Magento saugumo rekomendacijos
Šiais laikais, kai vis daugiau pardavimų yra atliekama elektroninėje erdvėje, o elektroninės parduotuvės tampa privalomu verslo elementu, būtent jos vis dažniau tampa programišių taikiniu. Dažniausiai programišiai siekia pasisavinti kreditinių kortelių duomenis, privačią klientų informaciją ar elektroninės parduotuvės pardavimų duomenų bazę, už kurią vėliau reikalauja išpirkos.
Kas rūpinasi saugumu?
Pirmiausia sistemos saugumu turi rūpintis programuotojai, nes būtent nuo jų rašomo programinio kodo kokybės ir priklauso, kiek bus saugi sistema. Tokios nuomonės laikosi ne tik įmonės direktorius ar projektų vadovas, bet ir patys programuotojai. Šią situaciją puikiai atspindi duomenys iš „The state of PHP in 2017“ infografos, kur net 48% apklaustų programuotojų pasisakė už tai, kad saugumu pirmiausia turi rūpintis būtent jie patys.
Kita vertus, kuo didesnė ir sudėtingesnė sistema, tuo didesnė tikimybė, kad joje gali būti klaidų ir saugumo pažeidžiamumo spragų. Juo labiau, kad programuotojai irgi yra žmonės, todėl visiškai neklysta tik tie, kurie nedirba. Siekiant sumažinti klaidų ir saugumo spragų skaičių, rekomenduojama visuomet naudoti tik naujausias sistemų ir jų modulių versijas. Su kiekvienu atnaujimu dažniausiai yra pridedama naujų funkcijų, pataisomos žinomos klaidos, pagerinama veikimo greitaveika bei panaikinamos žinomos saugumo spragos.
Ne išimtis Magento saugumas. Magento yra viena iš funkcionaliausių ir lanksčiausių nemokamų elektroninės komercijos platformų. Jos modulinė architektūra suteikia galimybę ją pritaikyti įvairiausiems klientų poreikiams. Tačiau sistemos lankstumas padidina jos sudėtingumą bei saugumo spragų tikimybę. Dėl šios priežasties yra rekomenduojama atnaujinimus įdiegti kaip įmanoma greičiau po jų išleidimo.
Ar atnaujinimai išsprendžia visas problemas?
Ne visuomet pavyksta apsisaugoti nuo įsilaužimo į sistemą. Juo labiau, kad įsilaužimas gali būti atliktas ne tik išnaudojant Jūsų sistemos, kitų programų ar serverio operacinės sistemos saugumo spragas, bet ir virusais užkrėstus darbuotojų kompiuterius ar net socialinę inžineriją.
Paklausit, ką tada daryti, jei niekas nėra 100% saugus? Na, reikia būti paruošusiems planą B, t.y. būti pasirengusiems atkurti sistemos veikimą kaip įmanoma greičiau ir su kuo mažesniais duomenų praradimais. Tam puikiai gali pasitarnauti pilna sistemos atsarginė kopija. Idealiausia, kai pastoviai saugomos kelios, skirtingų laikotarpių, atsarginės kopijos (pvz.: 4val., 24val., 7d., 14d., 30d.).
Taip pat reiktų paminėti tai, kad programišiai po įsilaužimo ne visuomet siekia kuo greičiau sutrikdyti sistemos veikimą. Priešingai, jie dažniausiai siekia kuo ilgiau išlikti nepastebėti ir kuo labiau išnaudoti Jūsų sistemą. Taigi, norėčiau parekomenduoti keletą naudingų Magento modulių, kurie gali Jums padėti apsisaugoti nuo programišių ar sumažinti žalą iki minimumo.
Magento 1 platformai skirti moduliai
- EW NativePasswords – suteikia galimybę pakeisti slaptažodžių šifravimo algoritmą ir taip apsaugoti juos nuo iššifravimo (duomenų bazės pavogimo atveju).
- MageHackDay_TwoFactorAuth – prideda dviejų veiksnių autentifikacijos (Two Factor Authentication) funkcionalumą, panaudojant Google Authenticator mobiliąją programėlę.
- BranchLabs_AdminPasswordStrength – leidžia nustatyti minimalaus slaptažodžio ilgio limitą administratorių slaptažodžiams. Tai leidžia bent dalinai apsisaugoti nuo trumpų slaptažodžių sukūrimo (kuo trumpesnis, tuo lengviau atspėti).
- Shopliebe_PasswordStrength – panašiai kaip „BranchLabs_AdminPasswordStrength“ modulis (leidžia nustatyti minimalaus slaptažodžio ilgio limitą administratorių slaptažodžiams), tik dar papildomai galima nustatyti ar slaptažodis privalo turėti didžiąsias ir mažąsias raides bei specialiuosius simbolius.
- Ikonoshirt_Pbkdf2 – suteikia galimybę pakeisti slaptažodžių šifravimo algoritmą.
- Ikonoshirt_StrictTransportSecurity – leidžia nustatyti, kad Magento atsakinėtų tik į saugias užklausas, kurios yra vykdomos HTTPS protokolu.
- ET_IpSecurity – suteikia galimybę apriboti Magento pasiekiamumą pagal IP adresus arba padaryti sistemą nepasiekiamą, kol yra vykdomi sistemos atnaujinimo darbai.
- FireGento_AdminMonitoring – suteikia galimybę fiksuoti administratoriaus veiksmus (pvz. kas kokius produktus redagavo ar juos pašalino ir pan.).
- Nexcessnet_Alarmbell – modulis, kuris fiksuoja ir el. paštu praneša, jei yra sukuriama/pašalinama administratoriaus paskyra ar jai pakeičiamas slaptažodis.
- Mhauri_Slack/Moogento_SlackCommerce – šis modulis suteikia „Magento“ platformai galimybę siųsti dienos ir savaitės ataskaitas bei pardavimų ir saugumo pranešimus tiesiai į „Slack“ kanalus.
Magento 2 platformai skirti moduliai
- Cream_SecurePasswords – suteikia galimybę pakeisti slaptažodžių šifravimo algoritmą.
- Git Status Security Report – šis modulis el. paštu praneša, jei aptinka modifikuotus failus. Jis naudoja GIT versijų kontrolės sistemą. Jos pagalba modulis gali aptikti modifikuotus failus, kurių atnaujinimai nebuvo patalpinti į GIT sistemą.
- MSP Security Suite – tai visas paketas įvairių saugumo įrankių, tokių kaip: Anti Virus, Malicious Users Detector, Intrusion Detection Prevention, Admin Two Factor Authentication, reCaptcha, Admin IP restriction.
Susidomėjote? Aptarkime jūsų projektą
Paskambinkite ar parašykite el. laišką ir mes suplanuosime susitikimą kurio metu aptarsime jūsų projektą ir mūsų idėjas jums.