Daftar Pukulan Keamanan Magento

27

Sangat sering bahwa kita mengambil situs dari perusahaan lain dan sekarang kita terjebak dengan konglomerasi kode dan berpotensi puluhan orang yang telah bekerja di suatu situs. Saya mencari daftar item untuk meminta petugas keamanan untuk memastikan situs Magento mengeras. Ini akan diperlukan jika seseorang bertanggung jawab penuh atas semua kode dan klien tidak ingin membangun kembali dari awal.

Pertanyaan saya: Apakah ada 10 atau 20 daftar item teratas untuk ditanyakan dan didokumentasikan?

brentwpeterson
sumber

Jawaban:

39

Dari pengalaman saya, ini adalah hal-hal penting untuk mendapatkan informasi tentang ketika mengambil alih toko baru dari sudut pandang keamanan. Daftar ini belum dipesan & selesai, saya akan terus mengerjakan daftar.

Keamanan Magento

  1. HTTPS digunakan (di seluruh toko, hanya untuk checkout)?
  2. Jalur Admin Kustom?
  3. Akses ke jalur admin dibatasi?
  4. Berapa banyak Admin? Adakah pengguna yang tidak dibutuhkan aktif?
  5. Perlindungan akun & enkripsi passwort (untuk pelanggan dan admin): Standar atau penyesuaian? 2-faktor auth?
  6. (Terbaru) Versi Magento digunakan?
  7. Patch Keamanan Magento diterapkan?
  8. Folder / skrip tingkat root kustom yang perlu diakses dari jarak jauh?
  9. Akses ke sistem pengujian / pementasan (jika tersedia) dibatasi?
  10. Layanan web, fungsi impor / ekspor yang digunakan?
  11. Berapa peran layanan Web? Adakah peran yang tidak dibutuhkan aktif?
  12. Daftar ekstensi yang dipasang
  13. Ekstensi yang diinstal up to date?
  14. PCI-DSS, toko tepercaya, label lainnya?
  15. Sesi / waktu pengangkatan Cookie?
  16. Hanya jalankan Magento. (Tidak ada Wordpress atau perangkat lunak pihak ketiga lainnya)
  17. Data disimpan: Pelanggan dan data pesanan jenis apa (serta data dari pihak ketiga dan ekstensi khusus), yang disimpan? Data bank, data kartu kredit (lihat PCI-DSS)?

Keamanan Sistem

  1. Versi PHP: versi terbaru atau lama?
  2. Izin file: Berjalan sebagai pengguna data-data / apache atau root?
  3. Izin file yang tepat ditetapkan?
  4. Belanja kredensial basis data spesifik dan basis data yang dijalankan sebagai root?
  5. Akses SSH / SFTP? Otentikasi berbasis kunci?
  6. SLA dengan penyedia hosting tentang pembaruan OS, PHP + modul, dan pembaruan keamanan?

Organisasi

  1. Siapa yang bertanggung jawab atas pembaruan sistem (keamanan)?
  2. Siapa yang memiliki akses ke server-langsung?
  3. Siapa yang punya akses ke live-shop?
  4. Di mana kode dihosting? Siapa yang memiliki akses ke repo telanjang dan akses push?
  5. Seperti apa proses pengembangan perangkat lunak saat ini? Apakah ada ulasan kode dan pemeriksaan otomatis dilakukan sebelum menyebarkan kode ke staging / test / live?
  6. Apakah ada pengujian keamanan atau audit keamanan yang dilakukan (secara teratur)?
  7. Apakah ada cadangan reguler? Jika demikian, apakah itu eksternal?
  8. Bergantung pada ukuran toko / perusahaan: Apakah ada kesinambungan bisnis dan / atau rencana Pemulihan?
Anna Völkl
sumber
1
Daftar yang bagus @Anna Volki :)
Amit Bera
4
Salah satu beruang bug saya adalah modul pihak ke-3 yang menyatakan nama depan admin mereka sendiri. Mereka memungkinkan (jika Anda tahu toko memiliki ekstensi) untuk mengetahui apa nama depan yang seharusnya rahasia!
Peter O'Callaghan
3

Pastikan / pengunduh / folder Anda aman. Anda dapat memiliki kata sandi terpanjang di dunia tetapi jika saya memiliki semua waktu di dunia untuk memaksa informasi pengguna Anda pada halaman pengunduh Anda, maka pada akhirnya saya akan mendapatkannya. Hal lain adalah memastikan direktori server Anda tidak dapat didaftar. Jika mereka mendaftar, saya dapat dengan mudah menarik konten server Anda di Google dan mulai menjelajah. Anda akan kagum dengan jumlah informasi sensitif yang disimpan orang di server web mereka.

notmyfirstrodeo
sumber
Saya akan merekomendasikan menghapus folder pengunduh ... untuk apa Anda memerlukannya?
brentwpeterson
1
Saya tidak akan menghapusnya melainkan mengarahkan ulang pengguna yang datang ke pengunduh / * ke beranda dengan aturan htaccess.
Kalpesh
3

Untuk memperluas daftar Anna Volk, daftar ini melampaui apa yang khas

  • Kebijakan Keamanan Konten (Ketika diterapkan dengan benar, membuat XSS tidak mungkin)
  • HSTS (HTTP Strict Transport Security)
  • SELinux dengan konteks yang diatur dengan benar.
  • yum-cron / pembaruan tanpa pengawasan yang diinstal untuk pembaruan keamanan sistem otomatis
Ray Foss
sumber