Magento és una de les plataformes de comerç electrònic de codi obert més grans al món, per la qual cosa s’ha convertit en un objectiu atractiu per als hackers informàtics. Independentment de la quantitat de treball dedicat a protegir aquesta plataforma, els hackers seguiran intentant trobar noves formes d’evadir les mesures de seguretat.
Tot i que Magento té les seves pròpies característiques de seguretat (i són de les millors), has de ser proactiu i prendre mesures preventives com ara auditories i proves de seguretat per avaluar totes les vulnerabilitats de la botiga.
Realitzar un monitoratge regular i les actualitzacions requerides puntualment és la millor manera de minimitzar les possibilitats de que la teva Botiga Magento sigui hackejada.
Com a experts en Magento, rebem moltes sol·licituds de propietaris de comerços electrònics de Magento que necessiten evitar que les seves botigues siguin piratejades posant en perill les dades dels seus usuaris.
Aquesta és la situació: les preocupacions per la seguretat sempre seran presents, per la qual cosa volem compartir amb tu un conjunt d’auditories i els passos més importants que has de portar a terme per protegir la botiga online d’atacs pirates.
Aquest article enumera les maneres a través de les quals els propietaris de botigues online, gerents de màrqueting, gerents de comerç electrònic, etc. poden implementar mesures de seguretat essencials a Magento.
TRIA UNA INFRAESTRUCTURA D’ALLOTJAMENT SEGURA
Al triar un proveïdor de hosting, assegura’t que tingui un cicle de vida de desenvolupament de software segur i que funcioni d’acord amb els estàndards de la indústria (per exemple, les millors pràctiques de seguretat de OWASP).
Si estàs en procés de crear un nou lloc web, inicia el lloc a través de HTTPS. Això xifrarà de manera segura el teu lloc web i t’ajudarà a obtenir una classificació més alta a Google. Per a un lloc web existent, et recomanem que actualitzis el lloc perquè s’executi en HTTPS.
ENTORN SEGUR
Mantingues el software actualitzat en la seva totalitat i aplica TOTS els “patches” de seguretat recomanats. Magento llança correccions en forma de patches regularment, de manera que et recomanem verificar si els patches més recents estan instal·lats al sistema.
Deshabilita FTP i fes servir només comunicacions segures (SSH / SFTP / HTTPS) per administrar arxius. La raó per la qual és aconsellable fer-ho és perquè el FTP transmet dades en text sense format, el que significa que es pot obtenir fàcilment informació confidencial com els noms d’usuari i contrasenyes d’usuaris.
Si estàs utilitzant un servidor diferent al servidor web Apache, assegura’t que tots els arxius i directoris de sistema estiguin protegits.
Permet que només les adreces IP incloses en la llista blanca accedeixin al panell d’administració. Si no estàs segur de com administrar aquests permisos, llegeix això.
Implementa l’autenticació de dos factors per a inicis de sessió d’administrador. Això proporcionarà seguretat addicional ja que requereix un codi d’accés obligatori que es genera en el teu telèfon.
Actualitza regularment el teu software antivirus i fes servir un escàner de malware per assegurar l’ordinador que utilitzis per accedir al Panell d’administració de Magento.
A més, per garantir un sistema operatiu de servidor segur, assegura’t que no s’està executant cap software innecessari al servidor.
MAGENTO SEGUR
Per reduir l’exposició als scripts que podrien intentar ingressar a través de la teva URL d’administrador, utilitza una URL d’administrador única que no es pugui endevinar fàcilment.
Utilitza una contrasenya segura per al compte d’administrador de Magento. MAI has de fer servir contrasenyes simples per l’administrador de Magento (dates de naixement, noms, cognoms, etc.) i aproximadament un cop a el mes, canvia les contrasenyes. Finalment, no comparteixis la contrasenya amb tercers. Si et cal proporcionar accés als desenvolupadors, crea un usuari separat per a ells i elimina’l una vegada que s’hagi completat el treball.
Verifica regularment als usuaris administradors per assegurar-te que només les persones adequades tenen accés a el panell d’administració de la botiga. Aquest pot ser un bon moment per eliminar usuaris antics.
És important que verifiquis els permisos degudament per evitar qualsevol accés no sol·licitat al teu comerç electrònic Magento. Aquesta comprovació garanteix que tots els grups d’usuaris només tinguin els drets d’accés previstos.
T’aconsellem adherir-te a les opcions de configuració relacionades amb la seguretat de Magento per a Seguretat d’administrador, Opcions de contrasenya i CAPTCHA.
Utilitza l’última versió de Magento per gaudir de les millores de seguretat més recents. Altrament, instal·la tots els patches de seguretat recomanats per Magento.
Finalment, algunes extensions de Magento no són necessàries, o els seus creadors ja no les mantenen i, per tant, tenen vulnerabilitats. És important revisar la llista de complements i verificar si estan actualitzats. Això ajuda a eliminar les extensions abandonades i desinstal·lar-les.
MONITORITZACIÓ DE SÍMPTOMES D’UN MAGENTO PIRATEJAT
Ecommerce no disponible: si la botiga online no està disponible constantment, o està bloquejada pel servei d’allotjament, és possible que hagi estat víctima d’un atac de tipus “denegació de servei”. Aquest tipus d’atac pertorba la teva presència online, però no amenaça la seguretat de les teves dades.
Panell d’administració i problemes de contingut: Si descobreixes que hi ha un nou usuari amb drets d’administrador que no hagis creat, notes alguns canvis realitzats en el contingut de la teva botiga, o no puguis iniciar sessió, podries estar patint un atac críticament perillós a la botiga online (accés al panell de administració)
Rendiment deficient: aquest atac de redireccionament hacker té com a objectiu captar el tràfic de la botiga en línia i exposar als teus clients a malware, atacs de phishing o spam publicitari. Si notes que la botiga no apareix en motors de cerca o es redirigeix a pàgines no sol·licitades, pren mesures, perquè és possible que el teu eCommerce hagi estat piratejat.
Robatori de dades reportat: has patit aquest tipus d’atac si els teus clients t’informen d’activitats sospitoses amb els seus comptes, o han robat les seves credencials de targeta de crèdit. Aquests són atacs basats en correu electrònic amb la intenció d’accés a dades i robatori d’identitat.
No cal ni comentar fins a quin punt això pot afectar el teu comerç electrònic.
DESENVOLUPA UN PLA DE RECUPERACIÓ
Fins i tot si has aplicat estrictament totes les mesures de seguretat, crea un pla de recuperació / continuïtat del negoci, per si haguessis de fer front al pitjor dels casos. És essencial tenir una còpia de seguretat de tota la informació de la teva botiga online Magento. Això t’ajudarà a restaurar el teu ecommerce en cas de pèrdua de dades.
Assegura’t que hi hagi còpies de seguretat existents de la base de dades i els arxius de servidor en una ubicació externa. Assegura’t que aquestes còpies de seguretat es realitzen correctament i poden restaurar-se.
En cas d’un atac, per petit que sigui, restableix totes les credencials, incloses les de la base de dades, l’accés a arxius, les claus de xifrat de la passarel·la de pagament, els serveis web i l’inici de sessió d’administrador de Magento, FTP, SSH, etc.
Si vols tenir la web que desitges o augmentar la visibilitat online de la teva marca, sabem com fer-ho.
Comencem avui?
Deixa un comentari