Danh sách cú đấm an ninh Magento

Rất thường xuyên chúng tôi lấy một trang web từ một công ty khác và bây giờ chúng tôi bị mắc kẹt với một tập hợp mã và có khả năng hàng chục người đã làm việc trên một trang web. Tôi đang tìm kiếm một danh sách các mặt hàng để yêu cầu một nhân viên an ninh để đảm bảo trang web Magento được cứng. Điều này sẽ được yêu cầu nếu ai đó phải chịu trách nhiệm hoàn toàn cho tất cả các mã và khách hàng không muốn xây dựng lại từ đầu.

Câu hỏi của tôi: Có một danh sách 10 hoặc 20 danh sách hàng đầu để hỏi và làm tài liệu không?

Từ kinh nghiệm của tôi, đây là những điều quan trọng để có được thông tin khi tiếp quản một cửa hàng mới từ quan điểm bảo mật. Danh sách này chưa được đặt hàng & hoàn thành, tôi sẽ tiếp tục làm việc trong danh sách.

Bảo mật Magento

1. HTTPS được sử dụng (trên tất cả các cửa hàng, chỉ để thanh toán)?
2. Đường dẫn quản trị viên tùy chỉnh?
3. Truy cập vào đường dẫn quản trị bị hạn chế?
4. Có bao nhiêu Quản trị viên? Bất kỳ người dùng không cần thiết hoạt động?
5. Bảo vệ tài khoản & mã hóa mật khẩu (cho khách hàng và quản trị viên): Tiêu chuẩn hay tùy chỉnh? Xác thực 2 yếu tố?
6. (Mới nhất) Phiên bản Magento được sử dụng?
7. Magento Security Patch được áp dụng?
8. Các thư mục / tập lệnh gốc tùy chỉnh cần thiết được truy cập từ xa?
9. Truy cập vào hệ thống kiểm tra / dàn (nếu có) bị hạn chế?
10. Dịch vụ web, chức năng nhập / xuất được sử dụng?
11. Có bao nhiêu vai trò Webservice? Bất kỳ vai trò không cần thiết hoạt động?
12. Danh sách các phần mở rộng được cài đặt
13. Cài đặt tiện ích mở rộng cập nhật?
14. PCI-DSS, cửa hàng đáng tin cậy, nhãn nào khác?
15. Phiên / Cookie nâng thời gian?
16. Chỉ chạy Magento. (Không có Wordpress hoặc bất kỳ phần mềm bên thứ ba nào khác)
17. Dữ liệu được lưu trữ: Loại dữ liệu khách hàng và đơn hàng nào (cũng như dữ liệu từ bên thứ 3 và tiện ích mở rộng tùy chỉnh), được lưu trữ? Dữ liệu ngân hàng, dữ liệu thẻ tín dụng (xem PCI-DSS)?

Bảo mật hệ thống

1. Phiên bản PHP: phiên bản gần đây hay phiên bản cũ?
2. Quyền truy cập tệp: Chạy dưới dạng người dùng www-data / apache hoặc root?
3. Quyền tập tin được thiết lập?
4. Mua thông tin cơ sở dữ liệu cụ thể so với cơ sở dữ liệu chạy bằng root?
5. Truy cập SSH / SFTP? Xác thực dựa trên khóa?
6. SLA với nhà cung cấp dịch vụ lưu trữ về (cập nhật) hệ điều hành, PHP + và cập nhật bảo mật?

Cơ quan

1. Ai chịu trách nhiệm cập nhật hệ thống (bảo mật)?
2. Ai có quyền truy cập vào máy chủ trực tiếp?
3. Ai có quyền truy cập vào cửa hàng trực tiếp?
4. Mã được lưu trữ ở đâu? Ai có quyền truy cập vào repo trần và truy cập đẩy?
5. Quá trình phát triển phần mềm hiện tại trông như thế nào? Có đánh giá mã và kiểm tra tự động được thực hiện trước khi triển khai mã để dàn / kiểm tra / trực tiếp không?
6. Có bất kỳ kiểm tra bảo mật hoặc kiểm toán bảo mật được thực hiện (thường xuyên)?
7. Có một bản sao lưu thường xuyên? Nếu vậy, nó là bên ngoài?
8. Tùy thuộc vào quy mô cửa hàng / công ty: Có kế hoạch kinh doanh liên tục và / hoặc Phục hồi không?

Hãy chắc chắn rằng / downloader / thư mục của bạn được an toàn. Bạn có thể có mật khẩu dài nhất thế giới nhưng nếu tôi có toàn bộ thời gian trên thế giới để ép buộc thông tin người dùng của bạn trên trang tải xuống của bạn thì cuối cùng tôi sẽ có được nó. Một điều nữa là đảm bảo danh sách máy chủ của bạn không thể liệt kê. Nếu họ đang liệt kê, tôi có thể dễ dàng lấy nội dung máy chủ của bạn trên Google và bắt đầu duyệt đi. Bạn sẽ ngạc nhiên về số lượng thông tin nhạy cảm mà mọi người lưu trữ trên máy chủ web của họ.

Để mở rộng trong danh sách của Anna ROL, danh sách này vượt lên trên và vượt xa những gì điển hình

• Chính sách bảo mật nội dung (Khi được triển khai đúng cách, làm cho XSS không thể)
• HSTS (HTTP Strict Transport Security)
• SELinux với bối cảnh được thiết lập đúng.
• yum-cron / unattends-update được cài đặt để cập nhật bảo mật hệ thống tự động