آموزش نحوه متوقف کردن حملات Brute Force در مجنتو

حملات Brute Force این روزها بسیار رایج است، بیشتر وب سایتها در برابر چنین حملاتی آسیب پذیر هستند. این حملات تأثیرات منفی بر فروشگاه های آنلاین می گذارند و باعث می شوند که میلیون یا حتی میلیارد ها دلار ضرر مالی ایجاد شود، در حملات Brute Force از داده های شخصی سوء استفاده می شود و نقض می شوند، و هشداری برای صاحبان فروشگاه ایجاد می شود برای همین باید صاحبان کسب و کارهای اینترنتی این موضوع را جدی بگیرند و به آن اهمیت دهند. در این قسمت از  آموزش مجنتو ۲ در چالاک سافت قصد داریم تا نحوه متوقف کردن حملات Brute Force در مجنتو را برای شما بیان کنیم.

اگر از Magento استفاده می کنید، به طور پیش فرض مسیرهای admin و downloader می توانند از چند طریق مورد سوء استفاده قرار گیرند و هکرها می توانند به راحتی آنها را پیدا کرده و یک حمله Brute Force را انجام دهند. در چنین حملاتی، رمزهای عبور تصادفی بطور خودکار برای ورود به قسمت مدیریت امتحان می شوند تا سرانجام یکی از این رمز عبورها صحیح باشد.

حمله بی رحمانه یکی از ساده ترین روش ها برای دستیابی به وب سایت است زیرا غیر از صبر، نیازی به مهارت و منابع خاصی ندارد. حملات brute-force صرفا آزمایش و خطا هستند. در حین حمله، هکرها از مجوزهای مختلف، و ترکیبی از نامهای کاربری و کلمه عبوراستفاده می کنند تا سعی در ورود به یک حساب کاربری داشته باشند. چه باید کرد؟ فقط چند دقیقه وقت بگذارید تا راه حل های زیر را بخوانید.

 

آموزش نحوه متوقف کردن حملات Brute Force در مجنتو

  1. مسیر یا آدرس ورود به پنل مدیریت را شخصی سازی کنید.
  2. حساب کاربری Magento خود را ایمن کنید.
  3. محافظت از پوشه downloader
  4. محافظت از پوشه مربوط به git
  5. فروشگاه خود را به روز نگه دارید.
  6. HTTPS را برای پنل مدیریت فعال کنید.

 

راه حل ۱: سفارشی کردن مسیر مدیر

آدرس پیش فرض بک اند Magento 1 به صورت your-domain.com/admin است. به همین دلیل چون این آدرس پیشفرض ادمین پنل در دسترس عمومی است، به راحتی توسط هکرها مورد سوء استفاده قرار می گیرد اما شما به راحتی با تغییر این آدرس می توانید دست هکرها را از این موضوع کوتاه کنید.

مسیر دسترسی به پنل ادمین مجنتو خود را به شکل زیر سفارشی کنید:

ابتدا از مسیر (/app/etc/local.xml) فایل local.xml را باز کنید و سپس درون این فایل به ترتیب این تگ ها را دنبال کنید.

(admin -> routers -> adminhml -> args -> frontName)

حالا میتوانید تگ <![CDATA[admin]]> را مشاهده کنید و می توانید مسیر دسترسی به ادمین پنل مجنتو خود را تغییر دهید

اکنون می توانید کش فروشگاه مجنتو خود را از مسیر System -> Cache Management -> Flush Magento Cache پاک کنید تا تغییرات اعمال شوند.

 پیشنهاد می کنم مقاله آموزش نحوه ی ایجاد حساب کاربری در Magento Connect را مشاهده کنید.

راه حل ۲:برای حملات Brute Force در مجنتو حساب کاربری Magento خود را ایمن کنید

۲٫۱٫  در آدرس ادمین پنل خود از کلمه Admin استفاده نکنید.

معمولا بیشتر افراد از کلمه admin در آدرس ادمین پنل فروشگاه مجنتو استفاده می کنند که اینکار یک مشکل امنیتی به حساب می آید و هکر ها به راحتی می توانند آن را حدس بزنند. توصیه می کنیم به جای کلمه ی admin از نام مستعار خود یا آدرس ایمیل خود استفاده کنید.

۲٫۲٫  از رمز عبور های قوی استفاده کنید.

بهترین راه برای محافظت از فروشگاه Magento در برابر حمله بی رحمانه استفاده از یک رمزعبور قوی است واین را به مدیران دیگر نیز توصیه کنید.

یک گذرواژه قوی دارای ویژگی های زیر است:

  • بیش از ۸ کاراکتر دارد
  • شامل عدد است
  • شامل کاراکترها (استفاده از هر دو حروف کوچک و حروف بزرگ به شدت توصیه می شود)
  • شامل نمادها: اختیاری

 

راه حل ۳: محافظت از پوشه downloader

در مجنتو ۱ پوشه downloader یک پوشه برای نصب پلاگین های دانلود شده از مارکت پلیس مجنتو است و این مسیر پیشفرض نصب پلاگین ها است، که برای هکرها آسان است که به وب سایت Magento شما حمله کنند. شما می توانید آن را تغییر نام دهید اما یک راه مؤثر برای محافظت از پوشه  downloader وجود دارد.

۳٫۱٫ Apache

فایل را باز کنید  downloader/.htaccessو کدهای زیر را به آن اضافه کنید.

order deny,allow

deny from all

allow from x.x.x.x

x.x.x.x is your whitelist IP v4 address.

۳٫۲٫ Nginx

پرونده پیکربندی وب سایت Magento خود را باز کنید /etc/nginx/conf/mywebsite.conf و کدهای زیر را به آن اضافه کنید.

location /downloader/ {
allow x.x.x.x;
deny all;

location ~ \.php$ {
echo_exec @phpfpm;
}
}

۳٫۴ از فایل local.xml محافظت کنید

فایل local.xml شامل اطلاعات بسیار حساسی مانند اطلاعات پایگاه داده، مسیر ادمین پنل یا کلید رمزنگاری است. اگر این اطلاعات به صورت عمومی نشت پیدا کند ، با مشکلات جدی روبرو خواهید شد.

خب برای اینکه مطمئن شوید در مرورگر خود آدرس http://your-domain.com/app/etc/local.xml را وارد کنید اگر شما قادر به دسترسی به اطلاعات نیستید، وب سایت شما ایمن است. در غیر این صورت ، می توانید پوشه Protect / downloader را دنبال کنید و آنرا غیرفعال کنید.

 

راه حل ۴: از فایل گیت خود در برابر حملات Brute Force در مجنتو محافظت کنید

Github اکنون محبوب است، هر فروشگاهی از Github به عنوان یک version controll فروشگاه خود استفاده می کند. پوشه Git حاوی اطلاعات بسیار مهمی مانند repo url, code files است.

برای غیرفعال کردن آن می توانید  از پوشه Protect / Downloader اینکار را انجام دهید.

 

راه حل ۵: آیا فروشگاه شما به روز است؟

Patch های امنیتی را اعمال کنید، این patch ها که مجنتو آنها را منتشر می کند را می توانید اعمال و امنیت فروشگاه مجنتو خود را تامین کنید.

آخرین نسخه Magento را نصب کنید. به روزرسانی به آخرین نسخه، فروشگاه شما را سالم نگه می دارد.

 

راه حل ۶:  HTTPS  را برای پنل مدیریت فعال کنید

از آنجا که Magento برای معاملات تجارت الکترونیکی استفاده می شود، داده ها اغلب بسیار حساس هستند. به همین دلیل توصیه می شود که تمام جزئیات ورود شما از یک اتصال مطمئن عبور کند.

برای اینکار به مسیر Go to Stores > Configuration > Web مراجعه کنید.

HTTPS  را برای پنل مدیریت فعال کنید

حملات Brute Force در مجنتو

امیدواریم که همه راه حل های ارائه شده در بالا بتوانند در حملات Brute Force در مجنتو به شما کمک کنند. پیشنهاد می کنیم این مقاله را مطالعه کنید: تغییر پیام خوش آمدید در مجنتو

دیدگاهی بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

نوشته های مرتبط

Call Now Buttonمشاوره رایگان