Duy trì một website thương mại điện tử là một thách thức, và người ta làm tất cả những gì để bảo vệ nó khỏi các cuộc tấn công mạng.

Các dự báo mới nhất cho biết mức tăng trưởng thương mại điện tử toàn cầu sẽ tăng gấp đôi đến năm 2020.

Thương mại điện tử đang phát triển mạnh mẽ, hàng ngàn máy chủ làm việc cả ngày lẫn đêm, và thông tin riêng tư (tất nhiên bao gồm dữ liệu tài chính) là một mục tiêu thu hút cho tin tặc.

Các trang web thương mại điện tử là mục tiêu rất hấp dẫn đối với những kẻ xấu bởi dữ liệu cá nhân và thanh toán cần thiết để bán hàng.

Magento có hơn 7% thị phần trong nền tảng thương mại điện tử, và phát hiện mới nhất của Astra cho thấy 62% cửa hàng trực tuyến tồn tại ít nhất một lỗ hổng an ninh.

Trong bài này, chúng tôi muốn chia sẻ những thủ thuật an ninh quan trọng và đúng thời điểm cho trang Magneto.

Thông thường, tin tặc tấn công các trang web thương mại điện tử để:

• lợi dụng gửi thư rác;
• lừa đảo (thu thập thông tin nhạy cảm như mật khẩu hoặc thẻ tín dụng);
• thay đổi giao diện hoặc phá hoại trang web của bạn;
• lấy cắp thông tin cho mục đích khác.

Trước tiên, bạn phải bảo vệ trang Magento vì lý do bạn cần bảo vệ thông tin của khách hàng.

Không cần phải nói rằng tin tặc muốn thu thập thông tin của bạn vì một số lý do (ví dụ, cho mục đích canh trạnh), nhưng điều đầu tiên là bạn cần làm là không cung cấp cho chúng thông tin cá nhân của khách hàng, bao gồm thông tin chi tiết thẻ tín dụng.

Nếu thông tin này bị đánh cắp do tin tặc tấn công, nó có thể gây tổn hại nghiêm trọng đến danh tiếng cũng như gây thiệt hại cho khách hàng của bạn.

Hãy áp dụng những quy tắc an ninh sau cho trang Magento của bạn.

1. Chứng thực hai yếu tố

Ngay cả một mật khẩu an toàn nhất là vô giá trị nếu nó bị đánh cắp. Để tăng cường an ninh cho trang web, bạn nên sử dụng thêm bất kỳ yếu tố chứng thực thứ hai nào khác nữa, chẳng hạn như chỉ cho phép hệ thống backend từ địa chỉ IP cụ thể, thực hiện cớ chế xác thực hai yếu tố.

Để hạn chế truy cập hệ thống backend, hãy thêm những dòng sau vào mục VirtualHost của cấu hình máy chủ Apache (hãy cẩn thận - nếu bạn thêm những dòng sau vào tập tin .htaccess, nó có thể sẽ gây lỗi):

Hãy tìm hiểu tiện ích Amasty, nếu bạn đang tìm kiếm giải pháp chứng thực hai yếu tố cho Magento.

2. Cập nhật phần mềm kịp thời

Các bản cập nhật phần mềm không chỉ cung cấp cho bạn những tính năng mới mà còn sửa lỗi và khắc phục các lỗ hổng. Đó là lý do tại sao việc sử dụng phiên bản phần mềm mới nhất kịp thời là đặc biệt quan trọng.

Để cập nhật hệ thống, bạn sử dụng các lệnh sau:

RHEL / CentOS

Debian / Ubuntu

3. Sao lưu dữ liệu thường xuyên

Không ai có thể được bảo vệ khỏi các cuộc tấn công của tin tặc, nhưng có một số giải pháp để cảm thấy an toàn hơn: các bản sao lưu định kỳ có thể giúp bạn tránh được nhiều vấn đề mà có thể rất quan trọng đối với hoạt động kinh doanh của bạn.

Bạn nên thường xuyên lưu lại các bản sao chép, đừng luôn luôn lưu chúng ngay trên máy chủ của trang web và thỉnh thoảng khôi phục chúng trên một hệ thống khác để kiểm tra xem chúng có hoạt động đúng hay không.

Giữ bản sao lưu ngay trên máy chủ trang web là nguy hiểm không chỉ vì lý do bản sao lưu sẽ không an toàn trong trường hợp máy chủ bị hư hỏng, mà còn bởi nếu tin tặc tấn công máy chủ, hắn cũng có thể truy cập các bản sao lưu, và tất nhiên điều đó là điều rất không mong muốn.

4. Thiết lập mật khẩu phức tạp

Theo SplashData, '123456' là một trong những mật khẩu phổ biến nhất vào năm 2013 (và tất nhiên, đó là một trong những không an toàn nhất).

Mật khẩu quản trị là chìa khóa an ninh cho trang Magento của bạn. Và nó phải đủ mạnh! Các ký tự dễ có thể dễ dàng bị khai thác, do đó hãy sử dụng nhiều hơn 10 ký tự, gồm chữ thường và chữ thường, và các ký tự đặc biệt như ^ $ #% *, theo cách này mật khẩu của bạn sẽ không bị khai thác vì ngay cả với các chương trình mới nhất sẽ mất nhiều năm bẻ khóa.

Bạn có thể sử dụng APG, PWGen và KeePass để tạo mật khẩu.

5. Thiết lập tường lửa

Có hai loại tường lửa mà bạn có thể sử dụng để bảo vệ cho cửa hàng Magento.

WAF (Web Application Firewall) - bảo vệ cửa hàng trực tuyến khỏi các lỗ hổng an ninh web như SQLi, XSS, tấn công vét cạn Brute-force, Bot, spam, phần mềm gián điệp, DDoS, ...

Bạn có thể xem xét sử dụng WAF theo công nghệ điện toán đám mây để bảo vệ trang web từ lớp ứng dụng.

Tường lửa Hệ thống/Mạng - ngăn truy cập vào mọi thứ trừ máy chủ web. Nếu bạn không có địa chỉ IP tĩnh để truy cập thông qua tường lửa, hãy áp dụng công nghệ VPN hoặc Port Knocking.

Trong hệ điều hành RHEL/CentOS, bạn có thể tìm thấy các thiết lập tường lửa trong /etc/sysconfig/iptables; với Debian/Ubuntu, hãy áp dụng iptables-persistent (/etc/iptables-persistent/rules.v4).

Bạn cũng có thể xem xét sử dụng SUCURI để theo dõi và bảo vệ liên tục cho cửa hàng trực tuyến.

6. Không sử dụng lại mật khẩu

Vấn đề an ninh này Magento này đúng với tất cả thông tin được bảo vệ bằng mật khẩu mà bạn sở hữu. Theo báo cáo của passwordresearch.com, hơn 15% người dùng sử dụng cùng một mật khẩu cho nhiều dịch vụ.

Không nhiểu người biết rằng việc sử dụng cùng một mật khẩu cho một số tài khoản đăng nhập, thực sự có nguy cơ khiến bạn mất tất cả tài khoản ngay lập tức.

Một lần nữa: tất cả mật khẩu phải là duy nhất, không còn cách nào khác. Để cẩn thận, bạn hãy đặt bài báo này sang một bên và thay đổi tất cả mật khẩu nếu chúng giống nhau. Nếu không, bạn có nguy cơ bị đánh cắp tài khoản do sự thiếu thận trọng.

7. Thay đổi mật khẩu định kỳ

Mật khẩu của bạn không nên được giữ nguyên. Chúng tôi khuyên bạn nên thay đổi mật khẩu ít nhất sáu tháng một lần.

Ngay cả khi một mật khẩu đã bị đánh cắp (và ngay cả khi tin tặc chưa sử dụng dụng nó), việc thay đổi liên tục sẽ làm cho những thông tin bị rò rỉ trước đó không còn có giá trị. Hãy chắc chắn rằng mật khẩu được thay đổi cho tất cả các khách hàng đang sử dụng website.

8. Không lưu mật khẩu trên máy tính

Phần lớn phần mềm độc hại Trojan đánh cắp mật khẩu đã lưu trên máy tính của bạn. Bạn nên thận trọng với các trình duyệt và phần mềm FTP vì mật khẩu thường xuyên bị đánh cắp thông qua những ứng dụng này.

Bạn không bao giờ nên lưu mật khẩu trên những ứng dụng này nếu không sử dụng mật khẩu chủ (mật khẩu mã hoá tất cả mật khẩu còn lại trong khi vẫn giữ chi tiết truy cập). Nếu bỏ qua lời khuyên này có thể dễ dàng dẫn đến việc rò rỉ dữ liệu.

Bạn có thể sử dụng KeePass để lưu mật khẩu.

9. Chú ý đến lỗi hoặc hoạt động đáng ngờ

Thực hiện kiểm tra an ninh thường xuyên để phát hiện các dấu hiệu tấn công, và khi được khách hàng thông báo về vấn đề an ninh. Bạn có thể sử dụng tiện ích Admin Actions Log Magento cho mục đích này, và nó đã được cập nhật với các tính năng an ninh quan trọng tiếp theo:

• Bạn có thể thiết lập thông báo cho mỗi lần đăng nhập thành công từ một quốc gia không như thường lệ so với các lần đăng nhập trước đó.
• Bạn có thể thiết lập thông báo cho một loạt lần đăng nhập không thành công trong một giờ vừa qua, có thể cho thấy một dấu hiệu nỗ lực đột nhập.  
• Trạng thái "403 Forbidden" được trả lại bởi trang đăng nhập không thành công trong hệ thống backend, cho phép tích hợp với các công cụ an ninh máy chủ.

Hơn nữa, bạn có thể sử dụng công cụ rà soát an ninh để tự động và định kỳ phát hiện lỗ hổng trên website thương mại điện tử.

10. Thay đổi đường dẫn Backend

Cách tiếp cận này tương đổi thiển cẩn để tăng cường an ninh, nhưng nó có thể là một phương pháp bổ sung hữu ích để chống lại các cuộc tấn công vét cạn brute-force hoặc bot. Để thay đổi đường dẫn URL backend, bạn có thể chỉnh sửa tập tin app/etc/local.xml như sau:

Chúng tôi không khuyên bạn nên thay đổi đường dẫn URL quản trị mặc định bằng cách sử dụng giao diện gốc của trang quản trị Magento. Bạn phải đảm bảo rằng đường dẫn URL mới đủ khó để phán đoán. Hơn nữa, bạn có thể muốn xóa một bộ nhớ cache sau này.

Sau đó, bạn nên kiểm tra đường dẫn URL mới và đảm bảo đường dẫn URL cũ trả về trang lỗi 404.

11. Sử dụng HTTPS/SSL

Nếu bạn sử dụng một điểm truy cập công cộng (ví dụ như trong một trung tâm mua sắm) để truy cập hệ thống backend, bạn có nguy cơ bị khai thác bởi tấn công MitM (Man-in-the-Middle). Cửa hàng trực tuyến hỗ trợ truy cập qua HTTPS giúp nâng cao an ninh cho người mua sắm vì tất cả dữ liệu giao dịch được mã hóa từ người dùng đến máy chủ thông qua giao thức SSL/TLS.

Bạn có thể sử dụng chứng thư số SSL miễn phí hoặc mua.

12. Không sử dụng FTP

Giao thức FTP được giới thiệu khi Internet còn sơ sinh và an ninh không phải là vấn đề. Ngày nay việc sử dụng giao thức FTP là điều rất không mong muốn bởi việc chứng thực được thực hiện ở dạng bản rõ và có thể bị can thiệp mà không gặp khó khăn.

Sử dụng giao thức SFTP, vì nó cũng sẽ giúp bạn tránh các vấn đề với luồng IP (NAT), vì không phải ai cũng có IP công cộng cho việc sử dụng Internet.

13. Thiết lập quyền truy cập tối thiểu

Bạn nên luôn luôn giới hạn quyền truy cập cho các hoạt động của máy chủ web. Bạn cần thiết lập quyền hạn cho các thư mục gốc của Magento, thư mục app/etc., chỉ thư mục media và var, và cả thư mục include/ trong trường hợp biên dịch. Các quyền mở rộng chỉ có thể được yêu cầu khi sử dụng Magento Connect.

Sự kết hợp tốt nhất cho vấn đề an ninh sẽ là như sau: bạn cho phép mã nguồn website thuộc về người dùng đầu tiên (ví dụ admin), và máy chủ web sẽ thực thi mã nguồn với người dùng thứ hai (ví dụ như Apache). Hãy xem một ví dụ về thiết lập quyền truy cập cho việc kết hợp này:

#Chỉ khi sử dụng biên dịch

14. Chặn các quốc gia không mong muốn

Nếu bạn không vận chuyển trên toàn thế giới, hãy chặn các quốc gia khác.

Có một công cụ tuyệt vời là GeoIP Legacy Apache Module hỗ trợ bạn trong việc cho phép, chuyển hướng hoặc chặn người dùng theo quốc gia.

Ví dụ: nếu bạn chỉ gửi hàng đến Hoa Kỳ, bằng cách này bạn có thể tự bảo vệ mình khỏi mọi cuộc tấn công - như đã biết, rất nhiều lưu lượng truy cập độc hại đến từ Trung Quốc và bằng cách chặn nó, bạn sẽ tránh được bất kỳ nỗ lực đột nhập nào từ quốc gia này.

Nguồn: Bài viết của Sergei Prakapovich trên geekflare.com