在 Magento 中保護您的管理面板的十大黑客

已發表: 2022-01-02

Magento 是一個推動互聯網業務的世界舞台。 正如 BuiltWith 所說,Magento 推動了 100,000 個主要電子商務網站中的 22% 以上。 這是用於構建堅固且非常實用的站點。 Magento 是真正的安全供應商。 到目前為止,您聽到它的頻率如何?

花時間評估一些保護管理面板的方法並擺脫對網站的黑客攻擊。

1.選擇複雜的管理員用戶名和密碼

– 密碼應包括大寫、小寫字母、數字和鍵盤上的一些符號

– 創建一個長度至少為 8 個字符的密碼

– 盡量避免使用公司名稱。 您可以使用只有您自己清楚的名稱縮寫形式。

– 總體而言,我們建議您每 3-5 個月更改一次密碼。

2. 不要到處使用相同的密碼

為了避免折衷您的 Magento 後端,請為隔離記錄使用不同的密碼。 確實存在入侵外部站點的風險,因此您的 Magento 密碼可能無能為力。 盡量不要將 Magento 密碼重複用於其他任何事情。 TE:當您管理外部設計師時,您最好使用特殊認證製作不同的記錄。

3.不要在瀏覽器中保存密碼

瀏覽器密碼保存功能是一個弱點。 最好不要在您的計算機上存儲密碼。 因此我們建議使用第三方密碼管理服務。

4.請求HTTPS/SSL連接

這是 Magento 網站最重要的安全技術之一。 您可能知道使用 HTTP:// 傳輸的網頁未加密。 相反,當頁面 URL 以HTTPS://開頭時,表示它正在使用安全套接字層。 使用 SSL 標準,您可以保護與客戶的在線交易,並防止您的網站遭到黑客攻擊。 此外,URL 開頭的 https 將幫助您提高商店的可信度。 我們發現現代訪客知識淵博,因此您可以看到他們更願意與您打交道。

獲得 HTTPS:// 連接有四個簡單的步驟:

– 轉到管理面板 > 系統 > 配置 > 常規 > Web > 安全。
– 將 Base_url 設置從“http”更改為“https”
– 在前端啟用使用安全 URL
– 在管理中啟用使用安全 URL

在您的網站上從 http 更改為 https 之前,請讓您的管理員在 Apache 中設置 SSL 加密連接。

5. 將默認管理 URL 更改為自定義 URL

您可以使用另一種方​​法來對抗蠻力攻擊。我們經常發現通過管理員 URL 進入 magento 管理員頁面。 程序員往往認為管理員方式是開始推測用戶名和密碼的最直接的方法。 通過這種方式,我們建議您將管理員方式更改為難以破解的方式。 您可以通過隨附的方式之一更改管理員方式:

轉到管理 > 商店 > 配置 > 高級 > 管理

6. 測試商店是否存在公開的安全問題

牢記增強 Magento 站點安全性的最終目標,您需要實現 Magento 安全補丁。 所有補丁均可從官方網站下載。 一旦您修復了您的商店,您就可以通過使用免費管理來測試補丁的正確設置。 在這裡,您可以使用在線無能為力的補丁掃描程序:SUPEE-5344、SUPEE-5994、SUPEE-6285、SUPEE-6482 和 XML XXE van 2012。

您還可以使用另一個掃描儀來檢查您的商店是否對最新的安全問題無能為力。

7. 備份您的網站

創建您的備份策略並添加另一層安全性。 我們強烈建議您將備份文件存儲在與託管 Magento 網站完全不同的服務器上。 最好在不同位置進行多個備份。

8. 使用兩步驗證

使用 2F 身份驗證確保您的管理員安全。 兩因素身份驗證基於 Google 身份驗證應用程序。 管理員掃描二維碼後,他們會獲得一個隨機的六位數字,該數字每 30 秒生成並更改一次。 只有在用戶和密碼字段中輸入驗證密鑰後,管理員才能訪問 magento 管理面板。

默認情況下,此方法在品紅色中不可用。 然而,為登錄頁面製定這一點是有深刻規定的。 沿著這些思路,您可以利用 confided in 增強來執行此安全用途。 嘗試使用改進的管理員、安全性來監督 Magento 站點上的安全性。

使用該模塊,您可以通過設置兩重驗證來指示管理員客戶端,從而獲得額外的保證。

9. 為您的網站使用最新的 magento 版本

安全策略中更重要的一件事是在 Magento 開發中使用最新的 Magento 版本。 我們強烈建議您為新版本更新您的 Magento 版本。 每次升級都會帶來新的可用功能、修復的功能問題以及與最新攻擊相關的安全補丁。 一旦您為您的網站應用了安全補丁,您就可以在安全性上更上一層樓。 隨時了解最新版本,永遠不要讓 Magento 網站破解。

10. 使用 IP 白名單保護 magento 後端、Magento Connect 下載器和 RSS 提要

另一個防止 magento admin hack 的技巧是 IP 白名單。 如果您習慣從同一台計算機訪問管理員登錄頁面,這對您來說可能是一個很好的安全決定。 確保只有需要的用戶才能訪問您的 magento 管理員。

因此,我們強烈建議將管理員訪問權限限制為允許的 IP 地址。 有三個主要來源可用於破壞您網站的安全性:

Magento Connect 下載器最近被稱為暴力攻擊的入口點。 更改連接管理器 URL 將非常有用。 您可以指定完全不同的路徑以迷惑黑客。 此外,您可以通過 .htaccess 文件通過 IP 地址限制對 /downloader/ 位置的訪問。

RSS 提要已暴露於暴力攻擊中,因為它們具有相同的管理員憑據。 如果不需要用戶訪問RSS 提要,則可以使用限制訪問功能。 創建 IP 白名單後,您可以設置將受限訪問者的請求重定向到主頁。

鎖定您的 magento 管理面板非常重要。 我們遇到了一些阻止來自所有其他國家/地區的 IP 地址的人。 如果您確定您的消費者是同胞,這確實有效。

相關:如何在 Magento 中重置管理員密碼