Proteja sua Loja Magento contra Ataques de Força Bruta

Proteja sua instalação Magento de Tentativas de Adivinhar a Senha

Recentemente se tornou de nosso conhecimento ataques de força bruta em instalações do Magento em todo o mundo.

Em alguns casos, estes ataques resultaram e acesso não autorizado ao painel de controle.

Nós recomendamos que você siga os passos a seguir para proteger sua loja contra esse tipo de ataque.

Note que em uma instalação de Magento 1 típica os locais /admin e /downloader precisam ser protegidos.

No caso do Magento 2, apenas o local do painel de controle deve ser protegido.

Antes de continuar e realizar qualquer mudança, por favor, siga os passos:

1 – Verifique todos os usuários administradores, System -> Permission -> Users.

Remova todos os usuários não utilizados, ou usuários que você não reconhece.

Esta ação deve ser realizada ao menos 1 vez por mês ou quando um funcionário não trabalhar mais na loja.

2 – Garanta que sua senha, e a senha de todos os funcionários com acesso ao painel de controle, sejam uma senha forte.

Lembre-se que senhas longas, e complexas são mais difíceis de adivinhar, é recomendado também que sua senha seja atualizada a cada 3 meses.

3 – Considere alterar o nome de usuário para algo menos comum, não utilize admin ou administrador.

4 – Garanta que todos os patches estejam instalados.

IP Whitelisting

A melhor forma de proteger acessos ao admin e ao downloader, é habilitar o acesso apenas para usuários vindos de um IP ou rede específica.

Este método funciona melhor se você sempre acesso o backend do mesmo local e computadores.

Esta solução não funcionará corretamente se você utiliza IP dinámico ou acessa o painel por meio do celular.

Se sua equipe trabalha remotamente, é importante adicionar o IP de cada um a fim de garantir que eles terão acesso.

Proteção IP Whitelisting para /downloader

Se você utiliza Apache Web Server

Modifique o arquivo .htaccess em /donwloader. Adicione o seguinte ao final:

order deny,allow

deny from all

allow from x.x.x.x

Você pode utilizar múltiplos “allow” para permitir o acesso de múltiplas maquinas e redes.

IP Whitelisting Painel Administrativo e Feed RSS

O painel administrativo é acessível através do /admin e /index.php/admin no entanto não é um diretório real no servidor, portanto precisa ser protegido de forma diferente.

O mesmo vale para o feed RSS do admin como notificações de estoque baixo ou atualização do status de pedidos.

A forma de proteger o painel de controle e o feed RSS é redirecionando as requisições vindas de IP desconhecidos para a página incial.

Isto pode ser realziado editando o arquivo .htaccess na raiz do Magento e adicionar o seguinte após as regras de rewrite para mobile user agents, que é localizado logo antes da seção ” always send 404 on missing files in these folders”.

RewriteCond %{REQUEST_URI} ^.*/ADMIN_PANEL_LOCATION

[OR,NC]

RewriteCond %{REQUEST_URI} ^.*/DOWNLOADER [OR,NC]

RewriteCond %{REQUEST_URI} ^.*/RSS/CATALOG [OR,NC]

RewriteCond %{REQUEST_URI} ^.*/RSS/ORDER [NC]

RewriteCond %{REMOTE_ADDR} !^1.2.3.4

RewriteCond %{REMOTE_ADDR} !^5.6.7.8

RewriteRule ^(.*)$ http://%{HTTP_HOST}/ [R=302,L]

Altere a localização do Painel de Controle e o Gerenciador Magento Connect

Ataques que tentam adivinhar a senha, assumem o locais padrões como /admin, /backend /manage /controle e similares, e a localização padrão do Gerenciador Magento Connect /downloader.

Alterar a localização do painel de controle e do /downloader podem reduzir a probabilidade de ser alvo de ataques genéricos.

No entanto, não protege contra ataques direcionados que podem tentar adivinhar a localização com múltiplas requisições.

Alterar o nome do Painel de Controle (Magento 1 apenas)

Alterar o nome do painel de controle também pode auxiliar proteger contra ataques.

Para alterar o nome, primeiro faça login no painel de controle e navegue para Sistema -> Gerenciador de Cache.

Agora você precisa editar o arquivo app/etc/local.xml em seu Magento e altere o nome na seção admin -> routers -> adminhtml -> args -> frontName.

Após esta alteração você precisa limpar o caches, log out e acessar o painel novamente utilizando a nova URL.

Alterar o nome do Gerenciador Magento Connect (/downloader) (Magento 1 apenas)

Outra abordagem é alterar o nome do Gerenciador Magento Connect.

Uma vez realizada esta mudança, não será possível abrir o gerenciador Magento Connect pelo painel administrativo do Magento, deverá ser acessado diretamente pela nova URL.

Para alterar o nome do Gerenciado Magento Connect, simplesmente renomeie a pasta /downloader para algo único.

Resumindo, há várias abordagens que você pode tomar para auxiliar proteger sua loja de ataques de força bruta.

Nos recomendamos que você verifique imediatamente essas opções com o seu desenvolvedor e hospedagem e implemente as que melhores servem para sua situação.

2017-01-24T20:23:11+00:00

RECEBA DICAS VALIOSAS NO SEU EMAIL

x