7 dicas para aumentar a segurança no Magento

Acredito que a maioria dos responsáveis por uma loja de e-commerce sabe que é importante manter um sistema seguro (ou pelo menos deveria), pois diversas informações confidenciais são armazenadas na plataforma e isto inclui dados de clientes e informações de compras.

Quando falamos de loja virtual uma das mais utilizadas e conhecidas plataformas de e-commerce é o Magento, e é justamente nessa plataforma que vou focar neste artigo. Como sua utilização é bem difundida, segundo o site da empresa mais de 250 mil lojas utilizam a plataforma, e consequentemente torna-se um alvo visado pelos atacantes.

Confira abaixo as principais dicas para aumentar a segurança da sua loja virtual e aumentar consideravelmente a sua segurança.

1 – Usuário e senha da área administrativa

O primeiro passo para aumentar a segurança do Magento é não utilizar senhas fáceis e que podem ser descobertas facilmente como nome da loja, data de nascimento ou ‘123456789’ e ‘abc123’. Procure utilizar senhas que contenham caracteres especiais (@, %, #, etc) com letras maiúsculas, minúsculas e números.

O usuário também é importante, por isso, evite criar usuários que sejam fáceis de adivinhar como ‘admin’ ou ‘administrador’. Além disso, é importante restringir ao máximo o que cada usuário pode fazer na plataforma.

2 – Endereço de acesso à área administrativa

Por padrão o Magento utiliza o caminho sualoja.com.br/admin para acessar a área administrativa, mas este endereço já é bem conhecido por todos e por isso é importante alterar esse caminho para algo que somente você e sua equipe tenha conhecimento.

Para alterar o caminho /admin no Magento, acesse o arquivo que esta localizado em app/etc/local.xml  e procure pela linha no código que contenha a entrada: <![CDATA[admin]]>, basta alterar a entrada admin por algo que você deseja, como /acessointerno. Neste caso, a nova entrada do arquivo ficaria como <![CDATA[acessointerno]]>.

3 – Utilize Two-Factor Authentication na área administrativa

Uma outra forma que é muito utilizada para aumentar a segurança de todo o sistema é   adicionar uma segunda camada de segurança e isso pode ser feito usando a autenticação de dois fatores (Two-Factor Authentication), onde o sistema exige duas autenticações separadas para permitir o acesso, ou seja, após digitar o usuário e senha será exigido um token, como aqueles utilizados nos bancos.
Há algumas excelentes extensões disponíveis que permitem a autenticação de dois fatores no Magento. Procure no site do Magento por Two-Factor Authentication e você terá diversas opções, sejam elas pagas ou gratuitas.

4 – Utilize conexões criptografas via HTTPS

Uma configuração bastante simples de ser implementada, porém que não é feita por muitas pessoas é permitir o acesso a loja virtual e a interface administrativa apenas através de endereços seguros, ou seja, via HTTPS. Essa configuração permite prevenir o risco que os dados sejam interceptados enquanto estão em trânsito até o servidor.

5 – Listagem de diretórios

A listagem dos diretórios é outro item muito comum encontrado nos servidores. Através dela é possível visualizar e mapear os arquivos que estão nos servidores e com isso descobrir mais informações sobre determinada plataforma.
Parece uma simples configuração, mas eu mesmo já encontrei arquivos vulneráveis graças a listagem de diretórios, por isso não esqueça de desabilitar essa função no arquivo de configuração do seu Apache/Nginx ou caso você não tenha acesso a estes arquivos, desabilite no seu arquivo .htaccess.

6 – Desabilite funções perigosas no PHP

O PHP possui algumas funções que são perigosas e podem ser utilizadas para controlar o seu servidor. Para reduzir o risco que isso aconteça é aconselhado que seja desabilitado algumas funções que podem causar prejuízos no seu servidor. Confira abaixo a configuração que você pode adicionar no arquivo php.ini.

disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

Antes de desabilitar essas funções, verifique se o seu tema e/ou plug-ins não utilizam algumas dessas funções.

7 – Aplicação dos patches de segurança

Como o Magento é um sistema muito utilizado mundialmente, possui um constante desenvolvimento e uma comunidade ativa, é muito comum ocorrer atualizações constantes onde além de corrigir problemas no sistema em geral também irá corrigir problemas de segurança.
Por isso fique atento nas últimas divulgações de patches de segurança que a empresa disponibiliza,

você pode acompanhar isso através do endereço: https://www.magentocommerce.com/download 

O Magento é uma ótima opção de plataforma para lojas virtuais, mas é bom ficar atendo a todos os pontos de segurança para não ser vítima de uma invasão. Verifique constantemente as atualizações e procure configurar o sistema de forma correta, assim você evitará dores de cabeça futuramente.

Essas são algumas dicas básicas para você aumentar a segurança do seu Magento, ainda existem muitas outras opções que você pode configurar como as permissões dos arquivos, restringir o acesso à área administrativa para um único IP e realizar backups diários. Caso você queira ter acesso a um passo a passo completo, baixe o Guia de Segurança do Magento da Site Blindado, lá você encontrará todos detalhes para aumentar a segurança da loja virtual que utiliza Magento.

Latest


EmoticonEmoticon