Magento Security Punch list

27

Muitas vezes, escolhemos um site de outra empresa e agora estamos presos a um conglomerado de código e, potencialmente, a dezenas de pessoas que trabalharam em um site. Estou procurando uma lista detalhada de itens a serem solicitados a uma pessoa de segurança para garantir que o site Magento seja reforçado. Isso seria necessário se alguém assumisse total responsabilidade por todo o código e o cliente não quisesse reconstruir do zero.

Minha pergunta: existe uma lista dos 10 ou 20 melhores itens a serem solicitados e documentados?

brentwpeterson
fonte

Respostas:

39

Pela minha experiência, essas são coisas importantes para obter informações sobre a aquisição de uma nova loja do ponto de vista da segurança. Esta lista ainda não foi encomendada e completa, continuarei a trabalhar na lista.

Magento Security

  1. HTTPS usado (em toda a loja, apenas para checkout)?
  2. Caminho de administrador personalizado?
  3. Acesso ao caminho do administrador restrito?
  4. Quantos administradores? Algum usuário desnecessário está ativo?
  5. Proteção de conta e criptografia de senha (para clientes e administradores): padrão ou personalização? Autenticação de 2 fatores?
  6. (Mais recente) versão Magento usada?
  7. Patches de segurança Magento aplicados?
  8. Pastas / scripts personalizados no nível da raiz que são necessários para serem acessados ​​remotamente?
  9. Acesso ao sistema de teste / estadiamento (se disponível) restrito?
  10. Serviços da Web, funcionalidade de importação / exportação usada?
  11. Quantas funções de serviço da Web? Alguma função desnecessária ativa?
  12. Lista de extensões instaladas
  13. Extensões instaladas atualizadas?
  14. PCI-DSS, lojas confiáveis, qualquer outra etiqueta?
  15. Hora de levantamento da sessão / cookie?
  16. Execute apenas o Magento. (Sem Wordpress ou qualquer outro software de terceiros)
  17. Dados armazenados: que tipo de dados de clientes e pedidos (assim como dados de extensões personalizadas e de terceiros) são armazenados? Dados bancários, dados do cartão de crédito (consulte PCI-DSS)?

Sistema de segurança

  1. Versão PHP: versão recente ou antiga?
  2. Permissões de arquivo: Executando como usuário ou root www-data / apache?
  3. Conjunto de permissões de arquivo adequadas?
  4. Compre credenciais de banco de dados específicas versus execução de banco de dados como raiz?
  5. Acesso SSH / SFTP? Autenticação baseada em chave?
  6. SLA com provedor de hospedagem sobre SO (regular), atualizações de módulo PHP + e atualizações de segurança?

Organização

  1. Quem é responsável pelas atualizações do sistema (segurança)?
  2. Quem tem acesso ao servidor ativo?
  3. Quem tem acesso à loja ao vivo?
  4. Onde o código está hospedado? Quem tem acesso ao repositório simples e acesso push?
  5. Como é o processo de desenvolvimento de software atual? Existem revisões de código e verificações automáticas antes de implantar o código no teste / teste / ao vivo?
  6. Existe algum teste ou auditoria de segurança (regularmente)?
  7. Existe um backup regular? Se sim, é externo?
  8. Dependendo do tamanho da loja / empresa: Existem planos de continuidade de negócios e / ou recuperação?
Anna Völkl
fonte
11
Boa lista @Anna Volki :)
Amit Bera
4
Um dos meus bugs são os módulos de terceiros que declaram seu próprio nome de administrador. Eles possibilitam (se você souber que a loja possui a extensão) descobrir qual é o nome da frente supostamente secreto!
Peter O'Callaghan
3

Verifique se a sua pasta / downloader / está segura. Você pode ter a senha mais longa do mundo, mas se eu tiver todo o tempo do mundo para forçar de forma bruta suas informações de usuário na sua página de download, acabarei obtendo-a. Outra coisa é garantir que os diretórios do servidor não possam ser listados. Se eles estiverem listando, posso facilmente acessar o conteúdo do servidor no Google e começar a navegar. Você ficaria surpreso com a quantidade de informações confidenciais que as pessoas armazenam em seus servidores web.

notmyfirstrodeo
fonte
Eu recomendaria remover a pasta do downloader ... para que você precisa?
brentwpeterson
11
Eu não o removeria, mas redirecionaria os usuários que vêm para o downloader / * para a página inicial pela regra htaccess.
Kalpesh
3

Para expandir a lista de Anna Volk, essa lista vai além do que é típico

  • Política de segurança de conteúdo (quando implementada corretamente, torna o XSS impossível)
  • HSTS (HTTP Strict Transport Security)
  • SELinux com contextos definidos corretamente.
  • yum-cron / atualizações autônomas instaladas para atualizações automáticas de segurança do sistema
Ray Foss
fonte