Tips Keamanan Magento untuk Menjaga Toko E-commerce Anda Aman | Wise Design Lab

29 Apr 2019 Tips Keamanan Magento untuk Menjaga Toko E-commerce Anda Aman

Posted at 29 Apr 2019 in Magento by Lola Pakpahan

Magento kini telah menjadi kekuatan utama dalam industri e-commerce karena pembaruan dan fitur regulernya.

Berdasarkan Datanyze Ecommerce Platforms Market Share Report, 12.708 Situs web e-niaga di Alexa Top 1 Juta menggunakan Magento (dari 467 Teknologi) yang memiliki pangsa 14,31%, sebagian besar ecommerce. Jadi jika Anda berencana untuk meluncurkan toko e-niaga pada tahun 2019, Anda pasti harus melirik Magento.

Hal terbaik tentang Magento adalah keamanan platform yang out-of-the-box. Tidak seperti platform lain di mana keamanan merupakan add-on (atau lebih buruk, pikir-pikir dulu deh!), Untuk tim Magento, keamanan dibangun tepat ke inti platform e-commerce.

Keamanan adalah dan tetap menjadi perhatian utama bagi semua pemilik toko e-niaga karena fakta sederhana – informasi pelanggan yang dikumpulkan bahkan oleh toko e-niaga kecil sering bernilai banyak bagi para penjahat.

Jadi, terlepas dari ukuran dan riwayat operasionalnya, jelas menunjukkan bahwa jika ada yang berpikir untuk memulai toko e-commerce pada tahun 2019, pilihan pertama mereka adalah Magento. Namun, sebagian besar pedagang e-niaga ini jarang mengetahui bahwa Magento menawarkan praktik keamanan luar biasa.

Jelaslah bahwa di mana pun ada toko, ada pencuri. Penjahat dunia maya ini selalu mencari mangsa untuk menemukan kelemahan pengkodean di toko e-niaga sehingga mereka dapat bergerak.

Biasanya, elemen berbahaya ini menyerang situs web untuk melakukan kegiatan mencurigakan seperti:

Spamming
Phishing
Mencuri data pengguna

Meskipun Magento diberi patch secara teratur, ada banyak praktik terbaik keamanan Magento yang dapat diikuti oleh administrator situs web untuk mencegah orang lain merusak upaya mereka.

Daftar Pemeriksaan Keamanan Magento: Bagaimana Mengamankan Toko Magento Anda di 2019?

Situs web e-commerce aman adalah situs web e-commerce tepercaya. Kepercayaan memainkan peranan penting ketika Anda memiliki toko online. Dengan mengikuti checklist ini, Anda dapat mencegah masalah keamanan Magento. Berikut adalah beberapa tips keamanan Magento untuk menjaga toko e-commerce Anda aman dari peretas:

Gunakan versi Magento terbaru
Gunakan otentikasi dua faktor.
Atur jalur kustom untuk panel admin.
Dapatkan koneksi terenkripsi (SSL / HTTPS)
Gunakan Secure FTP.
Punya backup plan aktif.
Nonaktifkan pengindeksan direktori.
Gunakan kata sandi yang bijak
Hilangkan e-mail loopholes
Investasikan paket hosting yang baik
Cegah injeksi MySQL
Selesaikan ulasan keamanan Magento
Hubungi Komunitas Magento
Tambahkan Kunci Keamanan ke Panel Admin Magento

Gunakan Versi Magento Terbaru

Sering kali, Anda akan diberitahu bahwa versi Magento terbaru bukan yang terbaik. Ini karena orang berpikir bahwa versi terbaru Magento tidak aman dengan benar. Meskipun ini benar, tetapi pengembang biasanya memperbaiki masalah keamanan Magento sebelum di rilis ke versi terbaru. Oleh karena itu, sangat penting untuk tetap mendapat informasi tentang versi Magento terbaru. Setelah rilis, uji dan implementasikan.

Gunakan Two-Factor Authentication (2FA)

Sekarang ini, sayangnya kata sandi Magento yang aman tidak cukup untuk mencegah serangan. Cara terbaik adalah Anda menggunakan otentikasi dua faktor (Two-Factor Authentication) untuk keamanan situs Magento Anda.

Platform Magento 2 menawarkan ekstensi Two-Factor Authentication (2FA) yang sangat baik. Ini hanya memungkinkan perangkat terpercaya untuk mengakses backend Magento 2 dengan menggunakan empat jenis autentikator.

Ekstensi Two-Factor Authentication (2FA) Magento bawaan memberi Anda peluang untuk meningkatkan keamanan admin Magento dengan menggunakan kata sandi dan kode keamanan dari ponsel Anda. Ingatlah bahwa Anda hanya membagikan kode dengan pengguna yang berwenang untuk mengakses panel admin Magento. Juga, ada beberapa ekstensi Magento lain yang memberikan Two-Factor Authentication (2FA) sehingga Anda tidak perlu khawatir tentang kata sandi – terkait risiko keamanan Magento lagi.

Tetapkan Path Kustom Untuk Panel Admin

Anda mengakses panel admin Magento Anda dengan mengunjungi my-site.com/admin. Namun, sangat mudah bagi peretas untuk masuk ke halaman login admin Anda dan memulai serangan brute force.

Anda dapat mencegah hal ini dengan mengubah / admin dengan istilah lain (mis. “Pintu Toko”). Ini juga mencegah peretas untuk masuk ke halaman login admin Anda walaupun entah bagaimana mereka mendapatkan kata sandi Anda. Anda dapat mengubah jalur admin Magento Anda dengan mengedit file local.xml di Magento 1 dan file env.php di Magento 2.

Gunakan Koneksi Terenkripsi (SSL / HTTPS)

Setiap kali Anda mengirim data, seperti detail login Anda, di koneksi yang tidak terenkripsi, ada risiko data itu dicegat. Intersepsi ini dapat memberi penyerang mengintip kredensial Anda. Untuk menghilangkan masalah ini, Anda harus menggunakan koneksi yang aman.

Di Magento, Anda bisa mendapatkan HTTPS / SSL URL aman hanya dengan mencentang tab “Use Secure URLs” di menu konfigurasi sistem. Ini juga merupakan salah satu elemen penting dalam membuat situs web Magento Anda sesuai dengan standar keamanan data PCI dan dalam mengamankan transaksi online Anda.

Untuk memperoleh sertifikasi SSL, coba mulai lakukan Enkripsi. Ini juga akan membantu Anda menjadi PCI.

Gunakan Secure FTP

Salah satu metode yang paling umum digunakan untuk meretas situs adalah dengan menebak atau mencegat kata sandi FTP. Untuk mencegah hal ini terjadi pada Anda, sangat penting bagi Anda untuk menggunakan kata sandi aman dan menggunakan SFTP (Secured File Transfer Protocol) yang menggunakan file kunci pribadi untuk dekripsi atau otentikasi pengguna.

**Punya Backup Plan yang aktif**

Meskipun bagus jika Anda mengambil langkah-langkah pencegahan ketat untuk keamanan Magento, sama pentingnya untuk memiliki backup plan yang berfungsi. Miliki backup plan setiap jam luar kantor dan cadangan yang dapat diunduh. Jika karena alasan apa pun, situs web Anda diretas atau bahkan jika mogok, backup plan akan memastikan bahwa Anda tidak mendapatkan gangguan dalam layanan.

Anda dapat mencegah kehilangan data dengan menyimpan file cadangan situs web di luar situs atau penyedia cadangan online. Pencadangan data meminimalisasi hilangnya data (dan terkadang, tidak ada).

Bijaksanalah untuk memeriksa penyedia hosting Anda apakah memiliki backup plan atau tidak.

Nonaktifkan Directory Indexing

Nonaktifkan directory indexing adalah cara lain untuk meningkatkan keamanan toko Magento Anda. Setelah Anda menonaktifkan opsi pengindeksan direktori (directory indexing), Anda dapat menyembunyikan berbagai path di mana file domain Anda disimpan.

Ini mencegah penjahat cyber mengakses file inti situs web Magento Anda. Namun, mereka masih dapat mengakses data Anda jika mereka sudah tahu apa path lengkap file Anda.

Gunakan kata sandi yang bijak

Kata sandi adalah kunci untuk toko Magento Anda. Itu sebabnya Anda perlu memberi perhatian khusus saat memutuskan membuat kata sandi. Gunakan kata sandi yang memiliki campuran huruf besar dan kecil, angka, dan karakter khusus seperti ?, >, dll. (Gunakan management service jika Anda memiliki masalah sulit mengingat.)

Selain itu, jangan pernah menggunakan kata sandi Magento Anda untuk masuk ke situs web lain mana pun sehingga mempersulit peretas untuk menemukan kata sandi Anda.

Hilangkan E-mail Loopholes

Magento memberi para penggunanya fasilitas pemulihan kata sandi yang luar biasa melalui alamat email yang telah dikonfigurasi sebelumnya. Tetapi jika ID email itu diretas, seluruh toko Magento Anda menjadi rentan. Anda perlu memastikan bahwa alamat email yang Anda gunakan untuk Magento tidak diketahui publik dan dilindungi dengan otentikasi dua faktor.

Investasikan Paket Hosting yang Baik

Kami percaya bahwa shared hosting adalah solusi hosting murah untuk bisnis ecommerce apa pun. Biasanya, untuk startup Magento, shared hosting sepertinya merupakan pilihan yang baik. Namun, berinvestasi dalam shared hosting berarti Anda berkompromi pada keamanan toko Magento.

Hosting khusus juga bisa menjadi pilihan, tetapi mungkin terbukti tidak cukup untuk kebutuhan Anda karena Anda akan dibatasi untuk satu server. Ini membatasi sumber daya Anda, dan jika tiba-tiba ada lonjakan traffic, situs web akan macet.

Sebaliknya, Managed Magento Hosting Platforms bisa menjadi pilihan terbaik Anda — yang menjamin keamanan yang kuat dengan patches.

Ingat, paket hosting apapun, menjanjikan fitur yang tidak dapat mereka berikan (setidaknya, bukan dengan harga murah). Jauhi rencana semacam itu, karena mereka tidak memiliki petunjuk tentang masalah keamanan Magento.

Cegah Injeksi MySQL

Meskipun Magento memberikan dukungan luar biasa untuk mengatasi serangan injeksi MySQL dengan versi dan patches yang lebih baru, namun tidak selalu bisa diandalkan. Kami menyarankan Anda menambahkan firewall aplikasi web seperti NAXSI untuk menjaga situs Anda dan pelanggan Anda tetap aman.

Selesaikan ulasan keamanan Magento

Pengembang Magento belum tentu ahli keamanan. Ya, banyak dari mereka yang pandai dalam pengkodean, tetapi hanya sedikit yang tahu seluk-beluk keamanan situs Magento. Itu sebabnya sekali (atau mungkin, dua kali) setahun, Anda harus menganalisis situs web Anda untuk mencari celah dan kelemahan keamanan. Jika dilakukan dengan benar, ulasan ini membantu lebih dalam memperkuat keamanan Magento Anda.

Hubungi Komunitas Magento

Magento memiliki komunitas teknisi yang berkembang yang selalu ada untuk membantu Anda saat dibutuhkan. Anda dapat mencari dan memposting pertanyaan tentang masalah keamanan Magento atau fitur-fiturnya. Anggota Komunitas Magento juga merilis laporan keamanan di berbagai versi Magento, jadi perhatikan juga.

Tambahkan Kunci Keamanan ke Panel Admin Magento

Di platform e-commerce Magento 2, Anda dapat dengan mudah menambahkan kunci rahasia ke URL. Kuncinya hanya akan memungkinkan mereka yang memiliki akses ke panel admin sambil menjaga eavesdropper / hacker.

Selain itu, Anda dapat meningkatkan keamanan Magento 2 lebih jauh dengan menambahkan sesi tidak aktif sebagai ukuran. Sesi akan berakhir dan mengaktifkan kunci admin. Untuk informasi lebih lanjut, kunjungi tutorial e-commerce Magento tentang keamanan panel admin.

Sumber: www.cloudways.com

Print page

29 Apr 2019 Magento Security Tips to Keep Your Ecommerce Store Safe & Secure

Posted at 29 Apr 2019 in Magento by Lola Pakpahan

Magento has now become a major force in the ecommerce industry because of its regular updates and features.

According to Datanyze Ecommerce Platforms Market Share Report, 12,708 Ecommerce websites in Alexa Top 1 Million are using Magento (out of 467 Technologies) that has a 14.31% share, a significant chunk of ecommerce pie. So if you are planning to launch an ecommerce store in 2019, you should definitely check out Magento.

The best thing about Magento is the out-of-the-box security of the platform. Unlike other platforms where security is an add-on (or worse, an afterthought!), for team Magento, security is built right into the core of the ecommerce platform.

Security is and has remained the primary concern for all ecommerce store owners because of a simple fact – the customer information amassed by even small ecommerce stores is often worth a lot to criminals.

Thus, regardless of their size and operational history, it clearly shows that if anyone is thinking about starting an ecommerce store in 2019, their first choice is Magento. However, most of these ecommerce merchants rarely known that Magento offers splendid security practices out-of-the-box.

It is evident that wherever there are shops, there are thieves. And, ecommerce has its fair share of crooks. These cybercriminals are always on the prowl to find a coding weakness in ecommerce stores so that they can wiggle-in.

Usually, these harmful elements invade websites to conduct suspicious activities like:

Spamming
Phishing
Stealing user data

Even though Magento gets patched on a regular basis, there are many Magento security best practices that website administrators can follow to bar others from ruining their efforts.

Magento Security Checklist: How to Secure Your Magento Store in 2019?

A secure ecommerce website is a trusted ecommerce website. Trust plays an important part when you have an online store. By following this checklist, you can prevent (and to some extent, fix) Magento security issues. Here are a few Magento security tips to keep your ecommerce store safe from hackers:

Use the latest Magento version
Use two-factor authentication
Set a custom path for the admin panel
Acquire an encrypted connection (SSL/HTTPS)
Use Secure FTP
Have an active backup plan
Disable directory indexing
Be wise with your Magento password
Eliminate e-mail loopholes
Invest in a sound hosting plan
Prevent MySQL injection
Get a Magento security review done
Get in touch with the Magento Community
Append a Security Key to Magento Admin Panel

Use The Latest Magento Version

Many times, you will be told that the most recent Magento version is not the best. This is because people think that the latest version of Magento is not properly secure. While this is true, but developers usually fix previous Magento security issues in the new releases. Hence, it is essential to stay informed about the latest Magento version. Once a stable release is out, test it and get it implemented.

Use Two-Factor Authentication (2FA)

In today’s world, a secure Magento password is sadly not enough. To discourage attacks, it is best that you use two-factor authentication for your Magento site security.

Magento 2 platform offers an excellent Two-Factor Authentication (2FA) extension which provides a layer of stealth. It only allows trusted devices to access Magento 2 backend by using four different types of authenticators.

The built-in Magento Two Factor Authentication extension gives you an opportunity to enhance your Magento admin security by using the password and a security code from your smartphone. Keep it in mind that you only share the code with authorized users to access the Magento admin panel.

Also, there are a few other Magento extensions that deliver Two-Factor Authentication (2FA) so that you don’t have to worry about password-related Magento security risks anymore.

Set a Custom Path For the Admin Panel

You access your Magento admin panel by going to my-site.com/admin. However, it is effortless for hackers to get to your admin log-in page and start a brute force attack.

You can prevent this by /admin with a customized term (e.g. “Store Door”). It also prevents hackers from getting to your admin login page even if they somehow get hold of your password. You can change your Magento admin path by editing the local.xml file in Magento 1 and env.php file in Magento 2.

Acquire an Encrypted Connection (SSL/HTTPS)

Whenever you send data, like your login details, across an unencrypted connection, there are risks of that data being intercepted. This interception can give assailants a peep into your credentials. To eliminate these issues, it is essential that you use a secure connection.

In Magento, you can get a secure HTTPS/SSL URL by merely checking the tab “Use Secure URLs” in the system configuration menu. It is also one of the critical elements in making your Magento website compliant with the PCI data security standard and in securing your online transactions.

To obtain an SSL certification, try Let’s Encrypt to get started. It will also help you in becoming PCI compliant.

Use Secure FTP

One of the most commonly used methods to hack a site is by guessing or intercepting FTP passwords. To prevent this from happening with you, it’s essential that you use secure passwords and use SFTP (Secured File Transfer Protocol) that uses a private key file for decryption or authenticating a user.

Have an Active Backup Plan

Although it is great that you take strict preventive measures for Magento security, it is equally essential to have a functioning backup plan. This includes having an hourly offsite backup plan and downloadable backups. If for any reason, your website gets hacked or even if it crashes, a backup plan will ensure that you don’t get any interruption in service.

You can prevent data loss by storing website backup file(s) on an off-site location or by arranging for backups through an online backup provider. Data backup results in minimal (and sometimes, no) data loss.

It is always wise to check with your hosting provider if it has a backup strategy.

Disable Directory Indexing

Disabling directory indexing is another way to improve your Magento store security. Once you have disabled the directory indexing option, you can hide various paths through which the files of your domain are stored.

It prevents cyber crooks from accessing your Magento-powered website’s core files. However, they can still access your data if they already know what the full path of your files is.

Be Wise With Your Magento Password

A password is a key to your Magento store. That’s why you need to pay particular care while deciding a password. While creating a password, use one that has a mix of upper and lower case alphabets, numbers, and special characters like ?, >, etc. (Use a password management service if you have a problem of remembering a difficult one.)

Furthermore, never use your Magento passwords for logging into any other website. It is better to keep it Magento password separate from the rest of the applications so to make it difficult for hackers to find your password.

Eliminate E-mail Loopholes

Magento provides its users with a great password recovering facility through the pre-configured email address. But if that email ID gets hacked, your whole Magento store becomes vulnerable. You need to make sure that the email address you use for Magento is not publicly known and it is protected with two-factor authentication.

Invest in a Sound Hosting Plan

We believe that shared hosting is a cheap hosting solution for any ecommerce business. Typically, for Magento startups, shared hosting seems like a good option. However, investing in shared hosting means you are compromising on Magento store security.

Dedicated hosting can be an option too, but it may prove to be insufficient for your needs as you will be restricted to a single server. It limits your resources, and if there is a sudden spike in your traffic, the website will crash.

On the contrary, Managed Magento Hosting Platforms can be your best choice—one that guarantees robust security with frequent patches at the server-level.

Remember, the dime-a-dozen hosting plans, promise features that they can’t deliver (at least, not on low prices). Stay away from such plans, as they do not have a clue about Magento security issues.

Prevent MySQL Injection

Although Magento provides excellent support to outmaneuver any MySQL injection attack with its newer versions and patches, it is not always an ideal approach to rely only on them. We suggest that you add web application firewalls such as NAXSI to keep your site and your customers safe.

Get a Magento Security Review Done

Magento developers are not necessarily security experts. Yes, many of them are good at coding, but only a few know the intricacies of Magento site security. That’s why once (or perhaps, twice) a year, you should get your website analyzed for apparent loopholes and security shortcomings. If correctly done, these reviews help in further hardening your Magento security.

Get in Touch With The Magento Community

Magento has a thriving community of techies who are always there to assist you in the time of need. You can search and post queries regarding any security issues of Magento or its features. The Magento Community members also release security reports on various versions of Magento, so look out for those as well.

Append a Security Key to Magento Admin Panel

In Magento 2 ecommerce platform, you can easily append a secret key to URLs. The key will allow only those who have access to the admin panel while keeping eavesdroppers/hackers at bay.

Moreover, you can enhance Magento 2 security even further by adding keyboard inactivity time as a measure. This will expire the session and enable admin lock. For more information visit the Magento ecommerce tutorial on admin panel security.

Source: www.cloudways.com