Perbaiki situs web Magento yang diretas dalam waktu setengah jam!

Apakah Anda memiliki toko e-commerce online yang sukses? Apakah Anda mendesak untuk menjaga toko Anda aman dari banyak peretas di internet dan pelanggaran keamanan lainnya? Artikel khusus ini akan berbicara secara holistik tentang metode yang berguna untuk mengamankan toko online Magento Anda. Pantau terus!

Keamanan telah menjadi perhatian utama bagi semua pemilik bisnis online dari sebuah toko online karena situs web e-commerce adalah sasaran empuk bagi peretas tingkat lanjut karena ketersediaan informasi pribadi dan pembayaran. Oleh karena itu, mengamankan toko Magento e-niaga Anda dan menjadikannya platform yang dilindungi menjadi penting untuk memenangkan kepercayaan pengguna.

Magento memiliki dampak besar pada industri online karena fitur-fiturnya yang berharga dan pembaruan harian. Ini adalah CMS (Content Management System) yang diadopsi secara luas untuk situs web bisnis karena dilengkapi dengan fitur keamanan pra-instal. Komunitas Magento mengatakan ada 250.000+ pedagang di seluruh dunia yang menggunakan Magento sebagai platform bisnis mereka.

Misalkan Anda sedang mencari untuk memulai bisnis online. Dalam hal ini, Anda harus selalu menggunakan solusi The Magento untuk toko e-niaga Anda guna meningkatkan pengalaman berbelanja pengguna, sehingga memaksimalkan pendapatan Anda.

Deteksi apakah situs Magento Anda diretas!

Cara yang akan kami jelaskan kepada Anda di sini cukup mudah diikuti dan akan mengeluarkan situs Anda dari peretasan secepat mungkin. Namun, kami tetap menyarankan Anda untuk memastikan situs Magento Anda tidak mengalami malfungsi dan diretas!

Beberapa aplikasi sangat membantu Anda dalam hal ini.

Pemindai Keamanan Magento untuk Menemukan Malware & Kerentanan

Laporan keamanan terbaru Astra menunjukkan bahwa enam puluh dua persen situs Magento memiliki setidaknya satu kerentanan .

Bagaimana Anda memastikan toko Magento Anda tidak mengekspos risiko keamanan online?

Salah satu hal penting yang harus dilakukan adalah menerapkan tip pengerasan untuk melindungi dari ancaman online dan memanfaatkan WAF berbasis cloud. Namun, bagaimana jika Anda ingin melihat postur keamanan toko eCommerce Anda? Bagaimana Anda tahu jika itu tidak mengandung kelemahan keamanan?

Itulah mengapa Anda memerlukan pemindai keamanan untuk menjalankan semua jenis tes sesuai permintaan dan menjadwalkannya. Berikut ini adalah pemindai populer yang dapat Anda gunakan untuk dijalankan di situs web Magento Anda.

laporan penyihir

MageReport adalah salah satu pemindai terbaik untuk memverifikasi situs Magento untuk mengetahui kerentanan keamanan tanpa biaya. Ya itu benar. Ini sepenuhnya GRATIS , termasuk yang berikut ini.

• Pengungkapan admin
• Patch keamanan 6482, 9652, 6788, 7405
• Kerentanan RCE/formulir web
• API terpapar
• Kunjungi perangkat lunak perusak
• Serangan brute force
• Gurung Javascript
• Ransomware
• Dan banyak lagi…

MageReport tidak hanya memeriksa inti Magento; namun juga beberapa ekstensi pihak ketiga yang tersedia untuk kerentanan apa pun. Anda dapat mendaftar di MageReport untuk mendapatkan pemberitahuan tentang kerentanan baru yang ditemukan setiap kali Anda berinteraksi di dalam sisi admin Anda.

ramalan

Pemindaian Eksternal oleh Tes Foregenix dan menawarkan laporan tingkat tinggi dari poin-poin berikut.

• Magmi
• pengutilan Magento
• Versi usang
• Malware Cloud Harvester
• Kontrol versi tidak terlindungi
• Pembajakan kartu kredit
• XSS, serangan RSS
• Pengambilalihan/pengungkapan admin
• Rahasia bocor

Laporan ditampilkan pada layar dan dikirim ke alamat email Anda sebagai PDF juga.

Penguji Patch Keamanan

Patch Tester dikembangkan secara khusus untuk membantu jika toko online Anda rentan terhadap risiko keamanan terbaru.

Jika Anda ingin memeriksa patch keamanan, itu akan menjadi alat yang cepat dan praktis.

SUCURI

SUCURI tidak khusus untuk Magento; namun, SUCURI akan membantu menguji situs untuk banyak komponen. Bermanfaat untuk menganalisis situs web Anda dengan cepat terhadap ancaman online utama.

• daftar hitam
• Perangkat lunak perusak
• Defacement
• SPAM yang disuntikkan

Pemindaian Penyihir

Pemindaian Mage bukanlah pemindai online; sebagai gantinya, Anda harus menginstalnya di server. Jika Anda ingin menguji situs web intranet Magento , maka Mage Scan bisa menjadi pilihan terbaik untuk Anda.

Pemindaian Keamanan Magento

Alat pemindai untuk keamanan oleh Magento Commerce. Anda diharuskan untuk membuat akun (sepenuhnya GRATIS) dan memverifikasi kepemilikan situs web sebelum Anda melakukan pemindaian. Yang terbaik adalah, Anda dapat menjadwalkan untuk melakukan pemindaian secara teratur atau mingguan dan mendapatkan laporan yang memadai ke alamat email Anda.

Akunetix

Pemindai kerentanan siap-perusahaan berbasis web yang tidak memperlambat situs web saat pemindaian sedang berjalan. Acunetix menyediakan pemindaian keamanan yang komprehensif tidak hanya mencakup Magento terutama tetapi secara keseluruhan segala sesuatu yang berkaitan dengan situs web.

Hasil pemindaian mencakup kemungkinan resolusi yang membantu pakar keamanan dan pemrogram untuk memperbaiki masalah dengan cepat. Anda dapat melacaknya di pelacak bug favorit Anda seperti GitHub, Jira, Bugzilla, dll.

Jika Anda memerlukan pemilik bisnis atau petugas kepatuhan, Anda dapat membuat 10 laporan teratas HIPAA, PCI, OWASP, dan DSS.

Kiat Keamanan Toko Magento

Bahaya paling besar dari serangan hacker adalah Anda hampir tidak bisa mengungkapkannya sampai terlambat. Jadi, kita harus menjaga keamanan situs web terlebih dahulu dan memeriksa kesehatannya setiap hari.

Gunakan hanya versi Magento terbaru

Banyak pengguna Magento berpikir bahwa memperbarui versi Magento terbaru bukanlah langkah yang aman; karenanya, mereka mundur dari memutakhirkan situs web Magento lama mereka. Ini tidak benar; pada kenyataannya, programmer selalu melalui proses debug yang ketat dan pengujian yang teliti dan memverifikasi masalah patch keamanan di versi terbaru yang diluncurkan untuk menyediakan versi bebas kesalahan dari The Magento.

Oleh karena itu, memperbarui situs web Magento Anda ke versi Magento terbaru sangat disarankan. Anda dapat memanfaatkan beberapa keuntungan dengan memperbarui, seperti mengabaikan waktu henti yang tidak perlu, mencegah peretasan di situs web e-niaga Anda, peningkatan penting, fungsionalitas baru, perbaikan bug, dan banyak lagi.

URL Admin Unik dan Disesuaikan

Peretas dapat dengan mudah memaksa masuk ke halaman login Magento milik admin. Jika Anda akan mengaksesnya melalui www.xyz123.com/admin. Oleh karena itu, untuk mencegah situs web online Anda dari serangan peretas dan pengguna yang suka mengirim spam ke situs web Anda, Anda harus selalu mencari untuk membuat URL admin yang unik dan disesuaikan, yang sulit untuk dilewati oleh peretas.

Menambahkan kunci rahasia ke URL yang hanya diizinkan bagi mereka yang memenuhi syarat untuk mengakses panel admin adalah tip yang disarankan untuk meningkatkan keamanan toko Magento Anda.

Gunakan otentikasi dua faktor

Membuat kata sandi yang sulit untuk situs web e-niaga berbasis Magento Anda tidak cukup. Itulah alasan banyak pemilik toko online sekarang memilih 2FA (otentikasi dua faktor) untuk menghindari ancaman online untuk situs web e-commerce mereka.

Dengan demikian, Magento p[menyediakan ekstensi autentikasi dua faktor yang andal, yang membantu pemilik toko online memperbarui keamanan login admin Magento mereka serta membuat mereka bebas stres dari risiko keamanan terkait kata sandi.

Memanfaatkan koneksi terenkripsi (HTTPS/SSL)

Selalu ada risiko pengambilan data setiap kali Anda mengirim data, seperti kredensial login pada koneksi yang tidak terenkripsi. Oleh karena itu, memanfaatkan koneksi yang aman menjadi sangat penting untuk toko Magento.

Memiliki URL SSL/HTTPS yang aman adalah elemen paling penting yang membuat situs web Magento Anda sesuai dengan PCI. Dengan cara ini, Anda dapat membuat pengalaman berbelanja yang aman bagi pengguna Anda dan memenangkan kepercayaan mereka yang berharga.

Jangan atur izin file ke 777

Magento menyarankan untuk tidak menyimpan izin file 777 apa pun untuk file dan menyediakan untuk mengubahnya segera setelah Anda menyelesaikan penulisan ulang.

Gunakan FTP Aman

Intersepsi kata sandi FTP adalah cara paling umum untuk diretas. Anda dapat menghilangkan kerentanan ini dengan menggunakan SSH File Protocols (SFTP ), yang memerlukan pengiriman file pribadi hanya untuk akses dan menawarkan enkripsi tambahan dari kredensial.

Lakukan pencadangan Magento setiap hari

Pencadangan harian adalah salah satu cara paling efisien untuk mengurangi risiko serangan dan cara yang efektif untuk pemulihan.

Nonaktifkan pengindeksan direktori

Untuk menyembunyikan file inti Magento dari peretas, Anda dapat menonaktifkan pengindeksan direktori, dan keamanan Anda menjadi lebih kuat.

Jangan pernah menggunakan kembali kata sandi Magento di tempat lain

Pernyataan ini sepenuhnya didedikasikan untuk semua kata sandi penting yang Anda gunakan, dan kata sandi Magento tidak terkecuali. Gunakan kata sandi Magento hanya untuk panel admin, bukan di tempat lain.

Pilih kata sandi yang kuat

Kata sandi yang sangat aman dan tangguh membuat Anda merasa terlindungi tentang data penjualan dan informasi pengguna. Akan membantu jika Anda menggunakan kata sandi yang cukup panjang dengan huruf kecil dan besar, karakter khusus, dan angka.

Hilangkan celah email

Sejauh Magento menawarkan fungsi pemulihan kata sandi, pastikan email Anda tidak diketahui dan simpan kata sandinya sepenuhnya aman, sama seperti kata sandi Magento.

Periksa keamanan Magento Setiap Hari

Pemeriksaan keamanan Magento harian akan membuat Anda tetap up to date dan tenang tentang kesehatan toko online. Untuk tujuan ini, Anda dapat menggunakan ekstensi Magento atau menyewa perusahaan audit mana pun.

Berikan akses admin ke alamat IP yang disetujui saja

Jika Anda memasuki area admin dari tarikan alamat IP tertentu, Anda dapat membatasi akses dari yang lain di dalam file .httpaccess. Untuk menentukan tarikan alamat atau alamat IP tertentu di sana dan meningkatkan keamanan secara keseluruhan.

Tetap perbarui perangkat lunak antivirus

Terkini, perangkat lunak antivirus Anda memenuhi tugas penting dalam kebijakan keamanan. Produk komersial umumnya memberikan perlindungan yang kuat terhadap virus dan trojan, dan Anda harus membayar lebih baik untuk produk dan layanan mereka daripada menderita kebocoran data.

Jangan simpan kata sandi di dalam browser Anda

Menyimpan kata sandi di dalam browser Anda mungkin nyaman, tetapi memang tidak bijaksana. Mereka yang mengakses komputer dapat dengan mudah membaca nama pengguna dan kata sandi dan menggunakannya.

Manfaatkan keunggulan komunitas Magento

Karena Magento memiliki komunitas pengembang dan pengguna yang sangat banyak, Anda dapat menggunakan beberapa panduan, tutorial, utas forum, dan beberapa saran bagus untuk menjaga keamanan toko Anda.

Ketahuilah, dari mana browser Anda berasal

Browser Anda adalah mediator utama antara Web dan Anda. Ini menyimpan cookie, kata sandi, dan URL Anda, memastikan Anda menggunakan yang terverifikasi dari penyedia tepercaya. Atau semua upaya keamanan tidak berguna.

Mencegah Injeksi MySQL

Ketika hacker berhasil membobol database MySQL. Mereka diam-diam dapat mengakses semua informasi toko Anda, membatalkan transaksi, merusak data pelanggan, dan banyak lagi. Untuk menghilangkannya, Magento menawarkan dukungan yang andal untuk mengalahkan semua serangan injeksi MySQL dengan versi dan patch terbaru. Menambahkan firewall aplikasi web yang kuat disarankan untuk menjaga situs web e-niaga Anda terlindungi dengan baik.

Pilih Hosting Magento yang Benar

Untuk beberapa waktu, mereka yang menggunakan bisnis online sekarang tahu bahwa shared hosting bukanlah pilihan yang aman untuk bisnis e-commerce apa pun, dan e-commerce tidak terkecuali. Oleh karena itu, platform hosting terkelola adalah pilihan yang tepat untuk Anda jika Anda tidak ingin membahayakan keamanan e-commerce Magento Anda. Selain itu, Managed hosting mencakup seluruh patching dan keamanan server dan menjamin keamanan Magento yang kuat.

Paket Cadangan yang Kuat

Sebuah rencana cadangan tentu banyak tips dalam hal privasi dan keamanan. Jika situs web diretas atau dianggap mogok karena alasan tertentu, rencana cadangan akan selalu memastikan bahwa Anda tidak mendapatkan gangguan terkait layanan. Dengan menyimpan file cadangan situs web Anda, Anda dapat dengan mudah mencegah kehilangan data.

Magento 2 menganggap ini memiliki satu set izin sistem file yang melakukan semua pemeriksaan otomatis dengan membuat peran tertentu di platform. Selain itu, Anda harus selalu mempraktikkan pemanfaatan cadangan hard disk dan penyimpanan berbasis cloud untuk menghindari gangguan.

Perbaikan terbaik dari situs Magento

Toko online Magento berhasil diretas bukan karena tindakan keamanan Magento yang tidak tepat alih-alih tindakan keamanan yang tidak memadai dari seluruh lingkungan. Dengan kata lain, tidak selalu Magento yang harus disalahkan.

Jika ada segmen dari sistem atau server Anda yang membuka jendela bagi peretas, maka Magento juga menjadi rentan. Sangat penting untuk memantau dan memperbarui Magento dan seluruh tumpukan server, alias LEMP (Linux, MySQL, NGINX, PHP) atau LAMP (Linux, MySQL, Apache, PHP).

Kami akan menyentuh langkah-langkah keamanan Magento nanti di akhir artikel.

Situs web Magento saya diretas. Apa yang harus saya lakukan untuk pulih?

Langkah 1. Pastikan peretasan ada di sana

Ketika seorang peretas menyerang situs web Anda, ia memperoleh semua hak atas komponen atau sistem yang mereka retas. Misalnya, misalkan dia masuk ke dalam sistem Anda menggunakan NGINX, mereka hanya akan memiliki semua akses www-data, yang bukan merupakan pengguna istimewa. Peretas yang cerdas akan selalu mencoba untuk tetap berada di dalam sistem dengan segala cara. Mereka akan mencari kerentanan lokal yang lebih mudah untuk mengeksplorasi jenis data yang dapat mereka akses dan bagaimana mereka dapat meningkatkan hak dan hak istimewa mereka.

Tujuan akhir mereka adalah direktori root dari server. Begitu mereka mendapatkan hak istimewa untuk melakukan root, ada risiko bahwa Anda tidak akan mampu mendeteksi semua perubahan yang berpotensi dilakukan peretas pada sistem yang masih akan memengaruhi kemampuan kinerjanya. Peretas akan dapat menyembunyikan semua jejak mereka sehingga Anda bahkan mungkin tidak dapat mengeluarkannya.

Untuk mengetahui seberapa jauh peretas bisa datang, Anda harus melakukan analisis yang cermat dan tepat terhadap setiap aktivitas dan perubahan yang terjadi di lingkungan. Operasi ini membutuhkan waktu. Waktu yang tidak bisa Anda sia-siakan.

Oleh karena itu, Anda harus memahami jika toko online Magento Anda segera diretas, dan Anda harus mengambil tindakan untuk mencegah konsekuensi yang tidak menguntungkan.

Tanda-tanda peretasan Magento:

• Keluhan nasabah atas aktivitas kartu kredit.
• Peringatan daftar hitam.
• Perilaku menyimpang dari halaman Magento.
• Aktivitas jahat dilaporkan oleh penyedia hosting.
• Kata kunci spam muncul di situs.
• Modifikasi yang tidak diketahui dalam folder atau file.
• Modifikasi di dalam inti Magento.
• Beban yang tidak biasa di server.
• Pengguna dan sesi admin tidak dikenal.

Langkah 2. Putuskan – Tidak downtime atau downtime

Setelah Anda melihat sesuatu dari daftar di atas di dalam situs web Magento Anda, jangan ragu untuk menghubungi perusahaan pengembangan Magento atau administrator sistem Anda. Mereka akan dengan cepat menganalisis situs web Anda dan memberi tahu Anda apa yang terjadi dan apa solusinya.

Dari sana, Anda harus membuat keputusan penting – untuk menempatkan situs web Anda dalam mode downtime atau tidak.

Waktu henti adalah durasi saat situs web Anda tidak akan tersedia untuk setiap pengguna. Anda mematikan server dari jaringan, dan toko tidak akan melakukan aktivitas apa pun. Pengguna Anda tidak akan dapat melakukan pembayaran dan pesanan. Peretas juga tidak akan mampu mengambil kendali jarak jauh atas situs web Anda dan menyebabkan kerusakan apa pun kepada Anda.

Misalkan toko Anda mengoperasikan ratusan pesanan per jam. Sebuah downtime beberapa jam akan menyebabkan kerugian keuntungan yang cukup besar. Kemudian Anda dapat mencoba memperbaiki semuanya saat bepergian.

Tetapi jika Anda mampu melakukan downtime beberapa jam, kami sarankan Anda mematikan server dari jaringan.

Langkah 3. Siapkan instalasi Magento yang bersih dan aman

Jadi, Anda menonaktifkan server Anda.

Sekarang Anda perlu menginstal ulang Magento di server baru menggunakan versi bersih dan terbaru.

Ini adalah metode teraman untuk memastikan toko Anda tidak mengalami serangan peretas yang sama dan cara tercepat untuk mengembalikan bisnis online sehingga Anda tidak kehilangan keuntungan.

Kami menyarankan menginstal versi Magento bukan dari cadangan tetapi yang disimpan di dalam repositori git.

Mengapa menggunakan versi Magento dari repositori git?

Saat Anda membuat toko Magento, Anda menggunakan server lokal. Backend dan frontend Anda tidak dapat diakses oleh siapa pun kecuali tim Anda – penguji, admin, pengembang, dll. Versi terakhir toko diunduh dari repositori git. Dari sana, ia menuju ke situs web langsung.

Ini berarti bahwa versi terbaru yang disimpan di dalam repositori git benar-benar bersih untuk 99,99%. Meskipun memiliki kerentanan yang sama, Anda mungkin yakin bahwa orang ke-3 belum mengaksesnya. Anda akan punya waktu untuk menghilangkan kerentanan itu ketika Anda meluncurkan toko. Namun, jika Anda menginstal versi Magento dari cadangan, ada risiko bahwa skrip berbahaya peretas mungkin sudah ada di sana.

Langkah 4. Instal semua perangkat lunak dan tambalan yang diperlukan.

Setelah Anda memiliki server baru dengan instalasi Magento yang bersih, pastikan bahwa semua pembaruan perangkat lunak dan patch keamanan Magento juga diinstal.

Patch adalah salah satu paket file inti yang dimodifikasi yang memperbaiki masalah keamanan atau kerentanan yang terdeteksi di Magento.

Ada alat yang fantastis – MageReport.com – yang memungkinkan Anda untuk segera memeriksa apakah semua patch kritis telah diinstal dan apa masalah keamanan mendasar yang dimiliki situs web Anda.

Langkah 5. Konfigurasi database baru.

Saat Anda memiliki pengaturan Magento yang bersih dan terbaru, atur versi terbaru dari database klien dari cadangan Anda. Basis data ini berisi semua transaksi terbaru dan semua pesanan terbaru yang dilakukan di toko eCommerce. Dengan ini, Anda dapat memulihkan bisnis online Anda sejak Anda mematikan server.

Momen penting.

Jika toko Magento diretas, Anda harus memberi tahu semua pengguna Anda tentang hal itu terlepas dari informasi pengguna apa yang Anda simpan. Namun, dalam praktiknya, hampir tidak ada pemilik toko yang merasa ingin kehilangan kepercayaan penggunanya. Itu setidaknya.

Jika Anda mengoperasikan pembayaran di dalam toko Magento dengan gateway pembayaran yang aman, peretas tidak akan dapat mengakses kredensial kartu kredit pengguna Anda. Semua gateway pembayaran terkenal seperti Pembayaran Amazon atau PayPal menyediakan enkripsi tingkat lanjut. Jika Anda menyimpan data pembayaran klien mana pun di dalam basis data Anda, memberi tahu pengguna Anda tentang peretasan dan meminta mereka untuk mengawasi transaksi kartu kredit mereka adalah suatu keharusan.

Langkah 6. Analisis dan pantau

Anda telah mengonfigurasi database dan mengonfigurasi toko Anda kembali online. Anda dapat menerima pembayaran dan merasa aman bahwa peretas ditinggalkan di luar sistem.

Sekarang Anda punya waktu untuk menganalisis apa yang menyebabkan serangan berhasil dan menghilangkan semua kerentanan itu.

Kerentanan khas Magento

• Buka kerentanan server di "direktori unggah gambar"
• Kata sandi yang lemah di dalam panel Admin atau FTP (mis., “nama_perusahaan”, “admin”, “11111”, dll.)
• Versi sistem manajemen konten yang ketinggalan zaman atau instalasi Magento
• Host web tidak aman
• Ekstensi atau plugin buggy

Jika peretasan menyebabkan perilaku tidak biasa di situs Magento, Anda akan segera menyadarinya.

Tapi, tidak setiap serangan mengarah pada perubahan nyata dalam perilaku Magento. Toko Anda dapat beroperasi dengan cara biasa, dan Anda dapat berpikir bahwa semuanya baik-baik saja bahkan ketika peretasan telah terjadi. Oleh karena itu, Anda harus mengamati perilaku server baru untuk melacak semua login yang tidak dikenal, jika ada aktivitas yang tidak dikenal di log jika ada aktivitas serupa yang mengarah ke peretasan.