9. ใช้วีโอไอพีเวอร์ชันล่าสุดสำหรับเว็บไซต์ของคุณ

สิ่งสำคัญอีกประการหนึ่งในกลยุทธ์ด้านความปลอดภัยคือการใช้ Magento เวอร์ชันล่าสุดในการพัฒนา Magento เราขอแนะนำให้คุณอัปเดตเวอร์ชัน Magento สำหรับรุ่นใหม่ การอัพเกรดแต่ละครั้งจะมาพร้อมกับคุณสมบัติใหม่ๆ ที่ใช้งานได้ ปัญหาการทำงานที่ได้รับการแก้ไข และแพตช์ความปลอดภัยที่เกี่ยวข้องกับการโจมตีล่าสุด เมื่อคุณใช้แพตช์ความปลอดภัยสำหรับเว็บไซต์ของคุณ คุณจะก้าวไปสู่ความปลอดภัยที่สูงขึ้นไปอีกขั้น รับข่าวสารเกี่ยวกับเวอร์ชันล่าสุดและไม่เคยถูกแฮ็กจากไซต์ Magento

10. แบ็กเอนด์วีโอไอพีที่ปลอดภัย ตัวดาวน์โหลด Magento Connect และฟีด RSS พร้อม IP whitelisting

เคล็ดลับอีกประการหนึ่งในการป้องกันการแฮ็คผู้ดูแลระบบวีโอไอพีคือการอนุญาต IP หากคุณคุ้นเคยกับการเข้าถึงหน้าเข้าสู่ระบบของผู้ดูแลระบบจากคอมพิวเตอร์เครื่องเดียวกัน นี่อาจเป็นการตัดสินใจด้านความปลอดภัยที่ดีสำหรับคุณ ตรวจสอบให้แน่ใจว่าเฉพาะผู้ใช้ที่ต้องการเท่านั้นที่สามารถเข้าถึงผู้ดูแลระบบวีโอไอพีของคุณได้

ดังนั้น เราขอแนะนำอย่างยิ่งให้จำกัดการเข้าถึงของผู้ดูแลระบบสำหรับที่อยู่ IP ที่อนุญาต มีแหล่งที่มาหลักสามแหล่งที่สามารถใช้เพื่อประนีประนอมการรักษาความปลอดภัยของเว็บไซต์ของคุณ:

ตัวดาวน์โหลด Magento Connect เป็นที่รู้จักในฐานะจุดเริ่มต้นสำหรับการโจมตีแบบเดรัจฉานในครั้งล่าสุด มันจะมีประโยชน์มากในการเปลี่ยน URL ของตัวจัดการการเชื่อมต่อ คุณสามารถระบุเส้นทางที่แตกต่างไปจากเดิมอย่างสิ้นเชิงเพื่อสร้างความสับสนให้กับแฮกเกอร์ นอกจากนี้ คุณสามารถจำกัดการเข้าถึง /ดาวน์โหลด/ ตำแหน่งตามที่อยู่ IP ผ่านไฟล์ .htaccess

ฟีด RSS ถูกโจมตีด้วยกำลังเดรัจฉานโดยเห็นว่ามีข้อมูลประจำตัวของผู้ดูแลระบบเหมือนกัน หากคุณไม่ต้องการให้ผู้ใช้เข้าถึง ฟีด RSS คุณสามารถใช้คุณลักษณะการเข้าถึงที่จำกัดได้ หลังจากที่คุณสร้าง IP whitelisting แล้ว คุณสามารถตั้งค่าการเปลี่ยนเส้นทางของคำขอจากผู้เยี่ยมชมที่ถูกจำกัดไปยังหน้าหลัก

การปิดแผงผู้ดูแลระบบวีโอไอพีของคุณเป็นสิ่งสำคัญอย่างยิ่ง เราพบคนบางคนที่บล็อกที่อยู่ IP จากประเทศอื่นๆ ทั้งหมด สิ่งนี้ใช้ได้จริงหากคุณแน่ใจว่าผู้บริโภคของคุณเป็นพลเมืองเดียวกัน

ที่เกี่ยวข้อง: วิธีรีเซ็ตรหัสผ่านผู้ดูแลระบบใน Magento