Önde gelen e-ticaret platformlarından biri olan Magento, her biri büyük miktarda hassas müşteri ve işlem verisi tutan birçok çevrimiçi işletmeye ev sahipliği yapıyor.
Ancak tüm yazılımlar gibi Magento da potansiyel güvenlik tehditlerine karşı hassastır. Magento mağazanızı nasıl güçlendireceğinizi anlamak, verilerinizin güvenliğini ve müşterilerinizin güvenini ve güvenini sağlamak için çok önemlidir. Magento’daki en yaygın güvenlik açıkları arasında şunlar yer almaktadır:
SQL Enjeksiyonları | Saldırganlar giriş alanlarına kötü amaçlı SQL kodları yerleştirerek potansiyel olarak veritabanı içeriklerine erişebilir veya bunları değiştirebilir. |
Siteler Arası Komut Dosyası Çalıştırma (XSS) | Kötü niyetli komut dosyaları sitelere yerleştirilerek şüphelenmeyen kullanıcıların tarayıcılarını etkiler. Denetlenmeyen girdilerden yararlanıyor. |
Siteler Arası İstek Sahteciliği (CSRF) | Bu saldırılar, kimliği doğrulanmış oturumlara bağlanarak yetkisiz eylemleri gerçekleştirebilir ve bu oturumlara, kullanıcının oturumunda kaosa neden olacak bir serbest geçiş hakkı verir. |
Uzaktan Kod Yürütme | Saldırganlar, sunucunuzda uzaktan kötü amaçlı kod çalıştırarak dizeleri uzaktan çeker ve potansiyel olarak kontrolü ele geçirir. |
Dosya Eklemeleri | Kötü amaçlı dosyalar, uygun giriş kontrolleri yapılmadan sistemin güvenliğinin tehlikeye atılmasına neden olabilir. Bu, kapılarınızı açık bırakmaya benzer. |
Bu makale, Magento mağazanızın güvenliğini artırmak ve çevrimiçi işletmenizi yaklaşan tehditlerden korumak için sekiz temel adımda size yol gösterecektir.
Dikkate Alınacak İstatistikler
Güvenlik çok önemli bir görev gibi görünmeyebilir. Ancak gerekli önlemlerin ihmal edilmesi büyük bir hatadır. İşte bunu kanıtlayan bazı istatistikler.
- Hackread’e göre 2020 yılında ödeme skimmer saldırısı sırasında 500’den fazla Magento sitesi saldırıya uğradı.
- 2022 yılında Adobe ve Magento mağazaları, posta şablonundaki bir güvenlik açığı nedeniyle siber saldırıların hedefi haline geldi.
- UK Web Host Review’a göre Magento mağazalarının %62’si en az bir güvenlik sorunuyla karşı karşıya kaldı.
- Hacker News, bilgisayar korsanlarının varsayılan yapılandırma dosyasına 54 satırlık tehlikeli kod eklediğini bildirdi.
Magento Güvenlik Kontrol Listesi – 8 Önemli Husus
En Son Sürüme Güncelleme
Güçlü Bir Şifre Sağlayın
Magento Yönetici Giriş Girişimlerini Sınırlayın
İki Faktörlü Kimlik Doğrulamayı açın
Benzersiz bir URL oluşturun
Düzenli Yedekleme
Güvenlik Duvarı Kullan
HTTPS/SSL
Artık potansiyel tehditleri bildiğinize ve belirli güvenlik önlemlerini almanın önemini anladığınıza göre, Magento mağazanızın güvende olmasını sağlamak için en hayati adımlardan bazılarına yakından bakalım.
En Son Sürüme Güncelleme
Yeni özelliklerin yanı sıra hata onarımı ve zayıf alanları ortadan kaldırmak için Magento’yu daima en son sürüme yükseltin. Güncellemeler sıklıkla yeni ve daha iyi özellikler getirerek müşterilerinizin her zaman sorunsuz bir alışveriş deneyimi yaşamasını ve mağaza reyonlarınızın açık ve davetkar olmasını sağlar. İyileştirilmiş veritabanı optimizasyonu, daha hızlı sayfa yükleme ve daha sorunsuz gezinme gibi performans iyileştirmeleri sıklıkla her yeni yinelemeye eşlik eder. Magento1’den Magento2’ye geçiş yapmanız gerekiyorsa profesyonel Magento bakım hizmetlerine başvurmanız gerekebilir.
Güçlü Bir Şifre Sağlayın
Hey, eğer bir Magento mağazası işletiyorsanız işte size altın bir külçe: Yönetici şifreniz bir evin temeli gibidir; son derece önemlidir. Sağlam olmasını isterdin, değil mi? Öyleyse büyüyün! Ondan fazla karakter, büyük ve küçük harflerin bir karışımını düşünün ve iyi bir önlem olarak @$#%* gibi bazı joker karakterler ekleyin. Neden? Çünkü en yeni yazılımların bile böyle bir şifreyi kırması yıllar alır.
Şimdi gerçekçi olalım. Muhtemelen her türlü cihazdan giriş yapmışsınızdır. Hatta belki şifrenizi bir veya iki kez ekip üyelerinden biriyle paylaşmış olabilirsiniz. Ve hepimiz şifreleri yeniden kullanma veya şifreleri basit tutma eğilimindeyiz. Ancak olay şu: Web sitenizin güvenliği için, bazı şeyleri değiştirin ve şifrenizi sık sık değiştirin.
Magento Yönetici Giriş Girişimlerini Sınırlayın
Giriş denemelerinin miktarını sınırlamak, yönetici panelinizi davetsiz misafirlere karşı koruyacaktır. Bunun dışında şifre sıfırlama isteklerinin maksimum sayısını sınırlayarak daha da ileri gidebilirsiniz. Bu, web sitenize yetkisiz giriş denemelerini önleyecektir. Mağazalar > Ayarlar’a gidin, Yapılandırma’yı seçin, Gelişmiş > Yönetici’ye tıklayın ve ardından Güvenlik seçeneğini genişletmek için tıklayın. Daha sonra ilgili parametreleri ayarlayın.
Resmi Mageplaza web sitesinde alınan ekran görüntüsü
İki Faktörlü Kimlik Doğrulamayı açın
Şifreler söz konusu olduğunda, iki adım bir adımdan daha iyidir! Birisi gizlice girip şifrenizi tahmin etse veya ele geçirse bile, 2FA (“iki faktörlü kimlik doğrulamadır”) bir süper kahraman gibi devreye girer. Nasıl? Şifrenizi girdikten sonra telefonunuza bir kod gönderir. Doğru kod yok, giriş yok; bu gizli bir el sıkışma gibidir.
2FA sadece metinlerden ibaret değil. Bunu yapmanın birçok yolu vardır: yazılım belirteçleri, donanım belirteçleri, anlık bildirimler, telefon çağrıları ve e-postalar. Yani temel olarak web siteniz için ekstra bir zırh katmanına sahip olmak gibidir.
Benzersiz bir URL oluşturun
Bu strateji, kaba kuvvet ve bot saldırılarına karşı ekstra bir savunma olarak yararlı olabilir. Yeni URL adresinin tahmin edilecek kadar zorlayıcı olduğundan emin olun. Ayrıca, bunu yaptıktan sonra bir önbelleği kaldırmak isteyebilirsiniz.
Magento’nun varsayılan yönetici URL’si, tahmin edilmesi kolay ve kaba kuvvet saldırılarına açık olan /admin’dir. Çeşitli bilgisayar korsanlığı araçları, güvenlik zayıflıklarını tespit etmek için popüler arka uç URL’lerini kontrol eder. İşleri değiştirerek mağazanızı onların radarından çıkarmış olursunuz. URL’yi değiştirmek için yönetici panelinde Mağazalar > Yapılandırma > Gelişmiş > Yönetici > Yönetici Tabanı URL’sine gidin.
Düzenli Yedekleme
Yakın zamanda aldığınız site yedeklemesiyle, siber saldırı durumunda paniğe kapılmak yerine “geri al” tuşuna basabilirsiniz. Düzenli yedeklemeler sizi şirketinize son derece zarar verebilecek birçok sorundan koruyabilir.
Yedek kopyaları sık sık kaydetmeli, bunları orijinal web sitesini barındıran sunucuda tutmaya çalışmaktan kaçınmalı ve düzgün çalıştıklarından emin olmak için ara sıra yedeklemenizi bir sanal alana geri yüklemelisiniz.
Web sitenizdeki verilerin bir kopyasını almak için bir FTP uygulamasını ve önceden depolanan veritabanını dışa aktarmak için phpMyAdmin’i kullanabilirsiniz. Bunu yaparak her zaman acil bir iyileşmeye hazırlıklı olursunuz.
Güvenlik Duvarı Kullan
Güvenlik duvarı, hem gelen hem de giden ağ verilerini izlemek ve filtrelemek için kullanılan bir ağ güvenlik aracıdır. Veri paketlerine izin verilip verilmeyeceğine veya reddedileceğine karar vermek için bir dizi güvenlik kuralı kullanır. Amacı, iç ağınız ile dış kaynaklardan gelen trafik arasında bir bariyer oluşturmak ve böylece bilgisayar korsanlarından ve virüslerden gelen istenmeyen trafiğin engellenmesini sağlamaktır.
Mağazanızın güvenliğini artırmak istiyorsanız iki harika güvenlik görevlisi seçeneğiniz var. İlk olarak WAF (Web Uygulaması Güvenlik Duvarı) var; SQLi, XSS, Brute-force saldırıları ve daha fazlası gibi web hilelerini deneyen sorun çıkaranları tespit etme konusunda uzmandır. Öte yandan, Sistem/Ağ Güvenlik Duvarı, yalnızca seçilmiş birkaç kişinin (bu durumda, yalnızca web sunucunuzun) kulübe girmesine izin veren saçma sapan bir adamdır.
HTTPS/SSL
Dijital dünyada gizli bir kulüp işlettiğinizi ve yalnızca doğru kişilerin içeri girmesini sağlamak için gizli bir el sıkışma yapmak istediğinizi hayal edin. İşte Magento mağazanız için SSL sertifikaları burada devreye giriyor. Bir güvenlik anahtarı aracılığıyla mağazanızın özellikleriyle bağlantı kuran gizli el sıkışmalar gibidirler.
Sunucunuz ile alışveriş yapan kişinin tarayıcısı arasında güvenli bir hat mı sağlamak istiyorsunuz? Sunucunuzun Magento HTTPS protokolünü ve asma kilit sembolünü kullanmanız gerekecektir. Muhtemelen “https://” ile başlayan web sitelerini fark etmişsinizdir. Karanlık bir ara sokakta buranın yasal olduğunu söyleyen bir neon tabela gibi. Ayrıca, SSL şifrelemeyle tüm gizli fısıltılar (şifreler, adresler, kredi kartı numaraları vb.) kulak misafiri olanların anlayamaması için özel bir kodlu dilde paylaşılır.
Magento Güvenlik Uzantılarına Dönün
Yukarıda bahsettiğimiz tekniklerin tamamı son derece önemlidir ve saldırı riskini önemli ölçüde azaltacaktır. Güvenlik uzantıları web sitenizi daha da güvenli hale getirir ve kontrol işlevini elinizden alır, böylece fazla uğraşmanıza gerek kalmaz. İşte en iyi Magento güvenlik uzantılarından bazıları:
Magento Google ReCAPTCHA
Magento CAPTCHA, insanlar için kolay ancak makineler için son derece zor olan, tamamen otomatikleştirilmiş, halka açık bir testtir. reCAPTCHA v2 ile kullanıcılar aşağıdaki tekniklerden birini seçip kullanarak kimliklerini doğrulayabilirler:
- Mücadeleye devam etmek için “Ben robot değilim” onay kutusunu seçin.
- Arka planda doğrulama yapan ReCAPTCHA görünmez rozeti. Kullanıcılar otomatik olarak incelenir ancak doğrulama süreci kullanıcıların belirli resimleri seçmesini gerektirebilir.
reCAPTCHA v3 ile doğrulama, bir puan sağlamak için Google’ın algoritması kullanılarak gerçekleştirilir.
reCAPTCHA v2’nin tasarım için açık/koyu temalar ve çeşitli boyutlar dahil ayarlamalar sağladığını unutmayın. Bunun dışında, Yönetici Oturum Açma sayfası ve diğer birçok müşteri odaklı site Google reCAPTCHA’yı içerebilir.
Zaten aktifse reCAPTCHA’nın normal Magento CAPTCHA’nın yerini almayacağını unutmayın. Her ikisi de Magento konfigürasyonunda barış içinde bir arada yaşayabilir.
Xtento’dan İki Faktörlü Kimlik Doğrulama
Bu uzantı, arka uç erişimi için iki faktörlü kimlik doğrulamayı kullanarak ek bir koruma düzeyi sunar. Güvenliğe daha esnek bir yaklaşım sunar ve her türlü cep telefonuyla uyumludur. Farklı kimlik doğrulama yöntemlerini etkinleştirir. Akıllı telefonunuz (ikinci faktör) güvenlik kodunu oluşturur. Her güvenlik kodu tek kullanımlıktır ve yalnızca 30 saniye geçerlidir. Akıllı telefonunuza erişiminiz olmadan bilgisayar korsanları oturum açamaz.
İzleme Günlüğü PRO
Sitenizdeki her eylemi izlemeye odaklanıyorsanız Watchlog PRO sizin tercihinizdir. Tüm arka uç oturum açma girişimlerini takip etmenizi sağlar, böylece şüpheli davranışları hızlı bir şekilde durdurabilirsiniz. Program, kullanıcıların günlük ve aylık oturum açma modellerini görsel olarak anlayabilmeleri için grafiksel gösterimler sunar. Etkin izleme için kapsamlı oturum açma verileri tablo formatında oturum açma etkinliğinin tam bir resmini sağlar.
Ek olarak, istatistiksel analiz ve geçmiş verilerin korunması için otomatik olarak planlanmış e-posta raporları alacaksınız; bu raporlar, önceki verilerinizin kaç gün saklanmasını istediğinizi belirtmenize olanak tanır.
Amasty’den Spam ve Bot Engelleyici
Bu, olası zayıf noktaları güçlendirmeye odaklanıyor. Amasty, iki faktörlü kimlik doğrulama ve kapsamlı etkinlik kaydı gibi özelliklerle hiçbir güvenlik önleminin gözden kaçırılmamasını sağlar.
Program, botların sahte kayıtlar oluşturmasını engellemenin yanı sıra, spam gönderenleri alan adı, e-posta kimliği, IP adresi ve ad uzunluğuna göre filtreler. Ayrıca bot listelerinin bakımına da olanak sağlar. IP, alan adı ve e-posta yasaklarına yönelik hata uyarıları sayesinde sahte kayıtların da önüne geçilir.
Büyülü Çit
MageFence, web sitenizi tipik güvenlik risklerinden koruyan özel ve kapsamlı bir Magento çözümüdür. Ek bir savunma katmanı görevi görerek kaba kuvvet ve diğer saldırı saldırılarını önler.
Web sitenizin korumasını güncel tutmak için çeşitli araçlar sunar, veritabanını düzenli olarak arar ve yetkisiz olarak kurulmuş, yönetici özelliklerine sahip kullanıcıları bulur. Ayrıca olası istenmeyen değişiklikler konusunda da sizi uyarır.
Kötü amaçlı yazılım istilalarını, güvenlik kusurlarını ve diğer sorunları belirlemek için Magento web sitenizin güvenlik değerlendirmesini yapar. Kontrol listesi aracı, yönetici haklarına sahip yasa dışı kullanıcıları keşfetmenize ve herhangi bir dosyanın değiştirilip değiştirilmediğini belirlemenize olanak tanır.
Son söz
Magento mağazanızın güvenliği ihlal edilmişse hızlı ve düzenli bir şekilde yanıt vermek çok önemlidir. Olası veri ihlallerini önlemek için öncelikle mağazayı çevrimdışına alın. Onarım yapmadan önce durumunuzu anlamalısınız. Günlükleri inceleyin, kötü amaçlı yazılım taraması yapın ve olayın nereden kaynaklandığını belirleyin.
Bir Magento veya siber güvenlik uzmanıyla iletişime geçmek çoğu zaman akıllı bir seçenektir. Fırtına boyunca size rehberlik edebilir ve ihlalin kesin türünü belirleyebilirler. Olayı kavrar kavramaz, zayıf yönleri giderin. Bu, herhangi bir üçüncü taraf uzantıdaki güvenlik kusurlarının düzeltilmesini, Magento yazılımınızın yükseltilmesini veya her ikisini birden gerektirebilir. Sık sık yedekleme yaptığınızı varsayarak mağazayı en son temiz yedeklemeye geri alın.
Güvenliği güçlendirmenin zamanı geldi. Güvenlik uzantılarını dağıtmayı, iki faktörlü kimlik doğrulamayı ve yukarıda listelenen diğer eylemleri gerçekleştirmeyi düşünün.