Liste de sécurité de Magento

27

C'est très souvent que nous prenons un site d'une autre entreprise et maintenant nous sommes coincés avec un conglomérat de code et potentiellement des dizaines de personnes qui ont travaillé sur un site. Je suis à la recherche d'une liste d'articles à demander à un responsable de la sécurité pour s'assurer que le site Magento est durci. Cela serait nécessaire si quelqu'un devait assumer l'entière responsabilité de tout le code et que le client ne voulait pas reconstruire à partir de zéro.

Ma question: existe-t-il une liste des 10 ou 20 principaux éléments à poser et à documenter?

security brentwpeterson
la source

Réponses:

39

D'après mon expérience, ce sont des choses importantes pour obtenir des informations sur la reprise d'une nouvelle boutique d'un point de vue de la sécurité. Cette liste n'est pas encore commandée et complète, je continuerai à travailler sur la liste.

Sécurité Magento

  1. HTTPS utilisé (partout dans la boutique, uniquement pour le paiement)?
  2. Chemin administrateur personnalisé?
  3. Accès au chemin administrateur restreint?
  4. Combien d'admins? Des utilisateurs inutiles sont-ils actifs?
  5. Protection de compte et cryptage de mot de passe (pour les clients et les administrateurs): Standard ou personnalisation? Auth à 2 facteurs?
  6. (Dernière) version de Magento utilisée?
  7. Correctifs de sécurité Magento appliqués?
  8. Dossiers / scripts de niveau racine personnalisés qui sont nécessaires pour être accessibles à distance?
  9. L'accès au système de test / mise en scène (si disponible) est-il limité?
  10. Webservices, fonctionnalité d'import / export utilisée?
  11. Combien de rôles de Webservice? Des rôles inutiles sont-ils actifs?
  12. Liste des extensions installées
  13. Extensions installées à jour?
  14. PCI-DSS, boutiques de confiance, toute autre étiquette?
  15. Session / Cookie liftetime?
  16. Exécutez uniquement Magento. (Pas de Wordpress ou tout autre logiciel tiers)
  17. Données stockées: Quel type de données client et de commande (ainsi que les données de tiers et d'extensions personnalisées) sont stockées? Données bancaires, données de carte de crédit (voir PCI-DSS)?

Sécurité du système

  1. Version PHP: version récente ou ancienne?
  2. Autorisations de fichier: en cours d'exécution en tant qu'utilisateur www-data / apache ou root?
  3. Autorisations de fichier appropriées définies?
  4. Acheter des informations d'identification spécifiques à une base de données par rapport à une base de données exécutée en tant que root?
  5. Accès SSH / SFTP? Authentification par clé?
  6. SLA avec hébergeur sur les mises à jour (régulières) du système d'exploitation, PHP + et les mises à jour de sécurité

Organisation

  1. Qui est responsable des mises à jour du système (sécurité)?
  2. Qui a accès au live-server?
  3. Qui a accès au live-shop?
  4. Où est hébergé le code? Qui a accès au repo nu et à l'accès push?
  5. À quoi ressemble le processus de développement logiciel actuel? Existe-t-il des révisions de code et des vérifications automatiques avant de déployer le code dans la mise en scène / test / live?
  6. Des tests de sécurité ou des audits de sécurité sont-ils effectués (régulièrement)?
  7. Existe-t-il une sauvegarde régulière? Si oui, est-ce externe?
  8. Selon la taille du magasin / de l'entreprise: Existe-t-il des plans de continuité des activités et / ou de reprise?
Anna Völkl
la source
1
Bonne liste @Anna Volki :)
Amit Bera
4
L'un de mes ours de bogue est les modules tiers déclarant leur propre nom d'administrateur. Ils permettent (si vous savez que le magasin a l'extension) de déterminer quel est le nom de devant soi-disant secret!
Peter O'Callaghan
3

Assurez-vous que votre dossier / downloader / est sécurisé. Vous pouvez avoir le mot de passe le plus long du monde, mais si j'ai tout le temps du monde pour forcer vos informations utilisateur sur votre page de téléchargement, je vais éventuellement les obtenir. Une autre chose est de vous assurer que les répertoires de votre serveur ne peuvent pas être listés. S'ils sont répertoriés, je peux facilement afficher le contenu de votre serveur sur Google et commencer à naviguer. Vous seriez étonné de la quantité d'informations sensibles que les gens stockent sur leurs serveurs Web.

notmyfirstrodeo
la source
Je recommanderais de supprimer le dossier du téléchargeur ... pour quoi en avez-vous besoin?
brentwpeterson
1
Je ne le supprimerais pas mais redirigerais plutôt les utilisateurs venant de downloader / * vers la page d'accueil par la règle htaccess.
Kalpesh
3

Pour élargir la liste d'Anna Volk, cette liste va au-delà de ce qui est typique

  • Politique de sécurité du contenu (lorsqu'elle est correctement mise en œuvre, rend XSS impossible)
  • HSTS (HTTP Strict Transport Security)
  • SELinux avec des contextes correctement définis.
  • yum-cron / unattended-updates installé pour les mises à jour automatiques de sécurité du système
Ray Foss
la source