logo

Magento pažeidžiamumo skenavimo įrankis – patikrinkite savo svetainės saugumą patys

kovo 19 d., 2018 Autorius: Rūta Songailaitė

„Magento“ sukūrė naują saugumo tikrinimo įrankį, kuris leidžia „Magento“ vartotojams reguliariai stebėti jų svetaines ir gauti naujienas apie žinomas saugumo rizikas, kenkėjišką programinę įrangą ir neteisėtą prieigą. „Security Scan“ yra nemokama „Magento“ paslauga, kurią galima paleisti bet kuriose „Magento Commerce“ (anksčiau „Enterprice Edition“) ir „Magento Open Source“ (anksčiau „Community Edition“) versijose.

Nauda vartotojams:

  • Informacija apie „Magento“ parduotuvės realaus laiko saugumo statusą ir kaip pašalinti potencialius pažeidžiamumus
  • Daugiau nei 30 saugumo testų, skirtų nustatyti pažeidžiamumų požymius, pavyzdžiui, trūksta „Magento“ atnaujinimų (angl. patches)konfigūracijos problemos ar geriausių saugumo praktikų nesilaikymas
  • Istorinės turimų „Magento“ svetainių saugumo ataskaitos, leidžiančios laikui bėgant sekti ir stebėti svetainių progresą
  • Tikrinimo rezultatų ataskaitos, aiškiai parodančios, kuriuos punktus svetainė atitiko, kurių ne ir ar reikia imtis tolimesnių veiksmų
  • Tikrinimų planavimas konkrečioms, pasikartojančioms dienoms ir (arba) pagal pareikalavimą
  • Siūlomi atkūrimo žingsniai kiekvienam nepavykusio saugumo tikrinimui

Vartotojai gali gauti prieigą prie šio saugumo tikrinimo įrankio tiesiai per „Magento“ paskyrą. Magento saugumo tikrinimas šiuo nauju įrankiu labai lengvai konfigūruojamas.

Dėl nuolatinio naujinimų (angl. patches) atsiradimo, ateityje „Magento“ reguliariai atnaujins šį įrankį. Tikrinimo įrankis šiandien yra pasiekiamas tik komercijos produktams, tačiau vėliau yra viliamasi išplėsti saugumo priemones papildomiems „Magento“ produktams.

„Magento“ tikslas yra padėti vartotojams užtikrinti aukščiausio lygio svetainių saugumą, nes jų klientai to tikisi.

Naujojo saugumo įrankio naudojimas

Įdiegti ir pradėti naudoti šį įrankį yra labai paprasta:

Pirmiausia, prisijunkite prie savo Magento paskyros. Prisijungę atidarykite „Security Scan“ sekciją.

security scan sekcija

Toliau paspauskite mygtuką „Go to Security Scan“. Jūs būsite nukreipti į „Monitored Websites“ puslapį. Čia paspauskite mygtuką „Add Site“. Kitame žingsnyje turėsite patvirtinti, kad svetainė priklauso Jums. Turėkite omenyje, kad, turint keletą svetainių, šią konfigūraciją reikia atlikti kiekvienai svetainei atskirai.

svetainės patvirtinimas

Pirmiausia reikia įvesti svetainės URL, įrašyti svetainės pavadinimą ir paspausti „Generate Confirmation Code“. Nukopijuokite sugeneruotą kodą ir prisijunkite prie svetainės Magento Admin panelės.

Magento 1:

Eikite System > Configuration > General > Design. Čia išskleiskite HTML Head sekciją ir į  „Miscellaneous Scripts“ lauką įklijuokite sugeneruotą kodą, kurį nukopijavote anksčiau. Viską padarę, spauskite mygtuką „Save Config“.

Magento 2:

Eikite į Content > Design > Configuration. Action stulpelyje, prie svetainės paspauskite „Edit“. Čia išskleiskite HTML Head sekciją ir į  „Scripts and Style Sheets“ lauką įklijuokite sugeneruotą kodą, kurį nukopijavote anksčiau. Viską padarę, spauskite mygtuką „Save Configuration“.

Grįžkite į langą, kuriame generavote kodą ir spauskite „Verify Confirmation Code“. Toliau, „Set Automatic Security Scan“ sekcijoje, galite nustatyti, kad automatinis saugumo skenavimas būtų atliekamas kas savaitę, kas dieną arba palikti automatinį skenavimą išjungtą. Nustatę norimas konfigūracijas, spauskite mygtuką „Submit“. Jeigu viskas gerai, svetainė bus pridėta prie „Monitored Websites“ sąrašo, o Jūs būsite nukreipti į šį puslapį.

stebimų svetainių sąrašas

Jeigu nenustatėte automatinio skenavimo, rankinį skenavimą galite pradėti pasirinkę „Run Scan“ iš išskleidžiamo meniu. Skenavimui pasibaigus, „Scan Status“ stulpelyje atsiranda užrašas complete. Norėdami peržiūrėti skenavimo rezultatus, spauskite „View Report“. Rezultatai bus padalinti į tris sekcijas: Successful Scans (pavykę), Failed Scans (nepavykę) ir Unidentified Scans (neidentifikuoti). Pastarųjų dviejų sekcijų Action lauke dažniausiai yra pateikiamos rekomendacijos, kaip ištaisyti surastas problemas.

Patariame šį skenavimą atlikti reguliariai, kadangi Jūsų svetainė bet kada gali tapti kibernetinių atakų taikiniu. Dėl to rekomenduojame nustatyti vieną iš automatinių skenavimo pasirinkimų skenavimo konfigūracijoje.