Dbanie o bezpieczeństwo sklepu Magento cz. II

przez

Chroń Magento

Twój wysiłek przy konfiguracji Magento jest bardzo ważny i zadecyduje o tym, jak Twój sklep będzie funkcjonował w sieci. Nie traktuj tego kroku po macoszemu i poświęć mu dużo uwagi.

Instalacja Magento

  • Użyj najnowszej wersji Magento, aby mieć pewność, że Twoja instalacja zawiera najnowsze poprawki bezpieczeństwa. Jeśli z jakiegoś powodu nie możesz zaktualizować do najnowszej wersji, zainstaluj wszystkie poprawki bezpieczeństwa zgodnie z zaleceniami Magento. Chociaż Magento wydaje poprawki bezpieczeństwa, aby naprawić poważne problemy, nowe wersje produktów zawierają dodatkowe ulepszenia, które pomagają zabezpieczyć witrynę.
  • Użyj unikalnego, niestandardowego adresu URL administratora zamiast domyślnego „admin” lub często używanego „backend”. Chociaż nie ochroni to bezpośrednio Twojej witryny przed zdeterminowanym napastnikiem, może zmniejszyć narażenie na skrypty, które próbują włamać się do witryny Magento.
  • Skontaktuj się ze swoim dostawcą usług hostingowych przed wdrożeniem niestandardowego adresu URL administratora. Niektórzy dostawcy usług hostingowych wymagają standardowego adresu URL w celu spełnienia reguł ochrony firewalla.
  • Zablokuj dostęp do wszelkich systemów programistycznych, pomostowych lub testowych. Użyj list dozwolonych adresów IP i ochrony hasłem poprzez  .htaccess. Naruszenie takich systemów może spowodować wyciek danych lub zostać użyte do ataku na system produkcyjny.
  • Użyj odpowiednich uprawnień do plików. Sam rdzeń plików w Magento i pliki katalogów powinny być ustawione jako tylko do odczytu , w tym pliki app/etc/local.xml.
  • Użyj silnego hasła administratora Magento. Aby dowiedzieć się więcej, zobacz Tworzenie silnego hasła.
  • Skorzystaj z ustawień konfiguracyjnych Magento związanych z bezpieczeństwem w zakresie zabezpieczeń administratora, opcji haseł, uwierzytelniania dwuskładnikowego dla dostępu administratora, CAPTCHA i Google reCAPTCHA.
  • Skorzystaj z bezpłatnego narzędzia Magento Security Scan Tool. Monitoruj swoje witryny pod kątem zagrożeń bezpieczeństwa, aktualizuj poprawki złośliwego oprogramowania i wykrywaj nieautoryzowany dostęp za pomocą tego narzędzia.

Nie daj się nabrać

  • Instaluj rozszerzenia tylko z zaufanych źródeł. Nigdy nie używaj płatnych rozszerzeń, które są publikowane na stronach z plikami Torrent lub innych podobnych  witrynach. Jeśli to możliwe, sprawdź rozszerzenia pod kątem problemów z bezpieczeństwem przed ich zainstalowaniem.
  • Nie klikaj podejrzanych linków ani nie otwieraj podejrzanych e-maili.
  • Nie ujawniaj hasła swojemu serwerowi ani administratorowi Magento, chyba że jest to wymagane.

Bądź przygotowany

  • Opracuj plan przywracania działania sklepu po awarii. Nawet podstawowy plan pomoże Ci wrócić na właściwe tory w przypadku problemu.
  • Upewnij się, że kopia zapasowa serwera i bazy danych jest tworzona automatycznie w lokalizacji zewnętrznej. Typowa konfiguracja wymaga codziennych przyrostowych kopii zapasowych oraz cotygodniowego tworzenia pełnej kopii zapasowej. Pamiętaj, aby regularnie testować kopię zapasową, aby upewnić się, że można ją przywrócić.
  • W przypadku dużej witryny przywrócenie prostych zrzutów plików tekstowych z bazy danych zajmuje zbyt dużo czasu. Współpracuj z dostawcą usług hostingowych, aby wdrożyć profesjonalne rozwiązanie do tworzenia kopii zapasowych baz danych.