logo

Magento saugumo rekomendacijos

Vasario 1 d., 2018 Autorius: Vladas Tomkevičius

Šiais laikais, kai vis daugiau pardavimų yra atliekama elektroninėje erdvėje, o elektroninės parduotuvės tampa privalomu verslo elementu, būtent jos vis dažniau tampa programišių taikiniu. Dažniausiai programišiai siekia pasisavinti kreditinių kortelių duomenis, privačią klientų informaciją ar elektroninės parduotuvės pardavimų duomenų bazę, už kurią vėliau reikalauja išpirkos.

Magento saugumas | Elektroninės komercijos saugumas

Kas rūpinasi saugumu?

Pirmiausia sistemos saugumu turi rūpintis programuotojai, nes būtent nuo jų rašomo programinio kodo kokybės ir priklauso, kiek bus saugi sistema. Tokios nuomonės laikosi ne tik įmonės direktorius ar projektų vadovas, bet ir patys programuotojai. Šią situaciją puikiai atspindi duomenys iš „The state of PHP in 2017“ infografos, kur net 48% apklaustų programuotojų pasisakė už tai, kad saugumu pirmiausia turi rūpintis būtent jie patys.

Kita vertus, kuo didesnė ir sudėtingesnė sistema, tuo didesnė tikimybė, kad joje gali būti klaidų ir saugumo pažeidžiamumo spragų. Juo labiau, kad programuotojai irgi yra žmonės, todėl visiškai neklysta tik tie, kurie nedirba. Siekiant sumažinti klaidų ir saugumo spragų skaičių, rekomenduojama visuomet naudoti tik naujausias sistemų ir jų modulių versijas. Su kiekvienu atnaujimu dažniausiai yra pridedama naujų funkcijų, pataisomos žinomos klaidos, pagerinama veikimo greitaveika bei panaikinamos žinomos saugumo spragos.

Ne išimtis Magento saugumas. Magento yra viena iš funkcionaliausių ir lanksčiausių nemokamų elektroninės komercijos platformų. Jos modulinė architektūra suteikia galimybę ją pritaikyti įvairiausiems klientų poreikiams. Tačiau sistemos lankstumas padidina jos sudėtingumą bei saugumo spragų tikimybę. Dėl šios priežasties yra rekomenduojama atnaujinimus įdiegti kaip įmanoma greičiau po jų išleidimo.

Ar atnaujinimai išsprendžia visas problemas?

Ne visuomet pavyksta apsisaugoti nuo įsilaužimo į sistemą. Juo labiau, kad įsilaužimas gali būti atliktas ne tik išnaudojant Jūsų sistemos, kitų programų ar serverio operacinės sistemos saugumo spragas, bet ir virusais užkrėstus darbuotojų kompiuterius ar net socialinę inžineriją.

Paklausit, ką tada daryti, jei niekas nėra 100% saugus? Na, reikia būti paruošusiems planą B, t.y. būti pasirengusiems atkurti sistemos veikimą kaip įmanoma greičiau ir su kuo mažesniais duomenų praradimais. Tam puikiai gali pasitarnauti pilna sistemos atsarginė kopija. Idealiausia, kai pastoviai saugomos kelios, skirtingų laikotarpių, atsarginės kopijos (pvz.: 4val., 24val., 7d., 14d., 30d.).

Taip pat reiktų paminėti tai, kad programišiai po įsilaužimo ne visuomet siekia kuo greičiau sutrikdyti sistemos veikimą. Priešingai, jie dažniausiai siekia kuo ilgiau išlikti nepastebėti ir kuo labiau išnaudoti Jūsų sistemą. Taigi, norėčiau parekomenduoti keletą naudingų Magento modulių, kurie gali Jums padėti apsisaugoti nuo programišių ar sumažinti žalą iki minimumo.

Magento saugos moduliai

Magento 1 platformai skirti moduliai

EW_NativePasswords

Suteikia galimybę pakeisti slaptažodžių šifravimo algoritmą ir taip apsaugoti juos nuo iššifravimo (duomenų bazės pavogimo atveju).

MageHackDay_TwoFactorAuth

Prideda dviejų veiksnių autentifikacijos (Two Factor Authentication) funkcionalumą, panaudojant Google Authenticator mobiliąją programėlę.

BranchLabs_AdminPasswordStrength

Leidžia nustatyti minimalaus slaptažodžio ilgio limitą administratorių slaptažodžiams. Tai leidžia bent dalinai apsisaugoti nuo trumpų slaptažodžių sukūrimo (kuo trumpesnis, tuo lengviau atspėti).

Shopliebe_PasswordStrength

Panašiai kaip „BranchLabs_AdminPasswordStrength“ modulis (leidžia nustatyti minimalaus slaptažodžio ilgio limitą administratorių slaptažodžiams), tik dar papildomai galima nustatyti ar slaptažodis privalo turėti didžiąsias ir mažąsias raides bei specialiuosius simbolius.

Ikonoshirt_Pbkdf2

Suteikia galimybę pakeisti slaptažodžių šifravimo algoritmą.

Ikonoshirt_StrictTransportSecurity

Leidžia nustatyti, kad Magento atsakinėtų tik į saugias užklausas, kurios yra vykdomos HTTPS protokolu.

ET_IpSecurity

Suteikia galimybę apriboti Magento pasiekiamumą pagal IP adresus arba padaryti sistemą nepasiekiamą, kol yra vykdomi sistemos atnaujinimo darbai.

FireGento_AdminMonitoring

Suteikia galimybę fiksuoti administratoriaus veiksmus (pvz. kas kokius produktus redagavo ar juos pašalino ir pan.).

Nexcessnet_Alarmbell

Modulis, kuris fiksuoja ir el. paštu praneša, jei yra sukuriama/pašalinama administratoriaus paskyra ar jai pakeičiamas slaptažodis.

Mhauri_Slack/Moogento_SlackCommerce

Šis modulis suteikia „Magento“ platformai galimybę siųsti dienos ir savaitės ataskaitas bei pardavimų ir saugumo pranešimus tiesiai į „Slack“ kanalus.

Magento 2 platformai skirti moduliai

Cream_SecurePasswords

Suteikia galimybę pakeisti slaptažodžių šifravimo algoritmą.

Git Status Security Report

Šis modulis el. paštu praneša, jei aptinka modifikuotus failus. Jis naudoja GIT versijų kontrolės sistemą. Jos pagalba modulis gali aptikti modifikuotus failus, kurių atnaujinimai nebuvo patalpinti į GIT sistemą.

MSP Security Suite

Tai visas paketas įvairių saugumo įrankių, tokių kaip: Anti Virus, Malicious Users Detector, Intrusion Detection Prevention, Admin Two Factor Authentication, reCaptcha, Admin IP restriction.

Straipsnis parašytas remiantis informacija, gauta „Meet Magento PL 2017“ konferencijoje. Apie įspūdžius iš šios konferencijos skaitykite čia.