Magento安全嗎? 8招讓你的網站更安全

Magento的資訊安全歷史

Magento於2008年問世，是一個開源基礎的電子商務解決方案。於2015年推出第二世代—Magento 2。於2018年被Adobe併購後，更名為Adobe Commerce（但全球用戶仍習慣稱Magento）。目前全球有十多萬個網站使用Magento。

早期的Magento時代，會提供單一修護補丁。在Adobe時代則與版本升級結合。以持續更新作為安全防護的主要策略。

然後，偶然會有一些國外新聞傳出。Magento的網站被鎖定攻擊，可能被滲透。可能有人擔心，有人質疑。我們今天以自身過去十年Magento的經驗，分享安全的系統開發及Magento最佳安全實踐。

自身的Magento安全經驗

在過往同業，或來諮詢的朋友裡，普遍的問題就是版本沒升級。

在Magento 1時代，曾有朋友前來求援，因為疑似有客戶資料外流。我協助審視發現，他的系統有三至四年沒更新。（當時版本1.9，但他停留在1.6）。我協助他先作全站掃描，系統升級，並作部份使用流程改造，以期減少資安風險。

或許就有人問，我們的系統五年沒更新，也沒問題，為什麼Magento這麼麻煩？

首先，電子商務是對外系統，所需面對的風險自然和和內部系統不同。

再者，沒發現問題，不表示沒有問題。只是漏洞無人查察。

另外，Magento網站收量龐大，又不乏重量級客戶，因此在新聞價值上較高。（如果只有一個人使用的系統，上新聞比例自然少）

其實，不只Magento，全球資訊網絡也都持續面臨最新威脅。這也是資安顧問常提及的CVE( Common Vulnerabilities and Exposures)公告漏洞和暴露的公告主要內容。

Magento龐大的八項安全資源

在擔心和質疑Magento是否安全之前，我們建議可以先暸解Magento提供的安全資源。有了以下八個資源，讓網站更安全，而Magento做到了。問題是，用戶有沒有善用這些資源。

1. 定期安全公告：針對全球最權威的資訊安全組織NVD(National Vulnerability Database)所揭露的最新全球資訊安全公共漏洞與暴露(CVE)，隨時發布更新，並提供對應的防護程式。如以下即為2024年8月13日公告（筆者撰文前釋出，並立即安全團隊針對JIKA模組進行升級） [來源]    

2. 版本更新說明：　針對各版本，提供包含安全性在內的版本升級說明，例如前述對應的Magento 2.4.7 P2，除了安全性強化，還將原本的雙因子認證（2FA，後台管理員登入管理時使用）修正了錯誤次數上限及鎖定時間的設定。  [來源]   

3. 品質(含安全性)修補程式：緊急公共漏洞，也會有單一修補程式提供，以求最快速修復。 [來源]  

4. 系統安全性升級：不只Magento的修護及升級，系統語言及技術，也能支援到最新。例如2.4.7版就支援到PHP 8.3。 [來源]  

5. 產品生命週期（最後保固及更新期限）：提前規劃產品大升級的計劃。 [來源] 

6. 公開論壇：提供生態系協作，討論，及更新。及並通問題的分享及討論。 [來源]  

7. 免費掃描工具：隨時可進行，減少委外的時間及費用，並大幅減少一般掃描工具誤判的情形。 [來源]  

8. 提前公告更新時程：讓開發者可提前作未來開發計劃。 [來源]  

伊布克產品的實踐

以伊布克集團為例，自行開發的B2B模組-JIKA為例，除符合Magento開發規範，減少個人開發色彩，並也充份掌握上述Magento資源，使用最新版本，並提供一年至少二次的免費版本升級，及不定期的安全性修護。再結合國際主流雲服務，提昇防護力。

伊布克本身並通過了ISO 27001資安認證，也會以自身經驗，協助客戶能在維運網站時符合資安最佳實踐（例如雙因子認證登入）。

怕麻煩，圖方便，是資訊安全的兩大敵人。伊布克服務客戶的心情，是婆婆媽媽，一再提醒。我們也歡迎更多的夥伴，洽詢我們關於這方面知識的分享。