הקדימו תרופה למכה: כלים והנחיות לאבטחת אתרי מג׳נטו

By 31 בדצמבר 2018 ינואר 7th, 2019 אבטחה, מג׳נטו 2

האם החנות המקוונת שלכם מאובטחת? האם היא עמידה מפני פריצות, גניבת מידע של לקוחות ופרטי כרטיסי האשראי שלהם? מתי בפעם האחרונה שאלתם את הגורם הטכנולוגי שמטפל בחנות שלכם אילו פעולות הוא נקט על מנת לאבטח את החנות המקוונת שלכם?

אם שאלות אלו מותירות אתכם במבוכה, אתם לא לבד. רוב בעלי החנות המקוונת אינם מקדישים זמן מחשבה רב לנושא אבטחת האתר. הסיבה לכך ברורה ומובנת: בעלי חנויות עסוקים בלשווק ולמכור את המוצרים והשירותים שלהם.  אין להם זמן או ידע לעסוק בנושא טכני כמו אבטחה.

בעלי חנויות נוטים להדחיק עובדה אחד חשובה ופשוטה: את הנזקים שיגרמו להם בשל פריצה לחנות הם יספגו בעצמם. החברה שמתחזקת את החנות שלהם לא לוקחת ולא תיקח אחריות מלאה וסופית במקרה של פריצה. אחת, כי לא ניתן למנוע פריצה ב-100 אחוז (אלא אם כן ניתן להקדיש לכך משאבים ממש משמעותיים) ושתיים, כי הנזקים עלולים להיות כבדים מאד. (אם אתם מכירים חברה שכן משפה לקוחות במקרה של פריצה אשמח לשמוע).

דאגה מתמדת לאבטחת החנות שלכם היא כמו לצאת מהבית עם מטרייה ביום חורפי ישראלי: רוב הסיכויים שלא ירד גשם אבל אם הוא בכל זאת ירד אתם תשארו יבשים ותרגישו טוב עם עצמכם.

להלן כמה כלים, הנחיות ומודולים מומלצים:

כלי ניטור וסריקה

MageReport.com

MageReport.com אתר ותיק ומהימן שמציע סורק לאיתור עדכוני אבטחה חסרים באתרי מג׳נטו. בסוף הסריקה מוצג דו״ח של כל עדכוני האבטחה החסרים כמו גם ציון משוכלל של רמת הסיכון בו נמצא האתר, כך שתדעו באיזו מידה של דחיפות עליכם לפעול על מנת לנקוט בפעולה לסגירת הפריצה. מומלץ להירשם לשירות על מנת לקבל עדכונים על שחרור עדכוני אבטחה חדשים.

סורק האבטחה של מג׳נטו (Magento Security Scan Tool)

סורק האבטחה הרשמי של חברת מג׳נטו. הסורק מאתר עדכוני אבטחה חסרים וקוד זדוני שהושתל ידי האקרים. הסורק מפיק דו״ח מפורט ביותר של בעיות האבטחה שיש לאתר ומציע דרכי פעולה לפתור אותן. בממשק הניהול תוכלו להגדיר אחת לכמה זמן ירוץ הסורק. את תוצאותיו תקבל גם למייל שלכם.

להלן הצעדים הדרושים על מנת לחבר ולסרוק את האתר שלכם:

  1. התחברו עם פרטי החשבון שלכם לאתר של מג׳נטו (אם אין לכם חשבון, הרשמו)
  2. היכנסו לפאנל הניהול של הסורק
  3. לחצו על הכפתור Add Site הכתום בפינה הימנית העליונה
  4. בצד ימין של המסך שייפתח תוכלו למצוא הנחיות כיצד להוסיף את האתר שלכם לסריקה
  5. התהליך דורש מכם לאמת את הבעלות שלכם על האתר. לשם כך יהיה עליכם להעתיק את פיסת הקוד שמופיע בדף ולשמור אותה בממשק הניהול של מג׳נטו בשדה שמאפשר הזרקה של קוד ל-HEAD של האתר. מדובר בפעולה פשוטה ולא מסוכנת, אז אל חשש.
  6. בהמשך דף הוספת אתר תמצאו הגדרה לביצוע הסריקה אוטומטית בפרקי זמן קבועים. מומלץ לבחור ״Scan Weekly (recommended)״
  7. לבסוף, הזינו את המייל שאליו תרצו לקבל את דו״חות הסריקה.

הקשחת הגישה לממשק הניהול

שנו את כתובת הגישה לממשק הניהול

סוג פעולה: פעולה בממשק הניהול

כתובת ברירת המחדל לממשק של מג׳נטו היא admin. את העובדה הזאת יודע כל האקר מתחיל ועם הידע הזה הוא ינסה לנחש את היוזר והסיסמה של מנהל החנות באמצעות מתקפת כוח גס (Brute Force). על מנת למנוע ממנו לעשות זאת שנו את הכתובת לכתובת אחרת, עדיפה בעלת 5-6 תווים או יותר המורכבת ממספרים ומאותיות. ניתן לעשות זאת בקלות בממשק הניהול במסך ההגדרות הייעודי לכך. קראו את המדריך הרשמי של מג׳נטו בנושא.

צרו סיסמאות חזקות ליוזרים של ממשק הניהול

סוג פעולה: פעולה בממשק הניהול

זאת פעולה משלימה לפעולה הקודמת. דאגו שהסיסמאות תהיינה חזקות מספיקות בעלות אורך של 8 תווים ותכלולנה אותיות, מספרים ותווים מיוחדים. אל תתפתו לסיסמאות זכירות ופשוטות. מה שזכיר ופשוט גם קל לחשיפה. צרו לכם סיסמה חזקה באמצעות מחולל הסיסמאות.

הגבילו את הגישה לממשק הניהול באמצעות כתובת IP

סוג פעולה: התקנת מודול והגדרות בממשק הניהול

לאלו מביניכם שרוצים ליצור מכשול נוסף וקשוח במיוחד בפני גורם המנסה לחדור לממשק הניהול מומלץ להתקין ולהגדיר את המודול החינמי MSP AdminRestriction שמאפשר להתיר את הגישה לממשק הניהול לכתובות IP מסויימות. המודול שמיש במידה ויש במקום ממנו אתם ניגשים לממשק הניהול IP קבוע.

הקשיחו את הגישה לממשק הניהול באמצעות אימות דו-שלבי

סוג פעולה: התקנת מודול והגדרות בממשק הניהול

אימות דו-שלבי (Two Factor Authentication או בקיצור 2FA) היא שיטה הדורשת “משהו שאתה יודע”, בשילוב עם “משהו שיש לך” (טלפון, כרטיס, וכו’) או “משהו שאתה” (טביעת אצבע, רשתית, וכו’). המודול החינמי MSP TwoFactorAuth מציע מספר דרכים לאימות הדו-שלבי שהמוכר שבהם הוא Google Authenticator, אותו קוד QR שיש לצלם במצלמת הטלפון על מנת להתחבר למערכת. עוד על אימות דו-שלבי אפשר ומומלץ לקרוא בבלוג  לפני האיתחול.

נטרו את התנועה בממשק הניהול של החנות

סוג פעולה: התקנת מודול והגדרות בממשק הניהול

Wyomind Watchlog PRO הוא מודול מצויין (ולא חינמי, €105) שמציע מספר פיטצ׳רים מעולים לניטור וניהול ההתחברות לממשק הניהול. מומלץ.

——–

בברכת חווית קניות בטוחה ונעימה.

נ.ב.

מעונינים לקבל הנחיות נוספות בנושא אבטחה? זקוקים לחברת פיתוח שתתקין עבורכם עדכוני אבטחה? מוזמנים ליצור עמנו קשר. נשמח לסייע.