❝ La seguridad es un proceso, no un producto. ❞
Bruce Schneier
Según las últimas previsiones de eMarketer, el E-commerce (comercio on-line) aumentará un 20,1% este año para llegar a cerca de 1.500 billones de dólares. Este pequeño mundo está creciendo de forma muy rápida, siendo natural que miles de servidores estén dedicados las 24/7 a ello o a información privada, incluyendo datos financieros, llamando, sin lugar a dudas, la atención de los hackers. Estos datos pueden caer fácilmente a manos de «villanos» sino se adhieren a las normas de seguridad de Magento.
En este artículo vamos a profundizar en los puntos de seguridad más relevantes y oportunos para Magento.
Los Hackers con esa información tienden a:
- Utilizarlo para phishing (suplantación de identidad).
- Utilizarlo para el spam de correo electrónico.
- Desfigurar o dañar tu página web.
- Robar información que pueden utilizar en su beneficio.
Una de las razones más importantes por las que debes y necesitas proteger tu tienda Magento es: la protección de los datos del cliente. No sólo los nuestros son significativos, también estamos trabajando con la información personal de otras personas a las que no les gustaría que sus datos estuviesen a mano de un hacker. Los hackers pueden querer tu propia información por varias razones (y por espionaje industrial también), pero lo primero es lo primero, no debes dar datos privados de tus clientes, incluido en esto los detalles del pago. Si estos datos se ven obtenidos en el ataque de un hacker, puede afectar seriamente a tu reputación y credibilidad, así como a dañar a tus clientes.
Eres bienvenido a utilizar esta lista de verificación de seguridad en Magento en tu E-commerce.
1. «Pon al día» tu sistema cuando haya una nueva actualización
Las actualizaciones de software nos brindan nuevas características, correcciones de errores y eliminación de aquello que hacía vulnerable el sistema en la versión anterior. Por eso es muy importante utilizar las últimas versiones de software disponibles en el momento. Funciona tanto para Magento como para un servidor.
Para actualizar tu sistema operativo, usa los comandos que hay a continuación:
RHEL / CentOS
yum upgrade
Debian / Ubuntu
apt-get update
apt-get upgrade
2. Haz una copia de seguridad de tu Magento regularmente
No puedes estar 100% seguro de los hackers, pero de alguna forma u otra, hay maneras de sentirse más seguro; ¿con qué? Con copias de seguridad periódicas, éstas pueden salvarte de muchas cuestiones. Guarda regularmente copias de seguridad, sin tratar de almacenarlas en el mismo servidor del sitio web original. Debemos salvaguardar , no meternos más enla «boca del lobo». Restaurar tus copias de seguridad en un sitio ajeno al principal, hará que te asegures de que todo está funcionando correctamente. Guardar los archivos en el mismo servidor es inseguro, no sólo porque perderías toda tu información si el servidor se bloquea, sino que, si un hacker obtiene acceso a tu servidor, también tendrá en sus manos las copias de seguridad, cosa muy codiciada para ellos.
3. Utiliza contraseñas largas para tu tienda Magento
¿Sabías que 123456 era la contraseña más popular en 2013 según SplashData? La contraseña del administrador es la «última batalla» de seguridad en tu tienda Magento. ¡Y necesitas que sea fuerte! Las contraseñas fáciles pueden ser forzadas, por lo que… Para crear la tuya, utiliza más de 10 carácteres. Incluye entre éstas carácteres en mayúscula, minúscula y especiales (como $, %, !, #, ^). De esta forma, tu contraseña no será hackeada, o al menos tomará varios años encontrar una coincidencia.
Utiliza KeePass , PWGen o APG para la generación de contraseñas.
4. No utilices tu contraseña de Magento en otros sitios
En efecto, este problema en la seguridad de Magento trabaja con cualquier contraseña protegida que tengas. Según passwordresearch.com, más del 15% de los usuarios eligen contraseñas idénticas para más de un servicio. Hay demasiadas personas, que no saben que el uso de contraseñas exactamente iguales para varios inicios de sesión, trae el riesgo perder todas sus cuentas a la vez. Así que, de nuevo: Todas las contraseñas deben ser únicas. No seas perezoso, para de leer por un momento y cámbialas si no lo son. ¡No se lo diremos a nadie!
5. No guardar o almacenar contraseñas en tu ordenador
Una parte significativa de los robos con Troyanos son las contraseñas guardadas. Tienes que tener cuidado con el FTP de los clientes y navegadores, las contraseñas son robadas a través de ellas con frecuencia. Nunca jamás guardes contraseñas utilizando el «famoso» recordatorio que te hacen estas aplicaciones. Al menos no lo hagas sin la contraseña maestra (una contraseña que cifra el resto de las contraseñas al guardar datos de acceso). Haciendo caso omiso de este consejo, sufrirás fugas de datos bajo tu responsabilidad.
Prefiero utilizar KeePass para mantener las contraseñas.
6. Cambia tus contraseñas frecuentemente
La contraseñas no deben tener una vida muy larga. Se aconseja cambiarlas cada 3-6 meses. Incluso si tus contraseñas han sido filtradas (e incluso si el hacker no las ha utilizado), los cambios anteriores realizados regularmente serán inútiles. Asegúrate también de que las contraseñas se cambian para todas las personas que utilizan la página web.
7. Utiliza la autorización de dos factores
Incluso la contraseña más segura es inútil si se puede robar. Para elevar el nivel de seguridad en tu tienda, se recomienda hacer uso de cualquier segundo factor de autorización, por ejemplo, la diferección IP. Para restringir el acceso backend, agrega las líneas siguiente a la sección VirtualHost de configuración del servidor web Apache (ten cuidado – si añades estas líneas al archivo .htaccess causará un error):
Order Deny,Allow
Deny from All
Allow from 192.168.100.182
8. Utiliza firewall (cortafuegos)
Configuración del cortafuegos para denegar el acceso público a todo excepto servidor web. Si usted no tiene una dirección IP permanente para dar acceso a la misma a través del servidor de seguridad, utilice VPN o la tecnologia Port Knocking.
En RHEL/CentOS la configuración del firewall se puede encontrar en /etc/sysconfig /iptables; cuando se trata de Debian/Ubuntu, usar iptables-persistents(/etc/iptables-persistent/rules.v4).
También puede instalar un firewall de aplicaciones web (como Naxsi) para proteger su tienda de inyecciones SQL. Aunque Magento tiene una gran cantidad de código dedicado proteger de inyecciones, más vale prevenir que curar.
9. Busqueda de errores o actividad sospechosa en los registros
Compruebe regularmente los registros del servidor web y busqué errores o actividad sospechosa. Es posible que quiera utilizar la extensión Admin Actions Log para Magento para tal fin, y se ha actualizado recientemente con las siguientes características muy importantes para la seguridad en la web :
- Puede configurar una notificación para un exitoso intento de inicio de sesión en país inusual en comparación con los inicios de sesión previos.
- Puede configurar una notificación para un seguido de intentos de conexión fallidos durante la última hora, lo que puede ser una señal de intento de violación.
- El error “403 Forbidden“ devuelto por el login fallido de la página de inicio de sesión del back-end, que lo hace más fácil de integrarlo con herramientas de seguridad del servidor.
También hay una buena herramienta llamada Fail2ban. Escanea los archivos de registro y prohíbe IPs que muestra los signos maliciosos (intentos de acceso fallidos, busquedas de exploits, etc). Generalmente Fail2Ban se utiliza para actualizar las reglas del cortafuegos para rechazar direcciones IP durante un período tiempo especificado. La herramienta reduce el número de intentos de autenticación incorrectos.
10. Cambiar la URL del backend
Este métodomás cercano a la seguridad por oscuridad, pero puede ser útil como medio adicional para luchar contra bots y ataques de fuerza bruta. Para cambiar la URL del backend, editar app/etc/local.xml (admin/routers/sección adminhtml).
Asegúrese de que la nueva dirección URL es bastante difícil de adivinar. También puede ser que desee borrar la memoria caché después de estos pasos.
A continuación, compruebe la nueva URL y asegúrese de que la dirección URL anterior devuelve página de error 404.
11. Utilizar HTTPS / SSL para backend
El uso de un punto de acceso público en un café o un centro comercial expone a sufrir ataques MitM. Para evitar esto, se emplean conexiones seguras para la autorización. Para empezar a utilizar SSL usted ni siquiera necesita comprar un certificado! Sólo generar un certificado autofirmado y convertirlo en un uno confiable en su navegador.
12. Olvídate de FTP
Protocolo FTP se creó cuando Internet acababa de aparecer, y la seguridad no era el problema en el momento. Hoy en día el uso de FTP es altamente peligroso porque la autorización se realiza con texto plano y puede ser interceptada fácilmente. Utilice protocolo SFTP, ya que también exime de problemas con el streaming IP (NAT), por no todo el mundo tiene una IP pública para el uso de Internet. Para configurar SFTP para Magento, siga esta guía.
13. Establezca los permisos de acceso mínimo de referencia
Siempre establezca permisos de acceso mínimo para las actividades del servidor web. En Magento sólo se necesitan registros en app/etc, media y var , además de includes/ en caso de que utilice la compilación. Se pueden necesitar derechos ampliados por el sólo uso de Magento Connect.
La mejor combinación desde el punto de vista de seguridad seria: dejar que el código fuente del sitio web pertenezca al primer usuario (por ejemplo, admin), y que el servidor web ejecutará el código con el segundo usuario (por ejemplo, Apache).
14. Utilizar antivirus
Utilice antivirus de confianza y lo actualizarán periódicamente a la última versión, ya que añaden información fresca sobre el nuevo scumware a sus bases de datos todos los días. Esto se añadirá a la protección de datos y mantendra a salvo de malwares que roban información y la envían a los hackers.
15. Bloquear acceso a países no deseados
Hay una bonita herramienta llamada GeoIP Legacy Apache Module que permite dar, bloquear o redirigir acceso a usuarios basándose en el país. Si sólo vende en España, de esta manera usted es capaz de protegerse de cualquier ataque – por ejemplo, en China hay una gran cantidad de tráfico malicioso, y bloqueado el acceso desde allí impide cualquier intento de violación de IPs chinos.
