Weryfikacja zabezpieczeń serwera oraz konfiguracji sklepu Magento

1 Star2 Stars3 Stars4 Stars5 Stars (1 ocena, średnia: 5,00 z 5)
Loading...

Kwestie bezpieczeństwa danych klientów są ostatnio na topie dzięki RODO. Przy okazji tych wydarzeń podzielę się informacjami jakie znalazłem na stronie magescan.com, oraz krótko opiszę dwa sposoby na sprawdzenie czy Twój sklep Magento jest odpowiednio zabezpieczony.

Zacznę od nowości „Magento Security Scan Tool”, która pojawiła się niedawno w ofercie Magento. Jeśli posiadasz konto możesz rozpocząć skanowanie swoich sklepów.  Skanowanie sklepu Magento dotyczy min.:

  1. Magento Brute Force
    Sprawdzenie czy Twoja instalacja Magento nie ujawnia żadnych typowych URLów Brute Force
  2. Magento Compromise Injection
    Sprawdzenie czy Twoja instalacja Magento nie jest zagrożona przez wstrzyknięty kod JavaScript. (188)
  3. Magento /pub/
    Sprawdzenie czy Twój serwer sieci Web jest skonfigurowany do uruchamiania Magento z folderu %MAGENTO_ROOT%/pub
  4. Magento SSL Frontend
    Sprawdzenie czy Twoja instalacja Magento używa SSL do bezpiecznych adresów URL.
  5. Magento Full Time SSL
    Sprawdzenie czy Twoja instalacja Magento przekierowuje cały niezabezpieczony ruch do https.
  6. Magento Unprotected Vcs
    Sprawdzenie czy Twój foldery VCS są chronione
    /.git/config
    /.hg/requires
    /.svn/entries
  7. Magento Unprotected XML
    Sprawdzenie czy pliki konfiguracyjne Twojej instalacji Magento są chronione!
  8. SSL Basic
    Sprawdzenie czy Twój serwer używa ważnego certyfikatu SSL i certyfikatu łańcucha SSL.
  9. SSL TLS
    Sprawdzenie czy Twój serwer obsługuje TLS, oraz czy jest to aktualna wersja.

Nie zależnie od tego co stosowałeś dotychczas by monitorować swoje sklepy Magento pod kątem zagrożeń bezpieczeństwa, warto skorzystać z tego darmowego narzędzia Magento Commerce.

Alternatywą może być magescan.com.  Mage Scan to usługa, która pomaga sprawdzać sklepy Magento pod kątem zgodności z zalecanymi standardami bezpieczeństwa MagentoSklepy są skanowane  w poszukiwaniu oznak przestarzałego oprogramowania, brakujących poprawek i ogólnych złych praktyk pojawiających się podczas wdrożeń sklepów Magento.

MageScan przeprowadziła blisko 500 tyś analiz sklepów Magento. Na bazie przeprowadzonych kompletnych analiz powstały ciekawe statystyki.

Magento Community

wersja Magento procent analiz
1.0 < 0.01%
1.1 0.04%
1.2 0.09%
1.3 1.35%
1.4 4.73%
1.5 3.84%
1.6 4.74%
1.7 25.17%
1.8 1.55%
1.9 57.38%
2.0 0.25%
2.1 0.56%
2.2 0.02%
2.3 0.01%
2.4 <0.01%

Z tabeli wynika, że ponad połowa analizowanych sklepów działa jeszcze na wersji Magento 1.x . Pomimo iż Magento 2.x jest już ponad dwa lata na rynku ecommerce to zaledwie 1% sklepów z 500 tyś zdecydowała się na nowszą wersję. Mnie to nie dziwi, przez cały ten okres nowa wersja Magento była dopracowywana. Dopracowywano ją zarówno pod względem bezpieczeństwa jak i wydajności. Przez ostatnie 6 miesięcy niemalże w każdym nowym projekcie jaki realizowaliśmy podczas wdrożenia pojawiały się nowsze wersje wprowadzające nowe zabezpieczenia w systemie oraz eliminowały błędy.

Pamiętaj by po wdrożeniu sklepu Magento zadbać o to by ktoś wgrywał zabezpieczenia i aktualizował go. To jeden z ważniejszych elementów, który ustrzeże Cię od utraty danych czy nawet utraty całego sklepu.

1 Star2 Stars3 Stars4 Stars5 Stars (1 ocena, średnia: 5,00 z 5)
Loading...

Autor: Sylwester Kowal

Z zawodu i zamiłowania jestem programistą PHP. Od ponad 10 lat wdrażam sklepy internetowe Magento. Można stwierdzić, że odkąd poznałem ten system wszytko czym się zajmuje moja firma łączy się z Magento. - Wdrażamy sklepy Magento, - Tworzymy moduły Magento, - Integrujemy Magento z innymi systemami, - Serwisujemy sklepy Magento.