e コマース Web サイトの運営は困難を伴うため、サイバー攻撃から保護するために必要なすべてのことを行うことを検討する必要があります。
e コマースは劇的に成長しており、何千もの個別サーバーが昼夜を問わず稼働しており、個人情報 (もちろん財務データを含む) はハッカーにとって大きな誘惑となっています。 e コマース サイトは、販売に必要な個人データや支払いデータがあるため、攻撃者にとって望ましい標的となります。
Magento は電子商取引プラットフォームの何千ものサイトを支えており、 Astraによる最新の調査結果では、店舗の62% に少なくとも 1 つの脆弱性があることが明らかになりました。
この記事では、Magneto に対する最も重要かつ適切なタイミングでのセキュリティに関するアドバイスを検討します。
通常、攻撃者は電子商取引 Web サイトをクラックします。
- 電子スパムに利用すること。
- フィッシング (パスワードやクレジット カードの詳細などの機密情報を受信しようとする試み) に使用すること。
- あなたのウェブサイトを汚したり傷つけたりすること:
- 自分たちの利益のために利用できる情報を盗むこと。
まず第一に、クライアントの情報を保護する必要があるため、Magento ショップを守る必要があります。
言うまでもなく、ハッカーが何らかの理由 (産業スパイの枠組みなど) であなたの情報を入手しようとする可能性はありますが、まず第一に、クレジット カードの詳細を含む顧客の個人情報をハッカーに提供すべきではないということです。
ハッカー攻撃の結果としてこのデータが盗まれた場合、クライアントに損害を与えるだけでなく、あなたの評判も大きく傷つけられる可能性があります。
これらの Magento セキュリティ ルールをあなたのショップに適用することを歓迎します。
2要素認証
最も安全なパスワードであっても、盗まれてしまえば意味がありません。ストアのセキュリティ レベルを高めるには、特定の IP からのみバックエンドを許可するなど、2 要素認証を実装するなど、第 2 の認証要素を利用することを強くお勧めします。
バックエンド アクセスを制限するには、Apache Web サーバー設定の VirtualHost セクションに次の行を追加します (次の行を.htaccess
ファイルに追加するとエラーが発生するので注意してください)。
Order Deny,Allow
Deny from All
Allow from 192.168.100.182 #don't forget to update this with your IP
Magento の 2 要素認証ソリューションをお探しの場合は、 Amasty 拡張機能をぜひチェックしてください。
バックエンド URL の変更
このアプローチは、隠蔽によるセキュリティに重点を置いていますが、ボットやブルート フォース攻撃に対抗する追加の方法としても役立ちます。バックエンド URL を変更するには、 app/etc/local.xml (admin/routers/adminhtml セクション) を編集します。
<admin>
<routers>
<adminhtml>
<args>
<frontName><![CDATA[your-secure-location]]></frontName>
</args>
</adminhtml>
</routers>
</admin>
Magento 管理パネルのネイティブ インターフェイスを使用してデフォルトの管理 URL を変更することはお勧めしません。新しい URL アドレスが推測しにくいものであることを確認する必要があります。さらに、この後キャッシュをクリアすることもできます。
次に、新しい URL をチェックして、古い URL が 404 エラー ページを返すことを確認する必要があります。
ソフトウェアを適時に更新する
ソフトウェアのアップデートでは、新機能だけでなく、エラーの修正や脆弱な点の削除も提供されます。そのため、現時点で利用可能な最新のソフトウェア バージョンを利用することが重要です。
システムをアップグレードするには、次の簡潔なコマンドを適用します。
RHEL/CentOS
yum update
Debian / Ubuntu
apt-get update
サポートが終了した Magento 1 をまだ使用している場合は、ショップの安全を確保するためにセキュリティを管理するNexcess Safe Harborのようなサービスの利用を検討する必要があります。
定期的にバックアップする
ハッカーの攻撃から誰も守ることはできませんが、より安全だと感じる方法はいくつかあります。定期的なバックアップにより、ビジネスにとって重大になる可能性のある多くの問題から身を守ることができます。
バックアップ コピーを定期的に保存し、元の Web サイトのサーバーに保存しようとせず、時々サンドボックスにバックアップを復元して、正しく動作しているかどうかを確認する必要があります。
Web サイトのサーバー上にバックアップを保存しておくのは、サーバーが故障した場合に備えてコピーを安全にする必要があるという理由だけでなく、ハッカーがサーバーにアクセスした場合にバックアップにもアクセスできるため、危険です。もちろん、これは非常に望ましくないものです。
複雑なパスワードを使用する
SplashData によると、123456 は 2013 年に最も一般的なパスワードの 1 つでした (そしてもちろん、最も安全ではないパスワードの 1 つでした)。
管理者パスワードは、Magento ショップのセキュリティの要です。そしてそれは十分に強いはずです!簡単なパロールは簡単に解読される可能性があるため、小文字と大文字、および ^$#%* のような特殊文字を含む 10 文字以上を適用します。この方法では、最新のプログラムであってもパスワードが強制されることはありません。分解するには何年もかかります。
LastPass パスワード ジェネレーターを使用できます。
ファイアウォールを使用する
Magento ストアを保護するために使用できるファイアウォールは 2 種類あります。
WAF (Web アプリケーション ファイアウォール) – SQLi、XSS、ブルート フォース攻撃、ボット、スパム、マルウェア、DD0S などの Web セキュリティの脆弱性からオンライン ストアを保護します。Sucuri やAstraなどのクラウドベースのファイアウォールの実装を検討できます。 。
システム/ネットワークファイアウォール – Web サーバー以外のすべてへのパブリック アクセスを禁止します。ファイアウォール経由でアクセスするための永続的な IP アドレスを持っていない場合は、VPN またはポート ノッキングテクノロジを適用します。
RHEL/CentOS では、ファイアウォール設定は/etc/sysconfig/iptables にあります。 Debian/Ubuntu の場合は、 iptables-persistent (/etc/iptables-persistent/rules.v4)を適用します。
他のサイトでパスワードを再利用しないでください。
この Magento のセキュリティ問題は、所有するパスワードで保護されたすべての情報に影響します。 passwordresearch.com の報告によると、 15% 以上のユーザーが多くのサービスに同じパスワードを適用しています。
実際、複数のログインに同じパスワードを適用すると、すぐにすべてのアカウントを失う危険性があることを知っている人は多くありません。
もう一度言います。すべてのパスワードは一意でなければなりません。それ以外の方法はありません。気をつけて;この記事をしばらく脇に置いて、そうでない場合は変更してください。そうしないと、不注意により怪我をする危険があります。
パスワードを定期的に変更する
パスワードは一定であってはなりません。少なくとも 6 か月ごとにパスワードを変更することを強くお勧めします。
たとえパスワードが盗まれたとしても(ハッカーがそれを適用していなかったとしても)、継続的な変更により、以前に漏洩した情報は無価値になってしまいます。 Web サイトを使用しているすべてのクライアントのパスワードも変更されていることを確認してください。
パスワードを PC に保存しないでください
トロイの木馬ソフトウェアの大部分は、保存されているパスワードを盗みます。ブラウザや FTP クライアントでは、これらのアプリケーションを通じてパスワードが盗まれることが多いため、注意する必要があります。
このソフトウェアを適用するパスワードは、マスター パスワード (アクセスの詳細を保持しながら残りのパスワードを暗号化するパスワード) を使用せずに保存しないでください。このアドバイスを無視すると、簡単にデータ漏洩につながる可能性があります。
パスワードマネージャーを試してみてはいかがでしょうか。
エラーまたは不審なアクティビティに注意する
定期的にセキュリティ レビューを実行して、攻撃の兆候がないか確認します。また、セキュリティ上の懸念があるクライアントから問い合わせがあった場合にも行います。この目的のために、 Admin Actions Log Magento 拡張機能を適用するとよいでしょう。この拡張機能は、Web セキュリティにとって重要な次の機能で更新されています。
- 以前のログインとは異なる国からのログイン試行が成功した場合のアナウンスを設定できます。
- 過去 1 時間に失敗したログイン試行が多数発生した場合のアナウンスを設定できます。これは侵入の試みを示す可能性があります。
- バックエンドの失敗したログイン ページによって「403 Forbidden」ステータスが返されるため、サーバー セキュリティ ツールとの統合が容易になります。
さらに、Web セキュリティ スキャナーを使用して、e コマース Web サイトの脆弱性を自動的かつ定期的に分析できます。
HTTPS/SSL を使用する
公共のホットスポット (モールなど) を使用してバックエンドにアクセスすると、 MitM攻撃によって負傷する危険があります。 HTTPS 経由でオンライン ストアにアクセスできるようにすると、ユーザーからサーバーまでのすべての取引データが SSL/TLS プロトコルで暗号化されるため、買い物客にセキュリティが提供されます。
無料の SSL 証明書を使用することも、 購入することもできます。
FTPを忘れてください
FTP プロトコルはインターネットが誕生したばかりの頃に導入され、セキュリティが問題になることはありませんでした。認証はプレーン テキストで実行され、問題なく傍受できるため、FTP プロトコルの使用は非常に望ましくありません。
誰もがインターネット使用用のパブリック IP を持っているわけではないため、 SFTP プロトコルを使用すると、IP ストリーミング (NAT) の問題からも解放されます。このガイドに従って、Magento 用に SFTP を設定します。
最小アクセス許可を設定する
Web サーバーのアクティビティに対するアクセス許可は常に制限する必要があります。 Magento のapp/etcのレコード、media と var のみが必要です。さらに、コンパイルを使用する場合はinclude/ も必要です。拡張権利は、Magento Connect を使用する場合にのみ必要となる場合があります。
セキュリティにとって最適な組み合わせは次のとおりです。Web サイトのソース コードを最初のユーザー (admin など) に所属させ、Web サーバーは 2 番目のユーザー (Apache など) でコードを実行します。この組み合わせのアクセス設定の例を見てみましょう。
chown -R admin:apache /path/to/your/magento
find /path/to/your/magento -type f -print0 | xargs -r0 chmod 640
find /path/to/your/magento -type d -print0 | xargs -r0 chmod 750
chmod -R g+w /path/to/your/magento/{app/etc,media,var}
# コンパイルを使用する場合のみ
chmod -R g+w /path/to/your/magento/includes
不要な国をすべてブロックする
世界中に発送しない場合は、他の国をブロックしてください。
たとえば、商品を米国のみに送る場合、この方法であらゆる攻撃から身を守ることができます。周知のとおり、大量の悪意のあるトラフィックは中国から来ており、それをブロックすることで侵入の試みを回避できます。この国から。
これを行うには多くの方法があり、その手順は使用する WAF ホスティングによって異なります。正しい方法で設定するには、これについてホスティング会社またはセキュリティ プロバイダー会社に相談する必要があります。
結論
上記のヒントに従うことで、Magento ストアにさらなるセキュリティを追加できると確信しています。 SMB の場合は、クラウドベースの VAPT ソリューションも検討する必要があります。