Magento 2 sikkerhet | Få en trygg nettbutikk i 2020!
Magento 2 netthandel
I følge Datanyze Ecommerce Platforms Market Share Report bruker 12 708 netthandel nettsteder i Alexa topp 1 million Magento (av 467 teknologier) som har en andel på 14,31%, en betydelig del av netthandel. Derfor, hvis du planlegger å starte en netthandel i 2020, bør du ta en nærmere titt på Magento 2 Open Source og Commerce som nå er de offisielt støttede plattformene fra Adobe.
Magento 2 med innebygget sikkerhet
Vi surfer stadig mer og mer på nettet og med dette øker også hackerangrep, malware angrep, injeksjoner, takeover og lignende. Du som nettbutikk eier bør derfor tenke nøye over hvilken plattform du virker da du har et ansvar for å beskytte dine kunder og kundedata.
Ved å benytte Magento 2 får du en robust og ut av boksen sikkerhet som i motsetning til mange andre plattformer har ivaretatt sikkerhetsaspekter direkt i handelsplattform kjernen.
Sikkerhet er og har forblitt den største bekymringen for alle eiere av nettbutikker og fler får stadig et økt fokus på sikkerheten til nettbutikken sin. I hovedsak er kunde informasjonen som samles av selv små nettbutikker ofte verdt mye for kriminelle som ofte selger denne informasjonen til flere. Dersom du ønsker en plattform som tar sikkerhet på alvor ut av boksen er det sikkerhet med Magento 2 som bør være førstevalget blant Open Source plattfomer.
Kom i gang nå!
Vi tilbyr sikkerhetavtaler som gir deg økt trygghet, teknisk assistanse når du trenger det og en mer levedyktig nettbutikk.
Magento 1.x EOL – Har det virkelig betydning?
Magento har kunngjort at Magento 1.x har nådd enden på sin livssyklus (EOL – End of lifecykle). Dette betyr at Magento 1.x ikke vil få nye Magnento oppdatering eller sikkerhetspatcher. Dette er ikke nødvendigvis et umiddelbart problem, men venter du noen måneder og sikkerhetshull oppdages og dermed ikke kan tettes vil du som Magento 1 nettbutikk eier være i stor risiko for hackerangrep, noe som igjen fører til at dine kundedata, betaling og utsjekk kan bli komprimert og et offer for DDoS angrep. Det er derfor din plikt som nettbutikk eier å migrere til et system som kan vedlikeholdes og sikres. Dette kan en profesjonell nettbutikk leverandør hjelpe deg med. Vår anbefaling er at du migrerer til Magento 2 som er en fornyet og bedre versjon av Magento 1.
Ja det gjør det! Magento kunngjorde i fjor at de ikke vil gi ytterligere sikkerhet Magento-oppdateringer og oppdateringer. I alle fall, hvis du fremdeles bruker Magento 1, vil det være et mareritt på lang sikt. Årsaken til dette er ganske tydelig Magento 1 vil ikke være underholdende med noen sikkerhetsoppdateringer som kan forhindre butikken deres fra uønskede angrep som DDoS eller sikkerhetsproblemer med betaling gateway, slik som sikkerhet med Magento 2.
Vær derfor smart nok og prøv å finne ut av den best mulige måten å migrere Magento 1-butikken til Magento 2.
Magento 2 spam og phishing
Som med fysiske butikker er det alltid kriminielle som forsøke å berike seg med andres eiendeler. Slik er det også i netthandelverden, der hvor det er butikker av noe slag er det også tyver. Kriminelle på nettet jakter ofte etter svakheter i kodene på nettbutikker slik at de kan finne en inngang for å stjele informasjon, plante illsinnet kode, spamme og lignene.
Heldigvis kommer det ofte oppdateringer til Magento 2 som bidrar til en sikrere og bedre plattform, men det er mulig å gjøre flere sikkerhetstiltak som bedrer sikkerheten til plattformen i enda større grad. Dersom du fortsatt er på Magento 1, så husk nå at plattformen er ved veis ende og fases ut. Dersom du planlegger å vokse din virksomhet videre bør du migrere til Magento 2.
Skalerbar hosting for Magento 2
Moo Gruppen har lang erfaring med hosting av komplekse webløsninger og nettbutikker og kan derfor tilby god skalerbar hosting med kontinuerlig overvåkning, backup løsninger og mye mer for å sikre en stabil og sikker drift av din nettbutikk.
Magento 2 sjekkliste for optimal sikkerhet
Hvordan sikre Magento nettbutikken din i 2020?
Vi har utarbeidet en sjekkliste for å sjekke pulsen på sikkerheten du har på din Magento 2 nettbutikk.
Følger du denne listen kan du ihvertfall være vell vitende at du har gjennomført
viktige grep for å øke sikkerhetsnivået til nettbutikken din til et høyere nivå.
1. Skann din Magento nettbutikk for Malware
Skann nettbutikken din for skadelig programvare
Etter vår erfaring kan en Magento nettbutikk bli infisert med malware på tre forskjellige måter:
Før man starter arbeidet med å befeste Magento installasjonen sin er det smart å starte med å sjekke om kriminelle allerede har fått tilgang til nettstedet ditt. Gjennomfør derfor en enkel sikkerhetsrevisjon ved å skanne alle filer etter skadelig programvare og få det deretter eliminert. Vi i Moo Gruppen anbefaler Magento Security Scan Tool som er en offisiell malware skanner for Magento 2 butikker. Forutom en engangs søk kan du konfigurere verktøyet for å skanne daglig, ukentlig eller ved å bruke et hvilket som helst annet intervall du ønsker. Det er enkelt å benytte og komme i gang med Magento Security Scan Tool.
2. Vedlikehold Magento 2 nettbutikken månedlig
Hvor bedre og oftere du har et fast vedlikehold hvor sikrerere vil nettbutikken din være. Mange kan tenke seg at den nyeste Magento versjonen ikke er stabil og kanskje ikke smart å oppgradere til, noe som til en viss grad er korrekt. Dersom den siste versjonen viser seg å ikke være helt sikret er ofte Magento raske med å slippe nye sikkerhetsoppdateringer og disse bør installeres innen kort tid fra de slippes. Et annet aspekt av ved oppdateringer av Magento 2 plattformen er plugins / moduler. Dersom tredjeparts integrasjoner / moduler ikke er oppdatert til å støtte nyeste versjon av Magento 2 kan være en god ide å avvente litt slik at man ikke opplever at flere funksjoner slutter å virke når vedlikeholdet er gjort. Det er derfor også viktig å gjennomføre vedlikehold først på en test server slik at man kan verifisere at eksisterende funksjoner fungerer før man flytter endringer til staging og produksjonsserver. Vi anbefaler vedlikehold månedlig, men minst en gang i kvartalet.
3. Endre navn på admin påloggingssiden
Magento-administratorpanelet finner man ved å gå til min-side.no/admin.
Imidlertid er det ofte ikke vanskelig for hackere å komme til Magento admin-påloggingssiden og starte et brute force-angrep. Dette kan enkelt forhindres ved å endre navn på admin login siden til f.eks min-side.no/butikkdor slik at hackere ikke er klar over lenken til admin siden din selv om de skulle klare å få tak i passordet. Magento-admin stien kan endres ved å redigere local.xml-filen i Magento 1 og env.php-filen i Magento 2.
4. Bruk tofaktorautentisering (2FA) / Vipps login for Magento 2 sikkerhet
Magento 2 plattformen har nå innebygget tofaktorautentisering med mulighet for flere 2FA løsninger. Dette er noe vi anbefaler alle å ta i bruk for ekstra sikkerhet, spesielt på admin kontoen. 2FA-utvidelsen installeres når du installerer eller oppgraderer til Magento Open Source eller Commerce 2.3.X. Disse 2FA utvidelsene installeres som en Core Bundled Extension (CBE).
Utvidelsen støtter flere autentisatorer og inkluderer Google Authenticator, Authy, Duo og U2F nøkler. Det gjelder bare Magento Admin UI-brukere; det gjelder ikke for kundekontoer på butikken, men her kan man bruke Vipps login og dermed også øke sikkerheten med Magento 2 for kundelogin. Med tofaktorautentisering og vipps login trenger man ikke å bekymre seg for at passordet har blitt stjelt i like stor grad lenger da man har et ekstra lag med sikkerhet.
5. Vipps login for kundesider i Magento 2
Her i Norge er Vipps både populært og en kjent varemerke. Folk flest har stor tillit til Vipps og med Vipps login kan kunder både registrere seg og logge inn på din nettbutikk enkelt og greit. Med Vipps login er brukernavn og passord noe som hører fortiden til, nå kan dine kunder slippe å huske passord og kun forholde seg til sitt telefon og telefonnummer med vipps appen.
6. Sett opp kryptert tilkobling (SSL / HTTPS) for Magento 2
Det er verdt å merke seg at når man sender data som påloggingsinformasjonen, over en ukryptert forbindelse, er det en risiko for at dataene blir oppfanget av noen. Denne overvåkningen kan gi kriminielle tilgang til å se hvilken informasjon du benytter ved login.
For å minimere disse problemene, må du bruke en sikker Magento-forbindelse.
I Magento kan du se om du har en sikker HTTPS / SSL URL ved å sjekke fanen
På på å bruke sikre URLer” i systemkonfigurasjon menyen. Dette er også et av de kritiske elementene i å gjøre Magento-nettstedet ditt kompatibelt med PCI-data sikkerhetsstandarden og i å sikre dine nettbaserte transaksjoner. For å få et SSL-sertifikat, kan du for eksempel benytte Let’s Encrypt for å komme i gang. Det vil også hjelpe deg med å bli PCI-kompatibel.
7. Bruk sikker FTP
En av de mest benyttede metodene for å hacke en nettside / nettbutikk er ved å gjette eller avskjære FTP-passord. For å forhindre at dette skjer med deg, bør du bruke sikre passord og bruke SFTP (Secured File Transfer Protocol) som bruker en privat nøkkelfil for dekryptering eller autentisering av en bruker. Sjekk med din nettbutikk leverandør om de benytter seg av SFTP ved vedlikehold og arbeid med din Magento butikk.
8. Magento 2 sikkerhet med en aktiv backup-plan for din nettbutikk
Det er en god praksis at du tar strenge forebyggende tiltak for Magento 2 sikkerhet. Det er like viktig å ha en fungerende sikkerhetskopiering plan. Dette inkluderer å ha en fast rutine for backup og tilgjengligjøring av nedlastbare sikkerhetskopier. Hvis nettstedet ditt av noen grunn blir hacket eller til og med hvis det krasjer, vil en sikkerhetskopieringsplanen din sikre at du ikke får noen avbrudd i tjenesten. En redudant løsning / mulighet for å raskt sette opp siste kjørte backup kan hindre din nettbutikk å tape store summer ved et angrep eller krasj.
Vi anbefaler i tillegg til backup på server til å ta backup på eksterne medier slik at man er sikret på flere måter. Sikkerhetskopiering av data resulterer i minimalt tap av data.
Spør din leverandør om deres strategier for en aktiv backup
Det er alltid lurt å ta kontakt med hostingleverandøren din om den har en sikkerhetskopi-strategi. Vi i Moo Gruppen har gode backup og sikkerhetsrutiner for våre kunder og har et bredt tjenestetilbud av slike løsnigner som inngår i våre SLA avtaler.
9. Bli kvitt Magento 2 moduler som ikke er i bruk
Magento 2 moduler som ikke er i bruk er en reel risiko for din nettbutikk. Det er ofte ubenyttede moduler som gir åpning for hackere. I disse ubenyttede modulene kan det ligge potensielle sårbarheten og det er ikke lurt å gi hackere flere innganger til din nettbutikk. Lukk denne potensielle inngangen og rydd opp ved å kontrollere hvilke moduler du faktisk benytter deg av. Avinstaller modulene du ikke bruker. Vi anbefaler derimot at du tar sikkerhetskopi av nettbutikken før du avinstallerer moduler i tilfelle noen av funksjonene dine i butikken faktisk er avhengig av moduler du trodde ikke var i bruk.
Fjerningsprosedyren er ganske enkel. Lag først en sikkerhetskopi, bruk deretter SSH og utfør disse kommandoene:
bin/magento module:disable Useless_Extension –clear-static-content
bin/magento setup:upgrade
cd app/code/Useless_Extension/
rm -rf Useless_Extension
Hvis du har problemer med avinstallasjonsprosessen, finner du frem bruksanvisning for modulene. Noen moduler krever at flere trinn for å fjernes trygt fra din nettbutikk, så det er en god idé å dobbeltsjekke bruksanvisningen før du sletter dem.
10. Deaktiver katalog indeksering
Deaktivering av katalog indeksering er en annen måte å forbedre din Magento butikk sikkerhet. Når du har deaktivert katalog indekserings alternativet, kan du skjule forskjellige baner som filene i domenet ditt lagres gjennom.
Det forhindrer at nett kriminelle får tilgang til kjernefilene på ditt Magento nettsted. Imidlertid kan de fremdeles få tilgang til dataene dine hvis de allerede har den fulle banen til dataene dine.
11. Dedikert Magento hosting
Vår anbefaling er alltid at nettbutikker som har et seriøst mål om å lykkes på nett bør ha en dedikert server. Ofte får man bedre hastighet med en dedikert server og kan raskt oppgradere / skalere ved behov. I tillegg øker sikkerheten med dedikert server. Med delt server går du på akkord med Magento-butikkens sikkerhet. Vi i Moo Gruppen har lang erfaring med hosting av selv store enterprise nettbutikker og kan bidra til å sette opp et godt miljø for din nettbutikk.
12. Vær klok med Magento admin passordet ditt
Et passord er en nøkkel til Magento-butikken din. Derfor må du være spesielt påpasselig mens du lager deg et passord. I mellomtiden oppretter du et passord, bruk et som har en blanding av store og små bokstaver, tall og spesialtegn som?@,> Osv. (Bruk en passordadministrasjon tjeneste som lastpass hvis du har problemer med å huske passordene dine. En viktig huskeregel er å aldri benytte Magento-passordene dine for å logge på andre nettsteder. Det er smart å holde Magento-passordet atskilt og ikke benytte det samme passordet på andre steder som kan bli komprimerte, dette for å gjøre det vanskelig for hackere å finne passordet ditt.
13. Eliminere e-post smutthull
Med Magento er det enkelt for brukere å gjenopprette glemt passord gjennom den forhåndskonfigurerte e-postadressen. Hvis e postadressen din som er forhåndskonfigurert i Magento blir hacket, blir hele Magento-butikken din sårbar. Du må sørge for at e-postadressen du bruker til Magento ikke er offentlig kjent, og at den er beskyttet med tofaktorautentisering. På denne måten minsker du sjansen på å bli hacket.
14. Forhindre MySQL injeksjon i din Magento nettbutikk
Magento gir utmerket støtte for å over manøvrere ethvert MySQL-injeksjonsangrep med de nyere versjonene og oppdateringene, det er ikke alltid en ideell tilnærming å bare stole på dem. Vi foreslår derfor at du legger til brannmurer som NAXSI for å holde nettstedet og kundene dine trygge. Du kan også benytte Magento 2 sikkerhetsoppdateringer.
15. Gjennomfør Sikkerhetsgjennomgang av Magento nettbutikken
Det er verdt å merke seg at Magento utviklere ikke nødvendigvis har nok erfaring med sikkerhet og er sikkerhetseksperter selv om de er dyktige utviklere. Det er heller et fåtall Magento utviklere som også har et sterkt sikkerhetsfokus og forstår viktigheten og kompleksiteten av sikkerheten i en Magento nettbutikk. Om du har en Magento nettbutikk bør du få en dyktig Magento leverandør med fokus på sikkerhet til å gjennomføre en analyse av ditt Magento nettsteds sikkerhet.
Det er derfor en ide at du analyserer nettstedet ditt for tilsynelatende smutthull og sikkerhetsmangler en gang (eller kanskje to ganger) i året. En dyktig Magento leverandør tilbyr dette i sin SLA avtale og følger opp med rapport.
Dette inkluderer å utføre en komplett Magento 2-sikkerhetsskanning av nettstedet, plugins og installerte utvidelser. Hvis det er smutthull, feil eller sikkerhetsfeil, kan du få Magento 2 sikkerhetsoppdateringer gjennom pålitelige sikkerhetsfirmaer. Hvis du gjør det riktig, hjelper disse vurderingene med å styrke Magento-sikkerheten ytterligere.
Gode Magento 2 sikkerhetsmoduler
Det finnes flere gode og anbefalte sikkerhetsmoduler for Magento 2. Vi har satt opp en liste over noen av de viktigste sikkerhets-modulene for Magento 2 som du bør velge for nettbutikken din.
To-faktor autentisering for Magento 2 utviklet av Aitoc
Sikkerhetsutvidelsen fra Aitoc vil hjelpe deg med å løse login problemer med tofaktorverifikasjon. Dette er funksjoner støttten i modulen:
Sikkerhetspakke for Magento 2 utviklet av Amasty
Denne Magento 2 Security-modulen er veldig enkel å installere og konfigurere. Ved å bruke denne Magento-sikkerheten kan du beskytte butikkens data mot eksterne trusler.
Her er viktige nøkkelfunksjoner fra modulen:
Magento 2 Sikkerhetsmodul utviklet av Mageplaza
Denne Magento 2-sikkerhetsutvidelsen hjelper deg med å forhindre innbruddsforsøk til din nettbutikk fra hackere.
Et effektivt varslingsdeteksjonssystem som hjelper deg med å beskytte din verdsatte informasjon fullstendig.
Denne modulen beskytter dataene fra både kunder og nettstedet, og er god praksis for en Magento nettbutikk. Hvis nettstedet ditt ble hacket, vil kundene dine bli skeptiske med å besøke nettbutikken din igjen. Dermed hjelper denne modulen deg med å se etter alle advarsler om mulige sikkerhetsrisikoer, samt spore IP-en som utnytter informasjonen din.
Utforsk Watchlog Pro for Magento 2 utviklet av WYOMIND
Denne Magento 2-sikkerhetsutvidelsen som er utviklet av Wyomind er det beste valget for å beskytte nettstedet ditt mot angrep der hackere prøver å hacke admin området. Å bruke denne utvidelsen vil hjelpe Magento nettbutikken ditt med å øke sikkerheten, så vel som du vil ha god kunnskap for å løse sikkerhetsproblemene.
Gir deg mulighet til å blokkere IP-er på backend og frontend automatisk eller manuelt. Viser den også innloggingshistorikken med riktig status.