Napraw zhakowaną stronę Magento w ciągu pół godziny!

Masz dobrze prosperujący sklep e-commerce online? Czy nalegasz, aby chronić swój sklep przed wieloma hakerami w Internecie i innymi naruszeniami bezpieczeństwa? W tym konkretnym artykule omówiono by całościowo przydatne metody zabezpieczania sklepu internetowego Magento. Bądźcie czujni!

Bezpieczeństwo było głównym problemem dla wszystkich właścicieli sklepów internetowych, ponieważ witryny e-commerce są łatwym celem dla zaawansowanych hakerów ze względu na dostępność danych osobowych i płatności. Dlatego zabezpieczenie sklepu Magento e-commerce i uczynienie go chronioną platformą staje się kluczowe dla zdobycia zaufania użytkowników.

Magento ma duży wpływ na branżę online ze względu na swoje cenne funkcje i codzienne aktualizacje. Jest to szeroko stosowany CMS (system zarządzania treścią) dla witryn biznesowych, ponieważ jest dobrze wyposażony we wstępnie zainstalowane funkcje bezpieczeństwa. Społeczność Magento twierdzi, że ponad 250 000 sprzedawców na całym świecie wykorzystuje Magento jako swoją platformę biznesową.

Załóżmy, że chcesz rozpocząć działalność online. W takim przypadku musisz zawsze korzystać z rozwiązania The Magento dla swojego sklepu e-commerce, aby poprawić wrażenia zakupowe użytkowników, a tym samym zmaksymalizować przychody.

Wykryj, czy Twoja witryna Magento została zhakowana!

Sposoby, które tutaj wyjaśnimy, są dość proste do naśladowania i pozwolą jak najszybciej usunąć Twoją witrynę z hakowania. Jednak nadal sugerujemy, abyś upewnił się, że Twoja witryna Magento nie działa nieprawidłowo i nie jest zhakowana!

Niektóre aplikacje bardzo Ci w tym pomagają.

Skaner bezpieczeństwa Magento do znajdowania złośliwego oprogramowania i luk

Z najnowszego raportu bezpieczeństwa Astry wynika, że ​​sześćdziesiąt dwa procent witryny Magento ma co najmniej jedną lukę .

Jak upewnić się, że Twój sklep Magento nie naraża się na żadne zagrożenie bezpieczeństwa online?

Jedną z podstawowych rzeczy do zrobienia jest wdrożenie wskazówek dotyczących hartowania w celu ochrony przed wszelkimi zagrożeniami internetowymi i korzystanie z opartego na chmurze WAF. Co jednak, jeśli chcesz zobaczyć stan bezpieczeństwa swojego sklepu eCommerce? Skąd będziesz wiedzieć, czy to nie zawiera luki w zabezpieczeniach?

Dlatego potrzebujesz skanera bezpieczeństwa, aby wykonywać wszelkiego rodzaju testy na żądanie i planować je. Poniżej znajdują się popularne skanery, których możesz użyć do uruchomienia na swojej stronie Magento.

MagRaport

MageReport to jeden z najlepszych skanerów do weryfikacji witryny Magento pod kątem znanych luk w zabezpieczeniach bez żadnych kosztów. Tak, to prawda. Jest całkowicie BEZPŁATNY , w tym następujące.

• Ujawnienie przez administratora
• Łata bezpieczeństwa 6482, 9652, 6788, 7405
• Luka RCE/formularzy internetowych
• Ujawniono API
• Odwiedź złośliwe oprogramowanie
• Ataki brutalnej siły
• Gurung Javascript
• Ransomware
• I wiele więcej…

MageReport nie tylko sprawdza rdzeń Magento; jednak także niektóre dostępne rozszerzenia stron trzecich dla wszelkich luk w zabezpieczeniach. Możesz zarejestrować się w MageReport, aby otrzymywać powiadomienia o wykryciu nowej luki za każdym razem, gdy wchodzisz w interakcję po stronie administratora.

Foregenix

Skanowanie zewnętrzne za pomocą testu The Foregenix i oferuje raport wysokiego poziomu z następujących punktów.

• Magmi
• Kradzież sklepowa Magento
• Nieaktualna wersja
• Złośliwe oprogramowanie Cloud Harvester
• Niezabezpieczona kontrola wersji
• Przejęcie karty kredytowej
• XSS, atak RSS
• Przejęcie/ujawnienie przez administratora
• Tajemnice wyciekają

Raport jest wyświetlany na wyświetlaczu i wysyłany na Twój adres e-mail również w formacie PDF.

Tester poprawek bezpieczeństwa

Tester poprawek został opracowany specjalnie, aby pomóc, jeśli Twój sklep internetowy jest podatny na najnowsze zagrożenia bezpieczeństwa.

Jeśli chcesz sprawdzić poprawkę bezpieczeństwa, będzie to szybkie i poręczne narzędzie.

SUCURI

SUCURI nie jest specjalnie dla Magento; jednak SUCURI pomogłoby przetestować witrynę pod kątem wielu komponentów. Pomocna w szybkiej analizie witryny pod kątem głównych zagrożeń internetowych.

• Czarna lista
• Złośliwe oprogramowanie
• Zniekształcenia
• Wstrzyknięty SPAM

Skanowanie maga

Mage Scan nie jest skanerem online; zamiast tego musisz zainstalować go na serwerze. Jeśli chcesz przetestować intranetową witrynę Magento , Mage Scan może być dla Ciebie najlepszym wyborem.

Skanowanie bezpieczeństwa Magento

Narzędzie do skanowania bezpieczeństwa przez Magento Commerce. Musisz założyć konto (jest całkowicie BEZPŁATNE) i zweryfikować własność witryny przed wykonaniem skanowania. Najlepsze jest to, że możesz zaplanować regularne lub cotygodniowe wykonywanie skanów i otrzymywać odpowiedni raport na swój adres e-mail.

Akunetix

Internetowy skaner luk w zabezpieczeniach dla przedsiębiorstw, który nie spowalnia witryny podczas skanowania. Acunetix zapewnia kompleksowy skan bezpieczeństwa nie tylko obejmujący głównie Magento, ale ogólnie wszystko, co dotyczy strony internetowej.

Wyniki skanowania obejmują możliwą rozdzielczość, która pomaga ekspertom ds. bezpieczeństwa i programistom w szybkim rozwiązywaniu problemów. Możesz je śledzić na swoim ulubionym narzędziu do śledzenia błędów, takim jak GitHub, Jira, Bugzilla itp.

Jeśli potrzebujesz właścicieli firm lub specjalistów ds. zgodności, możesz stworzyć raporty o top 10 HIPAA, PCI, OWASP i DSS.

Porady dotyczące bezpieczeństwa sklepów Magento

Największe niebezpieczeństwo ataku hakerów polega na tym, że prawie nie możesz ich ujawnić, dopóki nie będzie za późno. Musimy więc wcześniej zadbać o bezpieczeństwo strony i codziennie sprawdzać jej stan.

Używaj tylko najnowszej wersji Magento

Wielu użytkowników Magento uważa, że ​​aktualizacja najnowszej wersji Magento nie jest bezpiecznym posunięciem; w związku z tym powstrzymują się od aktualizacji swoich starych stron internetowych Magento. To nieprawda; w rzeczywistości programiści zawsze przechodzą przez rygorystyczne debugowanie i drobiazgowe testy oraz weryfikują problemy z poprawkami bezpieczeństwa w najnowszej uruchomionej wersji, aby zapewnić wolną od błędów wersję Magento.

Dlatego aktualizacja witryny Magento do najnowszej wersji Magento jest konieczna - zalecana. Dzięki aktualizacjom można wykorzystać kilka zalet, takich jak ignorowanie niepotrzebnych przestojów, zapobieganie włamaniom na witrynę e-commerce, niezbędne aktualizacje, nowe funkcje, poprawki błędów i wiele innych.

Unikalny i dostosowany adres URL administratora

Hakerzy mogą z łatwością włamać się do strony logowania Magento administratora. Jeśli chcesz uzyskać do niego dostęp przez www.xyz123.com/admin. Dlatego, aby zapobiec atakom hakerów i użytkowników, którzy lubią spamować Twoją witrynę internetową, musisz zawsze szukać unikalnego i dostosowanego adresu URL administratora, co jest trudne dla hakerów.

Dodanie tajnego klucza do adresu URL, który jest dozwolony tylko dla osób uprawnionych do dostępu do panelu administracyjnego, jest wskazaną wskazówką, aby poprawić bezpieczeństwo Twojego sklepu Magento.

Użyj uwierzytelniania dwuskładnikowego

Utworzenie trudnego hasła do witryny e-commerce opartej na Magento nie wystarczy. To jest powód, dla którego wielu właścicieli sklepów internetowych wybiera teraz 2FA (uwierzytelnianie dwuskładnikowe), aby uniknąć zagrożeń internetowych dla swojej witryny e-commerce.

Mając to na uwadze, Magento zapewnia niezawodne rozszerzenie uwierzytelniania dwuskładnikowego, które pomaga właścicielom sklepów internetowych w aktualizacji zabezpieczeń logowania administratora Magento, a także chroni ich przed zagrożeniami bezpieczeństwa związanymi z hasłami.

Korzystaj z szyfrowanego połączenia (HTTPS/SSL)

Zawsze istnieje ryzyko pobrania danych za każdym razem, gdy wysyłasz dane, takie jak dane logowania w niezaszyfrowanym połączeniu. Dlatego korzystanie z bezpiecznego połączenia staje się kluczowe dla sklepów Magento.

Posiadanie bezpiecznego adresu URL SSL/HTTPS jest najważniejszym elementem, który sprawia, że ​​Twoja witryna Magento jest zgodna z PCI. W ten sposób możesz zapewnić swoim użytkownikom bezpieczne zakupy i zdobyć ich cenne zaufanie.

Nie ustawiaj uprawnień do plików na 777

Magento sugeruje, aby nie zachowywać żadnych uprawnień do plików 777 i zapewnia ich zmianę, gdy tylko zakończysz przepisywanie.

Korzystaj z bezpiecznego FTP

Przechwytywanie haseł FTP to najczęstsze sposoby na zhakowanie. Możesz wyeliminować tę lukę, korzystając z protokołów plików SSH (SFTP ), które wymagają przesyłania prywatnych plików tylko w celu uzyskania dostępu i oferują dodatkowe szyfrowanie poświadczeń.

Wykonuj codzienne kopie zapasowe Magento

Codzienne kopie zapasowe należą do najskuteczniejszych sposobów zmniejszenia ryzyka ataków i skutecznego sposobu odzyskiwania.

Wyłącz indeksowanie katalogów

Aby ukryć podstawowe pliki Magento przed hakerem, możesz wyłączyć indeksowanie katalogów, a twoje bezpieczeństwo stanie się silniejsze.

Nigdy nie używaj ponownie hasła Magento nigdzie indziej

To stwierdzenie jest w całości poświęcone wszystkim podstawowym hasłom, z których korzystasz, a hasła Magento nie są żadnym wyjątkiem. Używaj haseł Magento tylko w panelu administracyjnym, a nie nigdzie indziej.

Wybierz silne hasła

Wysoce zabezpieczone i trudne hasła zapewniają ochronę danych sprzedażowych i informacyjnych użytkowników. Pomogłoby, gdybyś używał wystarczająco długich haseł z małymi i dużymi literami, znakami specjalnymi i cyframi.

Wyeliminuj luki w poczcie e-mail

Jeśli Magento oferuje funkcję odzyskiwania haseł, upewnij się, że Twój adres e-mail nie jest znany i całkowicie zabezpiecz swoje hasła, tak samo jak hasła Magento.

Codziennie sprawdzaj zabezpieczenia Magento

Codzienne sprawdzanie bezpieczeństwa Magento pozwoli Ci być na bieżąco i spokojnym o stan sklepów internetowych. W tym celu możesz skorzystać z rozszerzeń Magento lub zatrudnić dowolną firmę audytorską.

Przyznaj dostęp administratora tylko do zatwierdzonych adresów IP

Jeśli wejdziesz do obszaru administracyjnego z określonego pobrania adresów IP , możesz ograniczyć dostęp do innych w pliku .httpaccess. Aby zdefiniować ściąganie adresów lub niektórych adresów IP i zwiększyć ogólne bezpieczeństwo.

Bądź na bieżąco z oprogramowaniem antywirusowym

Aktualne oprogramowanie antywirusowe spełnia podstawowe zadanie w ramach polityki bezpieczeństwa. Produkty komercyjne zazwyczaj zapewniają solidną ochronę przed wirusami i trojanami, a za ich produkty i usługi trzeba płacić lepiej, niż narażać się na wycieki danych.

Nie zapisuj haseł w przeglądarce

Zapisywanie haseł w przeglądarce może być wygodne, ale nie mądre. Ci, którzy mają dostęp do komputera, mogą łatwo odczytać nazwę użytkownika i hasło i z nich korzystać.

Wykorzystaj zalety społeczności Magento

Ponieważ Magento ma ogromną społeczność programistów i użytkowników, możesz skorzystać z wielu przewodników, samouczków, wątków na forum i kilku świetnych porad, aby zapewnić bezpieczeństwo swojego sklepu.

Bądź świadomy, skąd pochodzi Twoja przeglądarka

Twoja przeglądarka jest centralnym pośrednikiem między Internetem a Tobą. Przechowuje pliki cookie, hasła i adresy URL, zapewniając, że korzystasz ze zweryfikowanego od zaufanego dostawcy. Albo wszystkie wysiłki związane z bezpieczeństwem są bezużyteczne.

Zapobiegaj wstrzykiwaniu MySQL

Gdy hakerom uda się włamać do bazy danych MySQL. Mogą po cichu uzyskać dostęp do wszystkich informacji o Twoim sklepie, unieważnić transakcje, zepsuć dane klientów i wiele więcej. Aby to wyeliminować, Magento oferuje niezawodne wsparcie w zwalczaniu wszystkich ataków wstrzykiwania MySQL za pomocą najnowszej wersji i poprawek. Zaleca się dodanie potężnej zapory sieciowej dla aplikacji internetowych, aby zapewnić dobrą ochronę witryny e-commerce.

Wybierz odpowiedni hosting Magento

Od dłuższego czasu ci, którzy korzystają z biznesu online, wiedzą teraz, że hosting współdzielony nie jest bezpiecznym wyborem dla żadnego biznesu e-commerce, a e-commerce nie jest wyjątkiem. Dlatego zarządzana platforma hostingowa jest właściwym wyborem dla Ciebie, jeśli nie chcesz narażać swojego bezpieczeństwa e-commerce Magento. Poza tym hosting zarządzany obejmuje całe łatanie i bezpieczeństwo serwera oraz gwarantuje solidne bezpieczeństwo Magento.

Potężny plan tworzenia kopii zapasowych

Plan tworzenia kopii zapasowych to z konieczności wiele wskazówek w zakresie prywatności i bezpieczeństwa. Jeśli witryna zostanie zhakowana lub przypuszczalnie ulegnie awarii z jakiegoś powodu, plan tworzenia kopii zapasowych zawsze zapewni, że nie wystąpią zakłócenia związane z usługami. Przechowując pliki kopii zapasowej witryny, możesz łatwo zapobiec utracie danych.

Magento 2 odrzuca to jako posiadanie zestawu uprawnień do systemu plików, które wykonują wszystkie automatyczne sprawdzanie, tworząc określoną rolę na platformie. Poza tym zawsze musisz ćwiczyć korzystanie zarówno z kopii zapasowych dysków twardych, jak i pamięci masowej w chmurze, aby uniknąć przerw.

Najlepsza możliwa poprawka strony Magento

Sklepy internetowe Magento są skutecznie hakowane nie przymusowo z powodu niewłaściwych środków bezpieczeństwa Magento zamiast niewystarczającej ochrony całego środowiska. Innymi słowy, nie zawsze należy winić Magento.

Jeśli jakikolwiek segment twojego systemu lub serwera otworzy okno dla hakera, wtedy Magento również stanie się podatny na ataki. Niezbędne jest monitorowanie i aktualizacja Magento i całego stosu serwerów, czyli LEMP (Linux, MySQL, NGINX, PHP) lub LAMP (Linux, MySQL, Apache, PHP).

Na końcu artykułu omówimy zabezpieczenia Magento.

Moja witryna Magento została zhakowana. Co powinienem zrobić, aby odzyskać zdrowie?

Krok 1. Upewnij się, że hack tam jest

Kiedy haker atakuje Twoją witrynę, nabywa wszystkie prawa do zhakowanego komponentu lub systemu. Załóżmy na przykład, że dostanie się do twojego systemu za pomocą NGINX, będzie miał dostęp tylko do danych www, co nie jest uprzywilejowanym użytkownikiem. Doświadczony haker zawsze próbowałby za wszelką cenę pozostać w systemie. Szukaliby łatwiejszych i lokalnych luk w zabezpieczeniach, aby zbadać, do jakiego rodzaju danych mają dostęp i jak mogą podnieść swoje prawa i przywileje.

Ich ostatecznym celem jest katalog główny serwera. Po uzyskaniu uprawnień do roota istnieje ryzyko, że nie będziesz w stanie wykryć wszystkich zmian, które hakerzy mogą potencjalnie wprowadzić w systemie, a które nadal będą miały wpływ na jego wydajność. Hakerzy byliby w stanie ukryć wszystkie swoje ślady, abyś mógł nawet nie być w stanie ich wydostać.

Aby dowiedzieć się, jak daleko mogą zajść hakerzy, musisz przeprowadzić dokładną i właściwą analizę każdej aktywności i zmiany dokonywanej w środowisku. Ta operacja wymaga czasu. Czas, którego nie możesz zmarnować.

Dlatego musisz wiedzieć, czy Twój sklep internetowy Magento został natychmiast zhakowany i musisz podjąć środki, aby zapobiec wszelkim niekorzystnym konsekwencjom.

Oznaki włamania Magento:

• Skargi klientów na aktywność kart kredytowych.
• Ostrzeżenia na czarnej liście.
• Nieprawidłowe zachowanie strony Magento.
• Złośliwe działania są zgłaszane przez dostawcę hostingu.
• W witrynie pojawiają się spamowe słowa kluczowe.
• Nieznane modyfikacje w folderach lub plikach.
• Modyfikacje wewnątrz rdzenia Magento.
• Nietypowe obciążenie serwera.
• Nieznani administratorzy i sesje.

Krok 2. Zdecyduj – Nie przestojów lub przestojów

Gdy zauważysz coś z powyższej listy na swojej stronie Magento, nie wahaj się skontaktować z firmą deweloperską Magento lub administratorem systemu. Szybko przeanalizują Twoją witrynę i podpowiedzą, co się dzieje i jakie jest rozwiązanie.

Stamtąd będziesz musiał podjąć zasadniczą decyzję – przestawić witrynę w tryb przestoju, czy nie.

Przestój to czas, w którym Twoja witryna będzie niedostępna dla każdego użytkownika. Wyłączasz serwer z sieci, a sklep nie będzie wykonywał żadnej aktywności. Twoi użytkownicy nie będą mogli dokonywać płatności i zamówień. Haker nie byłby również w stanie przejąć zdalnej kontroli nad Twoją witryną i wyrządzić Ci żadnych szkód.

Załóżmy, że Twój sklep obsługuje setki zamówień na godzinę. Kilkugodzinny przestój spowodowałby znaczną utratę zysków. Wtedy możesz spróbować naprawić wszystko w drodze.

Jeśli jednak stać Cię na kilkugodzinny przestój, sugerujemy wyłączenie serwera z sieci.

Krok 3. Skonfiguruj czystą i bezpieczną instalację Magento

Więc masz wyłączony serwer.

Teraz musisz ponownie zainstalować Magento na nowym serwerze, korzystając z czystej i najnowszej wersji.

Jest to najbezpieczniejszy sposób na upewnienie się, że Twój sklep nie zostanie zaatakowany przez tego samego hakera i najszybszy sposób na ponowne uruchomienie firmy, aby nie stracić zysku.

Sugerujemy instalowanie wersji Magento nie z kopii zapasowej, ale tej, która jest przechowywana w repozytorium git.

Po co korzystać z wersji Magento z repozytorium git?

Tworząc sklep Magento, korzystasz z lokalnego serwera. Twój backend i frontend nie są dostępne dla nikogo poza Twoim zespołem – testerami, administratorami, programistami itp. Ostatnia wersja sklepu jest pobierana z repozytorium git. Stamtąd trafia na działającą stronę internetową.

Oznacza to, że najnowsza wersja przechowywana w repozytorium git jest absolutnie czysta na 99,99%. Nawet jeśli ma tę samą lukę, możesz być pewien, że trzecia osoba jeszcze do niego nie miała dostępu. Będziesz miał czas na wyeliminowanie tej luki po uruchomieniu sklepu. Jeśli jednak instalujesz wersję Magento z kopii zapasowej, istnieje ryzyko, że złośliwy skrypt hakera może już tam być.

Krok 4. Zainstaluj całe wymagane oprogramowanie i poprawki.

Gdy masz nowy serwer z czystą instalacją Magento, upewnij się, że wszystkie aktualizacje oprogramowania i poprawki bezpieczeństwa Magento są również zainstalowane.

Łata to jeden pakiet zmodyfikowanych plików podstawowych, który naprawia problemy z bezpieczeństwem lub lukami wykrytymi w Magento.

Istnieje fantastyczne narzędzie – MageReport.com – które pozwala natychmiast sprawdzić, czy wszystkie krytyczne poprawki zostały zainstalowane i jakie podstawowe problemy z bezpieczeństwem ma Twoja witryna.

Krok 5. Skonfiguruj nową bazę danych.

Gdy masz czystą i najnowszą konfigurację Magento, ustaw najnowszą wersję bazy danych klienta z kopii zapasowej. Ta baza danych zawiera wszystkie najnowsze transakcje i wszystkie ostatnie zamówienia złożone w sklepie eCommerce. Dzięki temu możesz przywrócić swój biznes online od momentu wyłączenia serwera.

Ważny moment.

Jeśli sklep Magento został zhakowany, musisz poinformować o tym wszystkich swoich użytkowników, niezależnie od tego, jakie informacje o użytkownikach przechowujesz. Jednak w praktyce prawie nie ma właściciela sklepu, który byłby chętny na myśl o utracie zaufania swojego użytkownika. To przynajmniej.

Jeśli obsługujesz płatności w sklepie Magento przez bezpieczne bramki płatnicze, haker nie będzie mógł uzyskać dostępu do danych uwierzytelniających karty kredytowe użytkowników. Wszystkie znane bramki płatnicze, takie jak Amazon Payments czy PayPal, zapewniają zaawansowane szyfrowanie. Jeśli przechowujesz dane dotyczące płatności dowolnego klienta w swojej bazie danych, poinformowanie użytkowników o włamaniu i poproszenie ich o monitorowanie transakcji dokonywanych kartą kredytową jest koniecznością.

Krok 6. Analizuj i monitoruj

Skonfigurowałeś bazę danych i ponownie skonfigurowałeś swój sklep online. Możesz akceptować płatności i czuć się bezpiecznie, że haker pozostaje poza systemem.

Teraz masz czas, aby przeanalizować, co doprowadziło do udanego ataku i wyeliminować wszystkie te luki.

Typowe podatności Magento

• Otwarta luka serwera w „katalogu przesyłania obrazów”
• Słabe hasła w panelu administracyjnym lub FTP (np. „nazwa_firmy”, „admin”, „11111” itp.)
• Nieaktualna wersja systemu zarządzania treścią lub instalacja Magento
• Niezabezpieczony host internetowy
• Błędne rozszerzenia lub wtyczki

Jeśli włamanie spowoduje jakiekolwiek nietypowe zachowanie witryny Magento, szybko to zauważysz.

Jednak nie każdy atak prowadzi do widocznej zmiany zachowania Magento. Twój sklep mógłby działać w zwykły sposób i mógłbyś pomyśleć, że wszystko jest w porządku, nawet po włamaniu. Dlatego musisz obserwować nowe zachowanie serwera, aby śledzić wszystkie nieznane logowania, jeśli w logach jest nieznana aktywność, jeśli istnieje podobna aktywność, która prowadzi do włamania.