Ataki hakerskie s\u0105 wci\u0105\u017c cz\u0119stym przypadkiem, z kt\u00f3rym musz\u0105 mierzy\u0107 si\u0119 w\u0142a\u015bciciele popularnych stron. Zwykle najwi\u0119kszym problemem jest to, \u017ce mo\u017cesz nawet nie wiedzie\u0107, \u017ce Tw\u00f3j sklep e-commerce zosta\u0142 zaatakowany. Je\u015bli przest\u0119pcy uderzyli w Twoj\u0105 firm\u0119, musisz wyczy\u015bci\u0107 zainfekowan\u0105 witryn\u0119 Magento. Ponadto nale\u017cy zadba\u0107 o ochron\u0119 przed mo\u017cliwymi dalszymi wtargni\u0119cia. Aby Ci w tym pom\u00f3c, omawiamy, jak zidentyfikowa\u0107, naprawi\u0107 i zabezpieczy\u0107 system Magento oraz zawrze\u0107 informacje o najbardziej rozpowszechnionych typach w\u0142ama\u0144 i sposobach, w jakie przest\u0119pcy wykorzystuj\u0105 sklepy e-commerce na swoj\u0105 korzy\u015b\u0107.<\/p>\n

Popularne ataki<\/h2>\n

Po pierwsze, mo\u017cesz zacz\u0105\u0107 otrzymywa\u0107 ostrze\u017cenia o czarnej li\u015bcie od wyszukiwarek, takich jak Google czy Bing.\u00a0Dziwne dzia\u0142anie kart kredytowych zg\u0142oszone przez klient\u00f3w wskazuje, \u017ce co\u015b jest nie tak.\u00a0Nieprawid\u0142owe zachowanie koszyka i p\u0142atno\u015bci mo\u017ce zosta\u0107 uznane za \u015bwiadomy \u015blad przest\u0119pc\u00f3w.\u00a0Pojawienie si\u0119 s\u0142\u00f3w kluczowych b\u0119d\u0105cych spamem na listach produkt\u00f3w lub w SERP r\u00f3wnie\u017c nie oznacza niczego dobrego.\u00a0Podobnie jest z r\u00f3\u017cnymi niegodziwymi dzia\u0142aniami, kt\u00f3re cz\u0119sto prowadz\u0105 do zawieszenia strony internetowej.\u00a0Modyfikacje plik\u00f3w, problemy z integralno\u015bci\u0105 rdzenia Magento, nieznani administratorzy to r\u00f3wnie\u017c znane objawy ska\u017conej witryny Magento.<\/p>\n

Za ka\u017cdym razem, gdy sklep jest zaatakowany, skradzione dane karty kredytowej klienta s\u0105 jednym z g\u0142\u00f3wnych problem\u00f3w.\u00a0Problem jest szczeg\u00f3lnie szkodliwy, je\u015bli polegasz na mechanizmach Magento finalizowania p\u0142atno\u015bci.\u00a0W takiej sytuacji konieczne jest samodzielne zareagowanie na ewentualne naruszenie danych. Jednak wi\u0119kszo\u015b\u0107 firm decyduje si\u0119 na dokonywanie p\u0142atno\u015bci poza firm\u0105.\u00a0Opieraj\u0105 si\u0119 na bezpiecznych bramkach p\u0142atniczych, integracjach API lub formach p\u0142atno\u015bci innych firm.\u00a0Takie sztuczki zabezpieczaj\u0105 dane klient\u00f3w przed kradzie\u017c\u0105 cyfrow\u0105.<\/p>\n

Jak sprawdzi\u0107, czy Tw\u00f3j sklep zosta\u0142 zaatakowany<\/h2>\n

Im bardziej niezabezpieczony staje si\u0119 Internet, tym wi\u0119cej narz\u0119dzi ochrony jest dost\u0119pnych bezp\u0142atnie.\u00a0A e-commerce, mimo \u017ce wi\u0105\u017ce si\u0119 z du\u017cymi pieni\u0119dzmi, nie jest wyj\u0105tkiem.\u00a0R\u00f3\u017cne narz\u0119dzia internetowe umo\u017cliwiaj\u0105 bezp\u0142atne skanowanie instalacji Magento bez zewn\u0119trznych specjalist\u00f3w.\u00a0Oznacza to, \u017ce identyfikacja oszust\u00f3w kart kredytowych, z\u0142o\u015bliwych \u0142adunk\u00f3w, niezabezpieczonych domen i innych dra\u017cliwych problem\u00f3w nie jest ju\u017c tak trudnym problemem.<\/p>\n

<\/p>\n

Mo\u017cesz przeskanowa\u0107 swoj\u0105 witryn\u0119 Magento pod k\u0105tem z\u0142o\u015bliwego oprogramowania i innych niepewnych punkt\u00f3w za pomoc\u0105 MageReport, Sucuri SiteCheck lub podobnego oprogramowania.\u00a0Je\u015bli Twoja witryna jest zainfekowana, system wy\u015bwietla ostrze\u017cenie.\u00a0Zwr\u00f3\u0107 uwag\u0119 na wszystkie zg\u0142oszone \u0142adunki, lokalizacje i ostrze\u017cenia na czarnej li\u015bcie.\u00a0Poza tym specjali\u015bci zalecaj\u0105 skanowanie wszystkich innych witryn internetowych, kt\u00f3re korzystaj\u0105 z tego samego serwera co Tw\u00f3j, ze wzgl\u0119du na mo\u017cliwo\u015b\u0107 przeniesienia zanieczyszczenia mi\u0119dzy witrynami.<\/p>\n

Jednak zdalne skanowanie nie jest bezb\u0142\u0119dne.\u00a0Proces by\u0107 mo\u017ce odbywa si\u0119 w Twojej witrynie, ale nie uzyskuje dost\u0119pu do serwera.\u00a0Je\u015bli skanowanie sklepu nie wykryje \u017cadnych narusze\u0144, nie oznacza to, \u017ce Twoja firma e-commerce nie zosta\u0142a dotkni\u0119ta.\u00a0Chocia\u017c niekt\u00f3re problemy mo\u017cna wykry\u0107 w przegl\u0105darce (mo\u017cesz monitorowa\u0107 swoj\u0105 witryn\u0119 pod k\u0105tem backdoor\u00f3w, phishingu, skrypt\u00f3w serwerowych itp.), Wiele wyzwa\u0144 jest zwi\u0105zanych wy\u0142\u0105cznie z serwerem.\u00a0W zwi\u0105zku z tym najbardziej wszechstronne lekarstwo \u0142\u0105czy skanowanie zdalne i po stronie serwera.<\/p>\n

Monitorowanie po stronie serwera zwykle obejmuje oprogramowanie innych firm, kt\u00f3re weryfikuje pliki pod k\u0105tem backdoor\u00f3w, phishingu i innych luk bezpiecze\u0144stwa, kt\u00f3rych nie widz\u0105 zdalne skanery.\u00a0Niekt\u00f3re rozwi\u0105zania umo\u017cliwiaj\u0105 \u015bledzenie zmian plik\u00f3w, zapewniaj\u0105c bardziej wszechstronny audyt. Na przyk\u0142ad Sucuri oferuje rozszerzenie, kt\u00f3re jest bezp\u0142atnym dodatkiem do zwyk\u0142ych plan\u00f3w czyszczenia i monitorowania platformy, opracowane w celu sprawdzania plik\u00f3w witryn internetowych w poszukiwaniu problem\u00f3w, kt\u00f3rych zdalny skaner nie mo\u017ce rozr\u00f3\u017cni\u0107.<\/p>\n

Narz\u0119dzia skanuj\u0105ce<\/h3>\n

SiteCheck oferuje bezp\u0142atne sprawdzanie witryn internetowych i monitorowanie z\u0142o\u015bliwego oprogramowania. MageReport to platforma, kt\u00f3ra zapewnia szybki wgl\u0105d w stan bezpiecze\u0144stwa Twojej witryny Magento i zapewnia porady, jak bezp\u0142atnie naprawi\u0107 ewentualne luki. Magento Security Scan Tool stanowi oficjalny darmowy skaner strony sklepu. UnmaskParasites to rozwi\u0105zanie do wyszukiwania nielegalnych tre\u015bci wbudowanych w Twoje strony internetowe. Foregenix to skaner dostarczaj\u0105cy ostrze\u017cenia o zagro\u017ceniach i informacje edukacyjne zwi\u0105zane z poprawno\u015bci\u0105 Twojej witryny za po\u015brednictwem poczty elektronicznej. Opr\u00f3cz tego jest jeszcze VirusTotal, zapewniaj\u0105cy zdaln\u0105 analiz\u0119 podejrzanych plik\u00f3w i adres\u00f3w URL, kt\u00f3ry wykrywa r\u00f3\u017cne rodzaje oszustw i udost\u0119pnia je spo\u0142eczno\u015bci.<\/p>\n

Przeskanuj sw\u00f3j serwer<\/h3>\n

Powiedzmy jeszcze kilka s\u0142\u00f3w o technikach skanowania, kt\u00f3re obejmuj\u0105 monitorowanie serwera.\u00a0Wszelkie nowe lub niedawno zmodyfikowane pliki na serwerze mog\u0105 sygnalizowa\u0107, \u017ce zosta\u0142e\u015b zhakowany.\u00a0Dlatego od czasu do czasu skup si\u0119 na systemie plik\u00f3w Magento, wykrywaj\u0105c z\u0142o\u015bliwe ataki. Poniewa\u017c wszystkie wersje Magento s\u0105 dost\u0119pne na GitHub, mo\u017cliwe jest lokalne pobranie niezb\u0119dnego oprogramowania przez terminal SSH i por\u00f3wnanie go z tym z serwera.<\/p>\n

Zawsze dobrym pomys\u0142em jest u\u017cywanie SFTP, SSH i FTPS do uzyskiwania dost\u0119pu do serwera zamiast FTP.\u00a0Ten ostatni jest niezaszyfrowany, co powoduje dodatkowe naruszenia bezpiecze\u0144stwa. Zwr\u00f3\u0107 uwag\u0119, \u017ce niekt\u00f3re malware mog\u0105 zosta\u0107 wykryte z powodu zmienionej daty modyfikacji pliku.<\/p>\n

Mo\u017cna skr\u00f3ci\u0107 te czynno\u015bci i u\u017cy\u0107 jednego z rozwi\u0105za\u0144 do monitorowania integralno\u015bci plik\u00f3w. Tripwire to platforma do wykrywania zagro\u017ce\u0144, identyfikowania podatno\u015bci i sprawdzania integralno\u015bci plik\u00f3w dla Magento. MageScan to narz\u0119dzie do monitorowania i raportowania zmian integralno\u015bci systemu Magento oraz plik\u00f3w konfiguracyjnych. OSSEC to system wykrywania w\u0142ama\u0144 typu open source z funkcjami FIM (file integrity monitoring, czyli monitorowanie integralno\u015bci plik\u00f3w). SEM to scentralizowane rozwi\u0105zanie do zarz\u0105dzania logami, kt\u00f3re wykrywa nieautoryzowane modyfikacje. Qualys FIM to aplikacja internetowa, kt\u00f3ra centralnie rejestruje zmiany plik\u00f3w.<\/p>\n

\u015aled\u017a dzienniki administratora<\/h3>\n

Nowe i nieznane konta u\u017cytkownik\u00f3w r\u00f3wnie\u017c mog\u0105 by\u0107 uwa\u017cane za ostrze\u017cenie.\u00a0Hakerzy cz\u0119sto rejestruj\u0105 nowych administrator\u00f3w w zaatakowanych e-commerce, aby uzyska\u0107 dodatkowy dost\u0119p do przechowywania danych i przej\u0105\u0107 kontrol\u0119 nad witrynami sklepowymi.\u00a0Ani Magento 2, ani Magento 1 nie s\u0105 na to odporne.\u00a0Dlatego zweryfikuj wszystkie konta administracyjne.<\/p>\n

Zar\u00f3wno Magento 1, jak i Magento 2 s\u0105 powi\u0105zane z szerok\u0105 gam\u0105 rozszerze\u0144 innych firm.\u00a0W pe\u0142ni oznaczone loggery administracyjne zajmuj\u0105 wa\u017cne miejsce w ekosystemie.\u00a0 Narz\u0119dzia te nie tylko umo\u017cliwiaj\u0105 wykrywanie nowo utworzonych kont, ale tak\u017ce zapewniaj\u0105 mo\u017cliwo\u015b\u0107 rejestrowania ka\u017cdego kroku, jaki administratorzy wykonuj\u0105 w ramach zaplecza.\u00a0W rezultacie mo\u017cesz bez problemu dowiedzie\u0107 si\u0119, kt\u00f3rzy u\u017cytkownicy s\u0105 zagro\u017ceni.<\/p>\n

Sprawd\u017a raporty<\/h3>\n

Skorzystaj z Google, aby poprawi\u0107 swoj\u0105 witryn\u0119 Magento pod k\u0105tem hack\u00f3w.\u00a0Oczywiste jest, \u017ce je\u015bli wyszukiwarka umie\u015bci Tw\u00f3j sklep na czarnej li\u015bcie, czas dzia\u0142a\u0107.\u00a0Je\u015bli chodzi o szefa zapyta\u0144, jego narz\u0119dzia diagnostyczne stanowi\u0105 niezawodny spos\u00f3b sprawdzenia\u00a0stanu bezpiecze\u0144stwa Twojej instalacji Magento. Twoi klienci s\u0105 kolejnym \u017ar\u00f3d\u0142em informacji dotycz\u0105cych Twojego bezpiecze\u0144stwa.\u00a0Zawsze pozosta\u0144 z nimi w kontakcie, aby wkr\u00f3tce po z\u0142o\u017ceniu zam\u00f3wienia wykry\u0107 takie problemy, jak fa\u0142szywe zakupy.\u00a0Pomo\u017ce Ci to zapobiec katastrofie ju\u017c na wczesnym etapie.<\/p>\n

Zwr\u00f3\u0107 uwag\u0119 na wiadomo\u015bci e-commerce<\/h3>\n

Globalna spo\u0142eczno\u015b\u0107 e-commerce dynamicznie odzwierciedla wszystkie istotne zmiany, kt\u00f3re maj\u0105 wp\u0142yw na ca\u0142y ekosystem.\u00a0Dzi\u0119ki temu zawsze masz do dyspozycji informacje dotycz\u0105ce najnowszych luk w zabezpieczeniach.\u00a0Je\u015bli chodzi o Magento, naj\u015bwie\u017csze informacje o nieprzychylnych dzia\u0142aniach mo\u017cna zawsze znale\u017a\u0107 na oficjalnym blogu.\u00a0Je\u015bli Tw\u00f3j sklep nie zosta\u0142 naruszony, nie oznacza to, \u017ce jest to bezpieczne miejsce.\u00a0Dlatego zawsze sprawdzaj oficjaln\u0105 stron\u0119 Magento pod k\u0105tem mo\u017cliwych luk w zabezpieczeniach i poprawek, aby je naprawi\u0107.<\/p>\n

<\/p>\n

Jak naprawi\u0107 witryn\u0119 Magento po w\u0142amaniu<\/h2>\n

Niezale\u017cnie od tego, czy Twoja witryna Magento zosta\u0142a zaatakowana,czy po prostu posiada s\u0142aby punkt, musisz natychmiast rozwi\u0105za\u0107 problem.\u00a0Poni\u017cej przybli\u017camy to, jak pozby\u0107 si\u0119 luk bezpiecze\u0144stwa w Magento.<\/p>\n

\u00a0Usu\u0144 zainfekowane pliki<\/h3>\n

W\u0142a\u015bnie odnalaz\u0142e\u015b z\u0142o\u015bliw\u0105 domen\u0119 lub \u0142adunek.\u00a0Nie jest to jednak pow\u00f3d do niepokoju.\u00a0Po pierwsze, hakerzy mo\u017cliwe nie rozpocz\u0119li swoich w\u0105tpliwych czynno\u015bci, zanim ich zauwa\u017cy\u0142e\u015b.\u00a0Po drugie, \u0142atwo jest ich zwalczy\u0107. Najpierw poszukaj zanieczyszczonych plik\u00f3w na serwerze Magento. P\u00f3\u017aniej por\u00f3wnaj zainfekowane elementy ze znanymi, prawid\u0142owymi plikami. Na koniec zidentyfikuj i usu\u0144 b\u0142\u0119dne zmiany. Upewnij si\u0119 r\u00f3wnie\u017c, \u017ce wersja, do kt\u00f3rej si\u0119 odnosisz jest zgodna z edycj\u0105 twoich podstawowych plik\u00f3w Magento, w tym \u0142atek i rozszerze\u0144.<\/p>\n

Je\u015bli nie wiesz, jak wyleczy\u0107 infekcj\u0119 z\u0142o\u015bliwym oprogramowaniem, zapytaj specjalist\u0119.\u00a0Je\u015bli chcesz zrobi\u0107 wszystko bez zatrudniania zewn\u0119trznego eksperta, jest kilka czynno\u015bci, kt\u00f3re musisz wykona\u0107. Najpierw musisz by\u0107 zalogowany na swoim serwerze. Utw\u00f3rz kopi\u0119 zapasow\u0105, aby m\u00f3c przywr\u00f3ci\u0107 witryn\u0119 Magento do jej obecnego stanu, je\u015bli co\u015b p\u00f3jdzie nie tak po usuni\u0119ciu uszkodzonych plik\u00f3w. Sprawd\u017a ostatnie zmiany i potwierd\u017a, czy s\u0105 uzasadnione, czy nie. Zast\u0105p podejrzane pliki ich czystymi wersjami. Przejrzyj pliki niestandardowe i usu\u0144 z nich podejrzany lub nieznany kod. Zweryfikuj dzia\u0142anie witryny \u2013 Twoim celem jest usuni\u0119cie zanieczyszczenia i utrzymanie go w dobrym stanie po zastosowaniu nowych zmian.<\/p>\n

Poza tym mo\u017cesz odwiedzi\u0107 fora spo\u0142eczno\u015bci, takie jak StackExchange, aby znale\u017a\u0107 pomoc.\u00a0Jest szansa, \u017ce \u200b\u200btw\u00f3j problem nie jest odosobniony.\u00a0Dlatego mo\u017cesz \u0142atwo znale\u017a\u0107 odpowiedni temat.\u00a0Je\u015bli nikt nie omawia Twojego konkretnego problemu, mo\u017cesz poprosi\u0107 innych cz\u0142onk\u00f3w spo\u0142eczno\u015bci o pomoc.\u00a0Niekt\u00f3rzy specjali\u015bci zalecaj\u0105 p\u00f3j\u015bcie o krok dalej i ponowne zainstalowanie wszystkich rozszerze\u0144, nawet je\u015bli nie wykryjesz w nich z\u0142ych element\u00f3w.\u00a0Chocia\u017c procedura jest czasoch\u0142onna, upewnisz si\u0119, \u017ce wszystkie modu\u0142y dzia\u0142aj\u0105 poprawnie i s\u0105 wolne od z\u0142o\u015bliwego oprogramowania.<\/p>\n

Jednak robienie wszystkiego samemu wi\u0105\u017ce si\u0119 z kilkoma wadami.\u00a0Mo\u017cesz nadpisa\u0107 lub usun\u0105\u0107 wa\u017cne pliki, niszcz\u0105c sw\u00f3j sklep.\u00a0Ostatecznie ch\u0119\u0107 ograniczenia wydatk\u00f3w spowoduje wzrost koszt\u00f3w.\u00a0Je\u015bli mo\u017cliwo\u015b\u0107 zniszczenia Twojej witryny Magento nie przera\u017ca Ci\u0119, sprawd\u017a poni\u017csze narz\u0119dzia do por\u00f3wnywania plik\u00f3w: DiffNow, kt\u00f3ry analizuje pliki tekstowe, dokumenty, pliki binarne i archiwa, DiffChecker, kt\u00f3ry sprawdza r\u00f3\u017cnice tekstowe mi\u0119dzy dwoma plikami tekstowymi, oraz polecenie bash Diff, kt\u00f3re sprawdza kontrasty dw\u00f3ch plik\u00f3w w dw\u00f3ch katalogach.<\/p>\n

Utrzymuj bazy danych w czysto\u015bci<\/h3>\n

Poni\u017cej przedstawiamy dwa podej\u015bcia do utrzymywania czysto\u015bci tabel bazy danych.\u00a0Najpierw zbadajmy najbardziej przyjazny\u00a0 i bezpieczny dla u\u017cytkownika.\u00a0Mo\u017cesz usun\u0105\u0107 infekcj\u0119 z\u0142o\u015bliwym oprogramowaniem z bazy danych Magento bezpo\u015brednio w sekcji Tre\u015b\u0107 swojego administratora.\u00a0Mo\u017cna tam edytowa\u0107 statyczne bloki, strony CMS i inne brudne elementy tre\u015bci Twojego sklepu.\u00a0Jednak podej\u015bcie to nie jest najbardziej wydajne.<\/p>\n

Alternatywnie mo\u017cna zastosowa\u0107 zmiany w panelu administracyjnym niskopoziomowej bazy danych.\u00a0Mo\u017cesz wykorzysta\u0107 PHPMyAdmin lub takie narz\u0119dzia jak Adminer lub Search-Replace-DB.\u00a0Jednak r\u0119czne usuwanie kodu i plik\u00f3w bez wcze\u015bniejszego do\u015bwiadczenia mo\u017ce by\u0107 niezwykle niebezpieczne \u2013 wp\u0142yw nieprawid\u0142owych zmian mo\u017ce przewa\u017cy\u0107 nad destrukcyjnymi konsekwencjami w\u0142amania.\u00a0Dlatego przed wykonaniem jakichkolwiek czynno\u015bci nale\u017cy zawsze utworzy\u0107 kopi\u0119 zapasow\u0105 lub skorzystanie z profesjonalnej pomocy.<\/p>\n

W celu samodzielnego usuni\u0119cia szkodliwego oprogramowania nale\u017cy zalogowa\u0107 si\u0119 do panelu administracyjnego bazy danych i utworzy\u0107 kopi\u0119 zapasow\u0105 bazy danych. Nast\u0119pnie skanuj i analizuj baz\u0119 danych, aby wykry\u0107 podejrzane tre\u015bci. Po wykryciu tabeli z podejrzan\u0105 zawarto\u015bci\u0105 r\u0119cznie usu\u0144 jej elementy. Zwr\u00f3\u0107 tak\u017ce uwag\u0119 na konieczno\u015b\u0107 sprawdzenia, czy Twoja witryna sklepowa Magento nadal dzia\u0142a po usuni\u0119ciu budz\u0105cej zastrze\u017cenia tre\u015bci.<\/p>\n

Mo\u017cliwe jest r\u00f3wnie\u017c r\u0119czne wykopanie z\u0142o\u015bliwych funkcji PHP w bazie danych Magento.\u00a0Mo\u017cesz szuka\u0107 takich typowych przyk\u0142ad\u00f3w sabota\u017cyst\u00f3w, jak eval, gzinflate, base64_decode, str_replace, preg_replace itp. Nale\u017cy pami\u0119ta\u0107, \u017ce niekt\u00f3re z\u0142o\u015bliwe oprogramowanie Magento znajduje si\u0119 w tabeli core_config_data w obszarze stopki i nag\u0142\u00f3wka.<\/p>\n

Usu\u0144 ukryte backdoory na zawsze<\/h3>\n

Ka\u017cdy przyzwoity haker pozostawia spos\u00f3b, aby wr\u00f3ci\u0107 do witryny po rozwi\u0105zaniu pierwotnego problemu.\u00a0Dlatego Magento zawsze powa\u017cny podchodzi do potrzeb u\u017cytkownik\u00f3w oraz je\u015bli chodzi o potencjalne zagro\u017cenia.\u00a0Prawdopodobnie masz mn\u00f3stwo e-maili informuj\u0105cych o nowo odkrytych naruszeniach i \u0142atkach.\u00a0By\u0107 mo\u017ce zauwa\u017cy\u0142e\u015b, \u017ce wi\u0119kszo\u015b\u0107 takich problem\u00f3w zwykle nie zawiera \u017cadnych raport\u00f3w wskazuj\u0105cych na prawdziwe w\u0142amania.\u00a0Nawet je\u015bli potencjalna luka w zabezpieczeniach nigdy nie zosta\u0142a wykorzystana, nie oznacza to, \u017ce nikt nie wykorzysta jej w swoich nikczemnych zamiarach.\u00a0Dlatego konieczne jest usuni\u0119cie wszystkich ukrytych backdoor\u00f3w bez wzgl\u0119du na to, czy zosta\u0142y utworzone podczas poprzednich hack\u00f3w, czy dostarczone jako wbudowana wada.<\/p>\n

Przest\u0119pcy cz\u0119sto maskuj\u0105 backdoory za pomoc\u0105 nowych element\u00f3w, kt\u00f3re wygl\u0105daj\u0105 jak oficjalne pliki podstawowe Magento.\u00a0Zwykle koncentruj\u0105 si\u0119 na takich lokalizacjach Magento jak stopka lub nag\u0142\u00f3wek.\u00a0Mo\u017cesz je przejrze\u0107 w sekcji Tre\u015b\u0107 swojego administratora, odkrywaj\u0105c z\u0142o\u015bliwe oprogramowanie.\u00a0Jednak niekt\u00f3re rozszerzenia innych firm mog\u0105 r\u00f3wnie\u017c modyfikowa\u0107 takie lokalizacje.\u00a0Je\u015bli wi\u0119c usuniesz niegro\u017an\u0105 funkcj\u0119, prawdopodobnie zepsujesz ca\u0142\u0105 witryn\u0119.\u00a0Popro\u015b specjalist\u00f3w z odpowiednim do\u015bwiadczeniem, aby zrobili to za Ciebie.<\/p>\n

Je\u015bli chcesz samodzielnie usun\u0105\u0107 backdoory, por\u00f3wnaj istniej\u0105ce pliki Magento z czystym odniesieniem. Najpierw zaloguj si\u0119 do swojego serwera, a nast\u0119pnie utw\u00f3rz kopi\u0119 zapasow\u0105 istniej\u0105cych plik\u00f3w serwisu. Por\u00f3wnaj sw\u00f3j sklep z kopi\u0105 pozbawion\u0105 luk, aby odkry\u0107 nowe pliki, kt\u00f3re wygl\u0105daj\u0105 podejrzanie. Zast\u0105p je znanymi dobrymi kopiami, opr\u00f3\u017cnij pami\u0119\u0107 podr\u0119czn\u0105 Magento i przetestuj zmiany. We\u017a pod uwag\u0119, \u017ce intruzi cz\u0119sto u\u017cywaj\u0105 kodowania, aby zapobiec wykryciu.\u00a0Jednak taka praktyka jest do\u015b\u0107 rzadka, je\u015bli chodzi o oficjalne repozytorium Magento, z wyj\u0105tkiem jego komponent\u00f3w premium.<\/p>\n

Je\u015bli chodzi o drugi przypadek, mo\u017cemy tylko zaleci\u0107 stosowanie poprawek bezpiecze\u0144stwa Magento 2 i regularn\u0105 aktualizacj\u0119 oprogramowania.\u00a0Je\u015bli nadal korzystasz z Magento 1, sprawd\u017a przewodnik po Magento 1 End Of Life Ultimate lub skontaktuj si\u0119 ze wsparciem.\u00a0Niestety, nie ma oficjalnych \u0142atek Magento 1, kt\u00f3re zamkn\u0119\u0142yby jego potencjalne backdoory i rozwi\u0105za\u0142y inne mo\u017cliwe problemy.\u00a0Musisz polega\u0107 na rozwi\u0105zaniach innych firm, kt\u00f3re nie mog\u0105 zagwarantowa\u0107 100% bezpiecze\u0144stwa.\u00a0Je\u015bli chodzi o Magento 2, mo\u017cesz usprawni\u0107 oficjalne aktualizacje, zachowuj\u0105c czysto\u015b\u0107 i bezpiecze\u0144stwo instalacji.<\/p>\n

Zresetuj has\u0142a administratora<\/h3>\n

Jaki jest najbardziej konwencjonalny spos\u00f3b blokowania z\u0142oczy\u0144com dost\u0119pu do Twoich danych?\u00a0Jest to solidne i unikalne has\u0142o.\u00a0Jednak nie mo\u017ce zapewni\u0107 niewra\u017cliwo\u015bci na wszystkie ataki.\u00a0Je\u015bli zosta\u0142e\u015b zhakowany, konieczne jest zresetowanie wszystkich hase\u0142 administratora, aby unikn\u0105\u0107 ponownej infekcji.<\/p>\n

Mo\u017cesz usun\u0105\u0107 has\u0142a administratora w Magento 2 w bardzo prosty spos\u00f3b. Wybierz administratora, aby zresetowa\u0107 has\u0142o w System -> Uprawnienia -> Wszyscy u\u017cytkownicy w panelu administracyjnym Magento 2. W sekcji Informacje o koncie wprowad\u017a nowe has\u0142o i potwierd\u017a je. Nast\u0119pnie wprowad\u017a swoje has\u0142o w polu Twoje has\u0142o, aby zweryfikowa\u0107 swoj\u0105 to\u017csamo\u015b\u0107 i zastosowa\u0107 nowe zmiany. Teraz mo\u017cesz zapisa\u0107 u\u017cytkownika i przej\u015b\u0107 do innego konta.<\/p>\n

Specjali\u015bci zalecaj\u0105 zmniejszenie liczby kont administracyjnych.\u00a0Oczywi\u015bcie nie mo\u017cesz zwolni\u0107 mened\u017cer\u00f3w zaplecza tylko po to, aby zastosowa\u0107 si\u0119 do tej porady.\u00a0Jednak wielu sprzedawc\u00f3w ma tendencj\u0119 do posiadania nieu\u017cywanych kont administracyjnych, a tak\u017ce kont FTP i kont systemowych.\u00a0Nie r\u00f3b tego, poniewa\u017c zwi\u0119kszasz mo\u017cliwo\u015b\u0107 interwencji.\u00a0Przynajmniej z\u0142oczy\u0144cy maj\u0105 dodatkowe sposoby na dotarcie do cennych danych i uzyskanie pe\u0142nej kontroli nad Twoj\u0105 witryn\u0105.<\/p>\n

Zapewnij u\u017cytkownikom dost\u0119p do swojego administratora Magento tak d\u0142ugo, jak jest to konieczne.\u00a0Nast\u0119pnie powiniene\u015b usun\u0105\u0107 ich konta.\u00a0Chocia\u017c tworzenie nowej roli u\u017cytkownika mo\u017ce wydawa\u0107 si\u0119 nieprzyjemnym obowi\u0105zkiem, jest to o wiele mniej uci\u0105\u017cliwe dzia\u0142anie ni\u017c zaj\u0119cie si\u0119 konsekwencjami ataku.<\/p>\n

Jak stworzy\u0107 wiarygodne has\u0142o?\u00a0Istniej\u0105 trzy warunki, kt\u00f3rych nale\u017cy przestrzega\u0107. Po pierwsze, Twoje has\u0142o powinno by\u0107 z\u0142o\u017cone.\u00a0Oznacza to, \u017ce powinien zawiera\u0107 litery, cyfry i symbole.\u00a0Po drugie, ka\u017cde has\u0142o powinno by\u0107 wystarczaj\u0105co d\u0142ugie.\u00a0Chocia\u017c minimalna wymagana liczba znak\u00f3w w Magento 2 to siedem, nie oznacza to, \u017ce powiniene\u015b tworzy\u0107 tak kr\u00f3tkie.\u00a0Im d\u0142u\u017csze has\u0142o, tym mniej podatne na hakowanie. Po trzecie, Twoje d\u0142ugie i wyrafinowane has\u0142o jest niezawodne tylko wtedy, gdy jest unikalne.\u00a0Nie u\u017cywaj dwukrotnie tej samej kombinacji liter, cyfr i symboli.<\/p>\n

Co jeszcze mo\u017ce zmniejszy\u0107 wra\u017cliwo\u015b\u0107 administratora na atakuj\u0105cych?\u00a0Magento promuje wielop\u0142aszczyznowe podej\u015bcie, kt\u00f3re \u0142\u0105czy kilka technik dost\u0119pnych przy zakupie produktu Adobe. Przede wszystkim mo\u017cesz ukry\u0107 sekcj\u0119 zaplecza przed przest\u0119pcami.\u00a0Konieczne jest tylko u\u017cycie niestandardowego adresu URL administratora, kt\u00f3ry jest trudny do odgadni\u0119cia.\u00a0Uwa\u017caj \u201eAdmin\u201d lub \u201eBackend\u201d za oczywiste i znacznie mniej bezpieczne.\u00a0Nazwa Twojej firmy r\u00f3wnie\u017c nie jest najlepsz\u0105 mo\u017cliw\u0105 opcj\u0105. Uwierzytelnianie dwusk\u0142adnikowe to kolejna sztuczka, kt\u00f3ra radykalnie ogranicza mo\u017cliwo\u015b\u0107 w\u0142amania. Token wygenerowany na oddzielnym urz\u0105dzeniu zapewnia administratorom wy\u0142\u0105czny spos\u00f3b weryfikacji ich to\u017csamo\u015bci.<\/p>\n

Poza tym konfiguracja zabezpiecze\u0144 administratora umo\u017cliwia dodawanie tajnego klucza do adres\u00f3w URL, stosowanie hase\u0142 i nazw u\u017cytkownik\u00f3w z rozr\u00f3\u017cnianiem wielko\u015bci liter, a tak\u017ce korzystanie z ograniczonych sesji administratora.\u00a0Mo\u017cesz okre\u015bli\u0107 okres wa\u017cno\u015bci has\u0142a i liczb\u0119 pr\u00f3b logowania w celu zablokowania konta, je\u015bli zostanie przekroczona.\u00a0Magento 2 mo\u017ce nawet monitorowa\u0107 nieaktywno\u015b\u0107 klawiatury przed wyga\u015bni\u0119ciem bie\u017c\u0105cej sesji i wymaga\u0107 CAPTCHA.<\/p>\n

<\/p>\n

Przegl\u0105d witryny<\/h3>\n

Umieszczenie na czarnej li\u015bcie przez Google lub inne organy ds. Spamu na stronach internetowych ma d\u0142ugotrwa\u0142y wp\u0142yw na Tw\u00f3j biznes e-commerce.\u00a0Mo\u017cesz jednak zmniejszy\u0107 to, prosz\u0105c o ponowne rozpatrzenie, gdy konsekwencje w\u0142amania zostan\u0105 naprawione.\u00a0Niestety, proces ten ma kilka niuans\u00f3w, o kt\u00f3rych powiniene\u015b wiedzie\u0107. Google mo\u017ce zmniejszy\u0107 liczb\u0119 \u017c\u0105da\u0144, kt\u00f3re mo\u017cesz wys\u0142a\u0107.\u00a0Aby Internet by\u0142 bezpiecznym miejscem, okre\u015blaj\u0105 oni limit powt\u00f3rze\u0144 dla przest\u0119pc\u00f3w, kt\u00f3rzy \u015bwiadomie hostuj\u0105 lub rozpowszechniaj\u0105 z\u0142o\u015bliwe oprogramowanie za po\u015brednictwem swoich witryn.\u00a0W rzeczywisto\u015bci ka\u017cda witryna internetowa, kt\u00f3ra \u017c\u0105da sprawdzenia, ale nadal jest chora, otrzymuje tylko jedn\u0105 recenzj\u0119 w ci\u0105gu 30 dni.\u00a0Dlatego powiniene\u015b wiedzie\u0107 na pewno, \u017ce Twoja witryna Magento nie zawiera z\u0142o\u015bliwego kodu, zanim poprosisz o przegl\u0105d!<\/p>\n

Zwykle usuwanie ostrze\u017ce\u0144 wygl\u0105da nast\u0119puj\u0105co: pro\u015bba do firmy hostingowej o usuni\u0119cie zawieszenia, podanie szczeg\u00f3\u0142owych informacji dotycz\u0105ce rozwi\u0105zanego problemu, wype\u0142nienie pro\u015bby o sprawdzenie dla ka\u017cdego organu umieszczaj\u0105cego na czarnej li\u015bcie. Nast\u0119pnie jest czas na cierpliwo\u015b\u0107, bo proces sprawdzania zwykle trwa do kilku dni.<\/p>\n

Strategia bezpiecze\u0144stwa po w\u0142amaniu<\/h2>\n

Teraz gdy wszystkie luki w zabezpieczeniach zostan\u0105 wykryte i naprawione, mo\u017cesz zastosowa\u0107 kilka istotnych ulepsze\u0144, aby ograniczy\u0107 mo\u017cliwo\u015b\u0107 przysz\u0142ych atak\u00f3w do absolutnego minimum.<\/p>\n

Regularnie aktualizuj swoj\u0105 witryn\u0119 Magento<\/h3>\n

By\u0107 mo\u017ce jest to najbardziej oczywista rada, kt\u00f3ra jest zawsze niedoceniana.\u00a0Nie jest tajemnic\u0105, \u017ce liczba witryn Magento 1 jest znacznie wy\u017csza ni\u017c liczba witryn sklepowych Magento 2.\u00a0Nawet brak oficjalnego wsparcia nie zra\u017ca wi\u0119kszo\u015bci kupc\u00f3w.\u00a0Konsekwencje takiego zaniedbania mog\u0105 by\u0107 dramatyczne ze wzgl\u0119du na fakt, \u017ce niezaktualizowane i przestarza\u0142e oprogramowanie jest jedn\u0105 z g\u0142\u00f3wnych przyczyn zaka\u017ce\u0144.<\/p>\n

Magento 1<\/h3>\n

Z\u0142a wiadomo\u015b\u0107 jest taka, \u017ce \u200b\u200bnie mo\u017cesz ju\u017c aktualizowa\u0107 swojej witryny e-commerce o oficjalne poprawki ochronne.\u00a0Chocia\u017c istnieje kilka projekt\u00f3w innych firm opracowanych w celu utrzymania Magento 1 po EOL, zalecana jest migracja do Magento 2.<\/p>\n

Dobr\u0105 wiadomo\u015bci\u0105 jest to, \u017ce mo\u017cesz unikn\u0105\u0107 wielu problem\u00f3w, korzystaj\u0105c z naszego ulepszonego rozszerzenia Import & Export oraz jego dodatku do migracji.\u00a0Te dwa rozwi\u0105zania pozwalaj\u0105 na przenoszenie wszystkich podmiot\u00f3w mi\u0119dzy dwiema platformami, wi\u0119c nie ma potrzeby r\u0119cznego odtwarzania ich na nowej stronie Magento 2.<\/p>\n

Magento 2<\/h3>\n

Z drugiej strony sytuacja z Magento 2 jest cz\u0119\u015bciowo taka sama.\u00a0Starsze wersje platformy nie s\u0105 ju\u017c obs\u0142ugiwane.\u00a0Poniewa\u017c migracja nie jest konieczna, wystarczy zaktualizowa\u0107 oprogramowanie. Konieczny jest update nie tylko wszystkich komponent\u00f3w Magento, w tym plik\u00f3w podstawowych, szablon\u00f3w, modu\u0142\u00f3w i wtyczek, ale tak\u017ce innego przestarza\u0142ego oprogramowania na serwerze.<\/p>\n

W\u0142\u0105cz kopie zapasowe<\/h3>\n

Chocia\u017c funkcja tworzenia kopii zapasowych Magento jest przestarza\u0142a w wersjach 2.1.16, 2.2.7 i 2.3.0, nadal mo\u017cesz polega\u0107 na rozwi\u0105zaniach innych firm, aby unikn\u0105\u0107 utraty informacji.\u00a0Na przyk\u0142ad mo\u017cesz polega\u0107 na Percona XtraBackup, kt\u00f3ry dzia\u0142a zar\u00f3wno lokalnie, jak i w chmurze.\u00a0Narz\u0119dzie zapewnia mo\u017cliwo\u015b\u0107 tworzenia kopii zapasowych bazy danych podczas produkcji bez wp\u0142ywu na czas pracy.\u00a0I oczywi\u015bcie mo\u017cesz ca\u0142kowicie zautomatyzowa\u0107 procesy tworzenia kopii zapasowych.<\/p>\n

Niezale\u017cnie od u\u017cywanego rozwi\u0105zania do tworzenia kopii zapasowych innej firmy, istnieje kilka wskaz\u00f3wek, kt\u00f3rych nale\u017cy przestrzega\u0107. Po pierwsze, musisz przechowywa\u0107 kopie zapasowe poza siedzib\u0105 firmy, a nie na serwerze.\u00a0Powodem jest bezpiecze\u0144stwo.\u00a0Je\u015bli pliki kopii zapasowych s\u0105 przechowywane na serwerze, \u0142atwo je ukra\u015b\u0107, aby zagrozi\u0107 Twojej witrynie sklepowej Magento 2. Po drugie, lepiej jest wykonywa\u0107 cz\u0119ste i automatyczne kopiowanie.\u00a0Dzi\u0119ki temu nigdy nie stracisz najnowszej wersji swojej witryny. Po trzecie, upewnij si\u0119, \u017ce wszystkie dane, w tym wszystkie formaty plik\u00f3w, s\u0105 obs\u0142ugiwane przez wybrane narz\u0119dzie do tworzenia kopii zapasowych.\u00a0W przeciwnym razie b\u0119dziesz musia\u0142 r\u0119cznie odtworzy\u0107 cz\u0119\u015bci swojego sklepu Magento, po przywr\u00f3ceniu jego zapisanej kopii.<\/p>\n

I nie zapomnij od czasu do czasu przetestowa\u0107 swoich kopii zapasowych.\u00a0W ten spos\u00f3b potwierdzisz, \u017ce zar\u00f3wno wybrane oprogramowanie, jak i Tw\u00f3j sklep dzia\u0142aj\u0105 poprawnie.<\/p>\n

Przepro\u015b si\u0119 z antywirusami<\/h3>\n

Wszyscy u\u017cytkownicy, kt\u00f3rzy maj\u0105 dost\u0119p do Twojego administratora Magento, powinni regularnie skanowa\u0107 swoje komputery za pomoc\u0105 renomowanego programu antywirusowego.\u00a0U\u017cytkownik z zainfekowanym urz\u0105dzeniem mo\u017ce z\u0142ama\u0107 zabezpieczenia Magento, uzyskuj\u0105c dost\u0119p do pulpitu nawigacyjnego.\u00a0Dlatego lepiej jest przesadzi\u0107 ze \u015brodkami bezpiecze\u0144stwa, ni\u017c lekcewa\u017cy\u0107 dobre porady i pozwoli\u0107 przest\u0119pcom uzyska\u0107 dost\u0119p do witryny e-commerce.\u00a0We\u017a pod uwag\u0119, \u017ce \u015bwiat cyfrowych zagro\u017ce\u0144 jest tak du\u017cy, \u017ce zawiera nawet plagi, kt\u00f3re przeskakuj\u0105 z komputera do edytora tekstu lub klienta FTP, zanieczyszczaj\u0105c kolejne instancje.<\/p>\n

Na szcz\u0119\u015bcie wyb\u00f3r niezawodnych program\u00f3w antywirusowych jest r\u00f3wnie szeroki.\u00a0Na przyk\u0142ad mo\u017cesz usprawni\u0107 takie opcje komercyjne, jak Kaspersky i F-Secure lub oprze\u0107 si\u0119 na takim bezp\u0142atnym oprogramowaniu, jak Avast i Microsoft Security Essentials.<\/p>\n

Kolejna oczywista koncepcja, kt\u00f3rej nie mo\u017cemy przeoczy\u0107, dotyczy prawid\u0142owego stosowania program\u00f3w do wykrywania z\u0142o\u015bliwego oprogramowania.\u00a0Na komputerze powinna dzia\u0142a\u0107 tylko jedna aplikacja, kt\u00f3ra aktywnie chroni j\u0105 przed zagro\u017ceniem.\u00a0W przeciwnym razie napotkasz konflikty wyst\u0119puj\u0105ce mi\u0119dzy kilkoma rozwi\u0105zaniami programowymi, kt\u00f3re spowoduj\u0105 dramatyczne spowolnienie wydajno\u015bci.<\/p>\n

U\u017cyj zapory sieciowej<\/h3>\n

Hakerzy uwa\u017caj\u0105 Magento za \u0142akomy k\u0105sek, poniewa\u017c zdobywa nowych u\u017cytkownik\u00f3w i gromadzi wi\u0119cej danych klient\u00f3w we wszystkich witrynach sklepowych ekosystemu.\u00a0Dlatego taka dodatkowa warstwa ochronna, jak firewall, jest niezb\u0119dnym ulepszeniem, nawet je\u015bli polegasz na zewn\u0119trznych procesorach p\u0142atno\u015bci, kt\u00f3re przechowuj\u0105 poufne dane klient\u00f3w z dala od Twojej witryny w znacznie bezpieczniejszym miejscu.\u00a0Wdra\u017caj\u0105c ten \u015brodek, eliminujesz r\u00f3\u017cne potencjalne luki, a tak\u017ce ograniczasz dost\u0119p nieautoryzowanych u\u017cytkownik\u00f3w do Twojego obszaru administracyjnego.<\/p>\n

Rozwa\u017c firewall\u2019a jako system odporno\u015bciowy, kt\u00f3ry wykrywa i zatrzymuje wszystkie znane infekcje.\u00a0Oczywi\u015bcie nie uchroni to Twojej witryny Magento przed czym\u015b zupe\u0142nie nowym i zupe\u0142nie nieznanym, ale w internecie roi si\u0119 od zidentyfikowanych zagro\u017ce\u0144 wszelkich form i \u015brodk\u00f3w.\u00a0Dlatego lepiej jest si\u0119 przed nimi chroni\u0107.<\/p>\n

Ka\u017cda krwawa choroba jest badana i por\u00f3wnywana do znanych problem\u00f3w zaraz po kilku pierwszych zg\u0142oszonych przypadkach.\u00a0Specjali\u015bci z powodzeniem\u00a0tworz\u0105 szczepionki, dzi\u0119ki czemu Tw\u00f3j firewall jest odporny na niedawno nieznane choroby.\u00a0Poniewa\u017c ochrona istnieje niezale\u017cnie od Twojego sklepu internetowego, jest automatycznie poprawiana, zapewniaj\u0105c aktualne mechanizmy gwarancji, nawet je\u015bli zapomnisz zastosowa\u0107 najnowsz\u0105 \u0142atk\u0119 na swojej stronie Magento.<\/p>\n

Zapora sieciowa eliminuje pr\u00f3by u\u017cycia automatyzacji brutalnej si\u0142y w celu uzyskania hase\u0142.\u00a0Poza tym wykrywa i blokuje wszystkie rodzaje atak\u00f3w DDoS.\u00a0W rezultacie przest\u0119pcy nie mog\u0105 uzyska\u0107 twoich wra\u017cliwych danych ani z\u0142ama\u0107 twojego sklepu Magento 2.<\/p>\n

Nabra\u0107 formy.\u00a0Wi\u0119kszo\u015b\u0107 zap\u00f3r nie tylko zapisuje Twoj\u0105 witryn\u0119, ale tak\u017ce oferuje r\u00f3\u017cne optymalizacje wydajno\u015bci.\u00a0Na przyk\u0142ad mo\u017cesz u\u017cy\u0107 zaawansowanego buforowania, aby zwi\u0119kszy\u0107 pr\u0119dko\u015b\u0107 istniej\u0105cej strony.<\/p>\n

Zachowaj zgodno\u015b\u0107 z PCI<\/h3>\n

Nie b\u0119dziemy traci\u0107 czasu na opisywanie, jak du\u017ca jest zgodno\u015b\u0107 ze standardem PCI.\u00a0Jednak Magento 1 sta\u0142o si\u0119 ostatnio w\u0119z\u0142em gordyjskim pod wzgl\u0119dem wymaga\u0144 stawianych przez g\u0142\u00f3wne firmy obs\u0142uguj\u0105ce karty kredytowe.\u00a0Zaprojektowany, aby powstrzyma\u0107 kradzie\u017c karty kredytowej, nie mo\u017cna ju\u017c przestrzega\u0107 tych warunk\u00f3w, poniewa\u017c Magento 1 nie otrzymuje oficjalnych aktualizacji.<\/p>\n

Niestety niezgodno\u015b\u0107 PCI nie tylko obni\u017ca bezpiecze\u0144stwo Twojej witryny, ale tak\u017ce uniemo\u017cliwia wsp\u00f3\u0142prac\u0119 system\u00f3w przetwarzania kart kredytowych.\u00a0Konsekwencje s\u0105 druzgoc\u0105ce.\u00a0Ale mo\u017cesz ich unikn\u0105\u0107, stosuj\u0105c \u015brodki techniczne i operacyjne.\u00a0Trzymaj witryn\u0119 Magento pod ochron\u0105 firewall\u2019i. Nie u\u017cywaj hase\u0142 dostarczonych przez dostawc\u0119.\u00a0U\u017cywaj mocnych, d\u0142ugich i unikalnych kombinacji znak\u00f3w. Ochrona danych posiadaczy kart przechowywanych w Twojej witrynie Magento.\u00a0Ogranicz do niego dost\u0119p.\u00a0Szyfruj transmisj\u0119 danych posiadacza karty w sieciach publicznych.\u00a0Korzystaj z najnowszych wersji Magento 2, rozszerze\u0144 innych firm i innych rozwi\u0105za\u0144, z kt\u00f3rych korzystasz. Wymagaj unikalnych identyfikator\u00f3w w celu uzyskania dost\u0119pu do danych, prowadzenia dziennik\u00f3w dost\u0119pu i wdra\u017cania fizycznych ogranicze\u0144 dost\u0119pu.\u00a0\u015aled\u017a wszystkie \u015bcie\u017cki dost\u0119pu do zasob\u00f3w sieciowych i informacji o posiadaczach kart, testuj systemy bezpiecze\u0144stwa i procesy.<\/p>\n

<\/p>\n

Oficjalne praktyki bezpiecze\u0144stwa Magento<\/h2>\n

Magento oferuje szerok\u0105 list\u0119 praktyk ochrony i mechanizm\u00f3w obronnych.\u00a0Poniewa\u017c m\u00f3wimy o skutecznej strategii bezpiecze\u0144stwa po w\u0142amaniu, konieczne jest podkre\u015blenie podstawowych poj\u0119\u0107 zawartych w niniejszym poradniku.\u00a0Wielop\u0142aszczyznowy punkt widzenia na popraw\u0119 niezawodno\u015bci instalacji Magento opisuje ulepszenia, kt\u00f3re mo\u017cesz zastosowa\u0107, aby Twoja witryna by\u0142a mniej podatna na ataki.<\/p>\n

Zanim zaczniesz pracowa\u0107 nad nowym projektem Magento, powiniene\u015b rozwa\u017cy\u0107 dwa aspekty. Mo\u017cesz zapobiec wielu mo\u017cliwym problemom, wybieraj\u0105c niezawodnego dostawc\u0119 us\u0142ug hostingowych i integratora rozwi\u0105za\u0144.\u00a0Oce\u0144 ich kwalifikacje, przeczytaj recenzje, zapytaj innych klient\u00f3w i, oczywi\u015bcie, om\u00f3w ich podej\u015bcie do ochrony.\u00a0Godny zaufania partner powinien zawsze mie\u0107 bezpieczny cykl \u017cycia oprogramowania, zgodny z takimi standardami bran\u017cowymi jak OWASP. Opr\u00f3cz tego uruchom ca\u0142\u0105 witryn\u0119 przez HTTPs.\u00a0Opr\u00f3cz bezpiecze\u0144stwa jest to silny czynnik rankingowy.\u00a0Je\u015bli masz ju\u017c witryn\u0119 Magento, utw\u00f3rz przekierowania z HTTP do HTTPs.<\/p>\n

Bezpieczne otoczenie<\/h3>\n

Nast\u0119pnie warto pomy\u015ble\u0107 o chronionym \u015brodowisku dla swojej witryny e-commerce.\u00a0Ta cz\u0119\u015b\u0107 przewodnika jest szczeg\u00f3lnie wa\u017cna, poniewa\u017c instalacja jest tak bezpieczna, jak jej najs\u0142abszy punkt.<\/p>\n

Przede wszystkim konieczne jest przygotowanie \u015brodowiska serwerowego.\u00a0Upewnij si\u0119, \u017ce jego system operacyjny jest bezpieczny i \u017ce na serwerze nie jest zainstalowane \u017cadne niepotrzebne oprogramowanie.\u00a0Wy\u0142\u0105cz FTP, poniewa\u017c jest to ca\u0142kowicie niebezpieczne.\u00a0U\u017cywaj SSH, SFTP i HTTPS ze wzgl\u0119du na najwy\u017cszy poziom bezpiecze\u0144stwa, jaki zapewniaj\u0105.\u00a0Dbaj o\u00a0odpowiedni\u0105 ochron\u0119\u00a0wszystkich\u00a0plik\u00f3w i katalog\u00f3w\u00a0systemowych.\u00a0Magento zaleca nie tylko u\u017cywanie silnych i unikalnych hase\u0142, ale tak\u017ce okresow\u0105 ich zmian\u0119.\u00a0Aktualizacje systemu, poprawki i monitorowanie r\u00f3wnie\u017c nale\u017c\u0105 do najlepszych praktyk.\u00a0Wreszcie, przewodnik k\u0142adzie nacisk na ograniczenia dost\u0119pu dla u\u017cytkownik\u00f3w.<\/p>\n

Poza tym istnieje kilka zaawansowanych zalece\u0144 dotycz\u0105cych bezpiecze\u0144stwa, kt\u00f3rych nale\u017cy przestrzega\u0107. W\u0142\u0105cz automatyczne wdra\u017canie i wykorzystaj klucze prywatne do transmisji danych. Zainstaluj rozszerzenia innych firm poza serwerem produkcyjnym. Poza tym u\u017cyj bia\u0142ych list z adresem IP, aby ograniczy\u0107 dost\u0119p administratora. W\u0142\u0105cz logowanie administratora za pomoc\u0105 uwierzytelniania dwusk\u0142adnikowego i usu\u0144 niepotrzebne niezabezpieczone pliki z serwera. Na koniec wykorzystaj zapor\u0119 aplikacji sieci Web.<\/p>\n

Nale\u017cy uwa\u017ca\u0107 na aplikacje serwerowe.\u00a0Upewnij si\u0119, \u017ce wszystkie s\u0105 bezpieczne i zaktualizowane.\u00a0Zgodnie z przewodnikiem lepiej jest unika\u0107 uruchamiania innego oprogramowania na tym samym serwerze z instalacj\u0105 Magento.\u00a0Na przyk\u0142ad przest\u0119pcy mog\u0105 wykorzysta\u0107 potencjalne luki na blogu WordPress, aby ujawni\u0107 prywatne dane z Magento.<\/p>\n

\u015arodowisko pulpitu administratora to kolejny obszar do kontroli i utrzymania.\u00a0Wszystkie urz\u0105dzenia u\u017cywane do uzyskiwania dost\u0119pu do zaplecza Magento powinny by\u0107 bezpieczne.\u00a0Mo\u017cesz spe\u0142ni\u0107 to wymaganie, aktualizuj\u0105c oprogramowanie antywirusowe, a tak\u017ce u\u017cywaj\u0105c skanera z\u0142o\u015bliwego oprogramowania.\u00a0Poza tym unikaj nieznanych program\u00f3w i podejrzanych \u0142\u0105czy, u\u017cywaj silnych hase\u0142 i mened\u017cer\u00f3w hase\u0142 oraz nigdy nie zapisuj po\u015bwiadcze\u0144 FTP w programach FTP.<\/p>\n

Chronione Magento<\/h3>\n

Wiarygodno\u015b\u0107 Twojej witryny e-commerce zaczyna si\u0119 od jej pocz\u0105tkowej konfiguracji i obejmuje szerokie spektrum ulepsze\u0144. Korzystaj z najnowszej wersji Magento z najnowszymi ulepszeniami bezpiecze\u0144stwa.\u00a0Zainstaluj wszystkie poprawki, je\u015bli nie mo\u017cesz uruchomi\u0107 pe\u0142nej aktualizacji. Utw\u00f3rz unikalny, niestandardowy adres URL dla swojego obszaru administracyjnego. Dok\u0142adnie przejrzyj i skonfiguruj punkty ko\u0144cowe, kt\u00f3re mog\u0105 inicjowa\u0107 problemy z bezpiecze\u0144stwem. Ogranicz zewn\u0119trzny dost\u0119p do system\u00f3w programistycznych, pomostowych i testowych. Prawid\u0142owo u\u017cywaj uprawnie\u0144 do plik\u00f3w.\u00a0Niekt\u00f3re pliki powinny by\u0107 ustawione jako tylko do odczytu. Tw\u00f3j administrator Magento powinien by\u0107 ukryty za silnymi i unikalnymi has\u0142ami, uwierzytelnianiem dwusk\u0142adnikowym, CAPTCHA itp. Wybierz tylko zaufanych dostawc\u00f3w rozszerze\u0144. Unikaj podejrzanych link\u00f3w, e-maili i plik\u00f3w. Opracuj plan odtwarzania po awarii. W\u0142\u0105cz automatyczne tworzenie kopii zapasowych serwera i bazy danych w lokalizacji zewn\u0119trznej.<\/p>\n

Powszechne metody hakowania<\/h2>\n

Ten przewodnik nie osi\u0105gnie pe\u0142nej warto\u015bci bez opisania najbardziej rozpowszechnionych wrogich technik.\u00a0Poni\u017csze informacje pomog\u0105 Ci lepiej zrozumie\u0107 problemy zwi\u0105zane z bezpiecze\u0144stwem, aby skuteczniej walczy\u0107 z przest\u0119pcami.<\/p>\n

Hakerzy mog\u0105 wykorzystywa\u0107 luki w r\u00f3\u017cnych witrynach internetowych, aby instalowa\u0107 z\u0142o\u015bliwe oprogramowanie.\u00a0Istnieje wiele chor\u00f3b na ka\u017cde mo\u017cliwe w\u0105skie gard\u0142o, sekcj\u0119 strony internetowej, wrogie zamiary itp. Istniej\u0105 r\u00f3wnie\u017c ataki Brute Force.\u00a0Ta technika jest do\u015b\u0107 prosta.\u00a0Przest\u0119pcy pr\u00f3buj\u0105 r\u00f3\u017cnych kombinacji hase\u0142, a\u017c znajd\u0105 takie, kt\u00f3re pasuje do witryny, kt\u00f3r\u0105 pr\u00f3buj\u0105 uruchomi\u0107. Jest jednak proste rozwi\u0105zanie, wystarczy ograniczy\u0107 liczb\u0119 nieudanych pr\u00f3b logowania.<\/p>\n

Celem ka\u017cdego rozproszonego ataku typu Denial of Service jest uniemo\u017cliwienie okre\u015blonego serwera za pomoc\u0105 bot\u00f3w i wysy\u0142anie ogromnej liczby \u017c\u0105da\u0144, kt\u00f3rych nie mo\u017cna obs\u0142u\u017cy\u0107.\u00a0Taka ogromna uwaga po\u015bwi\u0119cona witrynie internetowej powoduje awari\u0119, kt\u00f3ra zwykle wyst\u0119puje w stosunkowo kr\u00f3tkim czasie, ale wymaga znacznie wi\u0119cej zasob\u00f3w do naprawienia. Istnieje r\u00f3wnie\u017c metoda wy\u0142udzania informacji. Ta cyberprzest\u0119pczo\u015b\u0107 wygl\u0105da nast\u0119puj\u0105co: przest\u0119pca kontaktuje si\u0119 z celem za po\u015brednictwem poczty elektronicznej, telefonu lub wiadomo\u015bci tekstowej, udaj\u0105c legaln\u0105 instytucj\u0119.\u00a0Nast\u0119pnie intruz nak\u0142ania osob\u0119 do podania poufnych danych, takich jak dane osobowe, dane bankowe i dane kart kredytowych itd.\u00a0Z punktu widzenia handlu elektronicznego metoda ta zak\u0142ada replikacj\u0119 witryny internetowej lub jej cz\u0119\u015bci w tym samym celu.\u00a0Gdy klient wprowadzi dane swojej karty kredytowej, hacker uzyskuje natychmiastowy dost\u0119p do tych danych.<\/p>\n

Cookie Theft to kradzie\u017c danych przegl\u0105darki, kt\u00f3re przyci\u0105ga cyfrowych w\u0142amywaczy.\u00a0Mog\u0105 korzysta\u0107 z r\u00f3\u017cnych program\u00f3w, aby uzyska\u0107 dost\u0119p do hase\u0142 i innych po\u015bwiadcze\u0144 niezb\u0119dnych do zalogowania si\u0119 do administratora Magento.\u00a0Na szcz\u0119\u015bcie uwierzytelnianie dwusk\u0142adnikowe blokuje ten atak na prywatno\u015b\u0107 i bezpiecze\u0144stwo. DNS Spoofing to transgresory, kt\u00f3re usprawniaj\u0105 stare dane z pami\u0119ci podr\u0119cznej, o kt\u00f3rych mog\u0142e\u015b zapomnie\u0107, wraz z lukami w systemie nazw domen w celu zaimplementowania zatruwania pami\u0119ci podr\u0119cznej DNS.\u00a0W ten spos\u00f3b przekierowuj\u0105 ruch z Twojego sklepu internetowego do z\u0142o\u015bliwej witryny, programuj\u0105c atak tak, aby zainfekowany serwer wp\u0142ywa\u0142 na inne DNS, rozprzestrzeniaj\u0105c chorob\u0119 w ca\u0142ej sieci.<\/p>\n

Wstrzykni\u0119cie SQL to metoda, w kt\u00f3rej hakerzy uwielbiaj\u0105 luki w bazach danych i bibliotekach SQL.\u00a0Takie w\u0105skie gard\u0142a daj\u0105 mo\u017cliwo\u015b\u0107 dost\u0119pu do poufnych informacji poprzez oszukanie systemu.\u00a0M\u00f3wi\u0105c najpro\u015bciej, jest to umieszczanie kodu w instrukcjach SQL przy u\u017cyciu danych wej\u015bciowych na stronie internetowej, gdy dane s\u0105 albo nieprawid\u0142owo filtrowane, albo nie s\u0105 bezpiecznie wpisane.\u00a0Atakuj\u0105cy wykorzystuj\u0105 t\u0119 metod\u0119 do manipulowania istniej\u0105cymi informacjami, fa\u0142szowania to\u017csamo\u015bci, powodowania problem\u00f3w z zaprzeczeniem lub ca\u0142kowitego ujawnienia prywatno\u015bci.<\/p>\n

Keylogger Injection to z\u0142o\u015bliwe oprogramowanie do rejestrowania naci\u015bni\u0119\u0107 klawiszy u\u017cytkownika komputera, opracowane w celu kradzie\u017cy hase\u0142 i innych poufnych informacji.\u00a0Przest\u0119pcy mog\u0105 tego u\u017cy\u0107, aby uzyska\u0107 dost\u0119p do po\u015bwiadcze\u0144 administrator\u00f3w Magento.\u00a0Dlatego tak wa\u017cne jest, aby na komputerach pracownik\u00f3w mie\u0107 zainstalowan\u0105 najnowsz\u0105 ochron\u0119 antywirusow\u0105.<\/p>\n

Pami\u0119taj, \u017ce wi\u0119kszo\u015b\u0107 strajk\u00f3w jest niecelowa.\u00a0S\u0105 jak kl\u0119ska \u017cywio\u0142owa.\u00a0Malefactors szybko wykrywa strony internetowe z podobnymi s\u0142abo\u015bciami, korzystaj\u0105c z bazy danych hakerskich Google lub innych \u017ar\u00f3de\u0142.\u00a0Na przyk\u0142ad sklepy, kt\u00f3re maj\u0105 zainstalowan\u0105 podatn\u0105 na ataki wtyczk\u0119, cz\u0119sto staj\u0105 si\u0119 celem hacker\u00f3w.\u00a0Jednak zawsze s\u0105 wyj\u0105tki, a niekt\u00f3re z nich dotycz\u0105 Magento, kt\u00f3re cz\u0119sto cierpi na ataki Magecart.<\/p>\n

Zagro\u017cenie Magecart<\/h2>\n

Konsorcjum grup haker\u00f3w zwykle atakuje systemy koszyk\u00f3w zakup\u00f3w online, zw\u0142aszcza Magento, aby dokona\u0107 kradzie\u017cy informacji o kartach p\u0142atniczych klient\u00f3w.\u00a0Przest\u0119pcy naruszaj\u0105 oprogramowanie stron trzecich lub infekuj\u0105 niezabezpieczone procesy przemys\u0142owe.<\/p>\n

Pierwsze ataki Magecart mia\u0142y miejsce w 2014 r., Kiedy to grupa przest\u0119pc\u00f3w po raz pierwszy spieni\u0119\u017cy\u0142a dane skradzionych kart kredytowych.\u00a0Od tego czasu liczba ofiar Magecart dramatycznie wzros\u0142a do ponad 110 000 sklep\u00f3w internetowych.\u00a0Chocia\u017c Magento nie jest jedynym celem grupy, jego najwi\u0119kszy wp\u0142yw odczuwa dzi\u0119ki popularno\u015bci platformy w\u015br\u00f3d najwa\u017cniejszych graczy rynkowych.\u00a0Jednak w centrum uwagi s\u0105 r\u00f3wnie\u017c ma\u0142e sklepy.<\/p>\n

Specjali\u015bci dziel\u0105 \u015brodowisko Magecart na 6-7 r\u00f3\u017cnych grup, kt\u00f3re otrzymuj\u0105 unikaln\u0105 infrastruktur\u0119, maj\u0105 okre\u015blone cele i u\u017cywaj\u0105 specjalnych technik, ale maj\u0105 ten sam wsp\u00f3lny cel, jakim jest pobieranie danych kart kredytowych i sprzedawanie ich na czarnym rynku. Grupy 1 i 2 s\u0105 skierowane do szerokiej gamy sklep\u00f3w internetowych.\u00a0Cz\u0142onkowie obu grup polegaj\u0105 na zautomatyzowanych narz\u0119dziach do naruszania i przegl\u0105dania stron internetowych Magento. Zagrywka grupy 3 polega na wykopywaniu podatnych stron internetowych i masowym odwiedzaniu ich.\u00a0Takie ataki mog\u0105 osi\u0105gn\u0105\u0107 nieoczekiwanie kolosaln\u0105 skal\u0119. Grupa 4 jest wyj\u0105tkowo zaawansowana w stosowaniu r\u00f3\u017cnych wyrafinowanych technik hakerskich.\u00a0Przest\u0119pca wtapia si\u0119 w docelow\u0105 witryn\u0119 internetow\u0105, unikaj\u0105c wykrycia tak d\u0142ugo, jak to mo\u017cliwe. Grupa 5 zwykle opiera si\u0119 na rozwi\u0105zaniach innych firm.\u00a0Fragmenty kodu s\u0105 instalowane w produkcie dostawcy, kt\u00f3ry zawiera docelowe witryny internetowe.\u00a0Grupa 6 jest najbardziej selektywna w swoich celach, w\u015br\u00f3d innych frakcji Magecart.\u00a0Jej cz\u0142onkowie kieruj\u0105 si\u0119 wy\u0142\u0105cznie do najlepszych firm, korzystaj\u0105c z r\u00f3\u017cnych narz\u0119dzi i metod.\u00a0Do najwa\u017cniejszych ofiar ugrupowania nale\u017c\u0105 British Airways i Newegg.<\/p>\n

Pomimo pewnych g\u0142\u00f3wnych r\u00f3\u017cnic mi\u0119dzy grupami, wi\u0119kszo\u015b\u0107 atak\u00f3w Magecart na Magento ma konkretne kluczowe kroki. Przede wszystkim przest\u0119pcy uzyskuj\u0105 dost\u0119p do witryny Magento.\u00a0W zale\u017cno\u015bci od grupy i innych warunk\u00f3w proces ten zwykle bardzo si\u0119 r\u00f3\u017cni.\u00a0Jednak cel nie r\u00f3\u017cni si\u0119 w \u017cadnym stopniu \u2013 hakerzy wykorzystuj\u0105 luki w zabezpieczeniach, aby zaatakowa\u0107 wewn\u0119trzn\u0105 sfer\u0119 strony internetowej. Nast\u0119pnie cz\u0142onkowie Magecart modyfikuj\u0105 kod \u017ar\u00f3d\u0142owy sklepu.\u00a0Przede wszystkim wstrzykuj\u0105 wrogi JavaScript, aby kontrolowa\u0107 stron\u0119 kasy wraz z formami p\u0142atno\u015bci, uzyskuj\u0105c dane, kt\u00f3re klienci podaj\u0105, aby sfinalizowa\u0107 zakup. Nast\u0119pnie dane przej\u0119te pojawiaj\u0105 si\u0119 na czarnym rynku.\u00a0S\u0105 sprzedawane i u\u017cywane do dokonywania nieuwierzytelnionych transakcji online.<\/p>\n

Podsumowanie<\/h2>\n

Podatne skrypty i wirusy umo\u017cliwiaj\u0105 w\u0142amywaczom wkradanie si\u0119 do panelu sterowania Twojego sklepu Magento.\u00a0Zastosuj najnowsze poprawki i zaktualizuj oprogramowanie, aby ograniczy\u0107 mo\u017cliwo\u015b\u0107 dost\u0119pu do plik\u00f3w witryny, bazy danych lub panelu administracyjnego do absolutnego minimum.\u00a0Im szybciej to zrobisz, tym wi\u0119ksze masz szanse na utrzymanie swojego biznesu online bez kompromis\u00f3w.\u00a0Z\u0142odzieje szybko opanowuj\u0105 i wykorzystuj\u0105 nowe s\u0142abo\u015bci, wi\u0119c nie op\u0142aca si\u0119 zwleka\u0107.<\/p>\n

Podatne wtyczki i szablony stanowi\u0105 kolejne \u017ar\u00f3d\u0142o k\u0142opot\u00f3w.\u00a0Korzystaj\u0105c z bezp\u0142atnych rozwi\u0105za\u0144 lub pobieraj\u0105c komercyjne rozszerzenia i motywy w witrynach torrentowych, powa\u017cnie ryzykujesz.\u00a0W pierwszym przypadku oprogramowanie jest zwykle niezainfekowane, ale mo\u017ce zawiera\u0107 wiele luk, kt\u00f3re hakerzy mog\u0105 potencjalnie wykorzysta\u0107.\u00a0W drugim przypadku mo\u017cesz otrzyma\u0107 narz\u0119dzia, kt\u00f3re zawieraj\u0105 ju\u017c z\u0142o\u015bliwe skrypty.\u00a0Kupuj szablony i modu\u0142y tylko na oficjalnych platformach handlowych lub bezpo\u015brednio od zaufanych dostawc\u00f3w.<\/p>\n

Niezabezpieczona komunikacja jest r\u00f3wnie niebezpieczna. Je\u015bli \u0142\u0105czysz si\u0119 przez FTP, przest\u0119pcy mog\u0105 \u0142atwo ukra\u015b\u0107 Tw\u00f3j login i has\u0142o.\u00a0U\u017cywaj tylko bezpiecznych po\u0142\u0105cze\u0144, aby unikn\u0105\u0107 nieprzyjemnych sytuacji. W\u0142amania do serwer\u00f3w lub hostingu cz\u0119sto nara\u017caj\u0105 r\u00f3wnie\u017c witryny handlu elektronicznego na znaczne ryzyko.\u00a0Bez wzgl\u0119du na to, czy jeste\u015b s\u0105siadem zanieczyszczonej witryny, czy Tw\u00f3j serwer zawiera inne naruszenia, konieczne jest jak najszybsze rozwi\u0105zanie istniej\u0105cych problem\u00f3w.<\/p>\n

Zwykli pracownicy i okazjonalni kontrahenci zagra\u017caj\u0105 bezpiecze\u0144stwu, u\u017cywaj\u0105c s\u0142abych hase\u0142, uzyskuj\u0105c dost\u0119p do administratora z zainfekowanych urz\u0105dze\u0144, a nawet tworz\u0105c kod w witrynie, aby p\u00f3\u017aniej go wykorzysta\u0107.\u00a0Dlatego u\u017cywaj tylko silnych i unikalnych hase\u0142 oraz chro\u0144 ludzi, kt\u00f3rzy maj\u0105 dost\u0119p do twojego administratora Magento i uwa\u017caj na zatrudnianych specjalist\u00f3w.<\/p>\n

Prowadzenie serwisu e-commerce wi\u0105\u017ce si\u0119 z wieloma zagro\u017ceniami.\u00a0Mo\u017cesz jednak z\u0142agodzi\u0107 ich wp\u0142yw na swoj\u0105 firm\u0119, rozwi\u0105zuj\u0105c istniej\u0105ce obawy dotycz\u0105ce bezpiecze\u0144stwa.\u00a0Post\u0119puj zgodnie ze\u00a0wskaz\u00f3wkami zawartymi w tym przewodniku, aby zmieni\u0107 swoj\u0105 witryn\u0119 Magento w bezpieczne miejsce na zakupy, w kt\u00f3rym kupuj\u0105cy nie maj\u0105 powodu do zmartwie\u0144, z wyj\u0105tkiem podejmowania lepszych decyzji zakupowych.<\/p>\n

\n","protected":false},"excerpt":{"rendered":"

Ataki hakerskie s\u0105 wci\u0105\u017c cz\u0119stym przypadkiem, z kt\u00f3rym musz\u0105 mierzy\u0107 si\u0119 w\u0142a\u015bciciele popularnych stron. Zwykle najwi\u0119kszym problemem jest to, \u017ce mo\u017cesz nawet nie wiedzie\u0107, \u017ce Tw\u00f3j sklep e-commerce zosta\u0142 zaatakowany. Je\u015bli przest\u0119pcy uderzyli w Twoj\u0105 firm\u0119, musisz wyczy\u015bci\u0107 zainfekowan\u0105 witryn\u0119 Magento. Ponadto nale\u017cy zadba\u0107 o ochron\u0119 przed mo\u017cliwymi dalszymi wtargni\u0119cia. Aby Ci w tym pom\u00f3c, […]<\/p>\n","protected":false},"author":7,"featured_media":2912,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8],"tags":[20,10],"yoast_head":"\n