Cómo evitar que tu Magento sea hackeado

Tiendas Online 04 febrero 2020

Magento es una de las plataformas de comercio electrónico de código abierto más grandes en el mundo, por lo que se ha convertido en un objetivo atractivo para hackers informáticos. Independientemente de la cantidad de trabajo dedicado a proteger esta plataforma, los hackers seguirán intentando encontrar nuevas formas de evadir las medidas de seguridad.

A pesar de que Magento tiene sus propias características de seguridad (y son de las mejores), debes ser proactivo y tomar medidas preventivas tales como auditorías y pruebas de seguridad para evaluar todas las vulnerabilidades de tu tienda.

Realizar una monitorización regular y las actualizaciones requeridas puntualmente es la mejor manera de minimizar las posibilidades de que tu Tienda Magento sea hackeada.

Como expertos en Magento, recibimos muchas solicitudes de propietarios de comercios electrónicos de Magento que necesitan evitar que sus tiendas sean hackeadas poniendo en peligro los datos de sus usuarios.

Esta es la situación: las preocupaciones por la seguridad siempre estarán presentes, por lo que queremos compartir contigo un conjunto de auditorías y los pasos más importantes que debes llevar a cabo para proteger tu tienda online de ataques piratas.

Este artículo enumera las formas a través de las cuales los propietarios de tiendas online, gerentes de marketing, gerentes de comercio electrónico, etc. pueden implementar medidas de seguridad esenciales en Magento.

ELIGE UNA INFRAESTRUCTURA DE ALOJAMIENTO SEGURA

Al elegir un proveedor de hosting, asegúrate de que tenga un ciclo de vida de desarrollo de software seguro y que funcione de acuerdo con los estándares de la industria (por ejemplo, las mejores prácticas de seguridad de OWASP).

Si estás en proceso de crear un nuevo sitio web, inicia el sitio a través de HTTPS. Esto cifrará de forma segura tu sitio web y te ayudará a obtener una clasificación más alta en Google. Para un sitio web ya existente, te recomendamos que actualices el sitio para que se ejecute en HTTPS.

ENTORNO SEGURO

Mantén el software actualizado en su totalidad y aplica TODOS los parches de seguridad recomendados. Magento lanza correcciones en forma de parches regularmente, por lo que te recomendamos verificar si los parches más recientes están instalados en tu sistema.

Deshabilita FTP y usa solo comunicaciones seguras (SSH / SFTP / HTTPS) para administrar archivos. La razón por la que es aconsejable hacerlo es porque el FTP transmite datos en texto sin formato, lo que significa que se puede obtener fácilmente información confidencial como los nombres de usuario y las contraseñas de los usuarios.

Si estás utilizando un servidor diferente al servidor web Apache, asegúrate de que todos los archivos y directorios del sistema estén protegidos.

Permite que solo las direcciones IP incluidas en la lista blanca accedan al panel de administración. Si no estás seguro de cómo administrar estos permisos, lee esto.

Implementa la autenticación de dos factores para inicios de sesión de administrador. Esto proporcionará seguridad adicional ya que requiere un código de acceso adicional que se genera en tu teléfono.

Actualiza regularmente tu software antivirus y usa un escáner de malware para asegurar el ordenador que utilices para acceder al Panel de administración de Magento.

Además, para garantizar un sistema operativo de servidor seguro, asegúrate de que no se está ejecutando ningún software innecesario en el servidor.

MAGENTO SEGURO

Para reducir la exposición a los scripts que podrían intentar ingresar a través de tu URL de administrador, utiliza una URL de administrador única que no se pueda adivinar fácilmente.

Usa una contraseña segura para la cuenta de administrador de Magento. NUNCA debes usar contraseñas simples para el administrador de Magento (fechas de nacimiento, nombres, apellidos, etc.) y aproximadamente una vez al mes, cambia tus contraseñas. Por último, no compartas tu contraseña con terceros. Si es necesario proporcionar acceso a los desarrolladores, crea un usuario separado para ellos y elimínalo una vez que se haya completado el trabajo.

Verifica regularmente a los usuarios administradores para asegurarte de que solo las personas adecuadas tienen acceso al panel de administración de la tienda. Este puede ser un buen momento para eliminar / borrar usuarios antiguos.

Es importante que verifiques los permisos debidamente para evitar cualquier acceso no solicitado a tu comercio electrónico Magento. Esta comprobación garantiza que todos los grupos de usuarios solo tengan los derechos de acceso previstos.

Te aconsejamos adherirte a los ajustes de configuración relacionados con la seguridad de Magento para Seguridad de administrador, Opciones de contraseña y CAPTCHA.

Utiliza la última versión de Magento para disfrutar de las mejoras de seguridad más recientes. De lo contrario, instala todos los parches de seguridad recomendados por Magento.

Por último, algunas extensiones de Magento no son necesarias o sus creadores ya no las mantienen y por tanto, tienen vulnerabilidades. Es importante revisar tu lista de complementos y verificar si están actualizados. Esto ayuda a eliminar las extensiones abandonadas y des-instalarlas.

MONITORIZACIÓN DE SÍNTOMAS DE UN MAGENTO HACKEADO

Ecommerce no disponible: si tu tienda online no está disponible, o está bloqueada por el servicio de alojamiento, es posible que haya sido víctima de un ataque de tipo denegación de servicio. Este tipo de ataque perturba tu presencia online, pero no amenaza la seguridad de tus datos.

Panel de administración y problemas de contenido: Si descubres que hay un nuevo usuario con derechos de administrador al que tu no hayas creado, notas algunos cambios realizados en el contenido de tu tienda, o no puedes iniciar sesión, podrías estar sufriendo un ataque críticamente peligroso en tu tienda online (ataque tipo: acceso al panel de administración)

Rendimiento deficiente: el ataque de redireccionamiento hackeado tiene como objetivo captar el tráfico de tu tienda online y exponer a tus clientes a malware, ataques de phishing o spam publicitario. Si notas que tu tienda no aparece en motores de búsqueda o se redirige a páginas no solicitadas, toma medidas, porque es posible que tu eCommerce haya sido pirateado.

Robo de datos reportado: has sufrido este tipo de ataque si tus clientes te informan de actividades sospechosas con sus cuentas, o ha habido robo de credenciales de tarjeta de crédito. Estos son ataques basados ​​en correo electrónico con la intención de acceso a datos y robo de identidad.

No es necesario comentar hasta qué punto esto puede afectar a tu comercio electrónico.

DESARROLLA UN PLAN DE RECUPERACIÓN

Incluso si has aplicado estrictamente todas las medidas de seguridad, crea un plan de recuperación / continuidad del negocio, por si tuvieras que hacer frente al peor de los casos. Es esencial tener una copia de seguridad de toda la información de tu tienda online Magento. Esto te ayudará a restaurar tu ecommerce en caso de pérdida de datos.

Asegúrate de que haya copias de seguridad existentes de la base de datos y los archivos del servidor en una ubicación externa. Asegúrate de que estas copias de seguridad se realizan correctamente y pueden restaurarse.

En caso de un ataque, por pequeño que sea, restablece todas las credenciales, incluidas las de la base de datos, el acceso a archivos, las claves de cifrado de la pasarela de pago, los servicios web y el inicio de sesión de administrador de Magento, FTP, SSH, etc.

Comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Te ayudamos a obtener resultados

Si quieres tener la web que deseas o aumentar la visibilidad online de tu marca, sabemos cómo hacerlo.

¿Empezamos hoy?