Magento używa klucza szyfrowania do ochrony haseł i innych wrażliwych danych. Do szyfrowania wszystkich danych wymagających odszyfrowania używany jest, będący standardem branżowym algorytm Advanced Encryption Standard (AES-256). Obejmuje to dane karty kredytowej oraz hasła integracji (moduł płatności i wysyłki). Ponadto do szyfrowania wszystkich danych, które nie wymagają odszyfrowania, używany jest silny algorytm Secure Hash (SHA-256).
Na samym początku podczas instalacji zostaniesz poproszony o pozwolenie Magento na wygenerowanie klucza szyfrowania lub wprowadzenie własnego wygenerowanego przez Ciebie. Narzędzie Klucz szyfrowania umożliwia zmianę klucza w razie potrzeby. Klucz szyfrowania powinien być regularnie zmieniany w celu zwiększenia bezpieczeństwa, a także w momencie, kiedy masz podejrzenia co do tego, że oryginalny klucz szyfrowania został w jakiś sposób naruszony. Po każdej zmianie klucza wszystkie starsze dane są ponownie kodowane przy użyciu nowego klucza.
Krok 1: Udostępnij plik do zapisu
Aby zmienić klucz szyfrowania, upewnij się, że następujący plik jest zapisywalny:
[twój sklep]/app/etc/env.php
Krok 2: Zmień klucz szyfrowania
Na pasku bocznym administratora przejdź do System 0> Inne ustawienia> Klucz szyfrowania.
Wykonaj jedną z następujących czynności:
Aby wygenerować nowy klucz, ustaw opcję Automatyczne generowanie klucza na Tak.
Aby użyć innego klucza, ustaw opcję Automatycznie generuj klucz na Nie. Następnie w polu Nowy klucz wprowadź lub wklej klucz, którego chcesz użyć.
Kliknij Zmień klucz szyfrowania.
Zapisz nowy klucz w bezpiecznym miejscu. Będzie to wymagane do odszyfrowania danych, jeśli wystąpią jakiekolwiek problemy z plikami.
Walidacja sesji
Magento umożliwia walidację zmiennych sesji. Funkcjonuje to jako ochrona przed potencjalnymi atakami lub przejęciem sesji użytkownika. Ustawienia walidacji sesji określają, w jaki sposób zmienne sesji są weryfikowane podczas każdej wizyty w sklepie i czy identyfikator sesji jest zawarty w adresie URL sklepu.
Walidacja sprawdza poprawność sesji w taki sposób że sprawdza czy odwiedzający są tym, za kogo się podają, porównując wartość zmiennych walidacyjnych z danymi sesji, które są już zapisane w danych $ _SESSION dla użytkownika. Walidacja kończy się niepowodzeniem, jeśli informacje nie są przesyłane zgodnie z oczekiwaniami, a odpowiednia zmienna jest pusta. W zależności od ustawień walidacji sesji, jeśli zmienna sesji nie przejdzie procesu walidacji, sesja klienta natychmiast się zakończy.
Włączenie wszystkich zmiennych walidacyjnych może pomóc w zapobieganiu atakom, ale może również wpłynąć na wydajność serwera. Domyślnie walidacja wszystkich zmiennych sesji jest wyłączona. Zachęcam do eksperymentowania z ustawieniami, aby znaleźć najlepszą kombinację dla Twojego Magento. Aktywacja wszystkich zmiennych walidacyjnych może okazać się nadmiernie restrykcyjna i może uniemożliwić dostęp klientom, którzy mają połączenia internetowe przechodzące przez serwer proxy lub pochodzące zza zapory. Aby dowiedzieć się więcej o zmiennych sesji i ich użyciu, zapoznaj się z dokumentacją dotyczącą administrowania systemem w systemie Linux.
Konfiguracja ustawień walidacji sesji
Na pasku bocznym przejdź do sekcji Sklepy -> Ustawienia> Konfiguracja.
W lewym panelu rozwiń Ogólne i wybierz Sieć.
Rozwiń rozszerzenia w sekcji Ustawienia walidacji sesji.
Ustaw każdą z opcji:
- Sprawdź poprawność REMOTE_ADDR – ustaw na Tak, aby sprawdzić, czy adres IP żądania jest zgodny z tym, co jest przechowywane w zmiennej $ _SESSION.
- Sprawdź poprawność HTTP_VIA – ustaw na Tak, aby sprawdzić, czy adres serwera proxy przychodzącego żądania jest zgodny z tym, co jest przechowywane w zmiennej $ _SESSION.
- Sprawdź poprawność HTTP_X_FORWARDED_FOR – ustaw na Tak, aby sprawdzić, czy adres przesłanego żądania jest zgodny z tym, co jest przechowywane w zmiennej $ _SESSION.
- Sprawdź poprawność HTTP_USER_AGENT – ustaw na Tak, aby sprawdzić, czy przeglądarka lub urządzenie używane do uzyskiwania dostępu do sklepu podczas sesji jest zgodne z tym, co jest przechowywane w zmiennej $ _SESSION.
Po zakończeniu kliknij Zapisz konfigurację.