Ведение сайта электронной коммерции – дело непростое, поэтому необходимо сделать все возможное, чтобы обезопасить себя от кибератак. Электронная коммерция стремительно развивается, тысячи отдельных серверов работают день и ночь, а частная информация (включая, разумеется, финансовые данные) является серьезным соблазном для хакеров. Сайты электронной коммерции являются желанной целью для злоумышленников, поскольку для совершения продажи необходимы личные и платежные данные. На платформе электронной коммерции Magento работают тысячи сайтов, и, согласно последним данным компании Astra, 62% магазинов имеют хотя бы одну уязвимость.
В этой статье я рассмотрю самые важные и своевременные советы по безопасности для Magneto. Как правило, злоумышленники взламывают сайты электронной коммерции:
- использовать его для электронного спама;
- использовать его для фишинга (попытка получить конфиденциальную информацию, например, пароли или данные кредитных карт);
- чтобы испортить или навредить вашему сайту:
- чтобы украсть информацию, которую они могут использовать в своих интересах.
Прежде всего, вы должны защитить свой магазин Magento, потому что вы должны защитить информацию клиента. Разумеется, хакеры могут захотеть получить вашу информацию по каким-то причинам (например, в рамках промышленного шпионажа), но в первую очередь не стоит передавать им частную информацию клиентов, включая данные кредитных карт. Если эти данные будут украдены в результате хакерской атаки, это может нанести серьезный ущерб вашей репутации , а также вашим клиентам. Добро пожаловать, чтобы применить эти правила безопасности Magento к вашему магазину.
Двухфакторная авторизация
Даже самый надежный пароль ничего не стоит, если его можно украсть. Чтобы повысить уровень безопасности вашего магазина, настоятельно рекомендуется использовать любой второй фактор авторизации, например, разрешить вход на бэкэнд только с определенного IP-адреса, реализовать двухфракционную аутентификацию. Чтобы ограничить доступ к бэкенду, добавьте эти строки в раздел VirtualHost в конфигурации веб-сервера Apache (пожалуйста, будьте осторожны – если вы добавите следующие строки в файл .htaccess, это приведет к ошибке):
Order Deny,Allow Deny from All Allow from 192.168.100.182 #don't forget to update this with your IPЕсли вы ищете решение для двухфакторной аутентификации в Magento, обратите внимание на расширение Amasty.
Изменение URL-адреса внутреннего интерфейса
Этот подход больше относится к безопасности через неясность, но может быть полезен как дополнительный метод борьбы с ботами и атаками грубой силы. Чтобы изменить URL-адрес бэкенда, вы можете отредактировать app/etc/local.xml (раздел admin / routers / adminhtml).
<admin> <routers> <adminhtml> <args> <frontName><![CDATA[your-secure-location]]></frontName> </args> </adminhtml> </routers> </admin>Мы не советуем вам менять стандартный URL-адрес админки с помощью родного интерфейса панели администрирования Magento. Вы должны быть уверены, что новый URL-адрес достаточно сложно угадать. Кроме того, возможно, после этого вам захочется очистить кэш. Затем проверьте новый URL и убедитесь, что старый URL возвращает страницу с ошибкой 404.
Своевременное обновление программного обеспечения
Обновления программного обеспечения предоставляют не только новые функции, но и исправляют ошибки и устраняют уязвимые места. Поэтому очень важно использовать последние версии программного обеспечения, доступные на данный момент. Чтобы обновить систему, выполните следующие лаконичные команды:
RHEL / CentOS
обновление yumDebian / Ubuntu
обновление apt-getЕсли вы все еще используете Magento 1, срок службы которого подошел к концу, вам стоит воспользоваться услугами таких сервисов, как Nexcess Safe Harbor, которые заботятся о безопасности вашего магазина.
Регулярное резервное копирование
Никто не может быть застрахован от атак хакеров, но есть способ чувствовать себя в безопасности: периодическое резервное копирование может спасти вас от многих проблем, которые могут стать критическими для вашего бизнеса. Регулярно сохраняйте резервные копии, не пытайтесь хранить их на сервере оригинального сайта и время от времени восстанавливайте резервные копии в “песочнице”, чтобы проверить, правильно ли они работают. Хранить резервные копии на сервере с вашим сайтом опасно не только потому, что ваша копия должна быть в безопасности в случае поломки сервера, но и потому, что если хакер доберется до вашего сервера, он получит доступ и к резервным копиям, что, конечно же, очень нежелательно.
Используйте сложный пароль
По данным SplashData, 123456 был одним из самых распространенных паролей в 2013 году (и, конечно, одним из самых ненадежных).
Пароль администратора – это краеугольный камень безопасности вашего магазина Magento. И он должен быть достаточно сильным! Простые пароли легко взламываются, поэтому используйте более десяти символов, со строчными и прописными буквами, а также специальные символы, такие как ^$#%*. Таким образом, ваш пароль не будет взломан, поскольку даже с самыми новыми программами на его взлом уйдут годы. Вы можете воспользоваться генератором паролей LastPass.
Используйте брандмауэр
Существует два типа брандмауэров, которые вы можете использовать для защиты своего магазина Magento. WAF (Web Application Firewall) – защитит ваш интернет-магазин от таких уязвимостей веб-безопасности, как SQLi, XSS, атаки грубой силы, боты, спам, вредоносное ПО, DD0S и т. д. Вы можете подумать о внедрении облачного брандмауэра, например Sucuri или Astra. Системный/сетевой брандмауэр – запретите публичный доступ ко всему, кроме вашего веб-сервера. Если у вас нет постоянного IP-адреса для доступа к нему через брандмауэр, примените VPN или технологию Port Knocking. В RHEL/CentOS вы можете найти настройки брандмауэра в /etc/sysconfig/iptables; если речь идет о Debian/Ubuntu, примените iptables-persistent (/etc/iptables-persistent/rules.v4).
Не используйте пароль повторно на других сайтах.
Эта проблема безопасности Magento работает со всей защищенной паролем информацией, которой вы владеете. Как сообщает passwordresearch.com, более 15 % пользователей используют один и тот же пароль для многих сервисов. Немногие знают, что использование одинаковых паролей для нескольких логинов, действительно, содержит риск потерять все свои аккаунты сразу. Еще раз: все пароли должны быть уникальными, и никак иначе. Будьте внимательны, отложите эту статью на время и смените их, если это не так. Иначе вы рискуете пострадать из-за своей неосмотрительности.
Периодическименяйте пароль
Ваши пароли не должны быть постоянными. Мы настоятельно рекомендуем менять пароли не реже одного раза в шесть месяцев. Даже если пароль был украден (и даже если хакер его не применил), постоянная смена паролей сделает ранее утекшую информацию бесполезной. Убедитесь также, что пароли меняются для всех клиентов, которые пользуются сайтом.
Не храните пароль на своем компьютере
Большая часть троянских программ похищает сохраненные вами пароли. Вам следует быть осторожными с браузерами и FTP-клиентами, так как через эти приложения пароли крадут чаще всего. Никогда не сохраняйте пароли, применяя это программное обеспечение, без использования мастер-пароля (пароля, который шифрует остальные пароли, сохраняя информацию о доступе). Пренебрежение этим советом может легко привести к утечке данных. Вы можете попробовать использовать менеджер паролей.
Обращайте внимание на ошибки и подозрительные действия
Регулярно проводите проверку безопасности, чтобы выявить признаки атаки, а также при обращении клиентов с вопросами безопасности. Для этой цели вам может пригодиться расширение Admin Actions Log Magento, которое было обновлено следующими функциями, важными для веб-безопасности:
- Вы можете настроить оповещение об успешной попытке входа в систему из необычной страны по сравнению с предыдущими входами.
- Вы можете настроить оповещение о множестве неудачных попыток входа в систему за последний час, что может свидетельствовать о попытке взлома.
- Статус “403 Forbidden”, возвращаемый страницей неудачного входа в бекенд, что облегчает интеграцию с серверными средствами безопасности.
Кроме того, вы можете использовать сканер веб-безопасности для автоматического и периодического анализа вашего сайта электронной коммерции на предмет уязвимости.
Используйте HTTPS/SSL
Если вы используете публичную точку доступа (например, в торговом центре) для доступа к бэкенду, вы рискуете пострадать от MitM-атаки. Доступ к интернет-магазину по протоколу HTTPS обеспечивает безопасность покупателя, поскольку все данные о транзакциях шифруются от пользователя до вашего сервера по протоколу SSL/TLS.
Вы можете использовать БЕСПЛАТНЫЙ SSL-сертификат или его.
Забудьте о FTP
Протокол FTP появился, когда Интернет был еще младенцем, и безопасность не была проблемой. Использование протокола FTP очень нежелательно, поскольку авторизация осуществляется открытым текстом и может быть без труда перехвачена. Используйте протокол SFTP, поскольку он также избавит вас от проблем с потоковой передачей IP-адресов (NAT), ведь не у всех есть публичный IP для использования Интернета. Следуйте этому руководству, чтобы настроить SFTP для Magento.
Установка минимальных разрешений доступа
Вы всегда должны ограничивать права доступа для действий веб-сервера. В Magento вам нужны записи только в app/etc., media и var, плюс includes/есливы используете компиляцию. Расширенные права могут потребоваться только для использования Magento Connect. Лучшая комбинация для безопасности будет такой: вы позволяете исходному коду сайта принадлежать первому пользователю (например, admin), а веб-сервер будет выполнять код под вторым пользователем (например, Apache). Давайте посмотрим пример настроек доступа для этой комбинации:
chown -R admin:apache /path/to/your/magento find /path/to/your/magento -type f -print0 | xargs -r0 chmod 640 find /path/to/your/magento -type d -print0 | xargs -r0 chmod 750 chmod -R g+w /path/to/your/magento/{app/etc,media,var}# Только если используется компиляция
chmod -R g+w /path/to/your/magento/includesБлокировать все нежелательные страны
Если вы не отправляете товары по всему миру, заблокируйте другие страны.
Например, если вы отправляете товары только в США, то таким образом вы сможете защитить себя от любых атак – как известно, большое количество вредоносного трафика идет из Китая, и, блокируя его, вы избежите попыток взлома из этой страны. Существует множество способов сделать это, и процедура зависит от используемого вами WAF-хостинга. Вам следует обратиться в компанию, предоставляющую услуги хостинга или безопасности, чтобы настроить все правильно.
Заключение
Я уверен, что вы сможете обеспечить дополнительную безопасность своего магазина Magento, следуя вышеперечисленным советам. Для малого и среднего бизнеса также следует изучить облачные VAPT-решения.
