해커로부터 매장을 보호하기 위한 Magento 보안 팁

게시 됨: 2023-08-21
소셜 프로필에 공유하세요.
마젠토

HackRead는 2020년에 결제 스키머 공격 중에 500개 이상의 Magento 웹사이트가 해킹당했다고 보고했습니다. 각 온라인 상점은 고객의 개인정보를 포함하여 막대한 양의 데이터를 보유하고 있습니다. 따라서 유출을 방지하려면 Magento 2 웹사이트의 보안에 주의하는 것이 중요합니다. 불행하게도 Magento 2 매장 소유자는 종종 보안을 보장하지 못해 전자상거래 웹사이트를 취약하게 만듭니다.

매장과 고객 데이터를 공격자로부터 안전하게 보호하는 데 도움이 되는 11가지 팁을 준비했습니다. 그러나 직접 구현하고 싶지 않다면 언제든지 Magento 개발 서비스를 이용할 수 있습니다.

목차

Magento를 최신 버전으로 업데이트하세요

업데이트할 때마다 Magento는 이전 버전의 취약점을 해결하는 패치를 내놓았습니다. 이러한 패치를 계속 유지한다는 것은 지난 시즌의 취약점이 결코 남지 않는다는 것을 의미합니다.


Magento 업그레이드는 종종 더 좋고 더 직관적인 기능을 도입합니다. 플랫폼을 최신 상태로 유지하면 매장 통로를 깔끔하고 매력적인 곳으로 만드는 것과 마찬가지로 항상 원활한 쇼핑 경험을 제공할 수 있습니다.

또한 각 Magento 업데이트에는 더 부드러운 탐색, 더 빠른 페이지 로드 시간 또는 더 나은 데이터베이스 최적화와 같은 성능 개선이 포함되는 경향이 있습니다.

이중 인증 활성화

간단히 말해서, Magento 스토어에서 2FA를 활성화하는 것은 이미 보안이 유지된 금고에 최첨단 경보 시스템을 추가하여 스토어가 원치 않는 침입에 대비한 요새로 유지되도록 하는 것과 같습니다.

2FA가 귀하의 비밀번호에 대한 믿음직한 조수라고 상상해 보십시오. 비밀번호는 때때로 추측되거나, 가로채거나, 심지어 유출될 수도 있지만, 2FA가 급습하여 두 번째 형태의 식별을 요구합니다.

해커는 교묘한 방법을 사용하여 사용자를 속여 비밀번호를 알아내게 하는 경우가 많습니다. 그러나 2FA를 사용하면 비밀번호만 아는 것만으로는 문제가 해결되지 않습니다. 해커가 훔친 자격 증명을 사용하여 로그인을 시도하더라도 두 번째 인증 단계에서 로그인이 실패합니다. Magento는 따라하기 쉬운 2FA 설정을 제공하므로 모든 매장 소유자가 쉽게 사용할 수 있습니다.

정기적으로 비밀번호 변경

시간이 지남에 따라 여러 장치에서 로그인했거나 동료와 비밀번호를 공유했을 수도 있습니다. 만약에 교활한 누군가가 귀하의 비밀번호를 알아낼 경우, 비밀번호를 자주 변경하면 비밀번호를 알아낼 수 없게 됩니다.

그리고 우리는 어디에서나 동일한 비밀번호를 사용하거나 매우 기본적인 비밀번호를 사용하는 사람(또는 어쩌면 우리)을 알고 있습니다. 가장 좋은 비밀번호는 임의의 문자 조합입니다. 길고 약간 기발하며 대문자와 소문자, 다양한 기호 및 숫자가 혼합되어 있습니다. 일부 웹사이트에서 창의적이고 강력한 비밀번호 선택을 하도록 유도하는 것과 같습니다.

고유한 백엔드 URL 생성

Magento의 기본 관리 URL은 /admin 이며, 이는 무차별 대입 공격에 노출되어 있어 추측하기 쉽습니다. 고유한 URL을 사용하면 봇과 해커가 관리 패널을 찾고 액세스하기가 더 어려워집니다. 많은 해킹 도구는 취약점을 악용하기 위해 표준 백엔드 URL을 검색합니다. 상황을 전환하면 매장이 레이더에서 벗어날 수 있습니다. URL을 변경하려면 관리자 패널: Stores > Configuration > Advanced > Admin > Admin Base URL 로 이동하세요.

Mageplaza 공식 홈페이지에서 찍은 스크린샷

정기적으로 백업

사이버 공격이 발생하면 당황하거나 몸값을 지불하는 대신 사이트의 최근 백업을 '실행 취소'하면 됩니다. 좋은가요? 그런 다음 정기적으로 백업을 수행해야 합니다. 디지털 안전망이라고 생각하세요. FTP 프로그램을 사용하면 사이트 데이터의 복사본을 쉽게 가져올 수 있습니다. 또한 phpMyAdmin을 사용하여 저장된 데이터베이스를 내보낼 수도 있습니다. 이렇게 하면 항상 빠른 회복을 위한 준비가 되어 있습니다.

방화벽 활용

방화벽은 유해한 위협과 불법적인 액세스로부터 보호하는 첫 번째 방어선입니다. 매장을 보호하기 위해 두 가지 방화벽 유형 중 하나를 사용할 수 있습니다. WAF(웹 애플리케이션 방화벽)를 사용하여 SQLi, XSS, 무차별 대입 공격, 봇, 스팸, 맬웨어, DD0S 등과 같은 웹 보안 결함으로부터 온라인 상점을 보호하세요. 시스템/네트워크 방화벽은 웹 서버를 제외한 모든 공개 액세스를 허용하지 않습니다.

현대 방화벽의 장점은 경계심에 있습니다. 그들은 잠재적인 위협을 지속적으로 관찰하고, 분석하고, 조치를 취하여 귀하를 속이려는 사람들보다 항상 한 발 앞서 나갈 수 있도록 보장합니다. 그 외에도 방화벽에는 트래픽 패턴, 위협 환경 등에 대한 통찰력을 제공하는 분석 기능도 함께 제공됩니다.

HTTPS/SSL 사용

항상 SSL을 사용하여 사이트가 HTTPS에서 실행되는지 확인하세요. 이는 고객 데이터를 엿보는 눈으로부터 보호하는 방어구입니다. SSL 인증서로 알려진 작은 데이터 파일은 Magento 스토어의 세부 사항을 보안 키에 연결합니다. Magento HTTPS 프로토콜과 자물쇠는 웹 서버에 설치된 후 활성화되어 서버와 사용자 브라우저 간의 보안 연결을 제공합니다.


친숙한 자물쇠 아이콘과 "https://" 접두사는 방문자의 데이터가 제대로 관리되고 있음을 보장합니다. 이는 종종 모호한 디지털 세계에서 진정성의 특징입니다. SSL 암호화는 또한 코드화된 언어로 전달되는 신용 카드 세부 정보, 주소 및 비밀번호와 같은 데이터를 보호합니다.

그 외에도 HTTPS는 피싱 웹사이트를 억제하는 역할을 합니다. SSL을 사용하면 웹사이트를 보호할 뿐만 아니라 고객이 수상한 도플갱어에 빠지지 않도록 보장할 수 있습니다.

마젠토 스캔 도구 실행

Magento Scan Tool은 항상 한발 앞서서 문제를 찾아내므로 문제가 더 큰 문제로 커지기 전에 문제를 해결할 수 있습니다.

하지만 여기에 가장 좋은 부분이 있습니다. 이 도구는 단순히 사물을 훑어보는 것이 아닙니다. 웹 사이트의 가장 작은 세부 사항과 요소를 먼저 살펴보는 것입니다. 취약점이 감지되면 도구는 취약점의 성격과 심각도에 대한 통찰력을 제공합니다. 이 도구는 Magento 판매자에게 무료로 제공됩니다.

보안 패치 활용

Magento는 보고된 결함을 해결하고 플랫폼의 전반적인 보안을 강화하기 위해 보안 업데이트를 자주 출시합니다. 잠재적인 위협으로부터 매장을 보호하려면 가능한 한 빨리 이러한 수정 사항을 적용하는 것이 중요합니다. 귀하가 결함을 발견하는 즉시 즉시 수정하지 않을 경우 해커는 이러한 취약성을 이용하여 귀하의 웹사이트 및 클라이언트 데이터에 대한 무단 액세스를 얻을 수 있습니다.

대부분의 보안 패치는 운영을 중단하지 않고 원활하게 통합되도록 설계되었습니다. 올바른 절차가 마련되어 있으면 이를 적용하는 것이 매우 쉽습니다. 이는 리모컨의 배터리를 교체하는 것과 같습니다. 빠르고 쉬우며 지속적인 작동에 필수적입니다.

Magento 보안 확장 사용

Magento 2는 Magento 웹사이트 보안을 보장하는 데 매우 유용할 수 있는 여러 가지 확장 기능을 제공합니다. 우리는 이미 그 중 몇 가지를 언급했습니다. 다음은 몇 가지 다른 귀중한 Magento 보안 확장입니다.

마젠토 구글 ReCAPTCHA

CAPTCHA는 컴퓨터와 인간을 구별하기 위한 완전 자동화된 공개 튜링 테스트(Complete Automated Public Turing Test to Tell Computer and Humans Apart)를 의미합니다. 이는 본질적으로 인간에게는 쉽지만 봇에게는 매우 복잡한 작업인 영리한 작은 테스트입니다. 특히 Google ReCAPTCHA의 장점은 때로는 봇보다 인간에게 더 번거로웠던 왜곡된 텍스트를 넘어서는 진화입니다. 대신 이제는 사용자가 "나는 로봇이 아닙니다."라는 상자를 선택하기만 하면 됩니다.

Magento의 Google ReCAPTCHA 통합은 게임을 더욱 강화합니다. 적응형 과제와 고급 위험 분석 엔진을 통해 구매를 시도하는 실제 고객과 장난을 일으키려는 봇을 구분할 수 있습니다.

또한 Google ReCAPTCHA는 사이트 디자인에 원활하게 통합되어 사용자가 프로세스를 원활하게 진행할 수 있도록 설계되었습니다.

Mageplaza 공식 홈페이지에서 찍은 스크린샷

워치로그

Watchlog의 주요 목표는 귀하의 웹사이트에 있는 모든 개략적인 헛소리를 관찰하고 기록하는 것입니다. Watchlog의 뛰어난 기능 중 하나는 정상적인 사용자 활동과 잠재적인 악의적인 행동을 구별하는 능력입니다. 누군가가 잘못된 자격 증명을 사용하거나 의심스러운 위치에서 반복적으로 로그인을 시도한다고 가정해 보겠습니다. Watchlog는 이러한 수상한 행동을 기록할 뿐만 아니라 즉시 경고를 보내 양조 문제를 항상 인지할 수 있도록 해줍니다.

또한 Watchlog는 모든 백엔드 액세스 시도에 대한 심층적인 개요를 제공합니다. 즉, 패턴을 쉽게 식별할 수 있으며, 근무 외 시간에 비정상적으로 높은 로그인 시도가 발생하여 취약점이 있음을 암시할 수도 있습니다.

사이트 분석 및 관리에 깊이 관여하는 사람들에게 Watchlog는 금광이기도 합니다. 자세한 로그는 문제 해결, 사용자 관리는 물론 사용자 경험 개선에도 도움이 될 수 있습니다. 웹 사이트의 한 섹션에서 액세스 시도 실패가 반복적으로 발생하는 경우 보안 문제보다는 사용성 문제를 암시할 수 있습니다.

이미지 출처: 어도비

Magento 2에 대한 관리자 작업 로그

관리자 작업 로그는 백엔드의 블랙박스 레코더로, 모든 움직임을 정밀하게 캡처합니다. 충돌이나 사고가 발생하는 경우 로그를 가져와서 탐정 역할을 하면서 일련의 사건을 추적하고 문제가 발생한 부분을 정확히 찾아낼 수 있습니다.

이 확장은 '무엇', '누구', '언제'를 밝혀줍니다. 누군가가 베스트셀러 품목의 가격을 변경했습니까? 아니면 중요한 플러그인의 설정을 변경하시겠습니까? 관리자 작업 로그를 사용하면 어둠 속에 남겨지지 않을 것입니다. 모든 작업에는 타임스탬프가 기록되어 누가 변경했는지, 언제 변경했는지 자세히 알 수 있습니다.

이미지 출처: 아마스티

Magento 2용 보안 제품군

Security Suite는 근본적으로 전체적인 보안의 전형입니다. 별도의 도구를 사용하여 임시 안전망을 구성하는 대신 필요한 모든 것을 하나의 세련된 패키지로 묶습니다. 결과적으로 다음을 받게 됩니다.

  • 모든 백엔드 작업의 완전한 투명성. 기록된 각 활동에는 볼 수 있는 완전한 정보가 있습니다.
  • 진행 중인 세션 및 이전 페이지 방문을 추적합니다. 관리자가 부적절한 행위를 한 경우 수정 내용을 취소할 수 있습니다.
  • 특정 매장 관리자에게 역할을 할당하고 복잡한 비밀번호 설정으로 사용자 권한을 규제하는 기능
  • 알 수 없는 지리적 위치에서 로그인 동작이 의심스러울 때 알림이 표시됩니다.
  • 2단계 인증. 보안 코드 스캔을 생성하려면 Google OTP를 추가하세요.
  • Google Invisible reCaptcha를 통한 스팸 방지.

아마스티 공식 홈페이지에서 캡쳐한 스크린샷

최종 단어

사이버 위협이 진화하는 시대에는 장비를 갖추는 것이 중요합니다. 다행히도 완벽한 보호를 보장하는 효율적인 방법과 Magento 2 도구가 많이 있습니다. 우리 가이드가 가장 적합한 솔루션을 결정하고 활용하는 데 도움이 되기를 바랍니다. 한 가지 분명히 알아야 할 점은 매장의 보안을 지속적으로 모니터링하고 문제가 발생하면 신속하게 조치를 취해야 한다는 것입니다.