Lista de punzones de seguridad de Magento

27

Es muy frecuente que tomemos un sitio de otra empresa y ahora estamos atrapados con un conglomerado de código y potencialmente docenas de personas que han trabajado en un sitio. Estoy buscando una lista de artículos para pedirle a una persona de seguridad para asegurarse de que el sitio de Magento esté reforzado. Esto sería necesario si alguien asumiera la responsabilidad total de todo el código y el cliente no quisiera reconstruir desde cero.

Mi pregunta: ¿Hay una lista de los 10 o 20 mejores artículos para preguntar y documentar?

brentwpeterson
fuente

Respuestas:

39

Desde mi experiencia, estas son cosas importantes para obtener información sobre cuando se hace cargo de una nueva tienda desde el punto de vista de la seguridad. Esta lista no está ordenada y completa todavía, continuaré trabajando en la lista.

Seguridad de Magento

  1. ¿HTTPS utilizado (en toda la tienda, solo para pagar)?
  2. Ruta de administrador personalizada?
  3. ¿Acceso restringido a la ruta del administrador?
  4. ¿Cuántos administradores? ¿Algún usuario innecesario activo?
  5. Protección de la cuenta y cifrado de contraseña (para clientes y administradores): ¿estándar o personalización? ¿Autenticación de 2 factores?
  6. (Última) ¿Versión de Magento utilizada?
  7. ¿Se aplicaron los parches de seguridad de Magento?
  8. ¿Carpetas / scripts de nivel raíz personalizados a los que es necesario acceder desde el control remoto?
  9. ¿Se restringe el acceso al sistema de prueba / preparación (si está disponible)?
  10. Servicios web, funcionalidad de importación / exportación utilizada?
  11. ¿Cuántos roles de servicio web? ¿Algún rol innecesario activo?
  12. Lista de extensiones instaladas
  13. Extensiones instaladas actualizadas?
  14. PCI-DSS, tiendas de confianza, ¿alguna otra etiqueta?
  15. ¿Duración de la sesión / cookie?
  16. Solo ejecuta Magento. (Sin Wordpress ni ningún otro software de terceros)
  17. Datos almacenados: ¿Qué tipo de datos de clientes y pedidos (así como datos de terceros y extensiones personalizadas) se almacenan? ¿Datos bancarios, datos de tarjeta de crédito (ver PCI-DSS)?

Sistema de seguridad

  1. Versión PHP: ¿versión reciente o antigua?
  2. Permisos de archivo: ¿se ejecuta como usuario www-data / apache o root?
  3. Permisos de archivo adecuados establecidos?
  4. ¿Comprar credenciales de bases de datos específicas frente a la ejecución de bases de datos como root?
  5. ¿Acceso SSH / SFTP? Autenticación basada en clave?
  6. ¿SLA con un proveedor de hosting sobre SO (regular), actualizaciones de módulos PHP + y actualizaciones de seguridad?

Organización

  1. ¿Quién es responsable de las actualizaciones del sistema (seguridad)?
  2. ¿Quién tiene acceso al servidor en vivo?
  3. ¿Quién tiene acceso a la tienda en vivo?
  4. ¿Dónde está alojado el código? ¿Quién tiene acceso al repositorio desnudo y al acceso push?
  5. ¿Cómo es el proceso de desarrollo de software actual? ¿Se realizan revisiones de código y verificaciones automáticas antes de implementar el código en la preparación / prueba / en vivo?
  6. ¿Se realizan pruebas de seguridad o auditorías de seguridad (regularmente)?
  7. ¿Hay una copia de seguridad regular? Si es así, ¿es externo?
  8. Dependiendo del tamaño de la tienda / empresa: ¿Hay planes de continuidad y / o recuperación comercial?
Anna Völkl
fuente
1
Buena lista @Anna Volki :)
Amit Bera
44
Uno de mis errores son los módulos de terceros que declaran su propio nombre de administrador. ¡Hacen posible (si sabe que la tienda tiene la extensión) averiguar cuál es el nombre de pila supuestamente secreto!
Peter O'Callaghan
3

Asegúrese de que su / downloader / folder sea seguro. Puede tener la contraseña más larga del mundo, pero si tengo todo el tiempo del mundo para forzar su información de usuario en su página de descarga, eventualmente la obtendré. Otra cosa es asegurarse de que los directorios del servidor no puedan aparecer. Si están en la lista, puedo extraer fácilmente el contenido de su servidor en Google y comenzar a navegar. Le sorprendería la cantidad de información confidencial que las personas almacenan en sus servidores web.

notmyfirstrodeo
fuente
Recomendaría eliminar la carpeta del descargador ... ¿para qué la necesita?
brentwpeterson
1
No lo eliminaría, sino que redirigiría a los usuarios que acceden al descargador / * a la página de inicio mediante la regla htaccess.
Kalpesh
3

Para ampliar la lista de Anna Volk, esta lista va más allá de lo que es típico

  • Política de seguridad de contenido (cuando se implementa correctamente, hace que XSS sea imposible)
  • HSTS (Seguridad de transporte estricta de HTTP)
  • SELinux con contextos correctamente establecidos.
  • yum-cron / desatendido-actualizaciones instaladas para actualizaciones automáticas de seguridad del sistema
Ray Foss
fuente