Magento è una delle piattaforme di E-commerce più utilizzata per la realizzazione di store online, ma proprio per questo potrebbe essere soggetto ad attacchi sulla sicurezza.
Questo CMS è una piattaforma molto robusta con un alto livello di funzionalità e personalizzazione. Tuttavia, come ogni piattaforma di questo livello, possono presentarsi alcuni problemi di vulnerabilità dal punto di vista della sicurezza.
Segui la nostra guida completa che troverai di seguito e scoprirai cosa puoi fare per rafforzare la tua sicurezza sul tuo Magento.
Vulnerabilità Magento
Magento è comunque una piattaforma piuttosto sicura, ma tuttavia può comunque essere soggetta ad attacchi.
Ma quali sono esattamente i tipi di vulnerabilità di Magento? Secondo CVE Details, il 43% delle vulnerabilità di Magento deriva dall’esecuzione di codice in modalità remota.
Di seguito, trovi un grafico dove si possono vedere le diverse percentuali relative alle diverse tipologie di attacco.
Nella sezione Magento Security Center, puoi trovare tutte le patch e gli aggiornamenti rilasciati nel corso degli anni.
Magento Security Scan
E’ poi disponibile un piccolo strumento gratuito del team di hosting di Duch Web su Byte chiamato MageReport.com
Questo strumento ti permette di scansionare tutto il tuo sito Magento e verificare lo stato di salute della tua installazione. Ti verranno poi anche forniti alcuni consigli su come correggere le varie vulnerabilità, legate a :
- Carta di credito Hijack
- Ransomware
- Vulnerabilità Cacheleak
- Gurulnc Javascript Hack
- Versioni di magento obsolete
- File di sviluppo non protetti
- Software server obsoleto
- Patch di sicurezza 5994
- Patch di sicurezza 5344
- Patch di sicurezza 6285
- Patch di sicurezza 6482
- Patch di sicurezza 6788
- Patch di sicurezza 7405
- Controllo certificato SSL
Sicurezza Magento
Anche se Magento è un CMS piuttosto sicuro rispetto ad altri, è comunque una piattaforma largamente utilizzata e questo significa che purtroppo sarà sempre con il rischio di attacchi alla sicurezza.
Purtroppo le violazioni non possono essere impedite, ma la cosa migliore che si può fare è implementare le migliori pratiche di sicurezza.
Vediamo quindi alcuni accorgimenti da tenere…
1. Tenere sempre aggiornati Magento e sue estensioni
E’ molto importante aggiornare il tuo Magento all’ultima versione, poiché generalmente gli aggiornamenti contengono già le patch delle correzioni legate alla sicurezza.
Ci sono tre passeggi principali quando si tratta di aggiornare l’installazione di Magento:
- Installa una nuova versione dell’albero dei file di Magento (la versione che stai cercando di aggiornare)
- Esegui il programma di installazione dall’albero dei file sopra il database obsoleto (aggiornando in questo modo il database)
- Sposta temi ed estensioni personalizzate alla versione corrente
Magento fa comunque un buon lavoro di notifica per quanto riguarda gli aggiornamenti importanti, tramite la casella dei messaggi di Magento. Questa infatti è collegata direttamente con il centro di sicurezza Magento, in modo da poter essere aggiornati sulle ultime patch.
Aggiornare le estensioni Magento
E’ molto importante mantenere aggiornate anche le estensioni di Magento. Per poter eseguire un aggiornamento, tramite Magento Connect Manager, fare click su “Sistema” –> “Magento Connect” –> “Magento Connect Manager”. A questo punto il sistema ti chiederà di accedere nuovamente per confermare il tuo account di amministrazione.
E’ quindi possibile eseguire una scansione sulle estensioni e vedere se ci sono aggiornamenti. Questi saranno evidenziato in giallo. E’ quindi possibile selezionare quelli da aggiornare e fare click su “Conferma Modifiche”.
2. Far attenzione a username e password
Sii furbo con i nomi utente e password che scegli di utilizzare in Magento.
Evita di utilizzare “admin” come nome utente e scegli una password più complessa. Questo è probabilmente uno dei modi migliori per rafforzare la sicurezza di Magento e, ironia della sorte, è uno dei più facili.
Molte persone però utilizzano password o user semplici, che possono facilmente ricordare come “1234567”.
Ricorda che ci sono sempre bot che eseguono la scansione di Internet e man mano che il tuo sito cresce, tenteranno sempre di più arrivare ai tuoi dati di accesso.
Quindi fai molta attenzione!
A differenza di WordPress, in cui è possibile modificare solo il nome utente dell’amministratore nel database, Magento consente di aggiornare il nome utente dell’amministratore direttamente dalla dashboard.
Puoi farlo dopo aver già installato Magento. Basta fare clic su “Sistema” → “Il mio account”.
3. Estensioni per la sicurezza di Magento
Ci sono molte ottime estensioni di sicurezza per Magento che ti aiutano a proteggere il tuo E-Commerce dagli attacchi.
Queste estensioni consentono di bloccare le minacce alla sicurezza, bloccare le reti dannose, ricercare vulnerabilità, applicare password complesse, vedere quali file sono stati modificati, implementare un firewall per bloccare le comuni minacce alla sicurezza e molto altro ancora.
Ti consiglio di scaricare solo estensioni da Magento Connect o da siti di terze parti attendibili.
Ecco alcune delle diffuse estensioni di sicurezza di Magento:
- ET IP Security: questa estensione consente di limitare l’accesso al sito Web per i visitatori tramite IP o IP mask
- MageFence: MageFence è la soluzione completa per mantenere il tuo sito web sicuro.
- MageSecure: protegge il tuo negozio Magento dagli hacker
- Spam Killer: Integrazione con Akismet.
- Mage Firewall: blocca gli attacchi web, i trasgressori della black list e utilizza le regole di NinjaFirewall.
4. Blocca i Bot cattivi
Ci sono sempre i cattivi bot, scrapers e crawler che colpiscono i tuoi siti Magento e rubano la tua bandwidth.
Puoi vedere un elenco completo di bot su botreports.com.
Molte delle estensioni di sicurezza sopra menzionate possono funzionare in modo ottimale per bloccare bot dannosi, ma a volte potrebbe essere necessario farlo a livello di server.
Se si desidera bloccare più stringhe di “User-Agent” contemporaneamente, è possibile aggiungere quanto segue al file “.htaccess”.
RewriteEngine On RewriteCond %{HTTP_USER_AGENT} ^.*(agent1|Wget|Catall Spider).*$ [NC] RewriteRule .* - [F,L]
O puoi anche utilizzare “BrowserMatchNoCase” come questa:
BrowserMatchNoCase "agent1" bots BrowserMatchNoCase "Wget" bots BrowserMatchNoCase "Catall Spider" bots Order Allow,Deny Allow from ALL Deny from env=bots
E c’è un esempio su Nginx.
if ($http_user_agent ~ (agent1|Wget|Catall Spider) ) { return 403; }
5. Connessioni sicure
Non importa dove ti trovi, dovresti sempre cercare di assicurarti che le connessioni che usi siano sicure quando ti colleghi al tuo negozio Magento.
È necessario utilizzare la crittografia SFTP se il proprio host Web lo fornisce, o SSH. Se si utilizza un client FTP, la porta predefinita per SFTP è in genere 22.
Nota: alcuni client FTP memorizzano le password in formato testo o codificate sul computer. Anche alcune password codificate possono essere riconvertite all’originale. Si consiglia di non salvare le password FTP nel client.
È inoltre importante assicurarsi che le regole del firewall siano configurate correttamente sul router di casa. E ricorda ogni volta che lavori da un luogo pubblico come un internet cafè o altro, queste non sono reti di fiducia.
Magento deve sempre essere aggiornato e supportare versioni di PHP, MySQL, isolamento dell’account, firewall di applicazioni Web, ecc. Presta attenzione agli host condivisi economici in quanto è possibile incorrere in problemi, se c’è un sovraccarico del server e se condividono risorse come l’ IP.
Il servizio hosting di Magentiamo è ideato appositamente per magento e per offrire sia sicurezza che velocità uniche. Se sei in cerca di un hosting per il tuo sito magento dagli un’occhiata.
6. Autorizzazioni per i files
Per proteggere il tuo negozio Magneto, assicurati di utilizzare le autorizzazioni corrette per i file. Ogni directory e file, ha permessi diversi che permettono alle persone di leggere, scrivere e modificare. Se i tuoi permessi sono troppo deboli, questo potrebbe aprire una porta per un intruso e se sono troppo restrittivi, questo potrebbe interrompere l’installazione di Magento come estensioni.
L’installazione di Magento deve essere in grado di scrivere su certe directory.
Magento ha una buona documentazione su come impostare i privilegi e la proprietà dopo aver installato Magento.
7.Percorso personalizzato per l’accesso di admin
Normalmente il tuo login amministratore Magento è su https://domain.com/admin.
A seconda di quanto è popolare il tuo sito, probabilmente inizierai a ottenere bot e molti tentativi di accedere al tuo back-end.
Puoi facilmente risolvere questo problema semplicemente cambiando l’URL di accesso dell’amministratore a qualcosa che solo tu conosci.
Per modificare il percorso di amministrazione in Magento, vai al file app / etc / local.xml, trova la riga con questo codice: <! [CDATA [admin]]> e modifica l’admin della stringa nella stringa di amministrazione richiesta.
Ad esempio, se si desidera modificare l’URL del pannello di amministrazione su https://domain.com.com/backdoor, modificare il codice CDATA su <! [CDATA [backdoor]]>
Potresti anche voler cambiare il percorso di Magento Connect Manager, poiché questo è un altro punto di accesso per gli hacker.
8.Limitare l’accesso admin per indirizzo IP
Puoi anche limitare l’accesso all’area di admin tramite l’indirizzo IP, utilizzando quanto segue nel tuo file .htaccess.
NB, se hai cambiato il tuo percorso di amministrazione predefinito dovresti aggiornarlo nel codice qui sotto.
############################################ ## Secure admin RewriteCond %{REQUEST_URI} ^/(index.php/)?admin/ [NC,OR] RewriteCond %{REQUEST_URI} ^/downloader/ [NC] RewriteCond %{REMOTE_ADDR} !^my.ip.add.ress RewriteRule ^(.*)$ http://%{HTTP_HOST}/ [R=302,L]
È anche importante ricordare che molti ISP assegnano indirizzi IP dinamici che cambiano di volta in volta. Quindi potresti voler fare il passo sopra solo se hai un IP statico.
9. Harden HTTP Security Headers
Le intestazioni di sicurezza HTTP forniscono un ulteriore livello di sicurezza per il tuo sito Magento, contribuendo a mitigare gli attacchi e le vulnerabilità della sicurezza.
Di solito richiedono solo una piccola modifica alla configurazione sul tuo server web. Queste intestazioni indicano al tuo browser come comportarsi quando si gestiscono i contenuti del tuo sito. Di seguito sono riportate sei intestazioni di sicurezza HTTP, comuni che consigliamo di implementare o aggiornare.
- Content-Security Policy
- X-XSS-Protection
- Strict-Transport-Security
- X-Frame-Options
- Public-Key-Pins
- X-Content-Type
10. Certificato SSL
L’HTTPS è ormai dovunque. Per i siti di e-commerce, il motivo per cui è necessario un certificato SSL è perché in questa sede si trattano dati riservati.
Se non si esegue una connessione HTTPS, il nome utente e la password vengono inviati in chiaro su Internet.
Molte persone sostengono che blog e siti informativi non devono necessariamente avere l’ HTTPS, ma quanto sono importanti le credenziali di accesso? Inoltre, molti siti hanno più autori che accedono da tutti i tipi di reti diverse, quindi l’esecuzione su una connessione protetta può solo aiutare a rafforzare la sicurezza di Magento.
Se stai eseguendo il tuo sito Magento su HTTPS, dovrai anche abilitare gli URL protetti HTTPS / SSL nel back-end.
Per fare ciò, fai clic su “Sistema” → “Configurazione” → “Web”. Dovrai aggiornare “URL di base” a HTTPs e modificare “Usa URL sicuri in frontend” e “Usa URL sicuri in Admin” a si .