Prácticas Básicas de Seguridad en Magento

¿Está preocupado por la seguridad de su tienda Magento? Magento tiene una serie de características integradas de seguridad destinadas a mantener a salvo, pero hay algunos pasos que puede tomar para hacer que su sitio aún más seguro. Siga esta política de seguridad de diez puntos para proteger su sitio de hackers y brechas de seguridad.


1. Elija una contraseña segura
Cuando elijas la contraseñas de administrador de tu sitio Magento, no te quedes en la comodidad de hacerla fácil. Dependiendo de su configuración y permisos, esta contraseña puede dar acceso a la información de los clientes y los datos de la tarjeta de crédito. Esta es, probablemente el primer paso para tener un sitio seguro y darle confianza a los consumidores. Acá hay algunas pautas para crear una contraseña muy segura:

- Cuento mas caracteres mejor.
- Utilice al menos 10 caracteres
- Mezclar letras, puntuacion, números y mayúsculas y minúsculas.
- La fabricación de contraseñas fonéticas (cambiando letras por números o símbolos) hace que sea más fácil de recordar y escribir rápidamente.

2. Requerir HTTPS / SSL para todas las páginas y sesiones.
Cada vez que se envian datos a través de una conexión no cifrada se pone riesgo la privacidad de los clientes que puede ser interceptada por un tercero no deseado. Las credenciales de acceso tampoco son una excepción. Para minimizar el riesgo de que su nombre de usuario y contraseña caiga en manos no deseadas, siempre debes enviarlo a través de una conexión segura. Al enviar la información de acceso a través de una conexión cifrada, los hackers se limitan a los costosos y extremadamente difíciles ataques y el riesgo pasa a ser mínimo.

¿Cómo requerir HTTPS / SLL en Magento?
El Magento puede requerir conexiones seguras mediante la opción "sí" para ambos "Use URLs seguros en frontend" y "Use URLs seguros en Admin" por ir a la sección de la ficha "Web" en la configuración del sistema "Secure". Para poder acceder a la configuración del sistema, vaya al menú "Sistema" y seleccione "Configuración". Ajuste "Usar URLs seguros" a "sí", tanto para el frontend como para el admin.

3. No utilice su contraseña Magento para nada más
Es recomendable que la contraseña sea única, no la compartas con otros servicios web (como el correo electrónico) o cualquier otro sitio (como Twitter, Facebook, Flickr, etc.). Los sitios de terceros pueden no requerir o incluso apoyar HTTPS / SSL para iniciar sesión, rompiendo la regla número dos. En el caso de que un sitio web de terceros sea hackeado, la contraseña puede ser vulnerable.

4. Utilice una ruta de acceso administrativa personalizada
Por defecto, podés acceder a tu panel administración de Magento yendo a tu-sitio.com/admin. Pero customizarla y tener una dirección para el panel administrativo más complejo y dificil de adivinar ayudará a evitar que pueden husmear y tratar de adivinar la contraseña. Es por eso que recomendamos tener tu ruta de acceso administrativa con una palabra código secreto en lugar del predeterminado /admin, esto puede impedir que los usuarios ingresen a esta web que debe ser sólo para los administradores. Cómo NO cambiar su ruta de acceso administrativa Magento Escondido en la sección "admin" de la configuración del sistema, la configuración de "Admin Base URL" ofrece la posibilidad de configurar un administrador de URL personalizada y elegir si desea utilizar esa URL personalizada o no. Pero cuidado: este ajuste puede impedirle a Magento acceder al panel de administración. CUIDADO: No utilice la configuración de URL de base de administración; que se rompa su sitio. Cómo cambiar la ruta de acceso administrativa Magento Aunque el ajuste no funciona, no hay una manera fácil de cambiar la ruta de acceso administrativa Magento. 1 - Busque /app/etc/local.xml 2 - Buscar y reemplazar "admin" con la ruta que desea utilizar Así que si su archivo local.xml dice, su ruta de acceso administrativa será / puente levadizo.

5. Cierre lagunas correo electrónico
Magento tiene una característica muy práctica que permite a los administradores para restablecer su contraseña en caso de olvido. Para restablecer la contraseña, lo que necesita saber la cuenta de correo electrónico asociada a la cuenta. Entonces usted necesita el acceso a esa cuenta de correo electrónico para recuperar la contraseña nueva. En primer lugar, elegir una dirección de correo electrónico que no se conoce públicamente. En segundo lugar, asegúrese de que la contraseña de su cuenta de correo electrónico es seguro. En tercer lugar, asegúrese de que si su cuenta de correo electrónico tiene una pregunta de seguridad que le permite restablecer la contraseña, elija una de preguntas y respuestas es tan oscuro que sería imposible de adivinar.

6. Utilizar FTP seguro
Adivinar o interceptar las contraseñas de FTP, es probablemente uno de los número uno maneras sitios consiguen "hackeado". Con el fin de evitar el acceso no autorizado a FTP de su sitio, utilizan contraseñas seguras y utilizan SFTP (Protocolo SSH File Transfer) o FTP-SSL (Explicit AUTH TLS ). Con SFTP, puede utilizar autentificación de claves públicas para aumentar la seguridad aún más al requerir un archivo de clave privada y una contraseña de cifrado de opcionales para autenticar el acceso FTP.

7. Limitar el acceso FTP sin garantía
Si usted tiene que conectarse a través de FTP normal (no seguro) para algunas cuentas (es decir, para subir fotos), limitar el acceso de estas cuentas a un conjunto limitado de directorios. A continuación, puede utilizar archivos .htaccess y httpd.conf para impedir que los scripts se ejecuten en estos directorios que pueden cambiar otros archivos y directorios en el servidor que no no debe ser accesible a través de la cuenta FTP. Si usted tiene acceso al archivo httpd.conf del servidor, este es el mejor método para prevenir la ejecución de secuencias de comandos en un directorio específico. Coloca este código en su archivo httpd.conf:

Si usted no tiene acceso a httpd.conf, tendrás que usar .htaccess. Incluya el código siguiente en el archivo .htaccess del directorio que desea restringir:

Debido .htaccess no es compatible con las etiquetas, el archivo .htaccess debe ser colocado en el directorio que desea efectuar. Debido a esto, es necesario establecer los permisos del archivo .htaccess para 444 (sólo lectura) para evitar modificaciones en el archivo .htaccess. Usted también puede querer chown el archivo para los permisos no se pueden cambiar. Este método no es infalible, pero es un buen comienzo para la prevención de los scripts traviesos de causar estragos. Importante: colocar el código en el archivo .htaccess de un directorio evitará que las secuencias de comandos se ejecute en ese directorio y todos los subdirectorios.

8. No guardar contraseñas en el equipo
La mayoría de las computadoras modernas y navegadores ofrecen la opción de guardar las contraseñas para su conveniencia por lo que no tiene que introducir la contraseña cada vez. Esto es muy bueno la mayoría del tiempo, pero puede ser un problema de seguridad porque las contraseñas guardadas menudo pueden ser fácilmente reveladas en texto plano. Cualquier persona con acceso a la computadora tiene acceso a los datos sensibles. Lo que es peor, alguien podría robar la computadora y luego usar las contraseñas guardadas para acceder a los datos confidenciales. Para evitar el acceso no deseado a su contraseña Magento o datos, simplemente configurar su ordenador o navegador para no guardar IT- este podría ser un poco incómodo, pero es una gran política de seguridad.

9. Mantener actualizado el software antivirus
Virus y troyanos informáticos pueden robar sus datos y registrar sus pulsaciones de teclas. Para minimizar el riesgo de que esto ocurra, asegúrese de invertir en un software antivirus de confianza. El software libre antivirus como AVG puede ser grande para el hogar y uso personal, pero si quieres indemnización o una garantía, es posible que desee ver en el software antivirus comercial.

10. Restringir el acceso de administrador a las direcciones IP solamente aprobados
Usted puede usar .htaccess para limitar el acceso a su área de administración. En el archivo .htaccess para su directorio admin (detalles a continuación), coloque el código siguiente con el fin de bloquear el acceso a todas las direcciones IP excepto los que figuran en particular:

"Permitir de 11.111.111.11" permite al 11.111.111.11 dirección IP específica "Permitir de 22,2" permite un rango de direcciones IP que comienzan con 22,2 Ahora, para el directorio admin. Admin path URL de Magento no es un directorio físico, es sólo un enlace simbólico. Para empezar, cree un directorio con el mismo nombre que su ruta de acceso administrativa. La presencia de este nuevo directorio físico anulará el enlace simbólico, lo que hace que su área de administración inaccesibles. Para solucionar esto, tiene que copiar el archivo index.php en el directorio de la nueva administración. Entonces usted tiene que cambiar las rutas dentro de index.php a dos archivos (includes / config.phpand app / Mage.php) para tener en cuenta el hecho de que la ruta relativa ha cambiado como resultado del nuevo archivo index.php duplicado en el directorio admin. Asumiendo que su directorio admin es sólo un nivel por debajo de su directorio raíz, las dos líneas que tienen que cambiar se verá así:

Una vez que hayas hecho esto, se puede eliminar el archivo .htaccess en su nuevo directorio admin física y accede a tu administrador de esta manera: http: // www. [su sitio] .com / [su admin-directorio-] /index.php/ [el admin-camino-] Hay un paso más, sin embargo. La dirección URL de administración aún se puede acceder a través de /index.php/admin. Es necesario desactivar esto para que cualquier persona que sepa que usted está ejecutando Magento no puede explotar este hecho. He aquí cómo lo hice: Agregue este código al archivo .htaccess de la raíz de tu sitio: