۱۳ موردی که باید در مورد امنیت مجنتو رعایت شود!

در امنیت مجنتو, مجنتو ۲ 3 نوامبر 2019

در این مقاله سعی در ایجاد یک چک لیست امنتی در حوزه ی امنیت مجنتو داریم. مجنتو به ذاته امن هستش و ساختار اون طوری طراحی شده که هکرها به راحتی نتونن دست به هک یا حملات فیشنگ یا ورود به زور (brute force) بزن اما هکرها همیشه چند قدم جلوتر از متخصصان امنیت حرکت می کنن و از سویی با نصب هر ماژول روی مجنتو احتمال به خطر افتادن امنیت کلی مجنتو وجود داره.

امنیت مجنتو

حدود دو سال پیش دوستان اریا کامپیوتر تماس گرفتند و مدعی شدند که یک مشتری بدون پرداخت پول اقدام به خرید کرده. پس از بررسی ها معلوم شد ماژول بانک سامان اونها که به صورت رایگان توسط یکی از شرکت های ارائه دهنده مجنتو ارائه شده بود دارای باگ هستش …

با این حساب خود مجنتو نیاز چندانی به امنیت بیشتر نداره اما احتمال داره با نصب یک ماژول امنیت کلی سایت به خطر بیفته.

چک لیست امنیت مجنتو

۱− بک اپ مداوم از دیتابیس و داده ها: در این مقاله فعال سازی بک اپ در مجنتو این مورد به صورت مفصل توضیح داده شده است.

۲− تغییر ادرس ادمین: در این مقاله اموزش تغییر آدرس ادمین به صورت کامل وجود دارد.

۳− فعال کردن HTTPS/SSL: برای فعال کردن https  به این مقاله مراجعه کنید.

۴− از پسوردهای قوی برای ادمین استفاده کنید.

یک پسورد قوی برای ادمین ضامن امنیت شماست. حدس زدن پسورد معمولا کار راحتی هستش چون اکثرا از شماره تلفن یا تاریخ تولد و یا چند عدد استفاده می کنند. یک پسورد وقتی قوی است که ویژگی های زیر رو داشته باشه :

  • پسورد شما شامل حرف کوچک و بزرگ اعداد و کاراکترهای خاص باشد.
  • حداقل طول پسورد باید ۱۰ کاراکتر باشد
  • از پسوردهای قابل حدس مثل شماره تلفن و یا تاریخ تولد استفاده نکنید.
  • پسورد می تونه کاملا رندوم باشه . برای مدیریت پسوردها میتونید از نرم افزارهای مدیریت پسورد استفاده کنید.
  • پسورد ادمین مجنتو با متفاوت از سایر پسوردهای شخصی شما باشد تا در صورت لو رفتن یکی از پسوردها مجنتوی شما همچنان امن باشد
  • هر ۳ یا ۶ ماه یک بار پسورد خود را عوض کنید.

۵ − همیشه از اخرین نسخه مجنتو استفاده کنید تا امنیت مجنتو حفظ شود. با توجه به اپن سورس  بودن مجنتو و اینکه کدهای اون در درسترس عموم قرار داد احتمال دارد یک باگ امنیتی روی مجنتو پیدا شود و با استفاده از این باگ فروشگاه هایی که با مجنتو بالا امده اند در معرض تهدید قرار بگیرند. این باگ ها معمولا در ساعت اولیه شناسایی و رفع میشوند ولی در صورت این مشکل روی فروشگاه شما هم رفع میشود که  مجنتو را به روز رسانی کنید.

۶− لاگ ها را به صورت مداوم بررسی کنید. لاگ های شامل خطاهایی هستن که روی فروشگاه شما رخ میدهند . با بررسی انها میتوانید به مشکلات فروشگاه خود پی ببرید و قبل از هرگونه اتفاق برای انها راه حلی ارائه دهید. لاگ ها به صورت معمول داخل `mg_root/var/log‍ قرار دارند.

۷− درسترسی به ادرس ادمین فقط از ای پی های خاص : در صورتی که از ای پی استاتیک استفاده می کنید میتوانید درسترسی به ادمین را به یک لیست از ای پی های خاص محدود کنید. این کار توسط سرور کار شما یا از طریق سی پنل قابل اجرا هستش

۸− از موارد امنیت مجنتو استفاده از ایمیل خصوص برای ادمین : معمولا ایمیل استفاده شده برای ادمین و برای فروشگاه یکی می باشد و در صورت هک شدن ایمیل شما هکر میتواند با استفاده از فراموشی پسورد به بازیابی و تغییر پسورد فروشگاه شما اقدام کند.

۹− استفاده از انتی ویروس : انتی ویروس ها با اسکن کردن فایل های سرور شما به شما کمک می کنند هر فایل الوده ای رو پیدا کنید. به صورت منظم فایل های سرور را اسکن کنید.

۱۰− استفاده از انتی ویروس : بله دوباره استفاده از انتی ویروس ولی این بار روی سیستم عامل شما . هکرهای روش ها مختلفی برای جمع اوری اطلاعات دارند یکی از انها کی لاگرهاست که اطلاعات تایپ شده توسط شما را ذخیره می کنند. با یک انتی ویروس قوی و به روزی جلوی این نوع حملات و حملات مشابه را بگیرید.

۱۱- دسترسی فایل ها: به صورت معمول دوستانی که اقدام  به راه اندازی سرور و مجنتو می کنند این مشکل رو دارند. اونها برای کم کردن هزینه های راه اندازی سرور با چندتا سرچ و مقاله از اینترنت و بدون در نظر گرفتن عواقب کار شروع به راه اندازی مجنتو می کنند و در پایان از اینکه تونستن یک مجنتو رو بالا بیارن خیلی خوشحال هستند ولی گاهی یک خطا روی سرور یک پرمیشن اشتباه باعت از بین رفتن کسب و کار شما میشود و شما باید هزینه چند برابر برای جلوگیری از نفوذ هکر و پاک کردن فایل های الوده روبه رو میشود. به هیچ عنوان از دسترسی ۷۷۷ استفاده نکنید.

۱۲− غیر فعال کردن فانکشن های خطرناک پی اچ پی : بعضی از فانکشن های پی اچ پی اجازه اجرا دستورات کامندلاین (ترمینال) رو به صورت کد پی اچ پی به نفوذگر میدن. بهتره این فانکشن ها غیر فعال بشن.

داخل فایل php.ini  این خط رو تغییر بدید

disable_functions = proc_open,phpinfo,show_source,system,shell_exec,passthru,exec,popen

۱۳− یکی دیگر از موارد امنیت مجنتو این است که ماژول ها رو از شرکت های مطمئن تهیه کنید: دقت کنید یک ماژول نال شده و رایگان دقیقا یاداور این جمله است که “پنیر در تله موش رایگان است”. شما با نصب یک ماژول نال شده یک بک دور برای هکرها ایجاد میکنید و بعد از ان به راحتی اطلاعات و سرور شما به دست هکرها می افتد.

دقت کنید در بیشتر موارد هک شدن فروشگاه شما هیچ علائمی ندارد و ممکن است ماه ها فروشگاه شما هک شده باشد ولی متوجه نشوید. مجنتو به دلیل اینکه روی سرور اجرا می شود بیشتر مورد علاقه هکرهاست چون یک سرور می تواند برای موارد خیلی زیادتری از هاست استفاده شود. مثلا برای فیشنگ یا حملات DDos یا استخراج بیت کوین و … در هیچ کدوم از این موارد به صورت عادی شما متوجه هک شدن سرور نمی شوید امیدواریم که در مورد امنیت مجنتو اطلاعاتی به دست آورده باشید.

دیدگاه خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    سبد خرید