Sebbene Magento sia considerato il CMS per l’e-commerce più sicuro in assoluto, anch’esso presenta degli elementi che, se non ben configurati, potrebbero favorire un attacco hacker. Nel precedente post della guida dedicata alla sicurezza di Magento, hai scoperto come metterti al sicuro con delle semplici operazioni spesso sottovalutate dalla maggior parte degli utenti. In particolare hai avuto modo di comprendere quanto sia importante utilizzare nomi utente e password adeguate, e quanto sia importante modificare il percorso della cartella di amministrazione.
In questo post proseguiamo con il fornirti alcuni consigli per Magento che ti permetteranno di migliorare ancor più la sicurezza del tuo portale di e-commerce, addentrandoci questa volta in configurazioni più specifiche.
Aggiungi l’autenticazione a due fattori per Admin
Una tecnica piuttosto comune per aumentare il grado di sicurezza di un portale e-commerce, e non solo, consiste nello sfruttare la cosiddetta autenticazione a due fattori, ossia un sistema che richiede due autenticazioni separate per consentire l’accesso.
Un esempio più comune nel mondo reale di questa tipologia di autenticazione è il bancomat. La prima autenticazione risiede nella scheda vera e proria, la seconda nel PIN che deve essere immesso per concludere qualsiasi operazione monetaria, sia essa un prelievo o un pagamento.
In Magento esistono delle estensioni che offrono questa funzionalità.Una di queste è Extendware, che aggiunge l’autenticazione a due fattori utilizzando Google Authenticator. Si tratta di una buona soluzione che vale la pena provare.
Utilizza una connessione crittografata (SSL/HTTPS)
Un’altra operazione che devi assolutamente compiere per incrementare la sicurezza del tuo sito Magento, è quella di utilizzare URL sicuri SSL/HTTPS.
Ogni qual volta che vengono comunicati dei dati al server, è possibile che questi vengano intercettati da malintenzionati. Poiché su un portale di e-commerce vengono scambiati dati sensibili, dati legati a transazioni finanziarie e così via, è molto importante che si eviti l’accesso a terzi. Ecco perché è necessario utilizzare una connessione sicura e criptata.
Attivare una connessione sicura in Magento è molto semplice. Dal pannello di controllo fai clic su Configurazione all’interno della voce Sistema. Dal menu laterale Configurazione generale, fai clic su Web. Recati all’interno della scheda Secure e in Base URL sostituisci http con https.
Poco più giù attiva le opzioni Utilizza Secure URLs nel Frontend e Utilizza Secure URL in Admin. Al termine fai clic sul pulsante Salva Config.
Utilizza un accesso sicuro FTP per l’upload dei file
Così come è importante proteggere lo scambio di dati tra il browser e il server, è altrettanto importante proteggere il trasferimento di file via FTP. Uno dei metodi più utilizzati per hackerare un sito è proprio l’intercettamento delle password tramite FTP.
Per risolvere questo problema puoi utilizzare SFTP (SSH File Protocol). Si tratta di un protocollo che prevede la crittografia aggiuntiva per le credenziali utilizzando una chiave privata per l’autenticazione. Inoltre dovresti verificare che i permessi dei file non siano impostati su 777, ossia visibili a chiunque.
Ti do appuntamento al prossimo post per scoprire altri trucchi che metteranno in sicurezza il tuo sito Magento. Stay tuned!