Fale no WhatsApp

Conheça

Logo Zenie

Dicas de segurança para sua loja Magento

Sem categoria

Esse post foi baseado em um post publicado no E-Commerce Chile e você pode ver o post original em espanhol em “Consejos útiles para una buena seguridad en tu Magento“.

Segurança em Lojas Virtuais - imagem: JGI - Blend ImagesO Magento por natureza é uma plataforma segura. Desde as primeiras versões, os desenvolvedores sempre tiveram a segurança como uma questão primordial, utilizando elementos que reduzem as chances de invasão e ataques e por ser uma plataforma opensource há uma gama grande de pessoas testando as novas versões antes da liberação oficial e qualquer falha de segurança costuma ser corrigida rapidamente.

Isso não quer dizer que não há nada que você possa fazer para melhorar a segurança de sua própria loja e dificultar a vida de pessoas mal-intencionadas, que fazem de tudo para atrapalhar a vida dos outros, muitas vezes apenas por diversão. Vamos a sete dicas de como aumentar a segurança de sua loja virtual Magento:

1) altere o login do administrador e use uma senha forte

A maior parte das empresas usa o nome admin ou administrador para identificar o usuário administrativo do sistema. Se o hacker já tem o login, uma parte expressiva do caminho já foi facilitado. No Magento, é possível dar o nome desejado ao administrador e também criar cargos, dando permissões de acesso segmentados a usuários conforme a sua necessidade.

A senha é outra questão delicada a cuidar. Mescle letras e números e não use a mesma senha em vários sites. O Magento também traz um bloqueio que obriga o usuário a mesclar ao menos uma letra e um número, com mínimo de 7 caracteres.

Você altera essa opção em Sistema -> Minha Conta.

2) Altere a URL de acesso ao painel administrativo

Na instalação, o Magento nos pede para escolher qual será a URL de acesso ao painel administrativo. A maior parte coloca sualoja.com.br/admin e isso novamente facilita o caminho dos mal-intencionados. Confesso: quando eu desenvolvia lojas eu escolhia essa URL por ser mais fácil de o cliente lembrar, mas você deve evitar, especialmente em lojas de maior responsabilidade.

Você altera essa opção em Sistema -> Configurações :: Administrativo :: Base URL de Administração.

3) Não exibir a Chave Secreta nas URLs do painel

Dentro do painel de administração, as URLs automaticamente exibem uma chave secreta, no final. Apesar de eu nunca ter ouvido comentários negativos sobre essa questão, existe a possibilidade de não exibi-la na barra de endereços, reforçando a segurança.

Você altera essa opção em Sistema -> Configurações :: Administrativo :: Segurança.

4) Cópia de segurança

Não é preciso mencionar essa questão, mas vamos lembrar: todos os seus dados devem ter cópias de segurança periódicas. O Magento traz essa opção, porém eu sempre tenho receios (às vezes infundados) de backups feitos pela própria plataforma e prefiro trabalhar com backups completos de todo o ambiente (é lógico em outro servidor, em outro data center).

Você controla essa opção em Sistema -> Backups.

5) Atualização do sistema

Não deixe de atualizar o sistema sempre que sair uma nova versão. Não digo que seja necessário ser o primeiro a atualizar, no primeiro release estável, mas não deixe passar mais que dois meses depois do lançamento para atualizar o seu sistema. É claro que você não vai atualizar em cima da versão de produção, mas sim em um ambiente clonado especialmente para isso. É claro também que você terá feito um backup dos seus dados e poderá revertê-los imediatamente se necessário.

Você tem uma grande ajuda para atualizar com o Magento Connect em Sistema -> Magento Connect.

6) Permissões de arquivos

Em servidores Linux, todo arquivo tem 3 diferentes permissões para 3 tipos de proprietários: ler, gravar e executar, para dono, grupo e todos. Essa combinação é um dos segredos da segurança no sistema Linux e você não deve abusar disso. Arquivos devem ter permissão 644 e pasta 755. No Magento, há poucas pastas que ainda precisam de permissões 777: /app/etc, /media e /var.

7) contrate um certificado SSL para as áreas restritas

O Magento permite que áreas públicas fiquem sobre o protocolo http convencional e áreas restritas, como finalização do pedido, área do usuário e painel de administração fiquem sob o guarda-chuva do protocolo https. Compre um certificado SSL – você não precisa investir no certificado mais caro se não quiser; há boas opções na casa de R$ 200,00 por ano ou até menos -, instale no servidor e configure no Magento.

Você altera essa opção em Sistema -> Configurações :: Web :: HTTPS.

E você, que dicas tem a compartilhar para aumentar a segurança de uma loja virtual Magento? Os comentários estão abertos.

 

Comentários

Assine a nossa newsletter!

Cadastre o seu e-mail e
receba as nossas novidades

    O e-mail é salvo em banco de dados para consulta futura.
    Este site é protegido pelo reCAPTCHA e se aplica a Política de Privacidade e os Termos de Serviço do Google.