10 ting du bør gøre for at forbedre din magentos sikkerhed

I takt med magentos udbredelse, ser vi desværre flere målrettede angreb mod platformen. Disse tips kan hjælpe dig med at minimere din angrebsflade.

Hold din magento opdateret

Det er helt væsentligt at du sørger for at opgradere din magento i takt med at nye versioner frigives. Desuden udsendes der kun officielle patches til magento over ver. 1.6x
Kontakt dit bureau eller en freelancer hvis du ikke selv er tryg ved proceduren. Se også: tjeklisten til opgradering
Det samme gør sig gældende for din template og evt. 3.partsmoduler.

 

Tjek at din magento er patchet for de seneste sårbarheder

Skulle du køre en version som har sikkerhedsfejl, er det kritisk at du tjekker om din magento er blevet patchet. Det gælder især SUPEE-5344
Du kan se din patch-status i patch-loggen som ligger sammen med dine magento-filer i mappen: app/etc/applied.patches.list
Det er dit ansvar

 

Hold øje med dine admin-brugere

Sørg for at rydde ud i inaktive admin-brugere med jævne mellemrum. Tjek også at alle brugere er legitime.
Det er væsentligt at du holder øje med dette med jævne mellemrum.

 

Omdøb din administration

For at gøre det lidt sværere at brute-force din backend, kan du omdøbe adressen så den ikke ligger på /admin
Se fremgangsmåden her: http://wikigento.dk/%C3%A6ndre-admin-sti
Du kan også whiteliste specifikke ip-adresser og blackliste alle andre: http://wikigento.dk/ip-baseret-whitelist-adgang-til-din-magento-administration

 

Password: 123456 ?

Brug et stærkt password. Det giver sig selv. Hellere langt end mange specialkarakterer. Undgå rigtige ord.
Skift dit password jævnligt. Det gælder også dig.

 

Usikker opkobling

Det er ofte tillokkende at benytte ukendte WiFi og lign. når man er på farten. Men husk at det er trivielt at opsnappe dit username og password via. et usikkert trådløst netværk.
Har du brug for at logge på din magento administration fra netværk du ikke selv administrerer, så køb et SSL-certifikat og aktiver det for din backend.

 

Udvikler-adgang

Dine udviklere skal naturligvis have adgang til at udvikle dit site, sørg for at oprette specifikke brugere, både FTP/SQL/Backend osv. til dem. På den måde kan du nemt revoke deres adgang til din shop.
Gør det til en vane at tjekke op på hvem der har adgang til dine data. Det er dit ansvar.

 

Fjern nu den gamle wordpress

Ja, den du havde store planer med, men aldrig blev til noget og nu har du ikke opdateret den i 6 måneder.
Det handler om at minimere sin angrebsoverflade. Hvis en angriber ikke nemt kan finde en vej igennem din sikkerhed, er det sansynligt at han går efter den næste som er nemmere at angribe.
Gamle WP og lign. er et yndet og nemt mål for en angriber. Det samme gælder for gamle versioner af dit site, fx dev. /oldshop og lign. Flyt dem ud af webscope hvis du ikke bruger dem.

 

Brug altid FTP over TLS

Bruger du en moderne FTP-klient, vil den foretrække en krypteret forbindelse. Det er vigtigt.
FTP er en gammel protokol og dine credentials sendes over nettet i plaintext. Sørg for at du tilslutter FTP som FTPs, så er forbindelsen krypteret.

 

Sæt password på din connect-manager

Din connect-manager kan også bruges til at brute-force dit backend-login. Sæt password på mappen: /downloader eller flyt den ud af webscope.
http://wikigento.dk/sikkerhed/password-beskytte-magento

 

Magmi: Flyt den ud af webscope.

Hvis du har haft en magmi liggende i public_html, er den ganske sikkert inficeret og du bør hurtigst muligt flytte den ud af webscope. (dvs. ud af public_html)
Se: https://www.exploit-db.com/exploits/35996/

 

Diverse:

Schrödinger's backup

Backup fortjener et kapitel for sig selv. Det er helt åbentlyst at du skal sørge for at du har en backup af både dine filer og også din database.
Det er dit ansvar. Sørg nu for at tjekke både backup-procedure og restore-proceduren.
Hav følgende in mente:
Din backup-procedure er ligegyldig, hvis den ikke er automatiseret.
Tilstanden af en backup er ukendt, før du har restoret den.

Læs mere om magento og backup her: http://wikigento.dk/magento-backup

En udmærket service til at tjekke dit nuværende service-niveau finder du her: https://www.magereport.com/
-Bemærk at vi intet har med magereport at gøre, og kan ikke stå inde for lødigheden af data.

Se også magentos security best practices: http://merch.docs.magento.com/ce/user_guide/Magento_Community_Edition_User_Guide.html#magento/magento-security-best-practices.html

root@powerhosting og magento-ninja extraordinaire.
Har til dagligt ansvaret for supporten af magentohotel.dk