Co robić w przypadku ataku hakerskiego na Magneto?

26.11.2020 Angelika Siczek
co zrobić po ataku hakerskim na Magento

Ataki hakerskie są wciąż częstym przypadkiem, z którym muszą mierzyć się właściciele popularnych stron. Zwykle największym problemem jest to, że możesz nawet nie wiedzieć, że Twój sklep e-commerce został zaatakowany. Jeśli przestępcy uderzyli w Twoją firmę, musisz wyczyścić zainfekowaną witrynę Magento. Ponadto należy zadbać o ochronę przed możliwymi dalszymi wtargnięcia. Aby Ci w tym pomóc, omawiamy, jak zidentyfikować, naprawić i zabezpieczyć system Magento oraz zawrzeć informacje o najbardziej rozpowszechnionych typach włamań i sposobach, w jakie przestępcy wykorzystują sklepy e-commerce na swoją korzyść.

Popularne ataki

Po pierwsze, możesz zacząć otrzymywać ostrzeżenia o czarnej liście od wyszukiwarek, takich jak Google czy Bing. Dziwne działanie kart kredytowych zgłoszone przez klientów wskazuje, że coś jest nie tak. Nieprawidłowe zachowanie koszyka i płatności może zostać uznane za świadomy ślad przestępców. Pojawienie się słów kluczowych będących spamem na listach produktów lub w SERP również nie oznacza niczego dobrego. Podobnie jest z różnymi niegodziwymi działaniami, które często prowadzą do zawieszenia strony internetowej. Modyfikacje plików, problemy z integralnością rdzenia Magento, nieznani administratorzy to również znane objawy skażonej witryny Magento.

Za każdym razem, gdy sklep jest zaatakowany, skradzione dane karty kredytowej klienta są jednym z głównych problemów. Problem jest szczególnie szkodliwy, jeśli polegasz na mechanizmach Magento finalizowania płatności. W takiej sytuacji konieczne jest samodzielne zareagowanie na ewentualne naruszenie danych. Jednak większość firm decyduje się na dokonywanie płatności poza firmą. Opierają się na bezpiecznych bramkach płatniczych, integracjach API lub formach płatności innych firm. Takie sztuczki zabezpieczają dane klientów przed kradzieżą cyfrową.

Jak sprawdzić, czy Twój sklep został zaatakowany

Im bardziej niezabezpieczony staje się Internet, tym więcej narzędzi ochrony jest dostępnych bezpłatnie. A e-commerce, mimo że wiąże się z dużymi pieniędzmi, nie jest wyjątkiem. Różne narzędzia internetowe umożliwiają bezpłatne skanowanie instalacji Magento bez zewnętrznych specjalistów. Oznacza to, że identyfikacja oszustów kart kredytowych, złośliwych ładunków, niezabezpieczonych domen i innych drażliwych problemów nie jest już tak trudnym problemem.

zhakowana platforma magento 2

Możesz przeskanować swoją witrynę Magento pod kątem złośliwego oprogramowania i innych niepewnych punktów za pomocą MageReport, Sucuri SiteCheck lub podobnego oprogramowania. Jeśli Twoja witryna jest zainfekowana, system wyświetla ostrzeżenie. Zwróć uwagę na wszystkie zgłoszone ładunki, lokalizacje i ostrzeżenia na czarnej liście. Poza tym specjaliści zalecają skanowanie wszystkich innych witryn internetowych, które korzystają z tego samego serwera co Twój, ze względu na możliwość przeniesienia zanieczyszczenia między witrynami.

Jednak zdalne skanowanie nie jest bezbłędne. Proces być może odbywa się w Twojej witrynie, ale nie uzyskuje dostępu do serwera. Jeśli skanowanie sklepu nie wykryje żadnych naruszeń, nie oznacza to, że Twoja firma e-commerce nie została dotknięta. Chociaż niektóre problemy można wykryć w przeglądarce (możesz monitorować swoją witrynę pod kątem backdoorów, phishingu, skryptów serwerowych itp.), Wiele wyzwań jest związanych wyłącznie z serwerem. W związku z tym najbardziej wszechstronne lekarstwo łączy skanowanie zdalne i po stronie serwera.

Monitorowanie po stronie serwera zwykle obejmuje oprogramowanie innych firm, które weryfikuje pliki pod kątem backdoorów, phishingu i innych luk bezpieczeństwa, których nie widzą zdalne skanery. Niektóre rozwiązania umożliwiają śledzenie zmian plików, zapewniając bardziej wszechstronny audyt. Na przykład Sucuri oferuje rozszerzenie, które jest bezpłatnym dodatkiem do zwykłych planów czyszczenia i monitorowania platformy, opracowane w celu sprawdzania plików witryn internetowych w poszukiwaniu problemów, których zdalny skaner nie może rozróżnić.

Narzędzia skanujące

SiteCheck oferuje bezpłatne sprawdzanie witryn internetowych i monitorowanie złośliwego oprogramowania. MageReport to platforma, która zapewnia szybki wgląd w stan bezpieczeństwa Twojej witryny Magento i zapewnia porady, jak bezpłatnie naprawić ewentualne luki. Magento Security Scan Tool stanowi oficjalny darmowy skaner strony sklepu. UnmaskParasites to rozwiązanie do wyszukiwania nielegalnych treści wbudowanych w Twoje strony internetowe. Foregenix to skaner dostarczający ostrzeżenia o zagrożeniach i informacje edukacyjne związane z poprawnością Twojej witryny za pośrednictwem poczty elektronicznej. Oprócz tego jest jeszcze VirusTotal, zapewniający zdalną analizę podejrzanych plików i adresów URL, który wykrywa różne rodzaje oszustw i udostępnia je społeczności.

Przeskanuj swój serwer

Powiedzmy jeszcze kilka słów o technikach skanowania, które obejmują monitorowanie serwera. Wszelkie nowe lub niedawno zmodyfikowane pliki na serwerze mogą sygnalizować, że zostałeś zhakowany. Dlatego od czasu do czasu skup się na systemie plików Magento, wykrywając złośliwe ataki. Ponieważ wszystkie wersje Magento są dostępne na GitHub, możliwe jest lokalne pobranie niezbędnego oprogramowania przez terminal SSH i porównanie go z tym z serwera.

Zawsze dobrym pomysłem jest używanie SFTP, SSH i FTPS do uzyskiwania dostępu do serwera zamiast FTP. Ten ostatni jest niezaszyfrowany, co powoduje dodatkowe naruszenia bezpieczeństwa. Zwróć uwagę, że niektóre malware mogą zostać wykryte z powodu zmienionej daty modyfikacji pliku.

Można skrócić te czynności i użyć jednego z rozwiązań do monitorowania integralności plików. Tripwire to platforma do wykrywania zagrożeń, identyfikowania podatności i sprawdzania integralności plików dla Magento. MageScan to narzędzie do monitorowania i raportowania zmian integralności systemu Magento oraz plików konfiguracyjnych. OSSEC to system wykrywania włamań typu open source z funkcjami FIM (file integrity monitoring, czyli monitorowanie integralności plików). SEM to scentralizowane rozwiązanie do zarządzania logami, które wykrywa nieautoryzowane modyfikacje. Qualys FIM to aplikacja internetowa, która centralnie rejestruje zmiany plików.

Śledź dzienniki administratora

Nowe i nieznane konta użytkowników również mogą być uważane za ostrzeżenie. Hakerzy często rejestrują nowych administratorów w zaatakowanych e-commerce, aby uzyskać dodatkowy dostęp do przechowywania danych i przejąć kontrolę nad witrynami sklepowymi. Ani Magento 2, ani Magento 1 nie są na to odporne. Dlatego zweryfikuj wszystkie konta administracyjne.

Zarówno Magento 1, jak i Magento 2 są powiązane z szeroką gamą rozszerzeń innych firm. W pełni oznaczone loggery administracyjne zajmują ważne miejsce w ekosystemie.  Narzędzia te nie tylko umożliwiają wykrywanie nowo utworzonych kont, ale także zapewniają możliwość rejestrowania każdego kroku, jaki administratorzy wykonują w ramach zaplecza. W rezultacie możesz bez problemu dowiedzieć się, którzy użytkownicy są zagrożeni.

Sprawdź raporty

Skorzystaj z Google, aby poprawić swoją witrynę Magento pod kątem hacków. Oczywiste jest, że jeśli wyszukiwarka umieści Twój sklep na czarnej liście, czas działać. Jeśli chodzi o szefa zapytań, jego narzędzia diagnostyczne stanowią niezawodny sposób sprawdzenia stanu bezpieczeństwa Twojej instalacji Magento. Twoi klienci są kolejnym źródłem informacji dotyczących Twojego bezpieczeństwa. Zawsze pozostań z nimi w kontakcie, aby wkrótce po złożeniu zamówienia wykryć takie problemy, jak fałszywe zakupy. Pomoże Ci to zapobiec katastrofie już na wczesnym etapie.

Zwróć uwagę na wiadomości e-commerce

Globalna społeczność e-commerce dynamicznie odzwierciedla wszystkie istotne zmiany, które mają wpływ na cały ekosystem. Dzięki temu zawsze masz do dyspozycji informacje dotyczące najnowszych luk w zabezpieczeniach. Jeśli chodzi o Magento, najświeższe informacje o nieprzychylnych działaniach można zawsze znaleźć na oficjalnym blogu. Jeśli Twój sklep nie został naruszony, nie oznacza to, że jest to bezpieczne miejsce. Dlatego zawsze sprawdzaj oficjalną stronę Magento pod kątem możliwych luk w zabezpieczeniach i poprawek, aby je naprawić.

skanowanie kodu po ataku hakerskim

Jak naprawić witrynę Magento po włamaniu

Niezależnie od tego, czy Twoja witryna Magento została zaatakowana,czy po prostu posiada słaby punkt, musisz natychmiast rozwiązać problem. Poniżej przybliżamy to, jak pozbyć się luk bezpieczeństwa w Magento.

 Usuń zainfekowane pliki

Właśnie odnalazłeś złośliwą domenę lub ładunek. Nie jest to jednak powód do niepokoju. Po pierwsze, hakerzy możliwe nie rozpoczęli swoich wątpliwych czynności, zanim ich zauważyłeś. Po drugie, łatwo jest ich zwalczyć. Najpierw poszukaj zanieczyszczonych plików na serwerze Magento. Później porównaj zainfekowane elementy ze znanymi, prawidłowymi plikami. Na koniec zidentyfikuj i usuń błędne zmiany. Upewnij się również, że wersja, do której się odnosisz jest zgodna z edycją twoich podstawowych plików Magento, w tym łatek i rozszerzeń.

Jeśli nie wiesz, jak wyleczyć infekcję złośliwym oprogramowaniem, zapytaj specjalistę. Jeśli chcesz zrobić wszystko bez zatrudniania zewnętrznego eksperta, jest kilka czynności, które musisz wykonać. Najpierw musisz być zalogowany na swoim serwerze. Utwórz kopię zapasową, aby móc przywrócić witrynę Magento do jej obecnego stanu, jeśli coś pójdzie nie tak po usunięciu uszkodzonych plików. Sprawdź ostatnie zmiany i potwierdź, czy są uzasadnione, czy nie. Zastąp podejrzane pliki ich czystymi wersjami. Przejrzyj pliki niestandardowe i usuń z nich podejrzany lub nieznany kod. Zweryfikuj działanie witryny – Twoim celem jest usunięcie zanieczyszczenia i utrzymanie go w dobrym stanie po zastosowaniu nowych zmian.

Poza tym możesz odwiedzić fora społeczności, takie jak StackExchange, aby znaleźć pomoc. Jest szansa, że ​​twój problem nie jest odosobniony. Dlatego możesz łatwo znaleźć odpowiedni temat. Jeśli nikt nie omawia Twojego konkretnego problemu, możesz poprosić innych członków społeczności o pomoc. Niektórzy specjaliści zalecają pójście o krok dalej i ponowne zainstalowanie wszystkich rozszerzeń, nawet jeśli nie wykryjesz w nich złych elementów. Chociaż procedura jest czasochłonna, upewnisz się, że wszystkie moduły działają poprawnie i są wolne od złośliwego oprogramowania.

Jednak robienie wszystkiego samemu wiąże się z kilkoma wadami. Możesz nadpisać lub usunąć ważne pliki, niszcząc swój sklep. Ostatecznie chęć ograniczenia wydatków spowoduje wzrost kosztów. Jeśli możliwość zniszczenia Twojej witryny Magento nie przeraża Cię, sprawdź poniższe narzędzia do porównywania plików: DiffNow, który analizuje pliki tekstowe, dokumenty, pliki binarne i archiwa, DiffChecker, który sprawdza różnice tekstowe między dwoma plikami tekstowymi, oraz polecenie bash Diff, które sprawdza kontrasty dwóch plików w dwóch katalogach.

Utrzymuj bazy danych w czystości

Poniżej przedstawiamy dwa podejścia do utrzymywania czystości tabel bazy danych. Najpierw zbadajmy najbardziej przyjazny  i bezpieczny dla użytkownika. Możesz usunąć infekcję złośliwym oprogramowaniem z bazy danych Magento bezpośrednio w sekcji Treść swojego administratora. Można tam edytować statyczne bloki, strony CMS i inne brudne elementy treści Twojego sklepu. Jednak podejście to nie jest najbardziej wydajne.

Alternatywnie można zastosować zmiany w panelu administracyjnym niskopoziomowej bazy danych. Możesz wykorzystać PHPMyAdmin lub takie narzędzia jak Adminer lub Search-Replace-DB. Jednak ręczne usuwanie kodu i plików bez wcześniejszego doświadczenia może być niezwykle niebezpieczne – wpływ nieprawidłowych zmian może przeważyć nad destrukcyjnymi konsekwencjami włamania. Dlatego przed wykonaniem jakichkolwiek czynności należy zawsze utworzyć kopię zapasową lub skorzystanie z profesjonalnej pomocy.

W celu samodzielnego usunięcia szkodliwego oprogramowania należy zalogować się do panelu administracyjnego bazy danych i utworzyć kopię zapasową bazy danych. Następnie skanuj i analizuj bazę danych, aby wykryć podejrzane treści. Po wykryciu tabeli z podejrzaną zawartością ręcznie usuń jej elementy. Zwróć także uwagę na konieczność sprawdzenia, czy Twoja witryna sklepowa Magento nadal działa po usunięciu budzącej zastrzeżenia treści.

Możliwe jest również ręczne wykopanie złośliwych funkcji PHP w bazie danych Magento. Możesz szukać takich typowych przykładów sabotażystów, jak eval, gzinflate, base64_decode, str_replace, preg_replace itp. Należy pamiętać, że niektóre złośliwe oprogramowanie Magento znajduje się w tabeli core_config_data w obszarze stopki i nagłówka.

Usuń ukryte backdoory na zawsze

Każdy przyzwoity haker pozostawia sposób, aby wrócić do witryny po rozwiązaniu pierwotnego problemu. Dlatego Magento zawsze poważny podchodzi do potrzeb użytkowników oraz jeśli chodzi o potencjalne zagrożenia. Prawdopodobnie masz mnóstwo e-maili informujących o nowo odkrytych naruszeniach i łatkach. Być może zauważyłeś, że większość takich problemów zwykle nie zawiera żadnych raportów wskazujących na prawdziwe włamania. Nawet jeśli potencjalna luka w zabezpieczeniach nigdy nie została wykorzystana, nie oznacza to, że nikt nie wykorzysta jej w swoich nikczemnych zamiarach. Dlatego konieczne jest usunięcie wszystkich ukrytych backdoorów bez względu na to, czy zostały utworzone podczas poprzednich hacków, czy dostarczone jako wbudowana wada.

Przestępcy często maskują backdoory za pomocą nowych elementów, które wyglądają jak oficjalne pliki podstawowe Magento. Zwykle koncentrują się na takich lokalizacjach Magento jak stopka lub nagłówek. Możesz je przejrzeć w sekcji Treść swojego administratora, odkrywając złośliwe oprogramowanie. Jednak niektóre rozszerzenia innych firm mogą również modyfikować takie lokalizacje. Jeśli więc usuniesz niegroźną funkcję, prawdopodobnie zepsujesz całą witrynę. Poproś specjalistów z odpowiednim doświadczeniem, aby zrobili to za Ciebie.

Jeśli chcesz samodzielnie usunąć backdoory, porównaj istniejące pliki Magento z czystym odniesieniem. Najpierw zaloguj się do swojego serwera, a następnie utwórz kopię zapasową istniejących plików serwisu. Porównaj swój sklep z kopią pozbawioną luk, aby odkryć nowe pliki, które wyglądają podejrzanie. Zastąp je znanymi dobrymi kopiami, opróżnij pamięć podręczną Magento i przetestuj zmiany. Weź pod uwagę, że intruzi często używają kodowania, aby zapobiec wykryciu. Jednak taka praktyka jest dość rzadka, jeśli chodzi o oficjalne repozytorium Magento, z wyjątkiem jego komponentów premium.

Jeśli chodzi o drugi przypadek, możemy tylko zalecić stosowanie poprawek bezpieczeństwa Magento 2 i regularną aktualizację oprogramowania. Jeśli nadal korzystasz z Magento 1, sprawdź przewodnik po Magento 1 End Of Life Ultimate lub skontaktuj się ze wsparciem. Niestety, nie ma oficjalnych łatek Magento 1, które zamknęłyby jego potencjalne backdoory i rozwiązały inne możliwe problemy. Musisz polegać na rozwiązaniach innych firm, które nie mogą zagwarantować 100% bezpieczeństwa. Jeśli chodzi o Magento 2, możesz usprawnić oficjalne aktualizacje, zachowując czystość i bezpieczeństwo instalacji.

Zresetuj hasła administratora

Jaki jest najbardziej konwencjonalny sposób blokowania złoczyńcom dostępu do Twoich danych? Jest to solidne i unikalne hasło. Jednak nie może zapewnić niewrażliwości na wszystkie ataki. Jeśli zostałeś zhakowany, konieczne jest zresetowanie wszystkich haseł administratora, aby uniknąć ponownej infekcji.

Możesz usunąć hasła administratora w Magento 2 w bardzo prosty sposób. Wybierz administratora, aby zresetować hasło w System -> Uprawnienia -> Wszyscy użytkownicy w panelu administracyjnym Magento 2. W sekcji Informacje o koncie wprowadź nowe hasło i potwierdź je. Następnie wprowadź swoje hasło w polu Twoje hasło, aby zweryfikować swoją tożsamość i zastosować nowe zmiany. Teraz możesz zapisać użytkownika i przejść do innego konta.

Specjaliści zalecają zmniejszenie liczby kont administracyjnych. Oczywiście nie możesz zwolnić menedżerów zaplecza tylko po to, aby zastosować się do tej porady. Jednak wielu sprzedawców ma tendencję do posiadania nieużywanych kont administracyjnych, a także kont FTP i kont systemowych. Nie rób tego, ponieważ zwiększasz możliwość interwencji. Przynajmniej złoczyńcy mają dodatkowe sposoby na dotarcie do cennych danych i uzyskanie pełnej kontroli nad Twoją witryną.

Zapewnij użytkownikom dostęp do swojego administratora Magento tak długo, jak jest to konieczne. Następnie powinieneś usunąć ich konta. Chociaż tworzenie nowej roli użytkownika może wydawać się nieprzyjemnym obowiązkiem, jest to o wiele mniej uciążliwe działanie niż zajęcie się konsekwencjami ataku.

Jak stworzyć wiarygodne hasło? Istnieją trzy warunki, których należy przestrzegać. Po pierwsze, Twoje hasło powinno być złożone. Oznacza to, że powinien zawierać litery, cyfry i symbole. Po drugie, każde hasło powinno być wystarczająco długie. Chociaż minimalna wymagana liczba znaków w Magento 2 to siedem, nie oznacza to, że powinieneś tworzyć tak krótkie. Im dłuższe hasło, tym mniej podatne na hakowanie. Po trzecie, Twoje długie i wyrafinowane hasło jest niezawodne tylko wtedy, gdy jest unikalne. Nie używaj dwukrotnie tej samej kombinacji liter, cyfr i symboli.

Co jeszcze może zmniejszyć wrażliwość administratora na atakujących? Magento promuje wielopłaszczyznowe podejście, które łączy kilka technik dostępnych przy zakupie produktu Adobe. Przede wszystkim możesz ukryć sekcję zaplecza przed przestępcami. Konieczne jest tylko użycie niestandardowego adresu URL administratora, który jest trudny do odgadnięcia. Uważaj „Admin” lub „Backend” za oczywiste i znacznie mniej bezpieczne. Nazwa Twojej firmy również nie jest najlepszą możliwą opcją. Uwierzytelnianie dwuskładnikowe to kolejna sztuczka, która radykalnie ogranicza możliwość włamania. Token wygenerowany na oddzielnym urządzeniu zapewnia administratorom wyłączny sposób weryfikacji ich tożsamości.

Poza tym konfiguracja zabezpieczeń administratora umożliwia dodawanie tajnego klucza do adresów URL, stosowanie haseł i nazw użytkowników z rozróżnianiem wielkości liter, a także korzystanie z ograniczonych sesji administratora. Możesz określić okres ważności hasła i liczbę prób logowania w celu zablokowania konta, jeśli zostanie przekroczona. Magento 2 może nawet monitorować nieaktywność klawiatury przed wygaśnięciem bieżącej sesji i wymagać CAPTCHA.

hackowanie kodu

Przegląd witryny

Umieszczenie na czarnej liście przez Google lub inne organy ds. Spamu na stronach internetowych ma długotrwały wpływ na Twój biznes e-commerce. Możesz jednak zmniejszyć to, prosząc o ponowne rozpatrzenie, gdy konsekwencje włamania zostaną naprawione. Niestety, proces ten ma kilka niuansów, o których powinieneś wiedzieć. Google może zmniejszyć liczbę żądań, które możesz wysłać. Aby Internet był bezpiecznym miejscem, określają oni limit powtórzeń dla przestępców, którzy świadomie hostują lub rozpowszechniają złośliwe oprogramowanie za pośrednictwem swoich witryn. W rzeczywistości każda witryna internetowa, która żąda sprawdzenia, ale nadal jest chora, otrzymuje tylko jedną recenzję w ciągu 30 dni. Dlatego powinieneś wiedzieć na pewno, że Twoja witryna Magento nie zawiera złośliwego kodu, zanim poprosisz o przegląd!

Zwykle usuwanie ostrzeżeń wygląda następująco: prośba do firmy hostingowej o usunięcie zawieszenia, podanie szczegółowych informacji dotyczące rozwiązanego problemu, wypełnienie prośby o sprawdzenie dla każdego organu umieszczającego na czarnej liście. Następnie jest czas na cierpliwość, bo proces sprawdzania zwykle trwa do kilku dni.

Strategia bezpieczeństwa po włamaniu

Teraz gdy wszystkie luki w zabezpieczeniach zostaną wykryte i naprawione, możesz zastosować kilka istotnych ulepszeń, aby ograniczyć możliwość przyszłych ataków do absolutnego minimum.

Regularnie aktualizuj swoją witrynę Magento

Być może jest to najbardziej oczywista rada, która jest zawsze niedoceniana. Nie jest tajemnicą, że liczba witryn Magento 1 jest znacznie wyższa niż liczba witryn sklepowych Magento 2. Nawet brak oficjalnego wsparcia nie zraża większości kupców. Konsekwencje takiego zaniedbania mogą być dramatyczne ze względu na fakt, że niezaktualizowane i przestarzałe oprogramowanie jest jedną z głównych przyczyn zakażeń.

Magento 1

Zła wiadomość jest taka, że ​​nie możesz już aktualizować swojej witryny e-commerce o oficjalne poprawki ochronne. Chociaż istnieje kilka projektów innych firm opracowanych w celu utrzymania Magento 1 po EOL, zalecana jest migracja do Magento 2.

Dobrą wiadomością jest to, że możesz uniknąć wielu problemów, korzystając z naszego ulepszonego rozszerzenia Import & Export oraz jego dodatku do migracji. Te dwa rozwiązania pozwalają na przenoszenie wszystkich podmiotów między dwiema platformami, więc nie ma potrzeby ręcznego odtwarzania ich na nowej stronie Magento 2.

Magento 2

Z drugiej strony sytuacja z Magento 2 jest częściowo taka sama. Starsze wersje platformy nie są już obsługiwane. Ponieważ migracja nie jest konieczna, wystarczy zaktualizować oprogramowanie. Konieczny jest update nie tylko wszystkich komponentów Magento, w tym plików podstawowych, szablonów, modułów i wtyczek, ale także innego przestarzałego oprogramowania na serwerze.

Włącz kopie zapasowe

Chociaż funkcja tworzenia kopii zapasowych Magento jest przestarzała w wersjach 2.1.16, 2.2.7 i 2.3.0, nadal możesz polegać na rozwiązaniach innych firm, aby uniknąć utraty informacji. Na przykład możesz polegać na Percona XtraBackup, który działa zarówno lokalnie, jak i w chmurze. Narzędzie zapewnia możliwość tworzenia kopii zapasowych bazy danych podczas produkcji bez wpływu na czas pracy. I oczywiście możesz całkowicie zautomatyzować procesy tworzenia kopii zapasowych.

Niezależnie od używanego rozwiązania do tworzenia kopii zapasowych innej firmy, istnieje kilka wskazówek, których należy przestrzegać. Po pierwsze, musisz przechowywać kopie zapasowe poza siedzibą firmy, a nie na serwerze. Powodem jest bezpieczeństwo. Jeśli pliki kopii zapasowych są przechowywane na serwerze, łatwo je ukraść, aby zagrozić Twojej witrynie sklepowej Magento 2. Po drugie, lepiej jest wykonywać częste i automatyczne kopiowanie. Dzięki temu nigdy nie stracisz najnowszej wersji swojej witryny. Po trzecie, upewnij się, że wszystkie dane, w tym wszystkie formaty plików, są obsługiwane przez wybrane narzędzie do tworzenia kopii zapasowych. W przeciwnym razie będziesz musiał ręcznie odtworzyć części swojego sklepu Magento, po przywróceniu jego zapisanej kopii.

I nie zapomnij od czasu do czasu przetestować swoich kopii zapasowych. W ten sposób potwierdzisz, że zarówno wybrane oprogramowanie, jak i Twój sklep działają poprawnie.

Przeproś się z antywirusami

Wszyscy użytkownicy, którzy mają dostęp do Twojego administratora Magento, powinni regularnie skanować swoje komputery za pomocą renomowanego programu antywirusowego. Użytkownik z zainfekowanym urządzeniem może złamać zabezpieczenia Magento, uzyskując dostęp do pulpitu nawigacyjnego. Dlatego lepiej jest przesadzić ze środkami bezpieczeństwa, niż lekceważyć dobre porady i pozwolić przestępcom uzyskać dostęp do witryny e-commerce. Weź pod uwagę, że świat cyfrowych zagrożeń jest tak duży, że zawiera nawet plagi, które przeskakują z komputera do edytora tekstu lub klienta FTP, zanieczyszczając kolejne instancje.

Na szczęście wybór niezawodnych programów antywirusowych jest równie szeroki. Na przykład możesz usprawnić takie opcje komercyjne, jak Kaspersky i F-Secure lub oprzeć się na takim bezpłatnym oprogramowaniu, jak Avast i Microsoft Security Essentials.

Kolejna oczywista koncepcja, której nie możemy przeoczyć, dotyczy prawidłowego stosowania programów do wykrywania złośliwego oprogramowania. Na komputerze powinna działać tylko jedna aplikacja, która aktywnie chroni ją przed zagrożeniem. W przeciwnym razie napotkasz konflikty występujące między kilkoma rozwiązaniami programowymi, które spowodują dramatyczne spowolnienie wydajności.

Użyj zapory sieciowej

Hakerzy uważają Magento za łakomy kąsek, ponieważ zdobywa nowych użytkowników i gromadzi więcej danych klientów we wszystkich witrynach sklepowych ekosystemu. Dlatego taka dodatkowa warstwa ochronna, jak firewall, jest niezbędnym ulepszeniem, nawet jeśli polegasz na zewnętrznych procesorach płatności, które przechowują poufne dane klientów z dala od Twojej witryny w znacznie bezpieczniejszym miejscu. Wdrażając ten środek, eliminujesz różne potencjalne luki, a także ograniczasz dostęp nieautoryzowanych użytkowników do Twojego obszaru administracyjnego.

Rozważ firewall’a jako system odpornościowy, który wykrywa i zatrzymuje wszystkie znane infekcje. Oczywiście nie uchroni to Twojej witryny Magento przed czymś zupełnie nowym i zupełnie nieznanym, ale w internecie roi się od zidentyfikowanych zagrożeń wszelkich form i środków. Dlatego lepiej jest się przed nimi chronić.

Każda krwawa choroba jest badana i porównywana do znanych problemów zaraz po kilku pierwszych zgłoszonych przypadkach. Specjaliści z powodzeniem tworzą szczepionki, dzięki czemu Twój firewall jest odporny na niedawno nieznane choroby. Ponieważ ochrona istnieje niezależnie od Twojego sklepu internetowego, jest automatycznie poprawiana, zapewniając aktualne mechanizmy gwarancji, nawet jeśli zapomnisz zastosować najnowszą łatkę na swojej stronie Magento.

Zapora sieciowa eliminuje próby użycia automatyzacji brutalnej siły w celu uzyskania haseł. Poza tym wykrywa i blokuje wszystkie rodzaje ataków DDoS. W rezultacie przestępcy nie mogą uzyskać twoich wrażliwych danych ani złamać twojego sklepu Magento 2.

Nabrać formy. Większość zapór nie tylko zapisuje Twoją witrynę, ale także oferuje różne optymalizacje wydajności. Na przykład możesz użyć zaawansowanego buforowania, aby zwiększyć prędkość istniejącej strony.

Zachowaj zgodność z PCI

Nie będziemy tracić czasu na opisywanie, jak duża jest zgodność ze standardem PCI. Jednak Magento 1 stało się ostatnio węzłem gordyjskim pod względem wymagań stawianych przez główne firmy obsługujące karty kredytowe. Zaprojektowany, aby powstrzymać kradzież karty kredytowej, nie można już przestrzegać tych warunków, ponieważ Magento 1 nie otrzymuje oficjalnych aktualizacji.

Niestety niezgodność PCI nie tylko obniża bezpieczeństwo Twojej witryny, ale także uniemożliwia współpracę systemów przetwarzania kart kredytowych. Konsekwencje są druzgocące. Ale możesz ich uniknąć, stosując środki techniczne i operacyjne. Trzymaj witrynę Magento pod ochroną firewall’i. Nie używaj haseł dostarczonych przez dostawcę. Używaj mocnych, długich i unikalnych kombinacji znaków. Ochrona danych posiadaczy kart przechowywanych w Twojej witrynie Magento. Ogranicz do niego dostęp. Szyfruj transmisję danych posiadacza karty w sieciach publicznych. Korzystaj z najnowszych wersji Magento 2, rozszerzeń innych firm i innych rozwiązań, z których korzystasz. Wymagaj unikalnych identyfikatorów w celu uzyskania dostępu do danych, prowadzenia dzienników dostępu i wdrażania fizycznych ograniczeń dostępu. Śledź wszystkie ścieżki dostępu do zasobów sieciowych i informacji o posiadaczach kart, testuj systemy bezpieczeństwa i procesy.

bezpieczeństwo platformy zakupowej Magento

Oficjalne praktyki bezpieczeństwa Magento

Magento oferuje szeroką listę praktyk ochrony i mechanizmów obronnych. Ponieważ mówimy o skutecznej strategii bezpieczeństwa po włamaniu, konieczne jest podkreślenie podstawowych pojęć zawartych w niniejszym poradniku. Wielopłaszczyznowy punkt widzenia na poprawę niezawodności instalacji Magento opisuje ulepszenia, które możesz zastosować, aby Twoja witryna była mniej podatna na ataki.

Zanim zaczniesz pracować nad nowym projektem Magento, powinieneś rozważyć dwa aspekty. Możesz zapobiec wielu możliwym problemom, wybierając niezawodnego dostawcę usług hostingowych i integratora rozwiązań. Oceń ich kwalifikacje, przeczytaj recenzje, zapytaj innych klientów i, oczywiście, omów ich podejście do ochrony. Godny zaufania partner powinien zawsze mieć bezpieczny cykl życia oprogramowania, zgodny z takimi standardami branżowymi jak OWASP. Oprócz tego uruchom całą witrynę przez HTTPs. Oprócz bezpieczeństwa jest to silny czynnik rankingowy. Jeśli masz już witrynę Magento, utwórz przekierowania z HTTP do HTTPs.

Bezpieczne otoczenie

Następnie warto pomyśleć o chronionym środowisku dla swojej witryny e-commerce. Ta część przewodnika jest szczególnie ważna, ponieważ instalacja jest tak bezpieczna, jak jej najsłabszy punkt.

Przede wszystkim konieczne jest przygotowanie środowiska serwerowego. Upewnij się, że jego system operacyjny jest bezpieczny i że na serwerze nie jest zainstalowane żadne niepotrzebne oprogramowanie. Wyłącz FTP, ponieważ jest to całkowicie niebezpieczne. Używaj SSH, SFTP i HTTPS ze względu na najwyższy poziom bezpieczeństwa, jaki zapewniają. Dbaj o odpowiednią ochronę wszystkich plików i katalogów systemowych. Magento zaleca nie tylko używanie silnych i unikalnych haseł, ale także okresową ich zmianę. Aktualizacje systemu, poprawki i monitorowanie również należą do najlepszych praktyk. Wreszcie, przewodnik kładzie nacisk na ograniczenia dostępu dla użytkowników.

Poza tym istnieje kilka zaawansowanych zaleceń dotyczących bezpieczeństwa, których należy przestrzegać. Włącz automatyczne wdrażanie i wykorzystaj klucze prywatne do transmisji danych. Zainstaluj rozszerzenia innych firm poza serwerem produkcyjnym. Poza tym użyj białych list z adresem IP, aby ograniczyć dostęp administratora. Włącz logowanie administratora za pomocą uwierzytelniania dwuskładnikowego i usuń niepotrzebne niezabezpieczone pliki z serwera. Na koniec wykorzystaj zaporę aplikacji sieci Web.

Należy uważać na aplikacje serwerowe. Upewnij się, że wszystkie są bezpieczne i zaktualizowane. Zgodnie z przewodnikiem lepiej jest unikać uruchamiania innego oprogramowania na tym samym serwerze z instalacją Magento. Na przykład przestępcy mogą wykorzystać potencjalne luki na blogu WordPress, aby ujawnić prywatne dane z Magento.

Środowisko pulpitu administratora to kolejny obszar do kontroli i utrzymania. Wszystkie urządzenia używane do uzyskiwania dostępu do zaplecza Magento powinny być bezpieczne. Możesz spełnić to wymaganie, aktualizując oprogramowanie antywirusowe, a także używając skanera złośliwego oprogramowania. Poza tym unikaj nieznanych programów i podejrzanych łączy, używaj silnych haseł i menedżerów haseł oraz nigdy nie zapisuj poświadczeń FTP w programach FTP.

Chronione Magento

Wiarygodność Twojej witryny e-commerce zaczyna się od jej początkowej konfiguracji i obejmuje szerokie spektrum ulepszeń. Korzystaj z najnowszej wersji Magento z najnowszymi ulepszeniami bezpieczeństwa. Zainstaluj wszystkie poprawki, jeśli nie możesz uruchomić pełnej aktualizacji. Utwórz unikalny, niestandardowy adres URL dla swojego obszaru administracyjnego. Dokładnie przejrzyj i skonfiguruj punkty końcowe, które mogą inicjować problemy z bezpieczeństwem. Ogranicz zewnętrzny dostęp do systemów programistycznych, pomostowych i testowych. Prawidłowo używaj uprawnień do plików. Niektóre pliki powinny być ustawione jako tylko do odczytu. Twój administrator Magento powinien być ukryty za silnymi i unikalnymi hasłami, uwierzytelnianiem dwuskładnikowym, CAPTCHA itp. Wybierz tylko zaufanych dostawców rozszerzeń. Unikaj podejrzanych linków, e-maili i plików. Opracuj plan odtwarzania po awarii. Włącz automatyczne tworzenie kopii zapasowych serwera i bazy danych w lokalizacji zewnętrznej.

Powszechne metody hakowania

Ten przewodnik nie osiągnie pełnej wartości bez opisania najbardziej rozpowszechnionych wrogich technik. Poniższe informacje pomogą Ci lepiej zrozumieć problemy związane z bezpieczeństwem, aby skuteczniej walczyć z przestępcami.

Hakerzy mogą wykorzystywać luki w różnych witrynach internetowych, aby instalować złośliwe oprogramowanie. Istnieje wiele chorób na każde możliwe wąskie gardło, sekcję strony internetowej, wrogie zamiary itp. Istnieją również ataki Brute Force. Ta technika jest dość prosta. Przestępcy próbują różnych kombinacji haseł, aż znajdą takie, które pasuje do witryny, którą próbują uruchomić. Jest jednak proste rozwiązanie, wystarczy ograniczyć liczbę nieudanych prób logowania.

Celem każdego rozproszonego ataku typu Denial of Service jest uniemożliwienie określonego serwera za pomocą botów i wysyłanie ogromnej liczby żądań, których nie można obsłużyć. Taka ogromna uwaga poświęcona witrynie internetowej powoduje awarię, która zwykle występuje w stosunkowo krótkim czasie, ale wymaga znacznie więcej zasobów do naprawienia. Istnieje również metoda wyłudzania informacji. Ta cyberprzestępczość wygląda następująco: przestępca kontaktuje się z celem za pośrednictwem poczty elektronicznej, telefonu lub wiadomości tekstowej, udając legalną instytucję. Następnie intruz nakłania osobę do podania poufnych danych, takich jak dane osobowe, dane bankowe i dane kart kredytowych itd. Z punktu widzenia handlu elektronicznego metoda ta zakłada replikację witryny internetowej lub jej części w tym samym celu. Gdy klient wprowadzi dane swojej karty kredytowej, hacker uzyskuje natychmiastowy dostęp do tych danych.

Cookie Theft to kradzież danych przeglądarki, które przyciąga cyfrowych włamywaczy. Mogą korzystać z różnych programów, aby uzyskać dostęp do haseł i innych poświadczeń niezbędnych do zalogowania się do administratora Magento. Na szczęście uwierzytelnianie dwuskładnikowe blokuje ten atak na prywatność i bezpieczeństwo. DNS Spoofing to transgresory, które usprawniają stare dane z pamięci podręcznej, o których mogłeś zapomnieć, wraz z lukami w systemie nazw domen w celu zaimplementowania zatruwania pamięci podręcznej DNS. W ten sposób przekierowują ruch z Twojego sklepu internetowego do złośliwej witryny, programując atak tak, aby zainfekowany serwer wpływał na inne DNS, rozprzestrzeniając chorobę w całej sieci.

Wstrzyknięcie SQL to metoda, w której hakerzy uwielbiają luki w bazach danych i bibliotekach SQL. Takie wąskie gardła dają możliwość dostępu do poufnych informacji poprzez oszukanie systemu. Mówiąc najprościej, jest to umieszczanie kodu w instrukcjach SQL przy użyciu danych wejściowych na stronie internetowej, gdy dane są albo nieprawidłowo filtrowane, albo nie są bezpiecznie wpisane. Atakujący wykorzystują tę metodę do manipulowania istniejącymi informacjami, fałszowania tożsamości, powodowania problemów z zaprzeczeniem lub całkowitego ujawnienia prywatności.

Keylogger Injection to złośliwe oprogramowanie do rejestrowania naciśnięć klawiszy użytkownika komputera, opracowane w celu kradzieży haseł i innych poufnych informacji. Przestępcy mogą tego użyć, aby uzyskać dostęp do poświadczeń administratorów Magento. Dlatego tak ważne jest, aby na komputerach pracowników mieć zainstalowaną najnowszą ochronę antywirusową.

Pamiętaj, że większość strajków jest niecelowa. Są jak klęska żywiołowa. Malefactors szybko wykrywa strony internetowe z podobnymi słabościami, korzystając z bazy danych hakerskich Google lub innych źródeł. Na przykład sklepy, które mają zainstalowaną podatną na ataki wtyczkę, często stają się celem hackerów. Jednak zawsze są wyjątki, a niektóre z nich dotyczą Magento, które często cierpi na ataki Magecart.

Zagrożenie Magecart

Konsorcjum grup hakerów zwykle atakuje systemy koszyków zakupów online, zwłaszcza Magento, aby dokonać kradzieży informacji o kartach płatniczych klientów. Przestępcy naruszają oprogramowanie stron trzecich lub infekują niezabezpieczone procesy przemysłowe.

Pierwsze ataki Magecart miały miejsce w 2014 r., Kiedy to grupa przestępców po raz pierwszy spieniężyła dane skradzionych kart kredytowych. Od tego czasu liczba ofiar Magecart dramatycznie wzrosła do ponad 110 000 sklepów internetowych. Chociaż Magento nie jest jedynym celem grupy, jego największy wpływ odczuwa dzięki popularności platformy wśród najważniejszych graczy rynkowych. Jednak w centrum uwagi są również małe sklepy.

Specjaliści dzielą środowisko Magecart na 6-7 różnych grup, które otrzymują unikalną infrastrukturę, mają określone cele i używają specjalnych technik, ale mają ten sam wspólny cel, jakim jest pobieranie danych kart kredytowych i sprzedawanie ich na czarnym rynku. Grupy 1 i 2 są skierowane do szerokiej gamy sklepów internetowych. Członkowie obu grup polegają na zautomatyzowanych narzędziach do naruszania i przeglądania stron internetowych Magento. Zagrywka grupy 3 polega na wykopywaniu podatnych stron internetowych i masowym odwiedzaniu ich. Takie ataki mogą osiągnąć nieoczekiwanie kolosalną skalę. Grupa 4 jest wyjątkowo zaawansowana w stosowaniu różnych wyrafinowanych technik hakerskich. Przestępca wtapia się w docelową witrynę internetową, unikając wykrycia tak długo, jak to możliwe. Grupa 5 zwykle opiera się na rozwiązaniach innych firm. Fragmenty kodu są instalowane w produkcie dostawcy, który zawiera docelowe witryny internetowe. Grupa 6 jest najbardziej selektywna w swoich celach, wśród innych frakcji Magecart. Jej członkowie kierują się wyłącznie do najlepszych firm, korzystając z różnych narzędzi i metod. Do najważniejszych ofiar ugrupowania należą British Airways i Newegg.

Pomimo pewnych głównych różnic między grupami, większość ataków Magecart na Magento ma konkretne kluczowe kroki. Przede wszystkim przestępcy uzyskują dostęp do witryny Magento. W zależności od grupy i innych warunków proces ten zwykle bardzo się różni. Jednak cel nie różni się w żadnym stopniu – hakerzy wykorzystują luki w zabezpieczeniach, aby zaatakować wewnętrzną sferę strony internetowej. Następnie członkowie Magecart modyfikują kod źródłowy sklepu. Przede wszystkim wstrzykują wrogi JavaScript, aby kontrolować stronę kasy wraz z formami płatności, uzyskując dane, które klienci podają, aby sfinalizować zakup. Następnie dane przejęte pojawiają się na czarnym rynku. Są sprzedawane i używane do dokonywania nieuwierzytelnionych transakcji online.

Podsumowanie

Podatne skrypty i wirusy umożliwiają włamywaczom wkradanie się do panelu sterowania Twojego sklepu Magento. Zastosuj najnowsze poprawki i zaktualizuj oprogramowanie, aby ograniczyć możliwość dostępu do plików witryny, bazy danych lub panelu administracyjnego do absolutnego minimum. Im szybciej to zrobisz, tym większe masz szanse na utrzymanie swojego biznesu online bez kompromisów. Złodzieje szybko opanowują i wykorzystują nowe słabości, więc nie opłaca się zwlekać.

Podatne wtyczki i szablony stanowią kolejne źródło kłopotów. Korzystając z bezpłatnych rozwiązań lub pobierając komercyjne rozszerzenia i motywy w witrynach torrentowych, poważnie ryzykujesz. W pierwszym przypadku oprogramowanie jest zwykle niezainfekowane, ale może zawierać wiele luk, które hakerzy mogą potencjalnie wykorzystać. W drugim przypadku możesz otrzymać narzędzia, które zawierają już złośliwe skrypty. Kupuj szablony i moduły tylko na oficjalnych platformach handlowych lub bezpośrednio od zaufanych dostawców.

Niezabezpieczona komunikacja jest równie niebezpieczna. Jeśli łączysz się przez FTP, przestępcy mogą łatwo ukraść Twój login i hasło. Używaj tylko bezpiecznych połączeń, aby uniknąć nieprzyjemnych sytuacji. Włamania do serwerów lub hostingu często narażają również witryny handlu elektronicznego na znaczne ryzyko. Bez względu na to, czy jesteś sąsiadem zanieczyszczonej witryny, czy Twój serwer zawiera inne naruszenia, konieczne jest jak najszybsze rozwiązanie istniejących problemów.

Zwykli pracownicy i okazjonalni kontrahenci zagrażają bezpieczeństwu, używając słabych haseł, uzyskując dostęp do administratora z zainfekowanych urządzeń, a nawet tworząc kod w witrynie, aby później go wykorzystać. Dlatego używaj tylko silnych i unikalnych haseł oraz chroń ludzi, którzy mają dostęp do twojego administratora Magento i uważaj na zatrudnianych specjalistów.

Prowadzenie serwisu e-commerce wiąże się z wieloma zagrożeniami. Możesz jednak złagodzić ich wpływ na swoją firmę, rozwiązując istniejące obawy dotyczące bezpieczeństwa. Postępuj zgodnie ze wskazówkami zawartymi w tym przewodniku, aby zmienić swoją witrynę Magento w bezpieczne miejsce na zakupy, w którym kupujący nie mają powodu do zmartwień, z wyjątkiem podejmowania lepszych decyzji zakupowych.

Cyfrowe newsy / Bądź na bieżąco

Od początku 2022 roku wchodzimy w skład Unity Group. Teraz zapisując się do naszego newslettera, będziesz na bieżąco z informacjami całej naszej organizacji.

    Wypełniając formularz wyrażasz zgodę na wysyłkę newslettera przez Unity S.A. z siedzibą we Wrocławiu. Zgodę możesz wycofać w każdej chwili. Więcej informacji na ten temat znajdziesz w naszej polityce prywatności.

    *Wymagane

    Andrzej-kurs-programowania

    Andrzej Szylar

    Chief Executive Officer

    E-mail:

    andrzej.szylar@unitygroup.com
    Magda2

    Magdalena Paczyńska-Kamienik

    HR Manager

    E-mail:

    magdalena.paczynska@unitygroup.com
    Aleksandra

    Aleksandra Bielawska-Clegg

    HR Business Partner

    E-mail:

    Michal

    Michał Duława

    New Business Developer

    E-mail:

    Katarzyna

    Katarzyna Zajchowska

    Marketing Partner

    E-mail: