חדשות מג'נטו

מג'נטו - עצות לאבטחת אתר

יותר ויותר עסקים עוברים לאפשרויות מכירה מקוונות, כאשר מג'נטו היא מערכת ניהול תוכן (CMS) פופולרית לבחירה עבור אתרי מסחר אלקטרוני. עם זאת, כאשר התעשייה המקוונת הופכת יותר נפוצה מאי פעם, מגיעה גם עלייה של סיכונים במונחים של אבטחת האתר.

אתרי מג'נטו נגועים בנוזקות ופרצות אבטחה הפכו נפוצים יותר ויותר במהלך השנים האחרונות וככל שמשולבים באתר מג'נטו יותר תוספים, ערכות עיצוב ותוכנות של צד שלישי - גדלות אפשרויות הפגיעה באתר. כמה מסוגי ההתקפות הבולטים ביותר עם מג'נטו הם: CC skimmers, Ransomware, SEO spam, Phishing campaigns, DDoS, Brute Force Attacks. קורה גם שהאקרים מעורבים בהתקפות "בדיקת קלפים" כלפי אתרי מג'נטו. התקפה כזו מתרחשת כאשר האקרים יבצעו "רכישת בדיקה" קטנה באתר מג'נטו כדי לראות אם כרטיסי אשראי גנובים עדיין פעילים. למרות שזה לא נוח, הוספת CAPTCHA לדף התשלום, כמו גם השבתת עסקאות אורחים ועיסקאות לא מאומתות, מומלצת כדי למנוע שימוש לרעה שכזה.

הגנה על אתר מג'נטו יכולה להיות מכריעה בהתחשב בריבוי השכבות והתכונות הנלווים ליצירת העיצוב והפונקציונליות של האתר. עם זאת, ביצוע סריקה ראשונית לאיתור נקודות תורפה באמצעות SiteCheck או MageReport עשוי לעזור. מומלץ גם רוצה לוודא שכל התיקונים (patches) מותקנים באופן קבוע.

הלוגין הוא הדבר החשוב ביותר עבור העסק המקוון. מכיוון שרוב ההאקרים אינם יכולים לחזות את ברירת המחדל של כתובת ה- Admin ושמות המשתמשים, שינוי שני הדברים הללו הוא התחלה מצוינת להימנע מכל התקפות של Brute Force.

הוספת שכבת אבטחה נוספת עם 2FA, סיסמאות חזקות שנוצרו וניסיונות כניסה מוגבלים, תבטיח פחות סיכוי להצליח לכל מי שמנסה להיכנס לניהול האתר. אפשר גם להוסיף כתובות IP לרשימה הלבנה אם משתמשים בחומת אש, מה שמגביל כל גישה ציבורית ללוח הבקרה של האתר. (חומת אש שימושית גם בהתייחסות להקשחת האבטחה של האתר באמצעות התקנה של תיקון וירטואלי - virtual patching, למקרה שעדכונים רשמיים של מג'נטו מתעכבים).

הוספת CAPTCHA לכל טפסי יצירת הקשר ולוגין, תבטיח גם שכל דואר זבל מבוטים לא יחלחל לאתר.

יש לציין כי עם כל ההמלצות הללו, לעולם לא ניתן להיות זהירים מדי בכל הנוגע לדברים ששוברים את הפונקציונליות של האתר: הקפדה על גיבויים מקוונים ובלתי מקוונים באופן קבוע בתוך מסגרת זמן מסוימת, תבטיח שאם משהו ישתבש, יהיה לבעל האתר עותק לצורך ביצוע השחזור.

הקפדה על שימוש ב- Principle of Least Privilege בכל הנוגע למשתמשים, תוספים, הרחבות וערכות עיצוב לא רק תמנע בעיות של זמני טעינה איטיים אלא גם פחות סיכויים להיות יותר פגיעים לנוזקות ופרצות אבטחה.

אחד הדברים האחרונים שיש להזכיר הוא להבטיח שהאתר תואם PCI-DSS. התקנת אישור SSL המגן על נתוני משתמש היא גם חיונית בהקשר זה. רוב המבקרים באתר לא יתקרבו לחנות מקוונת אם היא משתמשת ב- HTTP במקום ב- HTTPS למען בטיחות המידע הרגיש שלהם.