Magento Security Punch รายการ

27

บ่อยครั้งมากที่เราใช้ไซต์จาก บริษัท อื่นและตอนนี้เราติดอยู่กับการรวมกลุ่มของรหัสและอาจมีคนหลายสิบคนที่ทำงานในไซต์ ฉันกำลังมองหารายชื่อของรายการที่จะถามของเจ้าหน้าที่รักษาความปลอดภัยเพื่อให้แน่ใจว่าเว็บไซต์วีโอไอพีแข็ง สิ่งนี้จะต้องใช้ถ้ามีคนรับผิดชอบรหัสทั้งหมดและลูกค้าไม่ต้องการสร้างใหม่ตั้งแต่ต้น

คำถามของฉัน: มีรายการ 10 อันดับแรกหรือ 20 อันดับแรกที่จะถามและจัดทำเอกสารหรือไม่

security 
brentwpeterson
แหล่งที่มา

คำตอบ:

39

จากประสบการณ์ของฉันสิ่งเหล่านี้เป็นสิ่งสำคัญที่จะได้รับข้อมูลเกี่ยวกับการเข้าซื้อกิจการร้านใหม่จากมุมมองด้านความปลอดภัย รายการนี้ยังไม่ได้รับคำสั่ง & เสร็จสมบูรณ์ฉันจะทำงานต่อในรายการ

Magento ความปลอดภัย

  1. ใช้ HTTPS (ทั่วทั้งร้านเพียงชำระเงินเท่านั้น)
  2. เส้นทางผู้ดูแลระบบที่กำหนดเอง?
  3. การเข้าถึงเส้นทางผู้ดูแลระบบถูก จำกัด หรือไม่
  4. ผู้ดูแลระบบกี่คน มีผู้ใช้ที่ไม่ต้องการใช้งานอยู่หรือไม่
  5. การป้องกันบัญชีและการเข้ารหัสรหัสผ่าน (สำหรับลูกค้าและผู้ดูแลระบบ): มาตรฐานหรือการปรับแต่ง รับรองความถูกต้อง 2 ปัจจัย?
  6. (ล่าสุด) เวอร์ชันวีโอไอพีที่ใช้?
  7. ใช้ Magento Security Patch หรือไม่
  8. โฟลเดอร์ / สคริปต์ระดับรากที่กำหนดเองซึ่งจำเป็นต้องเข้าถึงจากระยะไกล?
  9. การเข้าถึงระบบทดสอบ / การจัดเตรียม (ถ้ามี) จำกัด ?
  10. ใช้บริการเว็บนำเข้า / ส่งออกใช้งานอย่างไร
  11. Webservice มีกี่บทบาท บทบาทที่ไม่จำเป็นใด ๆ ที่ใช้งานอยู่?
  12. รายการส่วนขยายที่ติดตั้ง
  13. ติดตั้งส่วนขยายล่าสุดแล้วหรือไม่
  14. PCI-DSS ร้านค้าที่เชื่อถือได้ฉลากอื่น ๆ
  15. เซสชัน / คุกกี้เพิ่มขึ้น
  16. เรียกใช้วีโอไอพีเท่านั้น (ไม่มี Wordpress หรือซอฟต์แวร์บุคคลที่สามอื่น ๆ )
  17. ข้อมูลที่เก็บไว้: ลูกค้าประเภทใดและข้อมูลการสั่งซื้อ (รวมถึงข้อมูลจากบุคคลที่สามและส่วนขยายที่กำหนดเอง) จะถูกเก็บไว้? ข้อมูลธนาคารข้อมูลบัตรเครดิต (ดู PCI-DSS)

ระบบรักษาความปลอดภัย

  1. รุ่น PHP: รุ่นล่าสุดหรือรุ่นเก่า
  2. สิทธิ์ของไฟล์: ทำงานเป็นผู้ใช้ www-data / apache หรือรูทหรือไม่
  3. ตั้งค่าการอนุญาตไฟล์ที่เหมาะสมหรือไม่
  4. ช็อปข้อมูลรับรองฐานข้อมูลเฉพาะกับฐานข้อมูลที่รันในฐานะรูท?
  5. การเข้าถึง SSH / SFTP การพิสูจน์ตัวตนแบบใช้คีย์?
  6. SLA กับผู้ให้บริการโฮสต์เกี่ยวกับ (ปกติ) ระบบปฏิบัติการอัพเดต PHP + โมดูลและการปรับปรุงความปลอดภัย?

องค์กร

  1. ใครเป็นผู้รับผิดชอบการอัปเดตระบบ (ความปลอดภัย)
  2. ใครสามารถเข้าถึงเซิร์ฟเวอร์สดได้บ้าง
  3. ใครสามารถเข้าถึงร้านค้าสดได้บ้าง
  4. รหัสโฮสต์อยู่ที่ไหน ใครมีสิทธิ์เข้าถึง repo ที่เปลือยเปล่าและการเข้าถึงแบบพุช
  5. กระบวนการพัฒนาซอฟต์แวร์ปัจจุบันมีลักษณะอย่างไร มีการตรวจสอบโค้ดและการตรวจสอบอัตโนมัติก่อนที่จะปรับใช้รหัสกับการทดสอบ / ทดสอบ / ถ่ายทอดสด
  6. มีการทดสอบความปลอดภัยหรือการตรวจสอบความปลอดภัย (เป็นประจำ) หรือไม่
  7. มีการสำรองข้อมูลปกติหรือไม่ ถ้าเป็นเช่นนั้นมันเป็นภายนอกหรือไม่
  8. ขึ้นอยู่กับขนาดร้านค้า / บริษัท : มีความต่อเนื่องทางธุรกิจและ / หรือแผนการกู้คืนหรือไม่?
Anna Völkl
แหล่งที่มา
1
รายชื่อที่ดี @Anna Volki :)
Amit Bera
4
หนึ่งในข้อผิดพลาดของฉันคือโมดูลของบุคคลที่สามประกาศชื่อหน้าผู้ดูแลระบบของตัวเอง พวกเขาทำให้มันเป็นไปได้ (ถ้าคุณรู้ว่าร้านค้ามีส่วนขยาย) เพื่อหาชื่อที่เป็นความลับ!
Peter O'Callaghan
3

ตรวจสอบให้แน่ใจว่า / downloader / ของคุณปลอดภัย คุณสามารถมีรหัสผ่านที่ยาวที่สุดในโลกได้ แต่ถ้าฉันมีเวลาอยู่ในโลกนี้เพื่อเดรัจฉานบังคับให้ผู้ใช้ข้อมูลของคุณในหน้าดาวน์โหลดของคุณฉันก็จะได้รับมันในที่สุด อีกสิ่งหนึ่งคือตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ไดเรกทอรีของคุณไม่สามารถแสดงรายการได้ หากพวกเขาอยู่ในรายการฉันสามารถดึงเนื้อหาเซิร์ฟเวอร์ของคุณบน Google และเริ่มท่องเว็บได้อย่างง่ายดาย คุณจะประหลาดใจกับจำนวนข้อมูลสำคัญที่ผู้คนเก็บไว้ในเว็บเซิร์ฟเวอร์

notmyfirstrodeo
แหล่งที่มา
ฉันอยากจะแนะนำให้ลบโฟลเดอร์ดาวน์โหลด ... คุณต้องการอะไร?
brentwpeterson
1
ฉันจะไม่ลบมัน แต่ให้เปลี่ยนเส้นทางผู้ใช้ที่มาถึง downloader / * ไปยังหน้าแรกโดยใช้กฎ htaccess
Kalpesh
3

หากต้องการขยายรายการของ Anna Volk รายการนี้จะอยู่เหนือกว่าสิ่งอื่น

  • นโยบายความปลอดภัยของเนื้อหา (เมื่อใช้อย่างถูกต้องทำให้ XSS เป็นไปไม่ได้)
  • HSTS (HTTP ความปลอดภัยในการขนส่งที่เข้มงวด)
  • SELinux พร้อมตั้งบริบทอย่างถูกต้อง
  • ติดตั้ง yum-cron / unattended-updates สำหรับการอัพเดทความปลอดภัยของระบบโดยอัตโนมัติ
เรย์ฟอสส์
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.