ATTENZIONE: Aprile 2015 -Magento ha rilasciato due importanti PATCH DI SICUREZZA per risolvere dei problemi di vulnerabilità della piattaforma. Raccomandiamo a tutti gli utenti di leggere questo articolo per aggiornare Magento e renderlo più sicuro.
Secondo le ultime stime di eMarketer, una delle più importanti autorità in campo marketing, media e commercio elettronico, le vendite ecommerce Business to Consumer (B2C), subiranno un aumento pari al 20,1% in questo anno e sono destinate a crescere ancora di più.
L’E-Commerce infatti è un settore in crescita e ci sono migliaia di server dedicati, pieni di informazioni private, tra cui dati finanziari che sono nel mirino degli hacker. Ecco che quindi diventa fondamentale puntare molto sulla sicurezza e protezione dei dati sensibili, per evitare che questi cadano in mani sbagliate.
La ragione più importante è necessario per proteggere uno store Magento è la salvaguardia dei dati dei clienti. Naturalmente, gli hacker potrebbero anche voler avere i dati del proprietario dello store per vari motivi, ma quello a cui si dovrà dare priorità sono i clienti con i loro estremi, compresi quelli di pagamento.
Infatti se uno store è compromesso dall’attacco di un hacker, questo non fa che influire negativamente sulla reputazione del venditore e del suo E-Commerce, con conseguente perdita di acquirenti.
In questo articolo si cercherà di valutare tutti gli aspetti fondamentali per una corretta protezione contro gli hacker.
Aggiornare Magento sempre
Gli aggiornamenti dei software non portano solo nuove caratteristiche, ma anche correzioni di bug ed errori di ogni genere, eliminando tutti gli eventuali punti di vulnerabilità del sistema. Ecco perché è fondamentale utilizzare l’ultima versione disponibile del software. A tal proposito, segnaliamo anche “Magento Community 1.9.1 disponibile per il download“.
Vediamo come si aggiorna il software.
Bisogna usare i seguenti comandi:
1) L’importanza di una password efficace
Molte persone si scervellano per trovare una buona password, molte altre invece non si sforzano affato e così escono password del tipo 123456 (la più utilizzata nel 2013) o 000000 o simili.
La password è l’ultima resistenza di sicurezza che lo store Magento oppone, ecco perchè è necessario che sia efficace.
Buona regola è quella di utilizzare password con più di 10 carattere, dando sfogo alla fantasia e utilizzando maiuscole, minuscole e caratteri speciali. Una password così strutturata sarà molto difficile da violare, perché anche con attrezzature moderne, ci vorranno anni per riuscire a trovare una corrispondenza.
A volte poi ci sono dei programmi specifici che sono in grado di generare password. Tra i molti , troviamo KeePass, LastPass , Identity Safe Norton, PWGen. Online comunque c’è una grande offerta di programmi per la generazione di password.
2) Non usare sempre la stessa password
Molte volte le password che vengono utilizzate sono le stesse per più di un servizio. Questo è un errore che molti commettono, non rendendosi conto che utilizzare sempre la stessa password può comportare il rischio di perdita di tutti i propri account in un’unica volta.
3) Cambia password regolarmente
Una volta scelte le password però, la cosa non finisce qui. Sarebbe infatti consigliabile cambiare le password almeno 1 volta ogni 3-6 mesi. Questo potrebbe sembrare piuttosto noioso, ma se si pensa che potrebbe salvare tutti i propri dati, è una piccola fatica necessaria. Cambi regolari di password non fanno altro che aumentare e anche di molto, la sicurezza delle nostre chiavi di accesso.
4) Non salvare o conservare le password sul tuo computer
Quanti hanno password salvate o conservate nel proprio computer? Questa è un’abitudine che però è necessario togliere. Molti software Trojan rubano infatti le password salvate.
Bisogna fare molta attenzione con i client FTP e i browser, perché molte password vengono rubate attraverso queste applicazioni. Un consiglio quindi è quello di non salvare mai le password in questi software, senza utilizzare la master password (una password che crittografa il resto delle password durante il salvataggio dei dati di accesso).
5) Usa anche un secondo fattore di autorizzazione
Anche la password più sicura, non serve a nulla se violata. Ecco che quindi potrebbe risultare molto utile, fare uno di un secondo fattore di autorizzazione, come ad esempio l’indirizzo IP. Per limitare l’accesso al backend, bisogna aggiungere le seguenti linee nella sezione VirtualHost di configurazione del server web Apache (fate attenzione – se si aggiunge queste righe nel file .htaccess, vi darà errore):
6) Usa i firewall
Un altro accorgimento da utilizzare potrebbe essere quello di configurare i firewall per negare l’accesso del pubblico a tutto tranne che al server web. Se non si dispone di un indirizzo IP permanente per dare accesso ad esso attraverso il firewall, s può usare la tecnologia VPN o Port Knocking.
In RHEL / CentOS le impostazioni del firewall si trovano in / etc / sysconfig / iptables; quando si tratta di Debian / Ubuntu, si può utilizzare iptables-persistent (/etc/iptables-persistent/rules.v4).
7) Fare sempre un Backup dello store Magento
La sicurezza contro gli hacker non sarà mai al 100%, ma c’è un modo per essere un pochino più sicuri: eseguire regolarmente il backup dello store. Attraverso il backup possiamo risolvere molti problemi connessi con l’attacco di un hacker, ma attenzione però non effettuare il backup sullo stesso server sul quale si trova lo store, perché se l’hacker ha avuto accesso al vostro store è probabile che abbia l’accesso all’intero server.
Senza contare poi che in caso di crash del server, non avrete più accesso al backup.
8) Attenzione ad errori o attività sospette nell’attività di login
Per questo scopo, suggeriamo di utilizzare l’estensione Admin Action Log di Magento, realizzata dal team Amasty e recentemente aggiornato con le seguenti caratteristiche molto importanti per la sicurezza web:
- È possibile impostare una notifica che avverte se avviene un accesso da un paese diverso da quello dei precedenti dati di accesso.
- E’ possibile settare una notifica che avverte se avvengono parecchi tentativi di accesso non riusciti, durante l’ultima ora passata. Questo infatti può essere in segno evidente di un tentativo di violazione dello store.
- La pagina restituisce il messaggio “403 Forbidden” per tutti i login falliti nel backend.
Segnaliamo anche un altro strumento chiamato Fail2ban. Questo analizza i file di log e vieta gli IP sospetti ( che magari mostrano tentativi di login falliti etc). Generalmente Fail2ban viene utilizzato per aggiornare le regole del firewall in modo tale da respingere gli indirizzi IP per un periodo di tempo specificato. Lo strumento riduce di molto il tasso di tentativi di autenticazione non corretti.
9) Cambiare l’URL di Backend
Per cambiare backend URL, modificare app / etc / local.xml (admin / router / Sezione adminhtml).
Si consiglia di non cambiare l’URL di Admin di default utilizzando l’interfaccia nativa del pannello di amministrazione di Magento.
Assicurarsi che il nuovo URL sia molto difficile da indovinare e in linea di massima sarebbe anche opportuno svuotare la cache, dopo aver fatto questi passaggi.
Una volta fatto questo passaggio, conviene sempre controllare se il nuovo URL funziona e che il vecchio URL restituisca la pagina 404 di errore.
10) Usare HTTP/SSL per il backend
Se si usa un hotspot pubblico, magari quello di un bar o di un centro commerciale o qualsiasia altro hotspot pubblico, il rischio di attacchi ai dati è alto. Ecco perché una buona prassi può essere quella di utilizzare le connessioni sicure. In questo modo si garantirà sicurezza dei propri dati e di quelli dei clienti che accedono allo store.
11) Attenzione all’ FTP
Il protocollo FTP è stato creato quando Internet era ancora agli inizi e la sicurezza non era ancora un problema. Oggi l’uso FTP è altamente sconsigliato perché l’autorizzazione può essere facilmente violata.
Meglio utilizzare il protocollo SFTP.
12) Usare un buon software antivirus
Da un ultimo, ma non per importanza, si ha l’utilizzo di un software antivirus affidabile e aggiornarlo regolarmente alla versione più recente, perché in questo modo le sue banche dati sono aggiornate. In questo modo si avrà una protezione molto più sicura.
Fonte: http://blog.amasty.com/magento-security-checklist-to-protect-your-store/
ATTENZIONE: Aprile 2015 -Magento ha rilasciato due importanti PATCH DI SICUREZZA per risolvere dei problemi di vulnerabilità della piattaforma. Raccomandiamo a tutti gli utenti di leggere questo articolo per aggiornare Magento e renderlo più sicuro.