Brute Force atakos. Kaip apsaugoti Magento svetainę?
Saugumas internetinėse svetainėse yra labai svarbus. Kibernetiniai sukčiai neatsisako senos kaip pats internetas priemonės ir toliau nuolat naudoja Brute Force slaptažodžių spėjimo atakas įsiveržti į daugumos turinio valdymo sistemų administratorių paskyras. Tad norime priminti šią grėsmę ir pateikiame būdus kaip pasirūpinti savo svetainės saugumu.
Kas yra Brute Force atakos?
Brutalios jėgos atakos (angl. Brute Force) yra “bandymų ir klaidų” metodas, naudojamas informacijai atspėti. Brute force atakos metu spėliojami galimi vartotojo vardo ir slaptažodžio variantai. Užpuolikai tam naudoja automatizuotą programinę įrangą, kuri generuoja didelį kiekį nuoseklių spėjimų. Šiam tikslui naudojami net tik paprasti kalbų žodynai, bet ir specialios bibliotekos surinktų slaptažodžių iš prieš tai pažeistų svetainių.
Ką galima padaryti norint apsaugoti savo internetinę svetainę?
Kaip apsaugotumėte savo tinklaraštį ar elektroninę parduotuvę nuo Brute Force atakos? Tam reikia imtis konkrečių veiksmų. Kiekvienas internetinis puslapis yra unikalus, todėl ir apsaugos priemonės turėtų būti pritaikytos atsižvelgiant į tai. Rekomenduojame pasitarti su internetinių svetainių kūrėjais ir parinkti tinkamiausią apsaugos metodą atsižvelgiant į Jūsų puslapio specifiką. Taip pat gali tekti atlikti papildomų įrankių įdiegimą. Tačiau apie viską nuo pradžių!
1. Patikrinkite administratoriaus paskyros internetinį adresą (angl. URL)
Patikrinkite ar Jūsų prisijungimui prie administratoriaus aplinkos naudojamas internetinis adresas nenaudoja standartinės galūnės: /admin, /administratorius, /tinklapioadresas-admin ir pan. Tokius adresus nesunkiai gali aptikti kenkėjiškos programos. Jei naudojamas standartinis adresas, rekomenduojame jį pakeisti, pasitarus su IT specialistais.
Magento 1.x:
Eikite į System > Configuration > Advanced > Admin > Custom Admin Path
Magento 2.x:
Eikite į Stores > Configuration > Advanced > Admin > Custom Admin Path
2. Atnaujinkite administratoriaus paskyros prisijungimų saugumą
Rekomenduojame administratoriaus profilyje nustatyti slaptažodžio atstatymo užklausų skaičių iki trijų per valandą. Taip pat automatinis slaptažodžio užrakinimo laikas (kai iš 3 kartų yra suvedamas neteisingas slaptažodis) turi būti nustatytas bent 30 minučių. Šie nustatymai taip pat gali būti sukonfigūruoti administratoriaus paskyroje, tačiau prieš tai atliekant nepamirškite pasikonsultuoti su specialistais:
Magento 1.x:
Eikite į System > Configuration > Advanced > Admin > Security
Magento 2.x:
Eikite į Stores > Configuration > Advanced > Admin > Security
3. Įjunkite CAPTCHA įrankį
CAPCHA – tai raidžių ir skaičių, paveikslėlių ir kodų deriniai, skirti patikrinti ar prie svetainės jungiasi žmogus. Internetinės svetainės savininkams rekomenduojama apsaugoti savo administratoriaus puslapio autentifikavimą svetainės kūrėjams įdiegiant ar aktyvuojant CAPTCHA (https://www.google.com/recaptcha/intro/v3.html) įrankį.
Magento 1.x:
Eikite į System > Configuration > Advanced > Admin > CAPTCHA
Magento 2.x:
Eikite į Stores > Configuration > Advanced > Admin > CAPTCHA
Informacija: „Magento 2“ gali naudoti patobulintas CAPTCHA funkcijas, kurios detaliau aprašomos čia.
4. Paruoškite Two-Factor (lt. dviejų veiksnių) autentifikavimą
Magento turi kelis įrankius, kad sumažintų ar užkirstų kelią pašalinių asmenų prisijungimui prie sistemos ar Brute Force atakų. Two_factor autentifikavimas (2FA), skirtas sustabdyti Brute Force atakoms, tad pat gali būti taikomas klientams, naudojant vieną iš Marketplace plėtinių. Jis suteikia galimybę prisijungti prie administratoriaus paskyros tik naudojantis specialias programėles ar identifikavimo priemones tokias kaip mobilusis telefonas.
Magento 1.x:
Rekomenduojame pasitarti su svetainės kūrėjais dėl Jūsų svetainei tinkančio sprendimo
Magento 2.x:
Informacija anglų kalba: https://devdocs.magento.com/guides/v2.3/security/two-factor-authentication.html.
Ką daryti, jei visgi yra vykdomos brute force atakos prieš Jūsų internetinį puslapį?
Jei pastebite, kad jūsų tinklapis buvo užpultas, nedelsdami kreipkitės į savo internetinės svetainės kūrėją. To reikia, kad būtų rastas ir išvalytas visas kenksmingas puslapio kodas, įdiegti trūkstami saugumo įrankiai. Taip pat iškart turėtų būti pakeisti visi administratoriaus prisijungimo slaptažodžiai. Jei aptinkate dar niekur neaprašytą Magento saugumo spragą, atviro kodo kūrėjai prašo pasidalinti šia informacija ir pateikti daugiau techninių duomenų adresu security@magento.com.
Kad apsaugotumėte savo svetainę nuo brute force atakos ir kitų kenkėjiškų programų, reikia nuolat auginti saugumo atsakomybe pagrįstą požiūrį Jūsų įmonėje. Skirkite laiko sukurti planą ir mokyti savo komandą, kad saugumas taptų natūralia kasdieninio verslo proceso dalimi.
Imkitės saugumo veiksmų jau šiandien, kad apsaugotumėte savo svetainę nuo Brute Force atakos ir kitų galimų įsilaužimų.
Apie Magento saugumo rekomendacijas galite pasiskaityti mūsų Blog įrašuose arba naujienas sekite oficialiame Magento saugumo puslapyje.
Susidomėjote? Aptarkime jūsų projektą
Paskambinkite ar parašykite el. laišką ir mes suplanuosime susitikimą kurio metu aptarsime jūsų projektą ir mūsų idėjas jums.