חדשות מג'נטו

מג'נטו - הקשחת אבטחה

להלן מספר הצעות להקשחת האבטחה באתר מג'נטו. בצעו את השלבים הבאים לשיפור והקשחת אבטחת אתר מג'נטו:
 
  1. התקינו את כל תיקוני האבטחה הזמינים של מג'נטו. כלי מצוין לבדיקת האתר לאיתור תיקונים חסרים ניתן למצוא ב- MageReport. לאחר שזיהיתם את התיקונים החסרים, ניתן להוריד אותם ממרכז האבטחה של מג'נטו.
  2. יישמו ועקבו אחר עקרון "ההרשאה הקטנה ביותר": על ידי הגבלת מספר חשבונות רמת המנהל בשרת ובאתר מג'נטו וכן וידוא כי לכל משתמש יש רק גישה מספקת לביצוע תפקידיו, ניתן להגביל מאוד את מספר הנקודות שהאקרים יכולים להשתמש בהן כדי לפרוץ לאתר או להזריק לו קוד זדוני. חשבונות מנהלים שנפגעו הם אחת הדרכים הנפוצות ביותר עבור האקרים לקבל גישה לשרת ולאתר.
  3. צמצמו את מספר התוספים או המודולים שבהם משתמש אתר מג'נטו. אתרי מג'נטו המכילים מספר רב של תוספים מושבתים, מיותרים או שפשוט אינם מנוצלים כלל עלולים להוות פגיעויות אבטחה. תוספים שאינם בשימוש או מיותרים אינם מתעדכנים וכאשר הם אינם מנוצלים, תוספים אלו נשכחים לעתים קרובות ומהווים סיכון אבטחה.
  4. בשרתי VPS - בדקו ועדכנו באופן קבוע תיקונים ברמת השרת בהתקנת מערכת ההפעלה של השרת. שיטת קבלת התיקונים הללו תלויה במערכת ההפעלה הנמצאת בשימוש בשרת.
  5. הגבילו את הגישה לשירותים הפועלים בשרת אחבון האתר על ידי יישום רשיונות אישור וחסימת IP. לדוגמה, ברוב המקרים אין צורך שיציאות SQL או SSH תהיינה נגישות לכולם מחוץ לשרת.
  6. השתמשו ביציאות חלופיות וקשרו אותן ליציאות ל- 'localhost' או '0.0.0.0'. על ידי הגדרת MySQL לשימוש ביציאה 3310, למשל, וכריכת השירות ל- localhost או 0.0.0.0, יצטרכו האקרים תחילה לנחש את היציאה בה פועל השירות ולאחר מכן לקבל גישה לשרת באמצעות SSH או שיטה אחרת לפני שהם יכול לקבל גישה לשרת SQL.
  7. גם אם כבר הוגבל SSH ל- IP ספציפי, הטמיעו אימות מפתח SSH. עם אימות מפתחות, הלקוח המחבר יצטרך להחזיק את המפתח הפרטי לפני שהשרת יאשר חיבור המשתמש.
  8. אם הותק אישור SSL באתר מג'נטו, יש "לכפות" HTTPS על כל האתר כולל פאנל הניהול על מנת להבטיח כי אישורי המנהל מוצפנים לפני שהם נשלחים לשרת.
  9. חשוב מאד שכתובת ה- admin תשתנה מכיוון שהתוקפים ינסו לגשת לנתיב ברירת המחדל של פאנל ניהול מג'נטו.
  10. הורדת Magento Connect היא נקודת התקפה נפוצה. אפשר לשנות את כתובת ה- URL של Connect Manager. ניתן גם להגביל את הגישה לספריית downloader על ידי יישום מגבלות IP בנתיב זה. אופן הפעולה תלוי בגרסת ה- Apache או Nginx עליהם מבוסס שרת אחסון מג'נטו.