Είναι η Magento μια ασφαλής πλατφόρμα;
Το Magento 2 διευκολύνει τη δημιουργία καταστήματος ηλεκτρονικού εμπορίου και τις πωλήσεις παγκοσμίως. Αλλά αυτή η ευκολία χρήσης έχει κόστος. Οι ιδιοκτήτες καταστημάτων δεν είναι ειδικοί και επαγγελματίες και δεν ξέρουν πάντα πώς να προστατεύσουν έναν ιστότοπο Magento από κινδύνους ασφάλειας και κυβερνοεπιθέσεις. Μια παραβίαση ασφάλειας μπορεί να οδηγήσει σε καταστροφικά αποτελέσματα και μόνιμη απώλεια φήμης. Μια έκθεση του 2021 από το Ινστιτούτο Ponemon διαπίστωσε ότι το μέσο κόστος μιας παραβίασης δεδομένων είναι πάνω από 4 εκατομμύρια σε δολάρια Αμερικής, παγκοσμίως.
Γιατί είναι τόσο σημαντική η ασφάλεια στο Magento.
Οι ιστότοποι ηλεκτρονικού εμπορίου είναι από τους αγαπημένους στόχους των χάκερ. Στις περισσότερες περιπτώσεις, προτού αγοραστεί κάτι στο διαδίκτυο, πρέπει να γίνει καταχώρηση ενός λογαριασμού και να παραδοθούν ορισμένα προσωπικά στοιχεία. Υπάρχει ήδη ένα κίνητρο για τους εγκληματίες του κυβερνοχώρου να κλέψουν αυτά τα δεδομένα και να τα χρησιμοποιήσουν για κάθε είδους δόλιες δραστηριότητες. Οι περισσότερες ηλεκτρονικές αγορές περιλαμβάνουν επίσης την εισαγωγή στοιχείων πιστωτικής κάρτας (ένα άλλο πράγμα για το οποίο ενδιαφέρονται οι χάκερ). Ορισμένοι ιδιοκτήτες ηλεκτρονικών καταστημάτων γλιτώνουν από τον κόπο να εξασφαλίσουν τα δεδομένα της πιστωτικής κάρτας και επιλέγουν να έχουν έναν επεξεργαστή πληρωμών να χειρίζεται τις συναλλαγές. Αυτό όμως από μόνο του δεν είναι αρκετό. Με το σωστό επίπεδο πρόσβασης, οι χάκερ μπορούν να κλέψουν πολύτιμες πληροφορίες χρέωσης δημιουργώντας ψεύτικες σελίδες που μιμούνται τη διεπαφή του επεξεργαστή πληρωμής. Στη χειρότερη περίπτωση, οι συνέπειες για τους πελάτες είναι τεράστιες, αλλά είναι ακόμη πιο καταστροφικές για τον ιδιοκτήτη του καταστήματος. Η ζημιά στη φήμη της επωνυμίας και του ιστότοπου είναι συχνά ανεπανόρθωτη.
Πως μπορεί να ασφαλιστεί ένας ιστότοπος Magento.
Η πλατφόρμα Magento είναι εξαιρετικά ασφαλής, αλλά καμία πλατφόρμα δεν προσφέρει 100% προστασία από επιθέσεις στον κυβερνοχώρο. Για τα 2/3 των εμπόρων Magento που συνεχίζουν να χρησιμοποιούν την ξεπερασμένη πλατφόρμα Magento 1 (η οποία έφτασε στο τέλος της ζωής της τον Ιούνιο του 2020), η διασφάλιση της επιχείρησης πρέπει να ξεκινήσει με την αναβάθμιση σε Magento 2. Αυτό είναι κρίσιμο, καθώς χωρίς αυτήν τη μετάβαση, οι έμποροι εκτίθενται σε κινδύνους ασφαλείας σε μη υποστηριζόμενο πλέον, λογισμικό.
Κάποια βασικά δεδομένα ασφάλειας προς επισήμανση:
Η μετάβαση από το Magento 1 στο Magento 2 είναι καθοριστικής σημασίας για την ασφάλεια του ιστότοπου.
- Συμμόρφωση με το PCI-DSS (βιομηχανία καρτών πληρωμής – πρότυπο ασφάλειας δεδομένων)
- Αλλαγή προεπιλεγμένου ονόματος χρήστη διαχειριστή
- Αλλαγή διεύθυνσης URL διαχειριστή
- Χρησιμοποιήση της επαλήθευσης σε δύο βήματα για τη σύνδεση διαχειριστή Magento
- Χρήση της λίστας επιτρεπόμενων IP για διαχειριστή Magento
- Ορισμός ενός ισχυρού κωδικού πρόσβασης για την πολιτική και τα κριτήρια
- Όριο βαθμολόγησης προσπαθειών σύνδεσης για διαχειριστή Magento
- Ενεργοποίηση του CAPTCHA για σύνδεση, εγγραφή λογαριασμού και φόρμες επικοινωνίας
- Ορισμός των προτεινόμενων δικαιωμάτων αρχείων και καταλόγου
- Καθορισμός προτεινόμενων ρόλων και δικαιωμάτων διαχειριστή
- Ενημέρωση του κώδικα ασφαλείας από μια αξιόπιστη πηγή, όπως το Adobe marketplace
- Ασφάλιση του διακομιστή με ένα τείχος προστασίας διαδικτυακής εφαρμογής (WAF)
Τι απειλές από κυβερνοεπιθέσεις μπορεί να δεχτεί ένας ιστότοπος Magento;
Θα τεθεί ως παράδειγμα το τρίτο δεδομένο ασφαλείας της παραπάνω λίστας, τη διεύθυνση URL διαχειριστή και πόσο κρίσιμο είναι για την ασφάλεια του Magento. Εξαρχής, μια διεύθυνση URL ιστότοπου Magento είναι /admin και για έναν εγκληματία στον κυβερνοχώρο μπορεί να γίνει εργαλείο εισβολής σε έναν ιστότοπο. Ο μόνος τρόπος για να προστατευτεί πραγματικά ο διαχειριστής είναι να χρησιμοποιηθεί προστασία IP ή ακόμα καλύτερα, έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA). Η παραμέληση αυτού του ζωτικού μέτρου εκθέτει τον ιστότοπο στο Google Dorking, μια τεχνική που χρησιμοποιείται ευρέως για την εύρεση τρωτών σημείων ασφαλείας, εκμεταλλευόμενη την προηγμένη λειτουργία αναζήτησης της Google. Αν χρησιμοποιηθεί μια πολύ απλή αναζήτηση, μπορεί να επιστραφούν χιλιάδες σελίδες σύνδεσης στους ιστότοπους διαχείρισης οποιουδήποτε εκτελεί το Magento έκδοση 1, με τη διεύθυνση URL /admin, σε λιγότερο από ένα δευτερόλεπτο.
Είναι τρομακτικό, το πόσο εύκολα μπορεί κάποιος μπορεί να επιχειρήσει να συνδεθεί σε έναν ιστότοπο ως διαχειριστής.
Στη συνέχεια, θα χρησιμοποιηθεί ένα bot για να εκτελέσει μια εφαρμογή διαπιστευτηρίων, με χιλιάδες συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης στη σελίδα σύνδεσης, μέχρι να βρει μια επιτυχημένη αντιστοίχιση και να αναλάβει τον λογαριασμό. Ο εισβολέας έχει πλέον αποκτήσει πρόσβαση στον ιστότοπο, ο οποίος περιέχει έναν τεράστιο όγκο δεδομένων που σχετίζονται τόσο με την επιχείρηση όσο και με τους πελάτες της.
Ο πυρήνας ασφαλείας της Magento.
Η Magento ανήκει στην Adobe (μια εταιρεία που δεν έχει την πολυτέλεια να παραβλέπει την ασφάλεια και στη πραγματικότητα επενδύει σε αυτή). Υπάρχει μια αποκλειστική ομάδα ασφαλείας που επικυρώνει όλα τα προϊόντα που σχετίζονται με το Magento σύμφωνα με τα πρότυπα Open Web Application Security Project (OWASP). Η ομάδα σαρώνει τακτικά ολόκληρη τη βάση κώδικα και εκδίδει ενημερώσεις κάθε φορά που εμφανίζεται μια ευπάθεια. Οι υπάλληλοι της Adobe όμως, δεν είναι οι μόνοι που βρίσκουν τρύπες στην ασφάλεια του Magento 2.
Ένα γενναιόδωρο πρόγραμμα επιβράβευσης σφαλμάτων ενθαρρύνει ανεξάρτητους ερευνητές ασφάλειας να βοηθήσουν στον εντοπισμό και την επιδιόρθωση ευπαθειών. Συνολικά, καταβάλλεται μεγάλη προσπάθεια για να διασφαλιστεί ότι μια από τις πιο δημοφιλείς εφαρμογές ηλεκτρονικού εμπορίου στον κόσμο είναι όσο το δυνατόν ασφαλέστερη. Αυτό σημαίνει ότι ένας ιδιοκτήτης ιστότοπου, μπορεί να μείνει ήσυχος; Η απάντηση είναι, Όχι. Ο ιδιοκτήτης ηλεκτρονικού καταστήματος, έχει ευθύνη να διατηρεί τον ιστότοπο και τα δεδομένα των χρηστών καλά προστατευμένα. Η επιλογή επαγγελματία πιστοποιημένου της Magento, δίνει επιπλέον ασφάλεια στο έργο των ιδιοκτητών ηλεκτρονικών καταστημάτων.
Άλλα μέτρα ασφαλείας.
Υπάρχουν κάποιοι τρόποι που γενικά δεν αναφέρονται, αλλά αν εφαρμοστούν, σίγουρα θα συμβάλλουν στην προστασία των καταστημάτων από τους χάκερ.
- Ασφάλιση του υπολογιστή. Εάν ο υπολογιστής που χρησιμοποιείται για τη διαχείριση του καταστήματός σας Magento 2 δεν διαθέτει ασφαλή κωδικό πρόσβασης, θα ήταν εξαιρετικά εύκολο για τους χάκερ να σπάσουν το λειτουργικό σύστημα και να προκαλέσουν ζημιές στον υπολογιστή και στο κατάστημα Magento επίσης. Βεβαίωση ότι υπάρχει κωδικός πρόσβασης στον υπολογιστή, καλό λογισμικό προστασίας από ιούς και ότι είναι ενεργοποιημένο το τείχος προστασίας για την προστασία του υπολογιστή.
- Χρησιμοποιήση SFTP. Θα ήταν καλύτερο να χρησιμοποιηθεί το Πρωτόκολλο Ασφαλούς Μεταφοράς Αρχείων παρά μόνο το Πρωτόκολλο Μεταφοράς Αρχείων. Το SFTP κρυπτογραφεί τα δεδομένα και τις εντολές για να αποτρέψει την έκθεση κωδικών πρόσβασης και άλλων ευαίσθητων πληροφοριών σε εισβολείς.
- Ασφάλιση του email. Το email είναι πάντα συνδεδεμένο στο διαδίκτυο. Εάν ένας ιδιοκτήτης καταστήματος έχει ορίσει έναν αδύναμο κωδικό πρόσβασης χωρίς έλεγχο ταυτότητας δύο παραγόντων, οι πιθανότητες να παραβιαστεί αυξάνονται εξαιρετικά. Εάν ένας χάκερ καταφέρει να βρει τον κωδικό πρόσβασης της επίσημης διεύθυνσης ηλεκτρονικού ταχυδρομείου του καταστήματος, μπορεί να διαπράξει έγκλημα στον κυβερνοχώρο. Ως εκ τούτου, η ασφάλεια του email είναι επίσης ένα από τα μικρά αλλά σημαντικά βήματα για να αυξηθεί η ασφάλεια του καταστήματος.
Επεκτάσεις ασφαλείας Magento.
Οι παραπάνω προφυλάξεις που αναφέρθηκαν δεν αποτελούν τα μόνα βήματα που μπορούν να γίνουν για να ασφαλιστεί ένας ιστότοπος Magento. Θα λειτουργήσουν μόνο εάν συνδυαστούν με άλλες βέλτιστες πρακτικές, όπως η χρήση μοναδικών και ισχυρών κωδικών πρόσβασης και η εγκατάσταση ενός πιστοποιητικού SSL για την κρυπτογράφηση των δεδομένων των χρηστών. Φυσικά, πολλοί από μπορεί να στραφούν σε επεκτάσεις τρίτων όταν ενισχύουν την ασφάλεια των ιστότοπων του Magento 2. Αντί λοιπόν να γίνουν όλες αυτές οι επιμέρους ενέργειες μπορεί να διευκολυνθεί η υπόθεση ασφάλεια. Αυτή είναι πράγματι μια καλή προοπτική, αλλά η τοποθέτηση πάρα πολλών επεκτάσεων σε ένα ιστότοπο Magento 2 θα μπορούσε να οδηγήσει σε ανεπιθύμητες παρενέργειες.
Επίλογος.
Ένας κάτοχος ιστότοπου ηλεκτρονικού εμπορίου, αντιμετωπίζει αρκετές προκλήσεις ασφαλείας. Είναι υπεύθυνος για την αποθήκευση πολλών ευαίσθητων προσωπικών δεδομένων και δεδομένων χρέωσης, γεγονός που τον καθιστά αμέσως πιο ελκυστικό στόχο για εγκληματίες στον κυβερνοχώρο. Το Magento 2 μπορεί να βοηθήσει πολύ από αυτή την άποψη, καθώς βρίσκεται στη κορυφή όσον αφορά την ασφάλεια πλατφόρμας κατασκευής ηλεκτρονικού εμπορίου. Διαθέτει όλα τα χαρακτηριστικά που απαιτούνται για τη δημιουργία ενός ασφαλούς ηλεκτρονικού καταστήματος και οι επεκτάσεις τρίτων προσφέρουν επιπλέον λειτουργικότητα και ασφάλεια.