Viktige forhåndsregler for å beskytte din Magento nettbutikk

Som en av nordens aller største leverandører av Magento tar Trollweb sikkerhet på høyeste alvor, og sikrer og overvåker en lang rekke funksjoner for at din nettbutikk skal være trygg.

Trollweb blir som et vaktselskap for en fysisk butikk, der vi passer på og etter beste evne sikrer at din nettbutikk er trygg.

Selv om vi passer på en rekke sikkerhetsfaktorer så må den enkelte nettbutikken ta alle nødvendige forhåndsregler og sikre at “ingen dører står åpne”.

I denne artikkelen finner du de viktigste forhåndsreglene du som nettbutikk-eier må ta for å bidra til å sikre din Magento nettbutikk.

Hvorfor? Fordi nettbutikker er ekstra sårbare

En nettbutikk er veldig eksponert for potensielle sikkerhetstrusler, langt mer enn en vanlig nettside.

Årsakene til dette er mange men de viktigste årsakene er:

• En nettbutikk er mer fristende å angripe av økonomiske grunner, da man for eksempel potensielt kan misbruke betalingsløsningene og svindle sluttkundene i nettbutikken ved for eksempel å lure inn falske betalingsmetoder, som i sin tur sender kredittkortdetaljene til angriperne. Dette finnes det konkrete eksempel på også i Magento-baserte nettbutikker.
• En nettbutikk er normalt en vesentlig mer komplisert og omfattende nettløsning enn en vanlig nettside, som gir mulighet for flere sårbarheter. Nettbutikken kan ha titalls integrasjoner mot 3.parts systemer, og den kan ha mange innganger til systemet (kundekontoer med begrenset tilgang og butikkadmin-kontoer med varierende og i noen tilfeller full tilgang). Dette og mye mer gjør at det er større sjanse for at èn av de mange tusen funksjonene har et sikkerhetshull.

Forhåndsreglene du må ta

Så, hvilke forhåndsregler må du ta for å bidra til å sikre din Magento nettbutikk?

1. Sjekk løpende, minimum hvert kvartal, at alle Magento Admin brukerkontoene er reelle og nødvendige. Fjern alltid brukerkontoer til ansatte som har sluttet, eller til leverandører som har fått tilgang og som ikke behøver dette lengre. Lær mer om Magento brukerroller her
2. Pass på at brukerrollene ikke gir mer tilgang enn det som er nødvendig (de aller færreste har for eksempel behov for Full tilgang til alle funksjonene)
3. Sikre at alle bruker solide passord som er vanskelige å gjette, og bruk for all del ikke enkle passord som “passord”, “admin”, cecilie7" osv. Bruk et kraftig passord, som yY3NeD6ugjJ3 (ja, som er tilnærmet umulig å huske) og bruk så en såkalt Passord-manager som Lastpass for å hjelpe deg å “huske” passordet. Lastpass-pluginen for Chrome vil automatisk fylle inn passordet for deg hver gang du skal logge inn
4. Sjekk at det ikke ligger noen ukjente script under Systemoppsett — Innstillinger — Design — HTML Heading — Misc scripts, samt Footer — Misc scripts under samme Design-seksjon. Er du usikker på om et av scriptene som ligger der bør være der, ta kontakt med en Magento-spesialist. Årsaken til dette er at man har sett at uvedkommende som har fått tilgang til en rekke Magento nettbutikker rundt i verden har plassert en spesiell kode der, som i sin tur har klart å fange opp kredittkort-detaljene kundene taster inn i kassen og sendt disse ut av nettbutikken og til svindlerne.

Les nøye gjennom Magento’s Security Best Practice for å få flere gode tips.

Er du usikker på om din Magento nettbutikk er trygg, eller lurer på noe relatert til dette? Kontakt Trollweb på support@trollweb.no.