Articolul de miercuri

Azi dimineață am primit un email cu subiectul “Nu am primit articolul de miercuri”. Am zâmbit și m-am bucurat că există cineva care așteaptă articolele mele din fiecare miercuri. Dacă nu primeam acest email, aș fi spus pas unei postări pe blog fiind destul de aglomerată cu proiectele la care lucrez.

Tot în email, mi s-a cerut să mai scriu ceva despre Magento, despre erori sau ceva ce am mai găsit dezvoltând site-uri, pentru că n-am mai scris de mult pe acest subiect. Proiectele pe Magento la care lucrez acum sunt foarte drăgălașe și nu am mai găsit erori sau bug-uri despre care să vă vorbesc, în schimb, am să vă împărtășesc ce am învățat eu săptămâna aceasta.

Am o colaborare foarte faină cu un client din America și suntem o echipă de 5 oameni care lucrează cu drag și spor la un magazin online dezvoltat pe Magento. Până acum o săptămână eram doar 4, dar de luni ni s-a alăturat un coleg care are ca scop hackuirea site-ului 🙂

El e master pe Magento Security, iar Mark, clientul meu, l-a ales special pentru a testa toate vulnerabilitățile site-ului și pentru a se ocupa de setările de securitate.

Poate vă întrebați de ce? Că la noi programatorul săracul le face pe toate…inclusiv instalări de Windows :))

bianca ionel magento

Ei bine, cei din America și nu numai, preferă să investească în site-urile lor și să ofere fiecăruia șansa de a face ce știe cel mai bine, motiv pentru care eu fac partea de backend, Dean se ocupă de frontend, Lara de design, Rodd de testare și Bob de partea de securitate.

Cred că e cea mai frumoasă colaborare de până acum, pentru că fiecare oferă câte ceva din ceea ce știe și în momentul în care Rodd semnalează un bug, toți suntem acolo pentru a găsi cea mai bună rezolvare. Bob a avut grijă să ne dezvăluie din secretele lui și evident, mi-am luat notițe și am decis să vă scriu și vouă câteva, așa pe fugă.

Să ne amintim și de cele 4 de la CodeCamp :

  1. Url default pentru admin schimbat
  2. Acces admin restricționat prin IP
  3. Update-uri la zi
  4. SSL
Citește și >>  Oja SnowFlake The One - Oriflame

 

Și continuăm cu:

  1. Restricții pe folderul app/etc folosind un fișier .httacess cu următorul cod:

Order deny,allow
Deny from all

  1. Local.xml – un fișier în care se află tot ce are nevoie un hacker pentru a sparge site-ul are nevoie ca permisiunile sale să fie setate 600;
  2. Magento Firewall – e un must, și printre preferați este NAXSI;
  3. Server dedicat, VPS sau cloud – pentru că folosirea unui server comun pune în pericol orice site de pe acel server în momentul în care este hackuit;
  4. Dezactivare comenzi PHP precum proc_open, phpinfo, show_source, system, shell_exec, passthru, exec, popen, etc.
  5. Adresa de email și parola folosite pentru admin, trebuie să fie folosite doar în acest scop. Am lăsat la urmă acest element, pentru că am fost și eu destul de surprinsă de această restricție. Se pleacă de la principiul că orice adresă de email publică este vulnerabilă, existând posibilitatea ca ea să fie accesată de oricine dintr-o neatenție de a noastră, sau intenționat de cei care se ocupă cu acest lucru. Dacă folosim o adresă deja publică pentru adminul unui site, se poate trimite rapid un link de resetare a parolei pe acea adresă și după resetarea parolei site-ul nostru intră pe mâinile hackerilor. După ce schimbăm adresa de email, cu una pe care să o știm numai noi, urmează și alegerea unei parole pe măsură, respectând următoarele:
  • Să aibă minim 10 caractere,
  • Să conțină cel puțin 2 caractere speciale,
  • Să conțină cel puțin 2 cifre,
  • Să conțină cel puțin 2 litere,
  • Să conțină atât majuscule cât și minuscule,
  • Să nu conțină date personale,
  • Să nu fie nici un cuvânt care se găsește în dicționar,
  • Să nu fie folosită la nici un alt cont.

Cam atât pentru moment, promit să revin cu un articol sau chiar mai multe, mult mai detaliate, în măsura în care timpul îmi va permite acest lucru. Oricât de ciudat va suna, vă recomand practicile celor din afară, pentru că sunt bune, vă recomand să vă testați site-ul pe partea de securite cel puțin de 2 ori pe ani și vă recomand să apelați la cineva care face acest lucru zilnic.

Nu încărcați inutil programatorii cu sarcini care nu țin de ei, e ca și cum ai pune un cofetar să îți facă ciorbă. Cu siguranță știe să facă și ciorbă, dar nu va ști mai bine decât cineva care face asta zilnic.

Citește și >>  Jetpack site_inaccessible

Acesta este Articolul de miercuri, mulțumesc celui care mi-a trimis email, nu îi voi face numele public, dar apreciez mult interesul pentru acest blog. Sper că această postare să îți liniștească un pic setea de cunoaștere.

  1. Magento Security (I) - Bianca Ionel - Professional Blog

    iunie 1, 2016 at 12:01 pm

    […] Prima recomandare va fi una care ar trebui să devină o activitate zilnică și se referă la verificarea userilor și rolurilor acestora. Acest lucru se poate face din admin, System->Permissions->Users. În ultima perioadă s-au descoperit foarte multe atacuri prin crearea de useri noi cu roluri de admin, motiv pentru care verificarea zilnică a acestora este foarte improtantă. În cazul în care sesizați apariția unui nou user, nu vă sfiți să îl ștergeți și la fel puteți proceda și cu userii care nu mai au contact cu site-ul, foști angajați sau colaboratori. Lăsați în admin doar ce e necesar și bineînțeles nu uitați să schimbați parolele cel puțin o dată pe lună. Despre cum se alege o parolă, am scris în articolul anterior, aici. […]

Leave a Reply

%d blogeri au apreciat:
Mai multe despre bianca ionel blog, IT, Magento
tu ce ai in header bianca ionel blog
Tu ce ai în header?

În postarea anterioară am vorbit despre footer, iar astăzi am decis să vorbesc despre header, mai exact despre ce ai...

Închide