La creciente popularidad de Magento le da a los “piratas informáticos” una razón suficiente para realizar ataques o intrusiones.
Al igual que en cualquier tienda virtual, en Magento se maneja información potencialmente importante y sensible sobre sus clientes, que es increíblemente valiosa para los hackers.
A continuación una serie de consejos para mejorar la seguridad de tiendas desarrolladas sobre Magento Community Edition.
1. Elegir una contraseña fuerte y segura para la cuenta de administrador Magento
El primer paso más obvio para mantener su instalación de Magento seguro debe tener una contraseña para su cuenta de administrador de Magento. Asegúrese de que el administrador maneje una contraseña es al menos diez caracteres aleatorios e incluir números, mayúsculas, minúsculas y caracteres especiales.
2. Utilizar una conexión cifrada (SSL/HTTPS)
SSL es un protocolo seguro que encripta la información sensible, como las credenciales de inicio de sesión, información personal etc., enviada desde el navegador al servidor web. Implementar SSL en su sitio web de Magento es muy recomendable, para esto debe instalar certificado SSL en el servidor de hosting.
3. Crear una ruta personalizada para el administrador de back-end
La URL por defecto admin Magento (por ejemplo, YourStore.com/store/admin) puede convertirse en un blanco fácil para los hackers tratando de romper en el backend de Magento mediante ataques de fuerza bruta. Para evitar, puede personalizar la ruta de administrador por defecto.
4. Filtrar el acceso al back-end por IP
Además de ocultar el administrador como se indica en el numeral anterior, puede restringir el acceso a la URL del administrador en el nivel de red. En otras palabras, restringir el acceso de administrador a sólo unas pocas direcciones IP o bloques CIDR que usted explícitamente aprobado. Esto puede hacerlo directamente en el servidor de hosting o firewall del mismo.
5. Restringir los permisos de archivos
Siguiendo el principio del menor privilegio, Asegúrese de que los directorios y archivos del sitio web de Magento no son editables por cualquier otra persona excepto el servidor web. Asigne permisos 750 en directorios y 640 en todos los archivos, excepto App/etc, los medios de comunicación y var, que necesitan permisos 770.
Siguiendo estas indicaciones, se mejorará sustancialmente la seguridad de su tienda. Por supuesto existen otras técnicas que puede utilizar fuera de su configuración de Magento para mejorar la seguridad general, como bloqueo de direcciones IP no deseados o instalando un IDS. Finalmente tenga en cuenta que siempre será conveniente emplear un servidor dedicado o VPS para controlar al máximo los riesgos.
Imagen: unsplash.com