#magento #security
#magento #Безопасность
Вопрос:
Я искал советы по обеспечению максимальной безопасности Magento. Я нашел это http://magplazza.com/2010/06/top-4-security-tips-for-your-magento-store-that-can-be-done-easily / но мне интересно, есть ли у кого-нибудь еще какие-нибудь советы или ссылки, подобные приведенным выше ….. или, может быть, Magento довольно безопасен из коробки. (Я проделал большую работу с WordPress, и есть много вещей, которые нужно сделать для ванильного WordPress, чтобы обезопасить его, поэтому я предполагал, что у Magento тоже будут некоторые)
Редактировать: ПРИМЕЧАНИЕ: Комментатор ниже поднял несколько проблем с качеством информации, содержащейся в приведенной выше ссылке.
Ответ №1:
Вау, на какую бесполезную статью вы ссылались 🙂
1) очевидно.
2) более целесообразно изменить, переопределив имя интерфейса модуля adminhtml. Это делается во время установки Magento или в любое время путем редактирования admin/routers/adminhtml/args/frontName узла app/etc/local.xml . Кстати, имя администратора или URL-адрес администратора всегда должны быть чем-то другим, кроме /admin — это самое дешевое препятствие для атак ботов.
3) УЖАСНЫЙ СОВЕТ. Секретный ключ ничего не раскрывает и должен смягчать атаки POST.
4) является единственным стоящим пунктом из сообщения.
Помимо вышеперечисленного, все остальное сводится к стандартной безопасности веб-сервера. Регулярно исправляйте свои установки, регулярно исправляйте программное обеспечение, по возможности используйте sFTP.
Единственный совет, который я могу добавить для Magento, — убедиться, что вы просматриваете любые сторонние модули перед установкой.
Комментарии:
1. Спасибо бен — я поверю вам на слово, что ссылка не так хороша, и отмечу ваш комментарий в редактировании — я думаю, что единственная причина, по которой я ее туда вставил, заключалась в том, что я больше ничего не нашел.
2. Как отменить совет 2, если вам так не повезло, что вы последовали совету и потеряли возможность входа в свою панель администратора. Это ловушка, если вы на самом деле не знаете, как ее использовать (не для того, для чего, по мнению большинства людей, она предназначена), и вот как устранить ущерб. magentocommerce.com/boards/viewreply/274443
Ответ №2:
Одна вещь, которую также полезно сделать, это настроить логин / пароль на основе веб-сервера в вашем местоположении администратора, чтобы добавить дополнительный уровень безопасности вашему администратору или настроить администратора так, чтобы он был доступен только для определенного набора IP-адресов. Поддерживайте ОС, PHP, Apache и MySQL в актуальном состоянии, насколько это возможно, чтобы предотвратить любое использование этих сервисов за пределами самого Magento.
http://addoa.com/blog/ten-tips-keeping-your-magento-store-secure
Комментарии:
1. Еще один способ выполнить совет 10 — ограничение доступа администратора. magentocommerce.com/boards/viewreply/351249
Ответ №3:
При настройке magento в процессе установки также может помочь выбор опции для использования префикса tables. Затем, когда сайт атакован и используется SQL-инъекция, злоумышленнику будет сложнее (но не невозможно :)) узнать правильные имена таблиц для SQL-запросов.