我正在尝试决定是使用 Magento 还是创建自己的平台,我想知道安全性。 Magento 的代码是否包含某种蛮力保护?如果不是,这不重要吗?
【问题讨论】:
标签: security magento e-commerce brute-force magento-1.7
保护您的 Magento Store 免受暴力攻击。按照以下步骤操作。
Apache 服务器用户
要将管理面板的 IP 地址列入白名单,请在根 .htaccess 文件(
<IfModule mod_rewrite.c>内)中添加以下规则
RewriteCond %{REMOTE_ADDR} !^xx.xx.xx.xx
RewriteRule ^(index.php/)?admin/ - [L,R=403]
要将 RSS 提要的 IP 地址列入白名单,请在根 .htaccess 文件中添加以下规则(在
<IfModule mod_rewrite.c>):内)
RewriteCond %{REMOTE_ADDR} !^xx.xx.xx.xx
RewriteRule ^(index.php/?)?rss/ - [L,R=403]
要将下载器应用的 IP 地址列入白名单,请在 ./downloader/.htaccess 文件中添加以下规则:
order deny,allow
deny from all
allow from xx.xx.xx.xx
【讨论】:
所以我知道这是一个旧线程,但我发现它正在寻找有关如何保护 Magento 免受暴力攻击的答案。自 2012 年以来情况发生了变化,因此我想指出寻找有关 Magento 安全信息的人们(希望)是正确的方向。
似乎 Magento 终于决定不再忽视 Magento 网站上越来越多的暴力攻击的问题,因此他们发布了一份关于如何保护 Magento 免受此类攻击的推荐步骤的官方列表:https://magento.com/security/best-practices/protect-your-magento-installation-password-guessing
托管公司也开始提供解决方案来阻止这些黑客攻击,从阻止 IP 并将其列入黑名单到安装过滤软件。
还有几个安全扩展,包括大量的两因素身份验证。在我看来,目前可用的最完整的安全扩展是 ExtensionsMall 的 MageFence。这是 Magento Connect 上的链接:magentocommerce[.]com/magento-connect/catalog/product/view/id/30596/。它具有许多有用的功能,例如扫描您的网站以查找恶意软件和漏洞,在多次失败的登录尝试后阻止 IP 地址,并且它与双重身份验证模块一起提供。您还可以查看 MageFence page on ExtensionsMall website 以了解所有安全性这个模块将帮助您修补漏洞。
【讨论】:
Magento 唯一的强力保护是在礼品卡的情况下。当在那里抛出异常时,Magento 会隐藏真正的异常消息(但将其放入日志中)并显示“错误的礼品卡代码”消息。
在登录表单方面,Magento 没有暴力保护。
如果这是您决定是使用 Magento 还是编写自己的平台时的一个重要因素,请记住,您可以编写自己的 Magento 模块来引入一些蛮力保护。这将比编写具有类似于 Magento 的功能的自己的平台花费更少的时间。
我在 Magento Connect 上进行了快速搜索,发现了一个扩展程序,除其他外,它提供蛮力保护。这是:http://www.magentocommerce.com/magento-connect/market-ready-germany.html。您可以使用Freegento website 下载它,并查看代码以获取有关如何制作类似内容的线索。
【讨论】: