Magento 安全提示可保护您的商店免受黑客攻击

已发表: 2023-08-21
在社交档案上分享。
玛根托

HackRead 报告称,2020 年,在一次支付窃取器攻击中,超过 500 个 Magento 网站遭到黑客攻击。 每个在线商店都保存着大量数据,包括客户的个人信息。 因此,为了防止泄露,注意 Magento 2 网站的安全至关重要。 不幸的是,Magento 2 商店所有者经常无法确保安全,导致他们的电子商务网站容易受到攻击。

我们准备了十一条技巧,可以帮助您保护商店和客户数据免受攻击者的攻击。 然而,如果您不愿意自己实现它们,您可以随时求助于 Magento 开发服务。

目录

将 Magento 更新到最新版本

每次更新时,Magento 都会发布补丁来解决以前版本中的漏洞。 及时更新这些补丁意味着您永远不会再遇到上一季的漏洞。


Magento 升级通常会引入更好、更直观的功能。 保持平台更新可确保您始终提供无缝的购物体验,就像确保商店过道清晰且有吸引力一样。

每个 Magento 更新还往往会带来性能改进,例如更流畅的导航、更快的页面加载时间或更好的数据库优化。

启用双因素身份验证

简而言之,在您的 Magento 商店中启用 2FA 就像在已经安全的保险库中添加高科技警报系统一样,确保您的商店仍然是抵御不必要入侵的堡垒。

将 2FA 想象为您密码的可靠助手。 虽然密码偶尔会被猜出、截获,甚至泄露,但 2FA 却突然出现,要求采用第二种形式的身份验证。

黑客经常采用狡猾的方案来诱骗用户泄露密码。 但对于 2FA,仅仅知道密码并不能解决问题。 即使黑客试图使用窃取的凭据登录,第二个身份验证步骤也会让他们陷入困境。 Magento 为 2FA 提供了易于遵循的设置,这对于任何店主来说都是轻而易举的事情。

定期更改密码

随着时间的推移,您可能已经从许多设备登录,甚至可能与同事共享您的密码。 万一有人偷偷摸摸地掌握了您的密码,更改密码通常意味着他们不会走得太远。

我们都知道有人(或者也许是我们)到处使用相同的密码或使用那些超级基本的密码。 最好的密码是字符的随机组合——很长,有点古怪,混合了大小写、各种符号和数字,就像一些网站鼓励我们在密码选择上发挥创意和强大一样。

创建唯一的后端 URL

Magento 上的默认管理 URL 是/admin ,它容易受到暴力攻击并且很容易被猜测。 独特的 URL 使机器人和黑客更难找到和访问管理面板。 许多黑客工具都会搜索标准后端 URL 来利用漏洞。 通过改变事情,你可以让你的商店远离他们的视线。 要更改 URL,请转至管理面板:商店 > 配置 > 高级 > 管理 > 管理基本 URL

截图自Mageplaza官方网站

定期备份

如果发生网络攻击,您不必惊慌或支付赎金,只需使用网站的最新备份点击“撤消”即可。 听起来不错? 那么你需要定期进行备份。 将其视为您的数字安全网。 您可以使用 FTP 程序轻松获取站点数据的副本。 另外,您可以使用phpMyAdmin导出已保存的数据库。 这样,您就可以随时准备好快速反弹。

利用防火墙

防火墙是抵御有害威胁和非法访问的第一道防线。 为了保护您的商店,您可以使用两种防火墙类型之一。 使用 WAF(Web 应用程序防火墙)保护您的在线商店免受 SQLi、XSS、暴力攻击、机器人、垃圾邮件、恶意软件、DD0S 等 Web 安全缺陷的影响。 系统/网络防火墙则不允许除 Web 服务器之外的所有公共访问。

现代防火墙的美妙之处在于它们的警惕性。 他们不断观察、分析潜在威胁并采取行动,确保您始终比那些试图智取您的人领先一步。 除此之外,防火墙还具有分析功能,可以提供对流量模式、威胁情况等的洞察。

使用 HTTPS/SSL

始终确保您的网站在带有 SSL 的 HTTPS 上运行 - 这是保护您的客户数据免遭窥探的盔甲。 称为 SSL 证书的小数据文件将 Magento 商店的详细信息链接到安全密钥。 Magento HTTPS 协议和挂锁在安装到 Web 服务器上后会被激活,以在服务器和用户浏览器之间提供安全连接。


熟悉的挂锁图标和“https://”前缀向访问者保证他们的数据得到妥善保管。 在常常令人怀疑的数字世界中,这是真实性的标志。 SSL 加密还确保以编码语言传输的信用卡详细信息、地址和密码等数据受到保护。

除此之外,HTTPS 对网络钓鱼网站具有威慑作用。 使用 SSL,您不仅可以保护您的网站,还可以确保您的客户不会落入可疑的替身之手。

运行 Magento 扫描工具

Magento 扫描工具始终领先一步,发现任何问题,以便您可以在它们爆发成更令人头痛的问题之前修复它们。

但这是最好的部分 - 这个工具不仅仅是浏览事物。 它会深入研究网站的最小细节和元素。 当检测到漏洞时,该工具会提供有关其性质和严重性的见解。 该工具免费提供给 Magento 商家。

使用安全补丁

Magento 经常发布安全更新来解决报告的缺陷并增强平台的整体安全性。 为了保护您的商店免受潜在威胁,尽快应用这些修复至关重要。 如果您在发现任何缺陷后未能立即修复这些漏洞,黑客可能会利用这些漏洞对您的网站和客户数据进行未经授权的访问。

大多数安全补丁都旨在无缝集成,而不会中断您的操作。 有了正确的程序,应用它们就变得轻而易举。 这就像更换遥控器的电池一样——快速、简单,并且对于持续操作至关重要。

使用 Magento 安全扩展

Magento 2 提供了多个扩展,这些扩展对于确保 Magento 网站的安全可能非常有用。 我们已经提到过其中的几个。 以下是其他几个有价值的 Magento 安全扩展。

Magento 谷歌 ReCAPTCHA

CAPTCHA 代表完全自动化的公共图灵测试来区分计算机和人类。 这本质上是一个聪明的小测试,对人类来说很容易,但对机器人来说却是一项非常复杂的任务。 Google ReCAPTCHA 的优点尤其在于它超越了那些扭曲的文本,让我们面对现实吧,这些文本有时对人类来说比对机器人来说更麻烦。 相反,它现在通常只需要用户勾选一个框,上面写着“我不是机器人”。

Magento 的 Google ReCAPTCHA 集成进一步提升了游戏的性能。 其自适应挑战和先进的风险分析引擎意味着它可以区分试图购买的真正客户和试图造成恶作剧的机器人。

更重要的是,Google ReCAPTCHA 旨在顺利融入您网站的设计,确保用户可以顺利完成整个过程。

截图自Mageplaza官方网站

观察日志

Watchlog 的主要目标是观察并记录您网站上的任何粗略恶作剧。 Watchlog 的一项突出功能是能够区分正常用户活动和潜在恶意行为。 假设有人反复尝试使用不正确的凭据或从可疑位置登录。 监视日志不仅会记录这种可疑行为,还会及时发出警报,确保您始终了解任何酿造问题。

此外,Watchlog 还提供所有后端访问尝试的深入概述。 这意味着您可以轻松识别模式,也许会注意到在非工作时间有异常高的登录尝试,暗示可能存在漏洞。

对于那些深入研究网站分析和管理的人来说,Watchlog 也是一座金矿。 其详细日志有助于故障排除、用户管理,甚至改善用户体验。 如果您网站的某个部分多次出现访问失败的情况,则可能暗示存在可用性问题,而不是安全问题。

图片来源:Adobe

Magento 2 的管理员操作日志

管理操作日志是您后端的黑匣子记录器,精确捕获每一个动作。 如果发生崩溃或事故,您可以调出日志并扮演侦探,追溯事件的顺序并查明可能出现问题的位置。

此扩展揭示了“什么”、“谁”和“何时”。 有人改变了畅销商品的价格吗? 或者也许更改一个关键插件的设置? 管理员操作日志不会让您蒙在鼓里。 每个操作都带有时间戳,详细说明了谁进行了更改以及何时进行了更改。

图片来源:Amasty

Magento 2 安全套件

安全套件的核心是整体安全性的缩影。 您无需使用单独的工具,拼凑出一个临时的安全网,而是将您需要的所有内容捆绑到一个时尚的软件包中。 结果,您收到:

  • 所有后端操作完全透明。 每个记录的活动都有完整的信息可供查看;
  • 跟踪正在进行的会话和先前的页面访问。 如果管理员有任何不当行为,您可以撤消修改;
  • 能够为某些商店经理分配角色,并通过复杂的密码设置来规范用户权限;
  • 当来自未知地理位置的登录行为似乎有问题时发出通知;
  • 两步验证。 要生成安全码扫描,请添加 Google 身份验证器;
  • 使用 Google Invisible reCaptcha 保护垃圾邮件。

Amasty 官方网站截图

最后一句话

在网络威胁不断演变的时代,保持装备精良至关重要。 幸运的是,有许多有效的实践和 Magento 2 工具可确保全面保护。 希望我们的指南能够帮助您确定和利用最合适的解决方案。 您应该清楚了解的一件事是,您应该持续监控商店的安全,并在出现问题时迅速采取措施。