ストアをハッカーから守るための Magento セキュリティのヒント

HackRead の報告によると、2020 年に支払いスキマー攻撃が行われ、500 以上の Magento Web サイトがハッキングされました。 各オンライン ストアには、顧客の個人情報を含む大量のデータが保管されています。 したがって、漏洩から保護するには、Magento 2 Web サイトのセキュリティに注意することが重要です。 残念ながら、Magento 2 ストアのオーナーはセキュリティを確保できていないことが多く、e コマース Web サイトが脆弱なままになっています。

店舗と顧客のデータを攻撃者から安全に保つために役立つ 11 のヒントを用意しました。 ただし、自分で実装したくない場合は、いつでも Magento 開発サービスに頼ることができます。

Magentoを最新バージョンにアップデートする

Magento はアップデートのたびに、以前のバージョンの脆弱性に対処するパッチを公開します。 これらのパッチを常に適用していれば、昨シーズンの脆弱性が残らないことになります。

Magento のアップグレードでは、より優れた、より直感的な機能が導入されることがよくあります。 プラットフォームを常に最新の状態に保つことで、店舗の通路をきれいで魅力的なものにするのと同じように、常にシームレスなショッピング エクスペリエンスを提供できるようになります。

Magento の各アップデートでは、ナビゲーションのスムーズ化、ページの読み込み時間の短縮、データベースの最適化など、パフォーマンスの向上も伴う傾向があります。

二要素認証を有効にする

一言で言えば、Magento ストアで 2FA を有効にすることは、すでに安全な保管庫にハイテク警報システムを追加するようなもので、ストアが望ましくない侵入に対する要塞であり続けることを保証します。

2FA がパスワードの信頼できる相棒であると想像してください。 パスワードは時折推測されたり、傍受されたり、漏洩されたりすることがありますが、2FA が急襲し、2 番目の形式の ID を要求します。

ハッカーは多くの場合、巧妙な手口を使ってユーザーをだましてパスワードを明らかにさせます。 しかし、2FA では、パスワードを知っているだけでは問題を解決できません。 ハッカーが盗んだ資格情報を使用してログインしようとしても、2 番目の認証ステップでつまずいてしまいます。 Magento は 2FA のわかりやすいセットアップを提供しており、ストアオーナーにとっては簡単です。

パスワードを定期的に変更する

時間が経つにつれて、おそらく多くのデバイスからサインインしたり、同僚とパスワードを共有したりしたことがあるでしょう。 万が一、誰かがあなたのパスワードをこっそり入手したとしても、パスワードを変更しても、うまくいかないことがよくあります。

そして、どこでも同じパスワードを使用したり、超基本的なパスワードを使用したりする人 (またはおそらく私たち) を誰もが知っています。 最良のパスワードは、文字をランダムに組み合わせたものです。長くて少し風変わりで、大文字と小文字、さまざまな記号、数字が組み合わさったものです。これは、一部の Web サイトが私たちに創造性と強力なパスワードの選択を促しているのと同じです。

一意のバックエンド URL を作成する

Magento のデフォルトの管理 URL は/adminですが、これはブルート フォース攻撃を受けやすく、推測されやすいです。 独特の URL により、ボットやハッカーが管理パネルを見つけてアクセスすることがより困難になります。 多くのハッキング ツールは、標準のバックエンド URL を検索して脆弱性を悪用します。 状況を変えることで、あなたのストアを彼らのレーダーから外すことができます。 URL を変更するには、管理パネル: [ストア] > [構成] > [詳細設定] > [管理] > [管理ベース URL]に移動します。

メイジプラザ公式サイトのスクリーンショット

定期的にバックアップする

サイバー攻撃が発生した場合、パニックに陥ったり身代金を支払ったりする代わりに、サイトの最近のバックアップを使用して「元に戻す」をクリックするだけで済みます。 いいですね？ その後、定期的にバックアップを行う必要があります。 これをデジタル セーフティ ネットと考えてください。 FTP プログラムを使用すると、サイトのデータのコピーを簡単に取得できます。 さらに、phpMyAdmin を使用して、保存されているデータベースをエクスポートすることもできます。 こうすることで、いつでも素早いリバウンドに備えることができます。

ファイアウォールを活用する

ファイアウォールは、有害な脅威や不正アクセスに対する保護の最前線です。 ストアを保護するには、2 種類のファイアウォールのいずれかを使用できます。 WAF (Web アプリケーション ファイアウォール) を使用して、SQLi、XSS、ブルート フォース攻撃、ボット、スパム、マルウェア、DD0S などの Web セキュリティの欠陥からオンライン ストアを保護します。 システム/ネットワーク ファイアウォールは、Web サーバー以外からのすべてのパブリック アクセスを禁止します。

最新のファイアウォールの利点は、その警戒心にあります。 彼らは常に潜在的な脅威を監視、分析し、対処しており、あなたを出し抜こうとする攻撃者よりも常に一歩先を行くことができます。 それとは別に、ファイアウォールには分析機能も備わっており、トラフィック パターンや脅威の状況などについての洞察を提供します。

HTTPS/SSL を使用する

サイトが SSL を使用した HTTPS で実行されていることを常に確認してください。これは、顧客データを覗き見から保護するための鎧です。 SSL 証明書として知られる小さなデータ ファイルは、Magento ストアの詳細をセキュリティ キーにリンクします。 Magento HTTPS プロトコルと南京錠は、Web サーバーにインストールされるとアクティブ化され、サーバーとユーザーのブラウザーの間に安全な接続が提供されます。

おなじみの南京錠アイコンと「https://」プレフィックスにより、訪問者は自分のデータが安全に管理されていることを保証します。 これは、疑わしいことが多いデジタル世界における信頼性の証です。 SSL 暗号化により、コード化された言語で送信されるクレジット カードの詳細、住所、パスワードなどのデータも確実に保護されます。

それとは別に、HTTPS はフィッシング Web サイトの抑止力になります。 SSL を使用すると、Web サイトを保護するだけでなく、顧客が怪しいドッペルゲンガーに騙されないようにすることもできます。

Magento スキャン ツールを実行する

Magento Scan Tool は常に一歩先を行って問題を検出するため、問題が深刻な問題に発展する前に修正できます。

しかし、ここが最も重要な点です。このツールは単に物事をざっと確認するだけではありません。 ウェブサイトの細部や要素を真っ先に掘り下げます。 脆弱性が検出されると、このツールはその性質と重大度についての洞察を提供します。 このツールは、Magento 販売者が無料で利用できます。

セキュリティパッチを活用する

Magento は、報告された欠陥に対処し、プラットフォーム全体のセキュリティを強化するために、セキュリティ アップデートを頻繁にリリースします。 潜在的な脅威からショップを保護するには、これらの修正をできるだけ早く適用することが重要です。 欠陥が発見されたらすぐに修正しないと、ハッカーがこれらの脆弱性を利用して Web サイトやクライアントのデータに不正アクセスする可能性があります。

ほとんどのセキュリティ パッチは、運用を中断することなくシームレスに統合されるように設計されています。 適切な手順を実施すれば、適用は簡単です。 これはリモコンの電池を交換するようなもので、迅速かつ簡単に行うことができ、継続的な操作には不可欠です。

Magento セキュリティ拡張機能を使用する

Magento 2 は、Magento Web サイトのセキュリティを確保するために非常に役立ついくつかの拡張機能を提供します。 それらのいくつかについてはすでに述べました。 ここでは、その他の貴重な Magento セキュリティ拡張機能をいくつか紹介します。

Magento Google ReCAPTCHA

CAPTCHA は、コンピュータと人間を区別する完全に自動化された公開チューリング テストの略です。 これは本質的に、人間にとっては簡単でも、ボットにとっては非常に複雑なタスクである、賢い小さなテストです。 Google ReCAPTCHA の特に優れている点は、正直なところ、ボットよりも人間にとって面倒な場合もあった歪んだテキストを超えて進化していることです。 代わりに、現在ではユーザーが「私はロボットではありません」というボックスにチェックを入れるだけで済みます。

Magento の Google ReCAPTCHA 統合により、ゲームはさらに強化されます。 その適応型チャレンジと高度なリスク分析エンジンにより、購入を試みる本物の顧客と、いたずらを引き起こそうとするボットとを区別できることになります。

さらに、Google ReCAPTCHA はサイトのデザインにスムーズに組み込まれるように設計されており、ユーザーがスムーズにプロセスを進めることができます。

メイジプラザ公式サイトのスクリーンショット

ウォッチログ

Watchlog の主な目的は、Web サイト上のあらゆる大ざっぱな悪ふざけを観察し、記録することです。 Watchlog の際立った機能の 1 つは、通常のユーザー アクティビティと潜在的に悪意のある動作を区別する機能です。 誰かが間違った資格情報を使用して、または疑わしい場所からログインを繰り返し試みたとします。 Watchlog は、この怪しい動作を記録するだけでなく、即座にアラートを発し、醸造上のトラブルを常に把握できるようにします。

さらに、Watchlog は、すべてのバックエンド アクセス試行の詳細な概要を提供します。 これは、おそらく営業時間外に異常に多くのログイン試行があり、脆弱性の可能性を示唆するパターンを簡単に特定できることを意味します。

サイトの分析と管理に深く関わっている人にとって、Watchlog は宝の山でもあります。 その詳細なログは、トラブルシューティング、ユーザー管理、さらにはユーザー エクスペリエンスの向上にも役立ちます。 Web サイトのセクションでアクセス試行の失敗が繰り返し発生する場合は、セキュリティの問題ではなく、ユーザビリティの問題を示唆している可能性があります。

画像クレジット: アドビ

Magento 2 の管理者アクション ログ

Admin Actions Log はバックエンドのブラック ボックス レコーダーであり、あらゆる動きを正確にキャプチャします。 衝突や事故が発生した場合は、ログを検索して探偵ごっこをして、一連の出来事をたどり、どこで問題が発生したのかを正確に特定することができます。

この拡張により、「何を」、「誰が」、「いつ」が明らかになります。 誰かがベストセラー商品の価格を変更したのでしょうか? それとも重要なプラグインの設定を変更するのでしょうか? 管理者アクション ログを残したまま放置されることはありません。 すべてのアクションにはタイムスタンプが付けられ、誰がいつ変更を加えたかが詳しく記録されます。

画像クレジット: アマスティ

Magento 2 用セキュリティ スイート

その中核となるセキュリティ スイートは、総合的なセキュリティの典型です。 個別のツールを使用してその場しのぎのセーフティ ネットをつなぎ合わせるのではなく、必要なものすべてが 1 つの洗練されたパッケージにまとめられています。 その結果、次のものを受け取ります。

• すべてのバックエンドアクションの完全な透明性。 ログに記録された各アクティビティには、表示できる完全な情報が含まれています。
• 進行中のセッションと以前のページ訪問の追跡。 管理者が不適切な行為を行った場合、変更を元に戻すことができます。
• 特定の店舗マネージャーに役割を割り当て、複雑なパスワード設定でユーザー権限を規制する機能。
• 不明な地理位置情報からのログイン動作に疑問がある場合の通知。
• 二段階認証。 セキュリティ コード スキャンを生成するには、Google Authenticator を追加します。
• Google Invisible reCaptcha によるスパム保護。

Amaty公式ウェブサイトのスクリーンショット

最後の言葉

サイバー脅威が進化する時代においては、装備を整えておくことが重要です。 幸いなことに、完全な保護を保証する効率的な実践方法と Magento 2 ツールが数多くあります。 私たちのガイドが、最適なソリューションの決定と利用に役立つことを願っています。 明確に理解しておかなければならないのは、店舗のセキュリティを常に監視し、何か問題が発生した場合は迅速に対処する必要があるということです。