Como evitar ataques de força bruta no Magento 1 e 2.

Algumas dicas que podem te ajudar a evitar ou parar ataques de força bruta no Magento 1 e 2.

O que é um ataque de força bruta?

Todo sistema de acesso restrito é acessível através do conjunto nome de usuário / senha e um ataque de força bruta significa tentar adivinhar o conjunto por meio de inumeras tentativa e erro.

Os ataques de força bruta estão se tornando muito comuns nos dias de hoje.

A maioria dos sites por padrão estão vulnerareis a tais tipos de ataques.

Se você utiliza a plataforma Magento 1, há por padrão, alguns diretórios localizados em /admin e /downloader que podem ser explorados e atacados de várias maneiras. Por serem caminhos padrões do Magento, os hackers podem facilmente encontrá-los e lançar um ataque de força bruta.

Em tal ataque, as senhas aleatórias são testadas automaticamente, até que uma seja bem sucedida.

Já falando especificamente sobre o Magento 2, temos importantes melhorias na questão de segurança, porém todos os sistemas estão sujeitos a ataques, mesmo os protegidos por avançados sistemas de captcha, como: O novo captcha da Google

Medidas que devem ser tomadas

* Caminho personalizado para acesso painel administrativo
* Senha forte e não utilize “admin” como usuário.
* Habilite Captcha
* Proteja o diretório /downloader.
* Proteja o diretório .git.
* Mantenha a sua loja atualizada.
* Habilite também o protocolo HTTPS para painel administrativo.

Caminho personalizado para o painel administrativo

Para alterar o caminho para o painel administrativo, siga as instruções de acordo com a versão do Magento utilizada.

Magento 1

Edite o arquivo /app/etc/local.xml (XML: admin -> routers -> adminhml -> args -> frontName).

Você verá o seguinte valor: <![CDATA[admin]]>, altere apenas o “admin” para o novo caminho desejado, ex: “gere060708”.

Agora atualize o cache do Magento: Sistema -> Gerenciamento de Cache -> Liberar Cache do Magento

Magento 2

Este passo não é necessário, pois o Magento 2 gera um caminho aleatório para backend durante a instalação.

Para configurar um Admin CAPTCHA:

Captcha é a melhor solução contra ataques de força bruta no Magento 1 e 2.

O que é um Captcha?

CAPTCHA é um acrônimo da expressão “Completely Automated Public Turing test to tell Computers and Humans Apart” (teste de Turing público completamente automatizado para diferenciação entre computadores e humanos): um teste de desafio cognitivo, utilizado como ferramenta anti-spam

Magento 2

* No painel de administração, clique em Lojas. Na seção de Configurações, clique em Configuração.
* Selecione Admin em Avançado no painel à esquerda
* Clique na seção “CAPTCHA”

Habilitar o Captcha no Admin: Sim

Selecione em Formulários ambas as opções, salve e atualize o Cache.

Magento 1

Acesse: Sistema > Configurações > Avançado > Admin

Habilitar o Captcha no Admin: Sim

Selecione em Formulários ambas as opções, salve e atualize o Cache.

Tutorial completo de como habilitar captcha Magento 1

Habilitar captcha no formulario de Contato no Magento

Não utilize a conta “admin”

Muitas lojas utilizam como principal usuário administrativo da loja, o usuário admin.

Este é um problema de segurança para a sua loja Magento.

Recomendamos que você altere o usuário da conta do administrador para um nome pessoal, seu apelido ou seu endereço de e-mail.

Criação de Senhas “Fortes”

Uma das formas mais simples e eficaz de evitar ataques de força bruta no Magento é com a utilização de senhas fortes nas contas dos usuários administrativos da loja.

Como criar uma senha “forte”?

O que uma senha forte DEVE ter:

* pelo menos 15 letras
* alternância entre letras maiúsculas e minusculas
* números aleatórios
* símbolos, exemplo “& ¨% $ #”

O que uma senha forte NÃO deve ter:

* conter o login/usuário que é utilizado junto com a senha
* seu nome, nome de um amigo, sobrenome, nome de alguém conhecido
* palavra comum do dicionário
* senhas utilizadas em outros sites/sistemas/redes sociais
* data de nascimento
* padrão de digitação, exemplo: qwertyui ou 123456789

Quanto mais forte for a senha, menores serão as chances dela ser acertada por um ataque de força bruta.

Utilize esta ferramenta para gerar senhas fortes e seguras: Gerador de senhas seguras

Proteja o diretório /downloader

Magento 1

Edite o arquivo: downloader/.htaccess

Adicione no final do arquivo a seguinte instrução:

order deny,allow
deny from all
allow from x.x.x.x

Altere o valor de x.x.x.x para o seu IP.

Mantenha a plataforma atualizada
Constantemente o Magento está sendo atualizado.

Muitas dessas atualizações trazem melhorias na parte de segurança e correções de falhas que foram encontradas

Mantenha a sua loja atualiza acompanhando os lançamentos de “patchs” neste link: https://magento.com/tech-resources/download

Conclusão ataques de força bruta no Magento

Vários fatores influenciam no sucesso de um ataque desse tipo.

A sua loja pode estar sofrendo uma ataque, porém a probabilidade dele ser bem sucedido, por exemplo, devido a complexidade da senha torna o ataque inútil, por isso não se desespere.

É muito Importante que você sempre mantenha a sua plataforma atualizada e esteja analisando periodicamente os logs de acesso do seu servidor.

Conheça mais sobre ataques de força bruta acessando: Ataque de Força Bruta, proteja seu Site, Loja ou Blog!

2017-09-08T14:38:49+00:00

RECEBA DICAS VALIOSAS NO SEU EMAIL

x
close

MAESTRO

Renomada metodologia de desenvolvimento de loja virtual Magento