Как упростить безопасность вашего сайта электронной коммерции с помощью нового Magento Security Scan Tool

eCommerce Dec 27, 2019

Как упростить безопасность вашего сайта электронной коммерции с помощью нового Magento Security Scan Tool

Главная / Блог / Как упростить безопасность вашего сайта электронной коммерции с помощью нового Magento Security Scan Tool

Magento - очень популярная CMS для создания интернет-магазинов. На 2018 год более 201 000 интернет-магазинов используют ее по всему миру. Среди заманчивых преимуществ, которые принесли любовь пользователей, - это передовые функциональные возможности и открытый исходный код. Это означает, что Magento позволяет вам создать мощный интернет-магазин и возможность гибко масштабировать его по мере роста вашего бизнеса.

Из-за своей популярности, открытого исходного кода и связи с денежными транзакциями, Magento также стал привлекательной целью для хакеров. Вот почему создатели Magento начали выпускать обновления с исправлениями в безопасности, которые направлены на устранение большинства уязвимостей платформы. Но самый ценный подарок ждал нас до 2017 года. Мы имеем в виду появление нового инструмента сканирования Magento Security.

Есть идеи по поводу вашего проекта?

Свяжитесь с нами!

Сделать запрос

В этой статье мы рассмотрим сканирование безопасности Magento и покажем, как начать использовать его сразу. Кроме того, мы рассмотрим важность регулярных обновлений безопасности и способы их правильного применения. В конце концов, вы не хотите потерять личные данные клиентов или заблокировать ваш сайт поисковыми системами из-за взлома, не так ли?

Ваш сайт электронной коммерции безопасен?

Даже если вы внедрили различные средства защиты, некоторые слабые места могли остаться нетронутыми. Видимо, именно это часто случается с безопасностью магазинов Magento. По данным getastra.com, 62% веб-сайтов Magento eCommerce обладают как минимум одной проблемой уязвимости.

Statistics of Magento stores security issues
Статистика Magento хранит проблемы безопасности
Источник изображения: geekflare.com

Мы предлагаем вам прекратить чтение и начать бесплатное сканирование безопасности вашего интернет-магазина в Обсерватории Mozilla. После этого давайте рассмотрим результаты. Необходимо отметить, что если ваш показатель ниже 100%, то это означает, что с каждым потерянным процентом увеличивается потенциальная вероятность проникновения на ваш сайт.

Scan results on Mozilla Observatory
Результаты сканирования на обсерватории Mozilla
Источник изображения: observatory.mozilla.org

Вы можете получить примерно 50% баллов в этом тесте, просто обновив свой Magento до последней версии. Некоторые менеджеры или владельцы электронной коммерции могут беззаботно отнестись к этому вопросу. Это часто происходит из-за нежелания тратить дополнительные средства и время на установку исправлений безопасности для Magento 2 или 1. Однако вы должны делать это регулярно, если вы не хотите стать легкой добычей для злоумышленников.

Ключевой причиной этого является то, что хакеры тоже наблюдают за выпусками патчей. Так как это дает им информацию об исправленных слабых местах, они используют эти слабости, чтобы взломать неисправленные экземпляры Magento. Сформируйте себе хорошую привычку, следовать правилу 30 дней, как указано в требованиях соответствия PCI. Это означает, что необходимо обновить критические обновления безопасности в течение 30 дней после выпуска.

Если вы никогда не сталкивались со взломом вашего магазина, вы можете не осознавать необходимость установки исправлений. Наоборот, владельцы сайтов, которые сталкивались с этим, в кратчайшие сроки устанавливают каждое обновление. В Dinarys за 5 лет, в течение которых мы разрабатывали магазины электронной коммерции, самый длинный срок, когда клиент игнорировал выполнение обновлений безопасности, составлял 3 года. Это привело к взлому. Теоретически, есть шанс проникнуть на сайт в первый день после запуска, но вряд ли это когда-либо случится с сайтами Magento. В любом случае, те, кто не устанавливает последние обновления безопасности Magento для своего сайта более года, подвергаются высокому риску.

С появлением Magento Security Scan соблюдение 30-дневного правила стало намного проще. Это позволяет планировать автоматические еженедельные проверки.

Давайте познакомимся с основными преимуществами нового сервиса.

Magento Security Scan Tool: основные преимущества

В 2015 году Magento поделился официальным инструментом для удобного сканирования безопасности вашего интернет-магазина Magento. Он позволяет вам следить за состоянием безопасности вашего веб-сайта и получать регулярные обновления, включая проблемы конфигурации, советы по защите данных и исправления. Хорошей новостью является то, что Security Scan бесплатна и доступна для любых версий Magento Open Source или Magento Commerce.

Эта услуга предоставляет удивительные возможности, включая:

The Magento 2 Security Scan tool  offers recommendations of patches and best practices
Средство сканирования безопасности Magento 2 предлагает рекомендации по исправлениям и лучшие практики
Источник изображения: damianculotta.com.ar

Важно отметить, что результаты сканирования безопасности являются конфиденциальными и доступны только их владельцам. Чтобы начать использовать этот инструмент, вам просто нужно создать учетную запись на account.magento.com и получить доступ к разделу администрирования Magento. Для этого не требуется установка программного обеспечения на вашем сайте.

Magento планирует вскоре добавить сканирование SSH. Это может повысить информационную безопасность вашего сайта, поскольку позволяет сканировать уязвимости на стороне сервера вашего магазина. Однако, по мнению разработчиков Dinarys, это, вероятно, потребует предоставления доступа к базе данных вашего сайта третьим лицам.

Также читайте: 10 лучших рекомендаций по улучшению поиска по сайту вашего магазина электронной коммерции в 2019 году

Как использовать Magento Security Scan Tool

Если вы предпочитаете видеоформат, пожалуйста, не стесняйтесь запустить видео-трансляцию в Magento Security Scan.

Ниже приводится краткое описание.

Шаг 1. Подтвердите, что сайт Magento принадлежит вам

Сначала вы должны указать адрес вашего интернет-магазина и добавить код подтверждения через Magento Admin. Это довольно просто выполнить, используя директивы, показанные справа на скриншоте ниже.

Ownership verification of your Magento store
Подтверждение права собственности на ваш магазин Magento
Source: partners.magento.com

Шаг 2. Запуск автоматического или ручного сканирования безопасности

Если вы прокрутите вниз, вы найдете раздел планирования. Это удобная функция, которая экономит ваше время, освобождая вас от рутинного проведения ручного сканирования. Кроме того, вы можете получать результаты и уведомления об исправлениях на свой адрес электронной почты, заполнив соответствующее текстовое поле.

Scheduling automatic security scans
Планирование автоматического сканирования безопасности
Source: account.magento.com

Если засорение вашей электронной почты большим количеством отчетов о сканировании не подходит для вас, можно выполнить ручную проверку. На странице отслеживаемых веб-сайтов нажмите «Запустить сканирование» в столбце «Действия». Как только он будет завершен, вы сможете загрузить отчет в столбце «Отчеты». Отметим, что выполнение периодических проверок недостаточно для обеспечения достаточного уровня защиты вашего сайта. Только постоянные проверки и исправления безопасности Magento приводят к устойчивым положительным результатам.

Запуск ручного сканирования
Запуск ручного сканирования
Source: account.magento.com

Шаг 3. Анализ результатов сканирования

Результаты проверки будут представлены в трех таблицах, которые называются успешным, неопределенным и неудачным сканированием. Вы должны сосредоточиться на двух последних и выполнить рекомендуемые действия для повышения безопасности вашего сайта. Чтобы сделать это правильно и не повредить файлы вашего сайта, лучше обратиться к опытным разработчикам.

Например, Dinarys имеет большой опыт в разработке сайтов электронной коммерции. Ознакомиться с нашим портфолио можно здесь.

Среди предлагаемых действий после сканирования есть патчи безопасности для настройки. В следующем разделе вы узнаете, что они из себя представляют и как их установить.

Неудачные результаты сканирования Magento Security и рекомендуемые действия
Неудачные результаты сканирования Magento Security и рекомендуемые действия
Source: account.magento.com

Пройдены результаты сканирования Magento Security
Пройдены результаты сканирования Magento Security
Source: account.magento.com

Неопределенные (неопознанные) результаты сканирования Magento Security
Неопределенные (неопознанные) результаты сканирования Magento Security
Source: account.magento.com

Исправления безопасности для Magento: зачем это нужно

Сначала обновления безопасности для Magento выпускались только как часть обновлений версии. Позже, в 2015 году, разработчики Magento стали уделять еще больше внимания улучшениям безопасности и публиковать регулярные исправления безопасности для Magento 2 в дополнение к обновлениям версий. Это не привело к устранению всех возможных уязвимостей безопасности, тем не менее, оно значительно повысило информационную безопасность.

Кстати, представители платформы официально объявили, что они перестанут поддерживать Magento 1 к июню 2020 года. Это означает, что если вы используете эту версию, вы больше не сможете получать обновления безопасности. Мы рекомендуем рассмотреть переход с Magento 1 на Magento 2 в ближайшем будущем.

Что такое исправление безопасности?

Это самоустанавливающийся код, который исправляет некоторые недостатки безопасности программного обеспечения. При запуске он обнаруживает основной код и модифицирует его. Таким образом, киберпреступники не могут использовать эту уязвимость и красть данные. А поскольку исправления основаны на исходном коде, лучше его не изменять, иначе исправление безопасности Magento может быть установлено неправильно.

Что может произойти, если вы не устанавливаете исправления систематически?

Установка исправлений безопасности не является задачей с низким приоритетом, которую можно выполнять время от времени. Вот некоторые из последствий их игнорирования:

Где скачать патчи безопасности для Magento?

Есть два раздела, где вы можете найти официальные патчи на веб-ресурсе Magento. Познакомьтесь и прочитайте о них в Центре безопасности. Загрузите их на веб-странице технических ресурсов. Уведомления о наличии новой версии патча доставляются по электронной почте, а также всплывают в админ-панели Magento.

Центр безопасности Magento содержит подробную информацию о каждом патче безопасности Magento. Он включает описание исправленной уязвимости и уровень риска. Таким образом, эти данные показывают масштаб патча, который важен для его правильной установки. Это потому, что установка патча может повлиять на остальные части вашего интернет-магазина, что приведет к ошибкам.

Официальный сайт Magento - это единственное место, где вы должны загружать исправления безопасности. Находясь в другом месте, это может быть фальсифицированный установочный файл, созданный хакерами. Результат запуска такого файла приносит гораздо больше неприятностей, чем пользы, которую принес оригинальный патч. Вот сообщение в блоге об одном из поддельных патчей.

Патчи безопасности выпускаются для разных версий Magento. Некоторые из них предназначены для серии версий, а остальные предназначены для одной конкретной версии. Чтобы узнать версию вашего магазина в Magento, загляните в нижний колонтитул вашей админ-панели. Это может помочь вам загрузить соответствующий патч.

Установка исправления безопасности Magento

Для установки исправления требуется, чтобы у вас были права доступа к командной строке вашего веб-сервера. Чтобы сделать это правильно, установка патча включает запуск его на непроизводственной версии вашего сайта. Если все прошло хорошо, код можно перенести на рабочий сервер. Если у вас нет непроизводственного сервера, рекомендуется заранее создать резервную копию базы данных и файлов.

В некоторых случаях установка будет неудачной, поскольку предыдущие исправления безопасности для Magento 2 были пропущены. В соответствии с подходом Magento к исправлению, вы должны установить недостающие исправления изначально, а самые последние - позже. Но где вы можете найти список примененных патчей? Веб-служба Mage Report может помочь вам в этом. Кроме того, есть удобный способ выполнить это прямо в разделе администрирования Magento. Это просто требует от вас установки плагина Applied Patches.

Выводы

Мы надеемся, что вы осознали важность проверки исправлений безопасности для Magento. Смысл заключается в том, что инструмент Security Scan облегчает вам задачу, упрощая и автоматизируя этот процесс.

Как видите, применение патчей требует специальных знаний о том, как работать с командной строкой и веб-сервером. Лучшим решением может быть делегирование этой задачи профессиональным разработчикам, компетентным в этой области.

Dinarys - это компания, занимающаяся разработкой программного обеспечения полного цикла, которая может предоставлять услуги по обслуживанию веб-сайтов, включая изменение функциональности, безопасности и дизайна вашего приложения / сайта. Clutch, платформа отзывов клиентов, назвала нас лучшим веб-разработчиком в 2019 году.

Получите бесплатную консультацию, связавшись с нами прямо сейчас.

Хотите узнать больше

Получите свежие статьи, новости и тематические исследования в первую очередь на вашу электронную почту

Теперь вы подписаны!