Blog Fast White Cat

Jak zwiększyć bezpieczeństwo sklepu na Magento 2?

Karolina Obszyńska lip 05. 2022
 

Chcesz, aby Twój biznes eCommerce rozwijał się i przynosił coraz większe zyski? W tym przypadku ważna jest nie tylko technologia, z której korzystasz, ale i odpowiednie środki bezpieczeństwa. Ochrona e-sklepu bez wątpienia należy do podstawowych zadań prowadzenia e-biznesu. Dlatego przygotowaliśmy dla Ciebie wskazówki, które zwiększą bezpieczeństwo Twojego sklepu opartego na platformie Magento 2.


Bezpieczeństwo sklepu na Magento 2 – co należy zrobić?


Sklep na Magento 2 to rozwiązanie skierowane do dużych e-biznesów, które chcą jeszcze bardziej rozwinąć swoje możliwości sprzedażowe. Magento, tak jak wszystkie inne platformy, jest jednak narażone na zewnętrzne ataki. Możesz się jednak przed nimi uchronić, dlatego podczas prowadzenia własnego biznesu online warto zadbać o jego bezpieczeństwo. Podejście do tego zagadnienia powinno być holistyczne. Cóż nam bowiem po zapewnieniu pełnego poziomu bezpieczeństwa naszej aplikacji w kontekście, dajmy na to OWASP Top 10, jeśli nie zabezpieczyliśmy odpowiednio dostępu np. do sieci, w której uruchomiona jest infrastruktura lub fizycznego dostępu do serwerowni mówi Marcin Bukowski, Head of Development i Członek Zarządu w Fast White Cat. 

 

Co możesz zrobić, aby zwiększyć bezpieczeństwo sklepu internetowego na Magento?


 

  1. Bezpieczeństwo infrastruktury



Odpowiednio dobrana i utrzymana infrastruktura to jeden z elementów, dzięki którym Twój sklep działa sprawnie i szybko. Ma ona również znaczenie w kontekście bezpieczeństwa. Projektując architekturę sklepu, należy już na samym początku, zwrócić uwagę na:

 

  • Odpowiednie zabezpieczenie warstwy sieciowej

  • Szyfrowanie komunikacji (z wykorzystaniem np. protokołu SSL), dysków, zasobów bazodanowych, zasobów typu s3. 

  • Ograniczenie ruchu między usługami tylko do niezbędnego zakresu otwartych portów.

  • Bazowanie na wspieranych wersjach systemów operacyjnych i automatyczne aktualizacje pakietów systemów operacyjnych.

  • Przechowywanie logów i ich odpowiednia retencja.

  • Umieszczanie haseł w usługach typu secret manager.

  • Stosowanie się do zasady najmniejszych przywilejów dla użytkowników oraz dbanie o utrzymanie jak najmniejszej niezbędnej ilości kont administracyjnych.

  • Zmiana uprawnień dostępu na „tylko do odczytu” do niektórych plików Magento. 

  • Wykorzystywanie modułów Magento tylko ze sprawdzonych źródeł. 

  • Regularny backup sklepu, umieszczony w bezpiecznej lokalizacji.




  • Bezpieczne logowanie




  • Unikalny adres panelu administracyjnego w Magento stworzysz indywidualną ścieżkę dostępu do panelu administracyjnego. Zamiast tradycyjnego url typu domenasklepu.pl/admin możesz wybrać dowolny ciąg znaków np. domenasklepu.pl/hsjbs2n.

  • Login administratora – zrezygnuj z nazywania administratorów sklepu loginem ”admin”, wybierz unikalne nazwy, które są trudniejsze do odgadnięcia. 

  • Silne hasło dostępu – stwórz silne hasło, które składa się z ciągu przypadkowych liczb, cyfr oraz znaków specjalnych. 

  • Logowanie za pomocą CAPTCHA




  • Aplikacja


 

Oprócz podstawowych zaleceń bezpieczeństwa w zakresie infrastruktury czy polityki haseł przedstawiamy również wskazówki dotyczące aplikacji.

 

  • Systematyczna aktualizacja aplikacji do najnowszej wersji.

  • Zabezpieczenie strefy back-office.

  • Niewykorzystywanie ścieżek, które posiadają liczbowe identyfikatory obiektów w przypadku aplikacji stosujących np. autoinkrementację rekordów zapisywanych w bazie danych.

  • Wyłączenie niektórych ścieżek służących do opisu pewnych części aplikacji (np. dane na temat zainstalowanej wersji aplikacji). 

  • Zabezpieczenie informacji, które mogą wypłynąć poprzez zastosowanie systemu introspekcji.

  • Korzystanie w komunikacji z odpowiednich nagłówków HTTP.

  • Wdrożenie konfiguracji poszczególnych usług, ukrywającej meta-tagi. 

  • Stosowanie rozwiązań typu WAF oraz narzędzi i usług anty-ddos.

  • Nieprzesyłanie danych uwierzytelnienia otwartym tekstem.




  • Inne


 

Tutaj znajdziesz dodatkowe zalecenia, które nie wpasowują się w ramy poprzednich obszarów: 

 

  • Wdrożenie standardów podczas tworzenia oprogramowania, zapobiegające wyciekowi danych z systemu. 

  • Ukrycie środowisk testowych za allow-list.

  • Monitorowanie i analiza logów oraz metryk.

  • Regularne wdrażanie zmian, usprawnień i poprawek do swoich systemów.

  • Systematyczne skanowanie aplikacji dedykowanymi narzędziami, sprawdzającymi występowanie podatności, aktualność wersji oprogramowania, wdrożone patche bezpieczeństwa.


 

Jak sprawdzić, czy e-sklep jest odpowiednio chroniony?


 

Nie jest łatwo samodzielnie zadbać o bezpieczeństwo swojego sklepu. Jeśli chcesz mieć pewność, że Twój eCommerce nie jest zagrożony żadnymi atakami, wykorzystaj wiedzę i doświadczenie profesjonalnego eCommerce house’u. Warto nawiązać współpracę z agencją, która oferuje support sklepu Magento. Dzięki temu będziesz miał dostęp do doświadczonych developerów oraz testerów, skutecznie chroniąc swój biznes przed zewnętrznym zagrożeniem.

 

Zastanawiasz się, czy Twój sklep na Magento jest bezpieczny?
Napisz do nas - info@fastwhitecat.com. Doradzimy Ci, jakie środki bezpieczeństwa należy wdrożyć w Twoim biznesie eCommerce.