Magento

Segurança de site e e-commerce

7 dicas para aumentar a segurança no Magento

6 abr , 2017  

Uma das grandes preocupações dos gestores de e-commerce é como manter um sistema seguro, uma vez que diversas informações confidenciais são armazenadas na plataforma, e isso inclui dados de clientes e informações de compras.

Quando falamos de loja virtual, uma das mais utilizadas e conhecidas plataformas de e-commerce é o Magento, e é justamente nessa plataforma que vamos focar este artigo.

Como sua utilização é bem difundida – segundo o site da empresa, mais de 250 mil lojas utilizam a plataforma – consequentemente torna-se um alvo visado pelos atacantes.

Confira abaixo as principais dicas para aumentar a segurança da sua loja virtual e aumentar consideravelmente a sua segurança.

1 – Usuário e senha da área administrativa

O primeiro passo para aumentar a segurança do Magento é não utilizar senhas fáceis e que podem ser descobertas facilmente, como nome da loja, data de nascimento ou ‘123456789’ e ‘abc123’. Procure utilizar senhas que contenham caracteres especiais (@, %, # etc.) com letras maiúsculas, minúsculas e números.

O usuário também é importante, por isso evite criar usuários que sejam fáceis de descobrir como “admin” ou ‘administrador’. Além disso, é importante restringir ao máximo o que cada usuário pode fazer na plataforma.

 

2 – Endereço de acesso à área administrativa

Por padrão, o Magento utiliza o caminho sualoja.com.br/admin para acessar a área administrativa, mas esse endereço já é bem conhecido por todos. Por isso, é importante alterar o caminho para algo que somente você e sua equipe tenham conhecimento.

Para alterar o caminho /admin no Magento, acesse o arquivo que está localizado em app/etc/local.xml e procure pela linha no código que contenha a entrada “admin”. Basta alterá-la por algo que você deseja, como, por exemplo, “acessointerno”.

 

3 – Utilize Two-Factor Authentication na área administrativa

Outra forma que é muito utilizada para aumentar a segurança de todo o sistema é adicionar uma segunda camada. Isso pode ser feito usando a autenticação de dois fatores (Two-Factor Authentication), na qual o sistema exige duas autenticações separadas para permitir o acesso. Dessa forma, após digitar o usuário e senha, será exigido um token, como aqueles utilizados nos bancos.

Há algumas extensões disponíveis que permitem a autenticação de dois fatores no Magento. Procure no site do Magento por Two-Factor Authentication e você terá diversas opções.

 

4 – Utilize conexões criptografas via HTTPS

Uma configuração bastante simples de ser implementada, mas que não é feita por muitas pessoas, é permitir o acesso à loja virtual e à interface administrativa apenas por meio de endereços seguros, ou seja, via HTTPS. Essa configuração permite prevenir o risco de os dados serem interceptados enquanto estão em trânsito até o servidor.

 

5 – Listagem de diretórios

A listagem dos diretórios é outro item muito comum encontrado nos servidores. Por meio dela, é possível visualizar e mapear os arquivos que estão nos servidores e, com isso, descobrir mais informações sobre determinada plataforma.

Não se esqueça de desabilitar essa função no arquivo de configuração do seu Apache/Nginx. Caso não tenha acesso a esses arquivos, desabilite no seu arquivo .htaccess.

 

6 – Desabilite funções perigosas no PHP

O PHP possui algumas funções que são perigosas e podem ser utilizadas para controlar o seu servidor. Para reduzir o risco de que isso aconteça, é aconselhado que sejam desabilitadas algumas funções que podem causar prejuízos no seu servidor. Confira abaixo a configuração que você pode adicionar ao arquivo php.ini.

disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

Antes de desabilitar essas funções, verifique se o seu tema e/ou plug-ins não utilizam algumas dessas funções.

 

7 – Aplicação dos patches de segurança

Como o Magento é um sistema muito utilizado mundialmente, possui um constante desenvolvimento e uma comunidade ativa. Dessa forma, é muito comum ocorrerem atualizações constantes que, além de corrigirem problemas no sistema em geral, corrigem problemas de segurança.

Por isso, fique atento às últimas divulgações de patches de segurança que a empresa disponibiliza. Você pode acompanhar isso pelo endereço https://www.magentocommerce.com/download

O Magento é uma ótima opção de plataforma para lojas virtuais. Mas é bom ficar atento a todos os pontos de segurança para não ser vítima de uma invasão. Verifique constantemente as atualizações e procure configurar o sistema de forma correta. Assim, você evitará dores de cabeça futuramente.Baseline de segurança magento

Estas são algumas dicas básicas para você aumentar a segurança no Magento. Existem ainda outras opções, como as permissões dos arquivos, restrição de acesso à área administrativa para um único IP e backups diários.

Caso você queira ter acesso a um passo a passo completo, baixe este Guia de Segurança do Magento, feito pela Site Blindado. Nele você encontrará todos os detalhes para aumentar a segurança da loja virtual que utiliza Magento.

 

 

Leia também:

Como fazer a gestão da segurança do e-commerce?

Percepção de segurança ajuda o e-commerce a vender?