Ελλάδα
801-1136624

10 + 1 συμβουλές για ασφαλέστερο Magento eshop σας .
Icon Printer

Το Magento, έχει μία σειρά από ενσωματωμένα χαρακτηριστικά ασφαλείας που αποσκοπούν στο να είναι ασφαλές το site σας σε μέγιστο βαθμό. Παρόλα αυτά, υπάρχουν κάποια βήματα που μπορείτε να ακολουθήσετε για να κάνετε το site ακόμα πιο ασφαλή.

1. Επιλέξτε έναν ασφαλή κωδικό.

Όταν δηλώνετε τον κωδικό που θα χρησιμοποιείτε στο administrator περιβάλλον διαχείρισης, φροντίστε αυτός να είναι τουλάχιστον 10 χαρακτήρες με πεζά και κεφαλαία γράμματα, αριθμούς και σύμβολα. Καλό θα είναι να αλλάζετε τον κωδικό σας σε τακτά χρονικά διαστήματα (τουλάχιστον ανά 6 μήνες).

2. Απαίτηση https / ssl με όλες τις συνδέσεις σε όλες τις σελίδες.

Κάθε φορά που στέλνετε δεδομένα μέσω μίας μη κρυπτογραφημένης σύνδεσης, υπάρχει κίνδυνος να υποκλαπούν από τρίτους. Για να ελαχιστοποιηθεί αυτός ο κίνδυνος, καλό θα είναι, αυτή η σύνδεση να γίνεται μέσω επιπλέον δικλίδα ασφάλειας. Για να το κάνετε αυτό, συνδεθείτε στο διαχειριστικό περιβάλλον και από το System και Configuration, στην κατηγορία Secure, επιλέξτε YES στα

"Use Secure URLs in Frontend" και "Use Secure URLs in Admin"



3. Μην χρησιμοποιείτε τον κωδικό του Magento σε τίποτε άλλο.

Προσπαθήστε να μην χρησιμοποιείτε κοινό κωδικό σε social media όπως twiter ή facebook, όπως επίσης και στο email σας.

4. Χρησιμοποιείτε μία προσαρμοσμένη διαδρομή διαχειριστή.

Για να συνδεθείτε στο διαχειριστικό Magento περιβάλλον, πληκτρολογείτε yoyr-site.com/admin. Σε αυτή τη μορφή ένα robot (πχ ένα robot που ψάχνει για κωδικούς) μπορεί να βρει μέσω του εύκολου path τον κωδικό. Μπορείτε να αλλάξετε το admin path και να μην συνδέεστε στο yoyr-site.com/admin αλλά στο yoyr-site.com/changeadmin για παράδειγμα. Για να πραγματοποιήσετε αυτή την ενέργεια, μπορείτε να εντοπίστε το Locate /app/etc/local.xml και να βρείτε το <![CDATA[admin]]> και αντικαταστήστε το 'admin' με το path που επιθυμείτε έτσι όταν το local.xml αναφέρει <![CDATA[changeadmin]]>, το admin path θα είναι yoyr-site.com/changeadmin

5. Κλείστε τα κενά email (loopholes)

To Magento έχει ένα πολύ βολικό χαρακτηριστικό που επιτρέπει στους διαχειριστές να επαναφέρουν τον κωδικό πρόσβασης αν αυτός ξεχαστεί. Για να πραγματοποιηθεί αυτό, θα πρέπει ο χρήστης να γνωρίζει τον email λογαριασμό που έχει συνδεθεί με την εγκατάσταση. Ο χρήστης θα πρέπει να έχει πρόσβαση σε αυτόν τον email λογαριασμό για να μπορεί να συνδεθεί και να κάνει το reset. Αρχικά, επιλέξτε έναν email λογαριασμό που δεν είναι γνωστός στο ευρύ κοινό. Βεβαιωθείτε πως ο κωδικός του email είναι σύνθετος και δύσκολος. Τέλος, βεβαιωθείτε πως ο email λογαριασμός έχει ασφαλή ερώτηση για reset του κωδικού του.

6. Χρησιμοποιείτε πολύπλοκο FTP κωδικό.

Το να μαντεύεται ή να παρακολουθείται ο ftp κωδικός, είναι από τις μεγαλύτερα κενά ασφαλείας. Για να αποφύγετε την κλοπή κωδικών ftp, χρησιμοποιείτε ασφαλής πολύπλοκους κωδικούς και SFTP ή FTP - SSL.

7. Περιορίστε την μη ασφαλή FTP πρόσβαση.

Σε περίπτωση που χρειάζεται να συνδεθεί κάποιος μέσω ftp για συγκεκριμένα να ανεβάσει υλικό όπως αυτό των φωτογραφιών για παράδειγμα, περιορίστε την πρόσβαση σε αυτούς τους ftp λογαριασμούς σε ένα στενό σύνολο καταλόγων. Στη συνέχεια μέσω .htaccess και httpd.conf αρχείων, αποτρέψτε το τρέξιμο script που μπορούν να αλλάξουν δικαιώματα επάνω σε αυτούς τους καταλόγους και τα αρχεία του site σας.

Σε περίπτωση που κάνετε την παραπάνω ενέργεια μέσω του .htaccess αρχείου, δηλώστε τον παρακάτω κώδικα :

1 AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
2 Options -ExecCGI

8. Μην αποθηκεύετε κωδικούς στον υπολογιστή σας.

Οι περισσότεροι σύγχρονοι υπολογιστές και προγράμματα περιήγησης, προσφέρουν την επιλογή για να αποθηκεύσετε τους κωδικούς πρόσβασης ως ευκολία, ώστε να μην χρειάζεται να εισάγετε τον κωδικό σας κάθε φορά που επισκέπτεστε το ίδιο site. Αυτή η επιλογή είναι χρήσιμη, αλλά αποτελεί και μεγάλο κενό ασφαλείας αφού οι αποθηκευμένοι κωδικοί, γίνονται export σε ένα απλό text αρχείο. Οποιοσδήποτε έχει πρόσβαση στον υπολογιστή, έχει και πρόσβαση στα δεδομένα - κωδικοί σας. Απλά μην επιτρέπετε στον browser σας να αποθηκεύει κωδικούς, όπως επίσης και πάντα να έχετε κλειδωμένο τον υπολογιστή σας.

9. Μην αμελείτε την ενημέρωση του Antivirus σας.

Σε περίπτωση που δεν έχετε εγκατεστημένο antivirus στον υπολογιστή σας, εγκαταστήστε ένα και να το έχετε ενημερωμένο στην τελευταία έκδοση του χωρίς να το παραβλέπετε.

10. Περιορισμός στο administrator περιβάλλον σε συγκεκριμένες εγκεκριμένες ip διευθύνσεις.

Μέσω του .htaccess αρχείου, μπορείτε να περιορίσετε την πρόσβαση στο admin περιβάλλον διαχείρισης σε συγκεκριμένες ip. Για να το κάνετε αυτό, προσθέστε τον παρακάτω κώδικα στο .htaccess αρχείο σας και αποθηκεύστε.

1 AuthName "Protected Area"
2 AuthType Basic
3 <Limit GET POST>
4 order deny,allow
5 deny from all
6 allow from 22.222.222.22
7 allow from 33.3
8 </Limit>

όπου allow from 22.222.222.22 επιτρέπεται η συγκεκριμένη ip διεύθυνση και
allow from 33.3 επιτρέπεται αριθμός ips που ξεκινάν με 33.3

11. Εγκατάσταση Plugins

Μπορείτε μέσω του Magento να εγκαταστήσετε και κάποια extensions - plugins που αφορούν την ασφάλεια του site σας. Μπορείτε να διαβάσετε reviews και να εγκαταστήσετε plugins από εδώ







Σχόλια Comments
Δεν υπάρχουν σχόλια σε αυτό το άρθρο. Γράψε πρώτος ένα σχόλιο.
ajax-loader.gif