在 Magento 中保护您的管理面板的十大黑客

已发表: 2022-01-02

Magento 是一个推动互联网业务的世界舞台。 正如 BuiltWith 所说,Magento 推动了 100,000 个主要电子商务网站中的 22% 以上。 这是用于构建坚固且非常实用的站点。 Magento 是真正的安全供应商。 到目前为止,您听到它的频率如何?

花时间评估一些保护管理面板的方法并摆脱对网站的黑客攻击。

1.选择复杂的管理员用户名和密码

– 密码应包括大写、小写字母、数字和键盘上的一些符号

– 创建一个长度至少为 8 个字符的密码

– 尽量避免使用公司名称。 您可以使用只有您自己清楚的名称缩写形式。

– 总体而言,我们建议您每 3-5 个月更改一次密码。

2. 不要到处使用相同的密码

为了避免折衷您的 Magento 后端,请为隔离记录使用不同的密码。 确实存在入侵外部站点的风险,因此您的 Magento 密码可能无能为力。 尽量不要将 Magento 密码重复用于其他任何事情。 TE:当您管理外部设计师时,您最好使用特殊认证制作不同的记录。

3.不要在浏览器中保存密码

浏览器密码保存功能是一个弱点。 最好不要在您的计算机上存储密码。 因此我们建议使用第三方密码管理服务。

4.请求HTTPS/SSL连接

这是 Magento 网站最重要的安全技术之一。 您可能知道使用 HTTP:// 传输的网页未加密。 相反,当页面 URL 以HTTPS://开头时,表示它正在使用安全套接字层。 使用 SSL 标准,您可以保护与客户的在线交易,并防止您的网站遭到黑客攻击。 此外,URL 开头的 https 将帮助您提高商店的可信度。 我们发现现代访客知识渊博,因此您可以看到他们更愿意与您打交道。

获得 HTTPS:// 连接有四个简单的步骤:

– 转到管理面板 > 系统 > 配置 > 常规 > Web > 安全。
– 将 Base_url 设置从“http”更改为“https”
– 在前端启用使用安全 URL
– 在管理中启用使用安全 URL

在您的网站上从 http 更改为 https 之前,请让您的管理员在 Apache 中设置 SSL 加密连接。

5. 将默认管理 URL 更改为自定义 URL

您可以使用另一种方法来对抗蛮力攻击。我们经常发现通过管理员 URL 进入 magento 管理员页面。 程序员往往认为管理员方式是开始推测用户名和密码的最直接的方法。 通过这种方式,我们建议您将管理员方式更改为难以破解的方式。 您可以通过随附的方式之一更改管理员方式:

转到管理 > 商店 > 配置 > 高级 > 管理

6. 测试商店是否存在公开的安全问题

牢记增强 Magento 站点安全性的最终目标,您需要实现 Magento 安全补丁。 所有补丁均可从官方网站下载。 一旦您修复了您的商店,您就可以通过使用免费管理来测试补丁的正确设置。 在这里,您可以使用在线无能为力的补丁扫描程序:SUPEE-5344、SUPEE-5994、SUPEE-6285、SUPEE-6482 和 XML XXE van 2012。

您还可以使用另一个扫描仪来检查您的商店是否对最新的安全问题无能为力。

7. 备份您的网站

创建您的备份策略并添加另一层安全性。 我们强烈建议您将备份文件存储在与托管 Magento 网站完全不同的服务器上。 最好在不同位置进行多个备份。

8. 使用两步验证

使用 2F 身份验证确保您的管理员安全。 两因素身份验证基于 Google 身份验证应用程序。 管理员扫描二维码后,他们会获得一个随机的六位数字,该数字每 30 秒生成并更改一次。 只有在用户和密码字段中输入验证密钥后,管理员才能访问 magento 管理面板。

默认情况下,此方法在品红色中不可用。 然而,为登录页面制定这一点是有深刻规定的。 沿着这些思路,您可以利用 confided in 增强来执行此安全用途。 尝试使用改进的管理员、安全性来监督 Magento 站点上的安全性。

使用该模块,您可以通过设置两重验证来指示管理员客户端,从而获得额外的保证。

9. 为您的网站使用最新的 magento 版本

安全策略中更重要的一件事是在 Magento 开发中使用最新的 Magento 版本。 我们强烈建议您为新版本更新您的 Magento 版本。 每次升级都会带来新的可用功能、修复的功能问题以及与最新攻击相关的安全补丁。 一旦您为您的网站应用了安全补丁,您就可以在安全性上更上一层楼。 随时了解最新版本,永远不要让 Magento 网站破解。

10. 使用 IP 白名单保护 magento 后端、Magento Connect 下载器和 RSS 提要

另一个防止 magento admin hack 的技巧是 IP 白名单。 如果您习惯从同一台计算机访问管理员登录页面,这对您来说可能是一个很好的安全决定。 确保只有需要的用户才能访问您的 magento 管理员。

因此,我们强烈建议将管理员访问权限限制为允许的 IP 地址。 有三个主要来源可用于破坏您网站的安全性:

Magento Connect 下载器最近被称为暴力攻击的入口点。 更改连接管理器 URL 将非常有用。 您可以指定完全不同的路径以迷惑黑客。 此外,您可以通过 .htaccess 文件通过 IP 地址限制对 /downloader/ 位置的访问。

RSS 提要已暴露于暴力攻击中,因为它们具有相同的管理员凭据。 如果不需要用户访问RSS 提要,则可以使用限制访问功能。 创建 IP 白名单后,您可以设置将受限访问者的请求重定向到主页。

锁定您的 magento 管理面板非常重要。 我们遇到了一些阻止来自所有其他国家/地区的 IP 地址的人。 如果您确定您的消费者是同胞,这确实有效。

相关:如何在 Magento 中重置管理员密码