چالاک سافت
منو موبایل

چالاک سافت

۱۳ موردی که باید در مورد امنیت مجنتو رعایت شود

در این بخش از آموزش مجنتو ۲ ما گروه چالاک سافت سعی در ایجاد یک چک لیست امنیتی در حوزه ی امنیت مجنتو داریم. مجنتو کلا از سیستم امنیتی منحصر به فردی بر خوردار است و ساختارش طوری طراحی شده که هکرها به راحتی نتوانند دست به هک یا حملات فیشنگ یا ورود به زور (brute force) بزنن اما هکرها همیشه چند قدم جلوتر از متخصصان امنیت حرکت می کنند و از سویی با نصب هر ماژول روی مجنتو احتمال به خطر افتادن امنیت کلی مجنتو وجود دارد.

 

امنیت مجنتو

حدود دو سال پیش دوستان آریا کامپیوتر تماس گرفتند و مدعی شدند که یک مشتری بدون پرداخت پول اقدام به خرید کرده. پس از بررسی ها معلوم شد ماژول بانک سامان آنها که به صورت رایگان توسط یکی از شرکت های ارائه دهنده مجنتو ارائه شده بود دارای باگ هستش …

 امنیت مجنتو
امنیت مجنتو

با این حساب خود مجنتو نیاز چندانی به امنیت بیشتر نداره اما احتمال داره با نصب یک ماژول امنیت کلی سایت به خطر بیفته.

چک لیست امنیت مجنتو

۱− بک آپ مداوم از دیتابیس و داده ها: در این مقاله فعال سازی بک آپ در مجنتو این مورد به صورت مفصل توضیح داده شده است.

۲− تغییر آدرس ادمین

۳− فعال کردن HTTPS/SSL

۴− از پسوردهای قوی برای ادمین استفاده کنید.

یک پسورد قوی برای ادمین ضامن امنیت شماست. حدس زدن پسورد معمولا کار راحتی هستش چون اکثرا از شماره تلفن یا تاریخ تولد و یا چند عدد استفاده می کنند. یک پسورد وقتی قوی است که ویژگی های زیر را داشته باشد:

  • پسورد شما شامل حروف کوچک و بزرگ اعداد و کاراکترهای خاص باشد.
  • حداقل طول پسورد باید ۱۰ کاراکتر باشد
  • از پسوردهای قابل حدس مثل شماره تلفن و یا تاریخ تولد استفاده نکنید.
  • پسورد می تونه کاملا رندوم باشه . برای مدیریت پسوردها میتونید از نرم افزارهای مدیریت پسورد استفاده کنید.
  • پسورد ادمین مجنتو با متفاوت از سایر پسوردهای شخصی شما باشد تا در صورت لو رفتن یکی از پسوردها مجنتوی شما همچنان امن باشد
  • هر ۳ یا ۶ ماه یک بار پسورد خود را عوض کنید.

 

۵ − همیشه از اخرین نسخه مجنتو استفاده کنید تا امنیت مجنتو حفظ شود. با توجه به اپن سورس  بودن مجنتو و اینکه کدهای اون در دسترس عموم قرار داد احتمال دارد یک باگ امنیتی روی مجنتو پیدا شود و با استفاده از این باگ فروشگاه هایی که با مجنتو بالا امده اند در معرض تهدید قرار بگیرند. این باگ ها معمولا در ساعت اولیه شناسایی و رفع می شوند ولی در صورت این مشکل روی فروشگاه شما هم رفع می شود که  مجنتو را به روز رسانی کنید.

 

۶− لاگ ها را به صورت مداوم بررسی کنید. لاگ های شامل خطاهایی هستن که روی فروشگاه شما رخ می دهند. با بررسی انها میتوانید به مشکلات فروشگاه خود پی ببرید و قبل از هرگونه اتفاق برای آنها راه حلی ارائه دهید. لاگ ها به صورت معمول داخل `mg_root/var/log‍ قرار دارند.

 

۷− درسترسی به ادرس ادمین فقط از ای پی های خاص : در صورتی که از ای پی استاتیک استفاده می کنید می توانید در دسترسی به ادمین را به یک لیست از ای پی های خاص محدود کنید. این کار توسط سرور کار شما یا از طریق سی پنل قابل اجرا هستش

 

۸− از موارد امنیت مجنتو استفاده از ایمیل خصوص برای ادمین : معمولا ایمیل استفاده شده برای ادمین و برای فروشگاه یکی می باشد و در صورت هک شدن ایمیل شما هکر می تواند با استفاده از فراموشی پسورد به بازیابی و تغییر پسورد فروشگاه شما اقدام کند.

 

۹− استفاده از انتی ویروس : انتی ویروس ها با اسکن کردن فایل های سرور شما به شما کمک می کنند هر فایل الوده ای رو پیدا کنید. به صورت منظم فایل های سرور را اسکن کنید.

 

۱۰− استفاده از انتی ویروس : بله دوباره استفاده از آنتی ویروس ولی این بار روی سیستم عامل شما . هکرهای روش ها مختلفی برای جمع اوری اطلاعات دارند یکی از انها کی لاگرهاست که اطلاعات تایپ شده توسط شما را ذخیره می کنند. با یک انتی ویروس قوی و به روزی جلوی این نوع حملات و حملات مشابه را بگیرید.

 

۱۱- دسترسی فایل ها: به صورت معمول دوستانی که اقدام  به راه اندازی سرور و مجنتو می کنند این مشکل رو دارند.

اونها برای کم کردن هزینه های راه اندازی سرور با چندتا سرچ و مقاله از اینترنت و بدون در نظر گرفتن عواقب کار شروع به راه اندازی مجنتو می کنند و در پایان از اینکه تونستن یک مجنتو رو بالا بیارن خیلی خوشحال هستند ولی گاهی یک خطا روی سرور یک پرمیشن اشتباه باعث از بین رفتن کسب و کار شما می شود و شما باید هزینه چند برابر برای جلوگیری از نفوذ هکر و پاک کردن فایل های الوده روبه رو می شود. به هیچ عنوان از دسترسی ۷۷۷ استفاده نکنید.

 

 

۱۲− غیر فعال کردن فانکشن های خطرناک پی اچ پی : بعضی از فانکشن های پی اچ پی اجازه اجرا دستورات کامند لاین (ترمینال) رو به صورت کد پی اچ پی به نفوذگر میدن. بهتره این فانکشن ها غیر فعال بشن.

 

داخل فایل php.ini  این خط رو تغییر بدید

disable_functions = proc_open,phpinfo,show_source,system,shell_exec,passthru,exec,popen

۱۳− یکی دیگر از موارد امنیت مجنتو این است که ماژول ها رو از شرکت های مطمئن تهیه کنید: دقت کنید یک ماژول نال شده و رایگان دقیقا یادآور این جمله است که “پنیر در تله موش رایگان است”. شما با نصب یک ماژول نال شده یک بک دور برای هکرها ایجاد می کنید و بعد از ان به راحتی اطلاعات و سرور شما به دست هکرها می افتد.

دقت کنید در بیشتر موارد هک شدن فروشگاه شما هیچ علائمی ندارد و ممکن است ماه ها فروشگاه شما هک شده باشد ولی متوجه نشوید. مجنتو به دلیل اینکه روی سرور اجرا می شود بیشتر مورد علاقه هکرهاست چون یک سرور می تواند برای موارد خیلی زیادتری از هاست استفاده شود.

مثلا برای فیشنگ یا حملات DDos یا استخراج بیت کوین و … در هیچ کدوم از این موارد به صورت عادی شما متوجه هک شدن سرور نمی شوید امیدواریم که در مورد امنیت مجنتو اطلاعاتی به دست آورده باشید.

مطالب مرتبط
ثبت سفارش در پنل ادمین مجنتو

ثبت سفارش در پنل ادمین مجنتو (magento 2)

خرید از فروشگاه های اینترنتی به این شیوه است که مشتریان کالاهای موردنیاز خود را در سایت فروشگاه سفارش می […]

5 دقیقه مطالعه مشاهده
سئو مجنتو چیست؟

سئو مجنتو چیست؟ بهترین ماژول های سئو مجنتو 2023

مجنتو یکی از فروشگاه ساز هایی است که برای راه اندازی سایت و فروشگاه های اینترنتی از آن استفاده می […]

11 دقیقه مطالعه مشاهده
مجنتو 2.4.5

مجنتو 2.4.5

نسخه منبع باز مجنتو 2.4.5 در تاریخ 9 آگوست 2023 منتشر شد. اکنون Magento 2.4.5 به صورت عمومی در دسترس […]

3 دقیقه مطالعه مشاهده

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *