Mağazanızı Bilgisayar Korsanlarından Korumak için Magento Güvenlik İpuçları
Yayınlanan: 2023-08-21
HackRead, 2020'de ödeme skimmer saldırısı sırasında 500'den fazla Magento web sitesinin saldırıya uğradığını bildirdi. Her çevrimiçi mağaza, müşterilerin kişisel bilgileri de dahil olmak üzere çok büyük miktarda veri tutar. Bu nedenle, sızıntıyı önlemek için Magento 2 web sitenizin güvenliğine dikkat etmeniz hayati önem taşımaktadır. Ne yazık ki Magento 2 mağaza sahipleri genellikle güvenliği sağlayamıyor ve e-Ticaret web sitelerini savunmasız bırakıyor.
Sizi donatacak ve mağaza ile müşteri verilerini saldırganlardan korumanıza yardımcı olacak on bir ipucu hazırladık. Ancak bunları kendi başınıza uygulamaya istekli değilseniz her zaman Magento geliştirme hizmetlerine başvurabilirsiniz.
İçindekiler
Magento'yu En Son Sürüme Güncelleyin
Her güncellemede Magento, önceki sürümlerdeki güvenlik açıklarını gideren yamalar yayınlar. Bu yamalara ayak uydurmak, geçen sezonun güvenlik açıklarından asla kurtulamayacağınız anlamına gelir.
Magento yükseltmeleri genellikle daha iyi ve daha sezgisel özellikler sunar. Platformunuzu güncel tutmak, mağazanızın koridorlarının net ve davetkar olmasını sağlamak gibi, her zaman kusursuz bir alışveriş deneyimi sunmanızı sağlar.
Her Magento güncellemesi ayrıca daha sorunsuz gezinme, daha hızlı sayfa yükleme süreleri veya daha iyi veritabanı optimizasyonları gibi performans iyileştirmeleriyle birlikte gelme eğilimindedir.
İki Faktörlü Kimlik Doğrulamayı Etkinleştir
Özetle, Magento mağazanızda 2FA'yı etkinleştirmek, zaten güvenli olan bir kasaya yüksek teknolojili bir alarm sistemi eklemek gibidir ve mağazanızın istenmeyen izinsiz girişlere karşı bir kale olarak kalmasını sağlar.
2FA'yı şifrenizin güvenilir yardımcısı olarak düşünün. Bir parola bazen tahmin edilebilir, ele geçirilebilir ve hatta sızdırılabilirken, 2FA devreye girerek ikinci bir kimlik doğrulama biçimi talep ediyor.
Bilgisayar korsanları genellikle kullanıcıları şifrelerini açığa çıkarmaları için kandırmak için kurnaz planlar kullanır. Ancak 2FA'da yalnızca şifreyi bilmek işinizi kolaylaştırmaz. Bir bilgisayar korsanı çalıntı kimlik bilgileriyle oturum açmaya çalışsa bile ikinci kimlik doğrulama adımı onu tuzağa düşürecektir. Magento, 2FA için takip edilmesi kolay kurulumlar sunarak, bunu herhangi bir mağaza sahibinin düşünmesini gerektirmeyen bir hale getirir.
Şifrenizi Düzenli Olarak Değiştirin
Zamanla muhtemelen birçok cihazdan oturum açtınız, hatta şifrenizi bir iş arkadaşınızla paylaştınız. Şans eseri birisi sinsi bir şekilde şifrenizi ele geçirirse, şifrenizi sık sık değiştirmek, şifrenizle fazla ilerleyemeyeceği anlamına gelir.
Ve hepimiz her yerde aynı şifreyi kullanan veya süper basit şifreleri tercih eden birini tanıyoruz (ya da belki biziz). En iyi şifreler, karakterlerin rastgele bir karışımıdır; uzun, biraz ilginç, büyük ve küçük harflerin, çeşitli sembollerin ve sayıların bir karışımından oluşur; tıpkı bazı web sitelerinin şifre seçimlerimizde yaratıcı ve güçlü olmamız için bizi dürtmesi gibi.
Benzersiz Bir Arka Uç URL'si Oluşturun
Magento'daki varsayılan yönetici URL'si /admin olup, kaba kuvvet saldırılarına açıktır ve tahmin edilmesi kolaydır. Ayırt edici bir URL, botların ve bilgisayar korsanlarının yönetici panelini bulmasını ve erişmesini zorlaştırır. Pek çok bilgisayar korsanlığı aracı, güvenlik açıklarından yararlanmak için standart arka uç URL'lerini arar. İşleri değiştirerek mağazanızı onların radarından çıkarmış olursunuz. URL'yi değiştirmek için Yönetici Paneli'ne gidin: Mağazalar > Yapılandırma > Gelişmiş > Yönetici > Yönetici Tabanı URL'si .
Resmi Mageplaza web sitesinde alınan ekran görüntüsü
Düzenli Yedekleme
Bir siber saldırı meydana gelirse paniğe kapılmak veya fidye ödemek yerine, sitenizin yeni bir yedeğini alarak 'geri al' tuşuna basabilirsiniz. Kulağa iyi geliyor? Daha sonra düzenli olarak yedekleme yapmanız gerekir. Bunu dijital güvenlik ağınız olarak düşünün. Bir FTP programını kullanarak sitenizin verilerinin bir kopyasını kolayca alabilirsiniz. Ek olarak, kaydedilen veritabanını dışa aktarmak için phpMyAdmin'e başvurabilirsiniz. Bu şekilde, hızlı bir geri dönüşe her zaman hazır olursunuz.
Güvenlik Duvarından Yararlanın
Güvenlik duvarı, zararlı tehditlere ve yasa dışı erişime karşı ilk koruma hattıdır. Mağazanızı korumak için iki güvenlik duvarı türünden birini kullanabilirsiniz. WAF (Web Uygulaması Güvenlik Duvarı) kullanarak çevrimiçi mağazanızı SQLi, XSS, Brute-force saldırıları, Bot, spam, kötü amaçlı yazılım, DD0S vb. gibi web güvenliği kusurlarına karşı koruyun. Sistem/Ağ Güvenlik Duvarı ise web sunucunuz dışındaki tüm genel erişime izin vermez.
Modern güvenlik duvarlarının güzelliği dikkatlerinde yatmaktadır. Potansiyel tehditleri sürekli olarak izliyor, analiz ediyor ve bunlara göre hareket ediyorlar; böylece sizi alt etmeye çalışanlardan her zaman bir adım önde olmanızı sağlıyorlar. Bunun dışında güvenlik duvarları aynı zamanda trafik düzenleri, tehdit ortamları ve daha fazlasına ilişkin bilgiler sunan analizlerle birlikte gelir.
HTTPS/SSL'yi kullanın
Sitenizin her zaman SSL ile HTTPS üzerinde çalıştığından emin olun; bu, müşteri verilerinizi meraklı gözlerden koruyan zırhtır. SSL sertifikaları olarak bilinen küçük veri dosyaları, Magento mağazanızın özelliklerini bir güvenlik anahtarına bağlar. Magento HTTPS protokolü ve asma kilit, sunucu ile kullanıcının tarayıcısı arasında güvenli bir bağlantı sağlamak için bir web sunucusuna yüklendikten sonra etkinleştirilir.
Tanıdık bir asma kilit simgesi ve "https://" öneki, ziyaretçilere verilerinin emin ellerde olduğunu garanti eder. Bu, genellikle şüpheli bir dijital dünyada özgünlüğün ayırt edici özelliğidir. SSL şifreleme ayrıca kredi kartı bilgileri, adresler ve şifreler gibi verilerin kodlanmış bir dilde taşınmasını da sağlar.
Bunun dışında HTTPS, kimlik avı yapan web siteleri için caydırıcıdır. SSL ile yalnızca web sitenizi korumakla kalmaz, aynı zamanda müşterilerinizin şüpheli benzerlere kanmamasını da sağlarsınız.
Magento Tarama Aracını Çalıştırın
Magento Tarama Aracı her zaman bir adım öndedir ve tüm aksaklıkları tespit eder, böylece daha büyük baş ağrılarına dönüşmeden onları düzeltebilirsiniz.
Ancak işin en iyi kısmı şu; bu araç sadece nesnelere göz atmıyor. Web sitenizin en küçük ayrıntılarına ve öğelerine balıklama dalmaktır. Bir güvenlik açığı tespit edildiğinde araç, güvenlik açığının niteliğine ve ciddiyetine ilişkin bilgiler sağlar. Araç, Magento satıcılarına ücretsiz olarak sunulmaktadır.
Güvenlik Yamalarını Kullanın
Magento, bildirilen kusurları gidermek ve platformun genel güvenliğini artırmak için sıklıkla güvenlik güncellemeleri yayınlar. Mağazanızı potansiyel tehditlerden korumak için bu düzeltmeleri mümkün olan en kısa sürede uygulamak kritik öneme sahiptir. Herhangi bir kusuru fark edilir edilmez hemen düzeltmezseniz, bilgisayar korsanları bu güvenlik açıklarını web sitenize ve müşteri verilerinize yetkisiz erişim elde etmek için kullanabilirler.
Çoğu güvenlik yaması, operasyonlarınızı aksatmadan sorunsuz bir şekilde entegre edilecek şekilde tasarlanmıştır. Doğru prosedürler uygulandığında bunları uygulamak çocuk oyuncağıdır. Bu, uzaktan kumandanızın pillerini değiştirmek gibidir; hızlı, kolay ve sürekli çalışma için gereklidir.
Magento Güvenlik Uzantılarını Kullanın
Magento 2, Magento web sitenizin güvenliğini sağlamak için son derece yararlı olabilecek çeşitli uzantılar sunar. Bunlardan birkaçına daha önce değinmiştik. İşte diğer birkaç değerli Magento güvenlik uzantısı.
Magento Google ReCAPTCHA
CAPTCHA, Bilgisayarları ve İnsanları Ayırmak İçin Tamamen Otomatikleştirilmiş Kamu Turing Testi anlamına gelir. Bu aslında insanlar için kolay ama botlar için çok karmaşık bir görev olan zekice hazırlanmış küçük bir testtir. Özellikle Google ReCAPTCHA'nın güzelliği, kabul edelim ki bazen botlardan çok insanlar için sorun teşkil eden çarpık metinlerin ötesindeki evrimidir. Bunun yerine, artık genellikle kullanıcının "Ben robot değilim" yazan bir kutuyu işaretlemesi gerekiyor.
Magento'nun Google ReCAPTCHA entegrasyonu oyunu daha da hızlandırıyor. Uyarlanabilir zorlukları ve gelişmiş risk analizi motoru, satın alma işlemi yapmaya çalışan gerçek bir müşteri ile yaramazlık yapmaya çalışan bir bot arasındaki farkı söyleyebileceği anlamına gelir.
Dahası, Google ReCAPTCHA, sitenizin tasarımına sorunsuz bir şekilde uyum sağlayacak ve kullanıcıların süreç boyunca kolayca ilerlemesini sağlayacak şekilde tasarlanmıştır.
Resmi Mageplaza web sitesinde alınan ekran görüntüsü
İzleme günlüğü
Watchlog'un birincil hedefi, web sitenizdeki yarım yamalak saçmalıkları gözlemlemek ve kaydetmektir. Watchlog'un öne çıkan özelliklerinden biri, normal kullanıcı etkinliği ile potansiyel olarak kötü niyetli davranışlar arasında ayrım yapabilme yeteneğidir. Birisinin sürekli olarak yanlış kimlik bilgileriyle veya şüpheli bir konumdan oturum açmaya çalıştığını varsayalım. İzleme Günlüğü yalnızca bu şüpheli davranışı kaydetmekle kalmaz, aynı zamanda anında uyarı vererek, bira hazırlama sorunlarından her zaman haberdar olmanızı sağlar.
Ayrıca Watchlog, tüm arka uç erişim girişimlerine ilişkin derinlemesine bir genel bakış sağlar. Bu, kalıpları kolayca tanımlayabileceğiniz anlamına gelir; belki de çalışma saatleri dışında alışılmadık derecede yüksek oturum açma girişimlerinin olduğunu fark ederek olası bir güvenlik açığına işaret edebilirsiniz.
Site analitiği ve yönetimine derinlemesine dalanlar için Watchlog aynı zamanda bir altın madenidir. Ayrıntılı günlükleri sorun gidermeye, kullanıcı yönetimine ve hatta kullanıcı deneyimini iyileştirmeye yardımcı olabilir. Web sitenizin bir bölümünde tekrarlanan başarısız erişim girişimleri görülüyorsa, bu durum güvenlik sorunu yerine kullanılabilirlik sorununa işaret ediyor olabilir.
Resim kredisi: Adobe
Magento 2 için Yönetici Eylemleri Günlüğü
Yönetici Eylemleri Günlüğü, her hareketi hassasiyetle kaydeden, arka ucunuzun kara kutu kaydedicisidir. Bir kaza veya aksilik durumunda, günlüğü çekip dedektifçilik oynayabilir, olayların sırasını takip edebilir ve işlerin nerede ters gitmiş olabileceğini tam olarak belirleyebilirsiniz.
Bu uzantı 'ne', 'kim' ve 'ne zaman' sorularını gün ışığına çıkarıyor. Birisi çok satan bir ürünün fiyatını mı değiştirdi? Ya da belki önemli bir eklentinin ayarlarını değiştirebilirsiniz? Yönetici Eylemleri Günlüğü sayesinde karanlıkta kalmayacaksınız. Her eyleme, değişikliği kimin yaptığını ve ne zaman yapıldığını ayrıntılarıyla belirten zaman damgası yerleştirilmiştir.
İmaj kredisi: Amasty
Magento 2 için Güvenlik Paketi
Güvenlik Paketi özünde bütünsel güvenliğin somut örneğidir. Ayrı araçlarla çalışıp derme çatma bir güvenlik ağı oluşturmak yerine, ihtiyacınız olan her şeyi tek bir şık pakette bir araya getirir. Sonuç olarak şunları alırsınız:
- Tüm arka uç eylemlerinin tam şeffaflığı. Günlüğe kaydedilen her aktivitenin görüntülenebilecek eksiksiz bilgileri vardır;
- Devam eden oturumların ve önceki sayfa ziyaretlerinin takibi. Yöneticilerin uygunsuz bir davranışta bulunması durumunda değişiklikleri geri alabilirsiniz;
- Belirli mağaza yöneticilerine roller atama ve karmaşık şifre ayarlarıyla kullanıcı haklarını düzenleme yeteneği;
- Bilinmeyen coğrafi konumlardan oturum açma davranışı şüpheli göründüğünde bildirimler;
- İki adımlı kimlik doğrulama. Bir güvenlik kodu taraması oluşturmak için Google Authenticator'ı ekleyin;
- Google Görünmez reCaptcha ile spam koruması.
Resmi Amasty web sitesinde alınan ekran görüntüsü
Son söz
Siber tehditlerin hızla geliştiği bir çağda, donanımlı kalmak hayati önem taşıyor. Neyse ki tam koruma sağlayan birçok etkili uygulama ve Magento 2 aracı var. Rehberimizin en uygun çözümleri belirlemenize ve kullanmanıza yardımcı olacağını umuyoruz. Açıkça anlamanız gereken şey, mağazanın güvenliğini sürekli izlemeniz ve bir şeyler ters giderse hızla önlem almanız gerektiğidir.