전자상거래 웹사이트를 보호하기 위한 10가지 필수 Magento 보안 팁

게시 됨: 2018-09-27
E-스토어 (1) 우리는 독자의 대다수가 비즈니스의 보안에 관심을 갖고 있다는 것을 알고 있습니다. 가장 인기있는 비즈니스 유형이 온라인 상점이라는 것은 비밀이 아닙니다. Magento e-store 보안에 대한 몇 가지 팁을 공유하고자 합니다. 손님인 Alex Letitov 가 사이버 범죄자로부터 비즈니스를 방지하는 방법을 알려줄 것입니다.
수천 개의 전자 상거래 기업이 전자 상점에 Magento 플랫폼을 사용합니다. 수백만 달러 가치의 거래가 매일 이러한 상점에서 실행됩니다. 돈이 있으면 위험이 따릅니다. 사이버 범죄는 언제든지 비즈니스의 성공 파티를 망칠 수 있습니다. Magento를 포함한 모든 전자 상거래 플랫폼이 강력한 보안 기능을 제공하고 자주 업그레이드하지만, 실제로 그렇게 살기를 바랄 수는 없습니다. Magento 매장에 대한 기본적인 사이버 공격은 고객의 온라인 지갑에서 돈을 훔치는 것과 별개로 비즈니스 운영을 중단하고 고객 데이터 도난 및 후속 법적 처벌로 이어질 수 있습니다. 게다가, 당신의 상점이 사이버 공격의 희생자라는 뉴스를 만들 경우, 그 평판은 큰 타격을 받을 것입니다. 고맙게도 Magento 매장의 보안을 강화하기 위해 할 수 있는 일이 많이 있습니다. 매장을 안전하게 유지하는 10가지 가장 중요한 Magento 보안 팁을 다루겠습니다.

Magento 설치를 최신 버전으로 계속 패치하십시오

Magento는 보안 업데이트, 버전 업데이트 및 패치를 통해 시스템 보안을 계속 업그레이드할 수 있는 능력으로 인해 뛰어난 전자 상거래 웹 사이트 빌더로서의 명성을 얻었습니다. Magento 스토어의 보안을 최상의 상태로 유지하기 위해 취할 수 있는 가장 중요한 조치는 바로 지금 최신 버전으로 업그레이드하는 것입니다. Magento 업그레이드는 다음으로 구성됩니다.
  • 유지 관리 관련 수정 사항
  • 버그 수정
  • 사이버 범죄자가 악용하는 최신 취약점을 처리하는 보안 수정 사항
당연히 전자 상거래 상점 소유자는 현재 가지고 있는 것에 익숙해지면 새로운 인터페이스를 배우고 싶어하지 않습니다. Magento는 업그레이드가 포괄적인 패치 노트와 함께 제공되기 때문에 여기에서 탁월합니다. 이 참고 사항은 시스템의 변경 사항을 명확하게 이해하여 업그레이드에 적합한지 결정할 수 있도록 도와줍니다. 결국 모든 e-store 관리자는 보안을 유지하는 것이 버전 업그레이드로 인한 사소한 인터페이스 변경(있는 경우)에 적응하는 것보다 훨씬 더 중요하다는 데 동의할 것입니다. Magento의 기술 자료 페이지는 최신 릴리스 정보를 쉽게 확인할 수 있도록 책갈피에 대한 좋은 링크입니다.

기본 관리자 로그인 경로 변경

02_admin_login_path 기본 로그인 페이지를 변경하여 해커가 상점에 침입하는 것을 매우 어렵게 만들 수 있습니다. Magento 스토어의 기본 관리자 로그인 페이지 링크는 www.storename.com/index.php/admin/과 유사합니다. 대신 해커가 이 페이지에 액세스하고 백엔드에 침입하기 위해 무차별 대입 공격을 시작할 수 없도록 사용자 정의 URL을 사용하십시오. 시스템 설정에서 이 작업을 수행할 수 있습니다. Config로 이동하여 Admin, Admin Base URL을 차례로 선택하고 'Use Custom Admin Path'를 선택합니다. 그렇게 하는 또 다른 방법은 local.xml 구성 파일로 이동하여 다음 코드 블록을 찾는 것입니다. <admin> <routers> <adminhtml> <args> <frontName><![CDTA[admin] ]</frontName> </args> </routers> </admin> 여기에서 [admin]을 새 관리자 경로로 바꿉니다. . 편집된 구성 파일을 저장하고 캐시를 새로 고칩니다. 당신은 끝났습니다.

SSL(Secure Socket Layer) 추가

Magento 매장 소유자로서 쇼핑객의 데이터가 매장에서 다른 IT 시스템으로 안전하게 전송되도록 하는 것은 귀하의 책임입니다. 그렇게 하려면 Magento 스토어에 SSL을 추가해야 합니다. SSL 암호화를 사용하면 제3자가 데이터를 가로채고 액세스할 수 있더라도 왜곡된 데이터 문자열을 이해할 수 없도록 합니다. SSL을 활성화하려면 시스템 > 구성 > 웹 > 보안으로 이동합니다. 여기에서 프런트엔드에서 보안 URL 사용/관리에서 보안 URL 사용에 대해 '예'를 선택합니다. SSL을 활성화하면 Magento 상점의 URL이 웹 브라우저의 주소 표시줄 오른쪽에 많이 찾는 녹색 자물쇠 아이콘과 함께 표시됩니다. 이는 e-store에 대한 신뢰를 구축하는 데 도움이 됩니다.

매우 강력한 암호 사용

04_use_super_strong_passwords 이것은 약간의 명백한 팁으로 나타납니다. 그러나 여러 Magento 상점 소유자가 계속해서 암호 실수를 저지르고 상점의 보안을 손상시키는 방법은 놀라운 일입니다. Magento에는 최소 7자의 비밀번호가 필요하지만 더 긴 비밀번호를 선택하는 것이 좋습니다. 다음은 기억해야 할 몇 가지 모범 사례입니다.
  • 암호에 대문자와 소문자 알파벳, 숫자 및 특수 기호를 혼합하여 사용하십시오.
  • 비밀번호에 개인, 브랜드 또는 비즈니스 이름을 포함하지 마십시오.
  • 비밀번호에 1234 및 qwerty와 같은 순차적인 문자열을 포함하지 마십시오.
이 외에도 Magento의 관리자 보안 구성을 사용하여 비밀번호 설정을 관리할 수 있습니다. 예를 들어, 세션에서 허용되는 로그인 시도 횟수를 제한하여 무차별 대입 침입 시도에 대한 상점의 보안을 강화할 수 있습니다. 그 후에는 계정이 잠깁니다. 보안 문자를 입력하도록 관리자 로그인 페이지를 설정할 수도 있습니다.

2단계 인증으로 강력한 비밀번호 보완

05_2-factor_authentication Magento 상점에 또 다른 보안 계층을 추가하면 누군가 침입할 가능성을 줄일 수 있습니다. 2단계 인증은 이를 수행하는 쉽고 안정적인 방법입니다. 2단계 인증을 설정하기 위한 안정적인 Magento 확장만 있으면 됩니다. 즉, 사용자는 암호와 동적으로 생성된 OTP(일회성 암호)가 필요합니다. 이 OTP는 SMS(또는 이메일)를 통해 사용자의 휴대전화로 전송됩니다. 본질적으로 이것은 Magento의 관리 콘솔에 액세스할 수 있도록 무언가(로그인 자격 증명)를 알고 있고 무언가(기기)를 소유해야 함을 의미합니다. 앱을 사용하여 Magento 백엔드에 로그인할 수 있는 신뢰할 수 있는 장치를 추가할 수 있는 Magento 보안 확장인 Rublon을 사용해 볼 수 있습니다. Magento Hackathon은 사용자의 등록된 장치에 일회성 코드를 보내는 옵션을 포함하여 복잡한 다단계 인증 규칙을 설정할 수 있는 또 다른 좋은 옵션입니다.

Magento 웹 스토어를 정기적으로 백업

06_regularly_backup_your_magento 죄송합니다. Magento 2 데이터의 백업을 정기적으로 생성하십시오. 이렇게 하면 데이터 도난의 불행한 경우에 시계를 되돌리고 웹 스토어를 최근의 안정적인 상태로 복원할 수 있는 옵션이 있습니다. 자동 백업은 매장 소유자가 사용할 수 있는 Magento 보안 기능 중 하나입니다. Magento 2의 관리자 패널에서 이 작업을 수행합니다. 도구로 이동하여 백업을 선택합니다. 가장 좋은 점은 매일, 매주, 매월 또는 한 번만 수행하도록 백업 활동을 자동화하고 예약할 수 있다는 점입니다. 또한 신뢰할 수 있는 Magento 2 확장을 사용하여 백업을 생성하여 백업을 생성할 수 있습니다.

방화벽을 사용하여 SQL 주입 방지

해커는 Magento 스토어의 백엔드를 변경하여 보안을 손상시킬 수 있는 코딩된 명령을 실행할 수 있습니다. Magento 백엔드는 본질적으로 SQL 인젝션 공격에 대해 안전하지만 더 강력하게 만들 수 없다는 의미는 아닙니다. 방화벽을 사용하여 모든 고급 SQL 주입 공격도 무효화되도록 합니다. 방화벽은 승인되지 않은 SQL 문을 감지 및 보고하고, SQL 주입을 차단하고, 모든 SQL 활동을 기록하고, 거짓 부정을 피하기 위해 SQL 문의 화이트리스트를 작성할 수 있습니다.

Magento 확장을 사용하여 매우 까다롭습니다.

Magento의 타사 확장은 오픈 소스 전자 상거래 플랫폼의 핵심 USP입니다. 그러나 확장자를 선택할 때는 주의가 필요합니다. 깨닫기도 전에 가짜 Magento 확장 프로그램이 사이버 범죄자가 전자 상점에서 보호된 정보에 액세스하는 관문이 될 수 있습니다. 확장 프로그램을 사용하고 싶을 때마다 개발자의 배경을 확인하세요. 또한 독립적인 Magento 애드온 검토자가 검토한 확장 기능을 찾으십시오. 사용 평가 및 리뷰는 확장 기능의 신뢰성을 나타내는 좋은 지표이기도 합니다.

고급 보안 옵션을 사용하여 Magento를 더욱 안전하게 만드십시오

Magento는 매장을 그 어느 때보다 안전하게 만들 수 있는 몇 가지 고급 보안 설정을 제공합니다. 다음은 이러한 설정 중 일부와 고려할 가치가 있는 기타 보안 모범 사례입니다.
  • 제한된 수의 알려진 네트워크에서만 액세스할 수 있도록 IP 주소로 관리자 패널에 대한 액세스를 제한합니다.
  • 암호화된 키 파일을 사용하여 사용자를 인증하는 보안 FTP(SFTP라고도 함) 사용
  • 무차별 대입 공격을 방지하기 위해 '/downloader/' 디렉토리를 잠급니다.
  • 악성 코드가 있는지 웹 사이트를 정기적으로 검사하십시오.
  • 상점 PCI를 준수하도록 하려면 이전 TLS1.0 프로토콜을 비활성화하십시오.

편견 없는 보안 테스트 받기

이러한 모든 조치를 취한 후 상점 소유자는 Magento 상점이 완전히 안전하다고 믿고 싶어할 것입니다. 그렇지 않을 수도 있습니다. 취약점을 밝히려면 타사 Magento 보안 전문가를 고용하여 매장을 테스트하십시오. 이러한 보안 서비스 제공업체는 상점의 취약점을 강조하는 데 비즈니스 이해관계를 갖고 있기 때문에(그리고 수리를 위해 유료 컨설팅을 제공함) 최상의 품질 검사를 받을 수 있다고 확신합니다. Magento 매장 설정에서 발견한 모든 중요한 보안 결함은 수정될 수 있으며 잠재적으로 향후 데이터 보안 재해를 피할 수 있습니다.

끝 맺는 말

전자 상거래 웹사이트가 100% 안전하다고 단언하기는 너무 어렵지만 Magento 매장 소유자는 전자 매장을 더 안전하게 만드는 모범 사례를 채택하여 자신과 고객을 위해 더 나은 것을 만들 수 있습니다. 다음 10가지 팁으로 시작하십시오. 이렇게 하면 고객 데이터가 안전하게 유지되고 해커가 전자 상점에 침입할 수 없습니다.