Zalecane praktyki bezpieczeństwa
Wszystkie witryny eCommerce są bardzo atrakcyjnym celem dla hakerów ze względu na dane osobowe i informacje dotyczące płatności, które są wymagane w trakcie procesu sprzedaży. Nawet jeśli system nie przetwarza bezpośrednio transakcji kartą kredytową, zaatakowana witryna może przekierować klientów na fałszywą stronę lub zmienić zamówienie, zanim zostanie przesłane do bramki płatności.
Zaatakowana witryna może mieć długoterminowe konsekwencje zarówno dla klientów, jak i sprzedawców. Klienci mogą ponieść straty finansowe i doświadczyć czegoś, co nazywa się kradzieżą tożsamości, podczas gdy Ty, jako pośrednik w sprzedaży możesz narazić się na utratę reputacji, utratę towarów, wyższe opłaty manipulacyjne, cofnięcie przywilejów w instytucjach finansowych i groźbę procesów sądowych.
Ten trzy-częściowy wpis przedstawi wieloaspektowe podejście do poprawy bezpieczeństwa Twojego sklepu Magento. Chociaż nie istnieje jeden idealny sposób na wyeliminowanie wszystkich zagrożeń bezpieczeństwa, jest wiele rzeczy, które możesz zrobić, aby Twoja witryna stała się mniej atrakcyjnym celem. Dla dostawców usług hostingowych, integratorów systemów i sprzedawców kluczowe znaczenie ma współpraca w celu ustanowienia i utrzymania bezpiecznego środowiska, wdrożenia metod wczesnego wykrywania oraz określenia planu działań w przypadku naruszenia bezpieczeństwa.
Bezpieczeństwo to w głównym sensie wyzwanie organizacyjne. Sprzedawcy powinni przypisać odpowiedzialność za wdrożenie i utrzymanie tych praktyk najlepiej na osobę w organizacji. Zagrożenia zmieniają się i ewoluują każdego dnia, a zabezpieczenie sklepu to ciągły wysiłek, w który naprawdę warto włożyć sporo zasobów.
Od czego zacząć
Zapoznaj się w Internecie na temat dostawców usług hostingowych. Oceniając ich kwalifikacje, zapytaj o podejście do bezpieczeństwa. Sprawdź, czy mają wdrożony cykl życia tworzenia 
oprogramowania zgodnie ze standardami branżowymi, takimi jak The Open Web Application Security Project (OWASP), i czy testują swój kod pod kątem problemów z bezpieczeństwem.
Wtyczki lub rozszerzenia innych firm są popularnym wektorem ataku. Wybierz rozszerzenia tylko od renomowanych dostawców, takie jak te dostępne na Magento Marketplace. Upewnij się, że dostawca komunikuje się w sposób przejrzysty w kwestiach bezpieczeństwa.
Jeśli tworzysz nową witrynę, uruchomienie jej za pośrednictwem protokołu HTTPS jest teraz po prostu jedyną właściwą drogą. Google wykorzystuje teraz HTTPS jako ważny czynnik rankingowy w swoim algorytmie pozycjonowania stron.
W przypadku istniejącej instalacji zaplanuj uaktualnienie całej witryny, tak aby działała na bezpiecznie zaszyfrowanym protokole HTTPS. Chociaż będziesz musiał utworzyć przekierowania z HTTP do HTTPS wysiłek ten będzie zabezpieczał twoją witrynę w przyszłości. Zaplanowanie wprowadzenia tej zmiany zrób tak szybko jak to możliwe.
Chroń środowisko
Ochrona środowiska informatycznego jest najważniejszym aspektem zapewnienia bezpieczeństwa Twojego sklepu. Aktualizuj oprogramowanie na serwerze i stosuj poprawki zabezpieczeń zgodnie z zaleceniami. Dotyczy to nie tylko Magento, ale każdego innego oprogramowania zainstalowanego na serwerze, w tym oprogramowania bazodanowego i innych witryn korzystających z tego samego serwera. Każdy system jest tak bezpieczny, jak jego najsłabsze ogniwo.
- Upewnij się, że system operacyjny serwera jest bezpieczny. Skontaktuj się ze swoim dostawcą usług hostingowych, aby upewnić się, że na serwerze nie działa niepotrzebne oprogramowanie.
- Używaj tylko bezpiecznego protokołu komunikacyjnego (SSH / SFTP / HTTPS) do zarządzania plikami i wyłączaj FTP.
- Magento używa plików .htaccess w celu ochrony plików systemowych podczas korzystania z serwera internetowego Apache. Jeśli używasz innego serwera internetowego, takiego jak NGINX, upewnij się, że wszystkie pliki systemowe i katalogi są chronione.
- Używaj silnych, unikalnych haseł składających się z co najmniej ośmiu znaków i zmieniaj je okresowo.
- Dbaj o aktualność systemu i natychmiast instaluj poprawki w przypadku wykrycia nowych problemów z bezpieczeństwem.
- Dokładnie monitoruj wszelkie problemy zgłaszane przez Twoją instalację Magento, w tym z systemu operacyjnego, bazy danych MySQL, PHP, Redis (jeśli jest używany), Apache lub NGINX, Memcached, Solr i wszelkich innych składników.
- Ogranicz dostęp do pliku cron.php tylko niektórym użytkowników. Możesz też ograniczyć dostęp według adresu IP.
Aplikacje serwerowe
- Upewnij się, że wszystkie aplikacje działające na serwerze są bezpieczne. Aktualizuj oprogramowanie i stosuj poprawki zgodnie z zaleceniami.
- Unikaj uruchamiania innego oprogramowania na tym samym serwerze co Magento, zwłaszcza jeśli jest dostępne z Internetu. Luki w aplikacjach blogowych, takich jak WordPress, mogą ujawnić prywatne informacje z Magento. Zainstaluj takie oprogramowanie na oddzielnym serwerze lub maszynie wirtualnej
- Nie instaluj internetowych menedżerów baz danych innych firm na serwerze produkcyjnym, ponieważ mogą one zapewniać nieautoryzowany dostęp intruzom.