เคล็ดลับการรักษาความปลอดภัยของ Magento เพื่อปกป้องร้านค้าของคุณจากแฮกเกอร์

เผยแพร่แล้ว: 2023-08-21

แบ่งปันบนโปรไฟล์โซเชียล

HackRead รายงานว่าในปี 2020 ระหว่างการโจมตีแบบเพย์เมนต์สกิมเมอร์ เว็บไซต์ Magento มากกว่า 500 แห่งถูกแฮ็ก ร้านค้าออนไลน์แต่ละแห่งเก็บข้อมูลจำนวนมหาศาล รวมถึงข้อมูลส่วนบุคคลของลูกค้าด้วย ดังนั้น เพื่อป้องกันไม่ให้รั่วไหล สิ่งสำคัญคือต้องระวังความปลอดภัยของเว็บไซต์ Magento 2 ของคุณ น่าเสียดายที่เจ้าของร้านค้า Magento 2 มักจะล้มเหลวในการรับรองความปลอดภัย ทำให้เว็บไซต์อีคอมเมิร์ซของตนมีความเสี่ยง

เราได้เตรียมเคล็ดลับ 11 ประการที่จะจัดเตรียมและช่วยเหลือคุณในการรักษาข้อมูลร้านค้าและข้อมูลลูกค้าให้ปลอดภัยจากผู้โจมตี แต่ถ้าคุณไม่เต็มใจที่จะนำไปใช้งานด้วยตัวเอง คุณสามารถหันไปใช้บริการพัฒนา Magento ได้ตลอดเวลา

สารบัญ

สลับ

อัปเดต Magento เป็นเวอร์ชันล่าสุด
เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย
เปลี่ยนรหัสผ่านเป็นประจำ
สร้าง URL แบ็กเอนด์ที่ไม่ซ้ำ
สำรองข้อมูลอย่างสม่ำเสมอ
ใช้ประโยชน์จากไฟร์วอลล์
ใช้ HTTPS/SSL
เรียกใช้เครื่องมือสแกน Magento
ใช้แพตช์รักษาความปลอดภัย
ใช้ส่วนขยายความปลอดภัยของ Magento
- วีโอไอพี Google ReCAPTCHA
- Watchlog
- บันทึกการดำเนินการของผู้ดูแลระบบสำหรับ Magento 2
- ชุดรักษาความปลอดภัยสำหรับ Magento 2
คำสุดท้าย

อัปเดต Magento เป็นเวอร์ชันล่าสุด

ในการอัปเดตทุกครั้ง Magento จะออกแพตช์ที่แก้ไขช่องโหว่จากเวอร์ชันก่อนหน้า การติดตามแพตช์เหล่านี้หมายความว่าคุณจะไม่เหลือช่องโหว่ของฤดูกาลที่แล้ว

การอัพเกรด Magento มักจะนำเสนอคุณสมบัติที่ดีขึ้นและใช้งานง่ายยิ่งขึ้น การอัปเดตแพลตฟอร์มของคุณอยู่เสมอทำให้มั่นใจได้ว่าคุณจะได้รับประสบการณ์การช็อปปิ้งที่ราบรื่นอยู่เสมอ เช่นเดียวกับการทำให้ช่องทางเดินในร้านค้าของคุณชัดเจนและน่าดึงดูดใจ

การอัปเดต Magento แต่ละครั้งยังมีแนวโน้มที่จะมาพร้อมกับการปรับปรุงประสิทธิภาพ เช่น การนำทางที่ราบรื่นขึ้น เวลาในการโหลดหน้าเว็บเร็วขึ้น หรือการเพิ่มประสิทธิภาพฐานข้อมูลที่ดีขึ้น

เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย

โดยสรุป การเปิดใช้งาน 2FA บนร้านค้า Magento ของคุณเปรียบเสมือนการเพิ่มระบบเตือนภัยที่ใช้เทคโนโลยีขั้นสูงเข้าไปในห้องนิรภัยที่ปลอดภัยอยู่แล้ว เพื่อให้มั่นใจว่าร้านค้าของคุณยังคงเป็นป้อมปราการจากการบุกรุกที่ไม่พึงประสงค์

ลองนึกภาพ 2FA เป็นผู้ช่วยที่ไว้ใจได้สำหรับรหัสผ่านของคุณ แม้ว่ารหัสผ่านสามารถคาดเดา ดักจับ หรือแม้กระทั่งรั่วไหลได้เป็นครั้งคราว แต่ 2FA ก็เข้ามาแทรกแซงโดยเรียกร้องให้มีการระบุตัวตนในรูปแบบที่สอง

แฮกเกอร์มักใช้แผนการอันชาญฉลาดเพื่อหลอกให้ผู้ใช้เปิดเผยรหัสผ่านของตน แต่ด้วย 2FA การรู้รหัสผ่านเพียงอย่างเดียวไม่ได้ช่วยอะไรมากนัก แม้ว่าแฮกเกอร์จะพยายามเข้าสู่ระบบด้วยข้อมูลประจำตัวที่ถูกขโมยไป แต่ขั้นตอนการตรวจสอบสิทธิ์ขั้นที่สองก็จะขัดขวางพวกเขา Magento นำเสนอการตั้งค่า 2FA ที่ปฏิบัติตามได้ง่าย ทำให้เจ้าของร้านค้าทุกคนไม่ต้องคิดอะไรมาก

เปลี่ยนรหัสผ่านเป็นประจำ

เมื่อเวลาผ่านไป คุณอาจลงชื่อเข้าใช้จากอุปกรณ์จำนวนมากหรืออาจแชร์รหัสผ่านกับเพื่อนร่วมงานด้วยซ้ำ ในกรณีที่มีคนแอบซ่อนรหัสผ่านของคุณ การเปลี่ยนรหัสผ่านบ่อยครั้งจะทำให้พวกเขาไม่สามารถทำอะไรได้ไกล

และเราทุกคนรู้จักใครบางคน (หรืออาจเป็นพวกเราเอง) ที่ใช้รหัสผ่านเดียวกันทุกที่หรือเลือกใช้รหัสผ่านแบบพื้นฐานพิเศษเหล่านั้น รหัสผ่านที่ดีที่สุดคือการสุ่มผสมตัวอักษร ยาวๆ แปลกๆ เล็กน้อย โดยมีทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก สัญลักษณ์ต่างๆ และตัวเลขผสมกัน เช่นเดียวกับที่บางเว็บไซต์กระตุ้นให้เราสร้างสรรค์และแข็งแกร่งด้วยตัวเลือกรหัสผ่านของเรา

สร้าง URL แบ็กเอนด์ที่ไม่ซ้ำ

URL ผู้ดูแลระบบเริ่มต้นบน Magento คือ /admin ซึ่งเปิดให้มีการโจมตีแบบ bruteforce และคาดเดาได้ง่าย URL ที่โดดเด่นทำให้บอทและแฮกเกอร์ค้นหาและเข้าถึงแผงผู้ดูแลระบบได้ยากขึ้น เครื่องมือแฮ็กจำนวนมากค้นหา URL แบ็กเอนด์มาตรฐานเพื่อใช้ประโยชน์จากช่องโหว่ ด้วยการเปลี่ยนสิ่งต่าง ๆ คุณกำลังทำให้ร้านค้าของคุณหลุดจากเรดาร์ หากต้องการเปลี่ยน URL ให้ไปที่แผงผู้ดูแลระบบ: ร้านค้า > การกำหนดค่า > ขั้นสูง > ผู้ดูแลระบบ > URL ฐานผู้ดูแลระบบ

ภาพหน้าจอที่ถ่ายบนเว็บไซต์ Mageplaza อย่างเป็นทางการ

สำรองข้อมูลอย่างสม่ำเสมอ

หากมีการโจมตีทางไซเบอร์เกิดขึ้น แทนที่จะตื่นตระหนกหรือจ่ายค่าไถ่ คุณอาจเพียงกด 'เลิกทำ' ด้วยการสำรองข้อมูลล่าสุดของเว็บไซต์ของคุณ ฟังดูเข้าท่า? จากนั้นคุณจะต้องทำการสำรองข้อมูลอย่างสม่ำเสมอ คิดว่ามันเป็นเครือข่ายความปลอดภัยทางดิจิทัลของคุณ คุณสามารถดึงสำเนาข้อมูลเว็บไซต์ของคุณได้อย่างง่ายดายโดยใช้โปรแกรม FTP นอกจากนี้ คุณอาจหันไปใช้ phpMyAdmin เพื่อส่งออกฐานข้อมูลที่บันทึกไว้ ด้วยวิธีนี้ คุณจะพร้อมเสมอสำหรับการตีกลับอย่างรวดเร็ว

ใช้ประโยชน์จากไฟร์วอลล์

ไฟร์วอลล์เป็นบรรทัดแรกของการป้องกันภัยคุกคามที่เป็นอันตรายและการเข้าถึงที่ผิดกฎหมาย เพื่อปกป้องร้านค้าของคุณ คุณสามารถใช้ไฟร์วอลล์ประเภทใดประเภทหนึ่งจากสองประเภทได้ ปกป้องร้านค้าออนไลน์ของคุณจากข้อบกพร่องด้านความปลอดภัยของเว็บ เช่น SQLi, XSS, การโจมตีแบบ Brute-force, บอท, สแปม, มัลแวร์, DD0S ฯลฯ โดยใช้ WAF (ไฟร์วอลล์แอปพลิเคชันเว็บ) ในทางกลับกัน ไฟร์วอลล์ระบบ/เครือข่าย จะไม่อนุญาตให้เข้าถึงแบบสาธารณะทั้งหมด ยกเว้นจากเว็บเซิร์ฟเวอร์ของคุณ

ความงามของไฟร์วอลล์ยุคใหม่อยู่ที่ความระมัดระวัง พวกเขากำลังเฝ้าดู วิเคราะห์ และดำเนินการกับภัยคุกคามที่อาจเกิดขึ้นอย่างต่อเนื่อง เพื่อให้มั่นใจว่าคุณจะนำหน้าผู้ที่พยายามเอาชนะคุณอยู่เสมอ นอกจากนั้น ไฟร์วอลล์ยังมาพร้อมกับการวิเคราะห์ที่ให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการรับส่งข้อมูล ภาพรวมภัยคุกคาม และอื่นๆ อีกมากมาย

ใช้ HTTPS/SSL

ตรวจสอบให้แน่ใจว่าไซต์ของคุณทำงานบน HTTPS ด้วย SSL เสมอ ซึ่งเป็นเกราะป้องกันข้อมูลลูกค้าของคุณจากการสอดรู้สอดเห็น ไฟล์ข้อมูลขนาดเล็กที่เรียกว่าใบรับรอง SSL จะเชื่อมโยงข้อมูลเฉพาะของร้านค้า Magento ของคุณเข้ากับคีย์ความปลอดภัย โปรโตคอล Magento HTTPS และกุญแจล็อคจะถูกเปิดใช้งานหลังจากติดตั้งบนเว็บเซิร์ฟเวอร์ เพื่อให้การเชื่อมต่อที่ปลอดภัยระหว่างเซิร์ฟเวอร์และเบราว์เซอร์ของผู้ใช้

ไอคอนแม่กุญแจที่คุ้นเคยและคำนำหน้า "https://" ช่วยให้ผู้เยี่ยมชมมั่นใจว่าข้อมูลของพวกเขาอยู่ในมือที่ดี เป็นจุดเด่นของความถูกต้องในโลกดิจิทัลที่มักน่าสงสัย การเข้ารหัส SSL ยังช่วยให้แน่ใจว่าข้อมูล เช่น รายละเอียดบัตรเครดิต ที่อยู่ และรหัสผ่านที่เดินทางในภาษาที่เข้ารหัสนั้นได้รับการปกป้อง

นอกจากนั้น HTTPS ยังเป็นตัวยับยั้งเว็บไซต์ฟิชชิ่งอีกด้วย ด้วย SSL คุณไม่เพียงแต่ปกป้องเว็บไซต์ของคุณเท่านั้น แต่ยังทำให้มั่นใจว่าลูกค้าของคุณจะไม่ตกเป็นเหยื่อคู่อริที่ลึกลับอีกด้วย

เรียกใช้เครื่องมือสแกน Magento

Magento Scan Tool ล้ำหน้าไปหนึ่งก้าวเสมอ โดยตรวจพบปัญหาใดๆ เพื่อให้คุณสามารถแก้ไขมันได้ก่อนที่มันจะลุกลามไปสู่อาการปวดหัวที่ใหญ่กว่านั้น

แต่นี่คือส่วนที่ดีที่สุด - เครื่องมือนี้ไม่ใช่แค่การดูสิ่งต่างๆ เท่านั้น มุ่งเน้นไปที่รายละเอียดและองค์ประกอบที่เล็กที่สุดของเว็บไซต์ของคุณเป็นอันดับแรก เมื่อตรวจพบช่องโหว่ เครื่องมือจะให้ข้อมูลเชิงลึกเกี่ยวกับลักษณะและความรุนแรงของช่องโหว่ เครื่องมือนี้มีให้บริการฟรีสำหรับผู้ค้า Magento

ใช้แพตช์รักษาความปลอดภัย

Magento มักจะเผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขข้อบกพร่องที่รายงานและปรับปรุงความปลอดภัยโดยรวมของแพลตฟอร์ม เพื่อปกป้องร้านค้าของคุณจากภัยคุกคามที่อาจเกิดขึ้น การใช้การแก้ไขเหล่านี้โดยเร็วที่สุดถือเป็นสิ่งสำคัญ แฮกเกอร์อาจใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงเว็บไซต์และข้อมูลลูกค้าของคุณโดยไม่ได้รับอนุญาต หากคุณไม่สามารถแก้ไขข้อบกพร่องได้ทันทีที่ค้นพบ

แพตช์รักษาความปลอดภัยส่วนใหญ่ได้รับการออกแบบให้บูรณาการได้อย่างราบรื่นโดยไม่กระทบต่อการดำเนินงานของคุณ ด้วยขั้นตอนที่ถูกต้อง การนำไปใช้จึงเป็นเรื่องง่าย เหมือนกับการเปลี่ยนแบตเตอรี่ในรีโมทของคุณ รวดเร็ว ง่ายดาย และจำเป็นสำหรับการทำงานต่อเนื่อง

ใช้ส่วนขยายความปลอดภัยของ Magento

Magento 2 มีส่วนขยายหลายอย่างที่อาจมีประโยชน์อย่างยิ่งในการรับประกันความปลอดภัยของเว็บไซต์ Magento ของคุณ เราได้กล่าวถึงบางส่วนแล้ว นี่คือส่วนขยายความปลอดภัย Magento อันทรงคุณค่าอื่นๆ อีกหลายรายการ

วีโอไอพี Google ReCAPTCHA

CAPTCHA ย่อมาจากการทดสอบทัวริงสาธารณะอัตโนมัติโดยสมบูรณ์เพื่อแยกคอมพิวเตอร์และมนุษย์ออกจากกัน โดยพื้นฐานแล้วเป็นการทดสอบเล็กๆ น้อยๆ ที่ชาญฉลาดซึ่งง่ายสำหรับมนุษย์ แต่เป็นงานที่ซับซ้อนมากสำหรับบอท ความงดงามของ Google ReCAPTCHA โดยเฉพาะอย่างยิ่งคือวิวัฒนาการที่เหนือกว่าข้อความที่บิดเบี้ยว ซึ่งบางครั้งก็สร้างปัญหาให้กับมนุษย์มากกว่าบอท แต่ปัจจุบันมักต้องการให้ผู้ใช้ทำเครื่องหมายในช่องที่ระบุว่า "ฉันไม่ใช่หุ่นยนต์"

การผสานรวม Google ReCAPTCHA ของ Magento ช่วยยกระดับเกมให้ดียิ่งขึ้นไปอีก ความท้าทายในการปรับตัวและกลไกการวิเคราะห์ความเสี่ยงขั้นสูงทำให้สามารถบอกความแตกต่างระหว่างลูกค้าจริงที่พยายามซื้อสินค้าและบอทที่พยายามก่อความเสียหายได้

ยิ่งไปกว่านั้น Google ReCAPTCHA ยังได้รับการออกแบบให้เข้ากับการออกแบบเว็บไซต์ของคุณได้อย่างราบรื่น เพื่อให้มั่นใจว่าผู้ใช้สามารถเลื่อนดูกระบวนการต่างๆ ได้

ภาพหน้าจอที่ถ่ายบนเว็บไซต์ Mageplaza อย่างเป็นทางการ

Watchlog

เป้าหมายหลักของ Watchlog คือการสังเกตและบันทึกภาพตลกๆ สั้นๆ บนเว็บไซต์ของคุณ คุณสมบัติที่โดดเด่นอย่างหนึ่งของ Watchlog คือความสามารถในการแยกความแตกต่างระหว่างกิจกรรมของผู้ใช้ปกติและพฤติกรรมที่อาจเป็นอันตราย สมมติว่ามีคนพยายามเข้าสู่ระบบด้วยข้อมูลประจำตัวที่ไม่ถูกต้องหรือมาจากตำแหน่งที่น่าสงสัยซ้ำแล้วซ้ำเล่า Watchlog ไม่เพียงแต่บันทึกพฤติกรรมคาวนี้เท่านั้น แต่ยังส่งการแจ้งเตือนออกไปทันที เพื่อให้มั่นใจว่าคุณจะทราบถึงปัญหาในการต้มเบียร์อยู่เสมอ

นอกจากนี้ Watchlog ยังให้ภาพรวมเชิงลึกของความพยายามในการเข้าถึงแบ็กเอนด์ทั้งหมด ซึ่งหมายความว่าคุณสามารถระบุรูปแบบได้อย่างง่ายดาย โดยอาจสังเกตว่ามีความพยายามเข้าสู่ระบบสูงผิดปกติในช่วงนอกเวลาทำการ ซึ่งบ่งบอกถึงช่องโหว่ที่อาจเกิดขึ้น

สำหรับผู้ที่เจาะลึกเข้าไปในการวิเคราะห์และการจัดการไซต์ Watchlog ก็เป็นเหมืองทองเช่นกัน บันทึกโดยละเอียดสามารถช่วยในการแก้ไขปัญหา การจัดการผู้ใช้ และแม้กระทั่งการปรับปรุงประสบการณ์ผู้ใช้ หากส่วนหนึ่งของเว็บไซต์ของคุณพบว่ามีความพยายามในการเข้าถึงที่ไม่สำเร็จซ้ำหลายครั้ง อาจบ่งบอกถึงปัญหาด้านการใช้งานมากกว่าปัญหาด้านความปลอดภัย

เครดิตภาพ: Adobe

บันทึกการดำเนินการของผู้ดูแลระบบสำหรับ Magento 2

Admin Actions Log คือเครื่องบันทึกกล่องดำของแบ็กเอนด์ของคุณ ซึ่งบันทึกทุกการเคลื่อนไหวอย่างแม่นยำ ในกรณีที่เกิดอุบัติเหตุหรืออุบัติเหตุ คุณสามารถดึงบันทึกขึ้นมาแล้วเล่นเป็นนักสืบ ติดตามลำดับเหตุการณ์และระบุจุดที่อาจเกิดการผิดพลาดได้

ส่วนขยายนี้ทำให้ความกระจ่างว่า 'อะไร', 'ใคร' และ 'เมื่อไหร่' มีใครเปลี่ยนแปลงราคาของสินค้าขายดีหรือไม่? หรืออาจเปลี่ยนการตั้งค่าของปลั๊กอินที่สำคัญ? คุณจะไม่ถูกทิ้งให้อยู่ในความมืดด้วยบันทึกการดำเนินการของผู้ดูแลระบบ ทุกการกระทำจะมีการประทับเวลา โดยระบุรายละเอียดว่าใครเป็นผู้ทำการเปลี่ยนแปลงและเกิดขึ้นเมื่อใด

เครดิตภาพ: Amasty

ชุดรักษาความปลอดภัยสำหรับ Magento 2

โดยแก่นแท้แล้ว ชุดรักษาความปลอดภัยคือสิ่งที่ดีเลิศของการรักษาความปลอดภัยแบบองค์รวม แทนที่จะต้องใช้เครื่องมือแยกกันโดยประกอบตาข่ายนิรภัยชั่วคราว ระบบจะรวมทุกสิ่งที่คุณต้องการไว้ในแพ็คเกจที่ทันสมัยเพียงอันเดียว เป็นผลให้คุณได้รับ:

ความโปร่งใสโดยรวมของการดำเนินการแบ็กเอนด์ทั้งหมด กิจกรรมที่บันทึกไว้แต่ละรายการมีข้อมูลครบถ้วนสำหรับการดู
ติดตามเซสชันที่กำลังดำเนินอยู่และการเข้าชมเพจก่อนหน้า หากผู้ดูแลระบบดำเนินการที่ไม่เหมาะสม คุณสามารถยกเลิกการแก้ไขได้
ความสามารถในการกำหนดบทบาทให้กับผู้จัดการร้านค้าบางรายและควบคุมสิทธิ์ผู้ใช้ด้วยการตั้งค่ารหัสผ่านที่ซับซ้อน
การแจ้งเตือนเมื่อพฤติกรรมการเข้าสู่ระบบจากตำแหน่งทางภูมิศาสตร์ที่ไม่รู้จักดูน่าสงสัย
การรับรองความถูกต้องสองขั้นตอน หากต้องการสแกนรหัสความปลอดภัย ให้เพิ่ม Google Authenticator
การป้องกันสแปมด้วย Google Invisible reCaptcha

ภาพหน้าจอที่ถ่ายบนเว็บไซต์ทางการของ Amasty

คำสุดท้าย

ในยุคแห่งภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป การเตรียมพร้อมอยู่เสมอถือเป็นสิ่งสำคัญ โชคดีที่มีแนวทางปฏิบัติที่มีประสิทธิภาพมากมายและเครื่องมือ Magento 2 ที่รับประกันการปกป้องเต็มรูปแบบ หวังว่าคำแนะนำของเราจะช่วยคุณในการพิจารณาและใช้งานโซลูชันที่เหมาะสมที่สุด สิ่งหนึ่งที่คุณควรเข้าใจอย่างชัดเจนคือคุณควรตรวจสอบความปลอดภัยของร้านค้าอย่างต่อเนื่อง และดำเนินมาตรการอย่างรวดเร็วหากมีสิ่งผิดปกติเกิดขึ้น