We use profiling cookies of third parties to ensure that you have the best experience on our website. To manage cookies, click on "Cookie Settings" test cookies message
Magento安全嗎? 8招讓你的網站更安全
Magento安全嗎? 8招讓你的網站更安全
產品新訊
2024-04-15
作者: JIKA
Magento的資訊安全歷史
Magento於2008年問世,是一個開源基礎的電子商務解決方案。於2015年推出第二世代—Magento 2。於2018年被Adobe併購後,更名為Adobe Commerce(但全球用戶仍習慣稱Magento)。目前全球有十多萬個網站使用Magento。
早期的Magento時代,會提供單一修護補丁。在Adobe時代則與版本升級結合。以持續更新作為安全防護的主要策略。
然後,偶然會有一些國外新聞傳出。Magento的網站被鎖定攻擊,可能被滲透。可能有人擔心,有人質疑。我們今天以自身過去十年Magento的經驗,分享安全的系統開發及Magento最佳安全實踐。
自身的Magento安全經驗
在過往同業,或來諮詢的朋友裡,普遍的問題就是版本沒升級。
在Magento 1時代,曾有朋友前來求援,因為疑似有客戶資料外流。我協助審視發現,他的系統有三至四年沒更新。(當時版本1.9,但他停留在1.6)。我協助他先作全站掃描,系統升級,並作部份使用流程改造,以期減少資安風險。
或許就有人問,我們的系統五年沒更新,也沒問題,為什麼Magento這麼麻煩?
首先,電子商務是對外系統,所需面對的風險自然和和內部系統不同。
再者,沒發現問題,不表示沒有問題。只是漏洞無人查察。
另外,Magento網站收量龐大,又不乏重量級客戶,因此在新聞價值上較高。(如果只有一個人使用的系統,上新聞比例自然少)
其實,不只Magento,全球資訊網絡也都持續面臨最新威脅。這也是資安顧問常提及的CVE( Common Vulnerabilities and Exposures)公告漏洞和暴露的公告主要內容。
Magento龐大的八項安全資源
在擔心和質疑Magento是否安全之前,我們建議可以先暸解Magento提供的安全資源。有了以下八個資源,讓網站更安全,而Magento做到了。問題是,用戶有沒有善用這些資源。
-
定期安全公告:針對全球最權威的資訊安全組織NVD(National Vulnerability Database)所揭露的最新全球資訊安全公共漏洞與暴露(CVE),隨時發布更新,並提供對應的防護程式。如以下即為2024年8月13日公告(筆者撰文前釋出,並立即安全團隊針對JIKA模組進行升級) [來源]
-
版本更新說明: 針對各版本,提供包含安全性在內的版本升級說明,例如前述對應的Magento 2.4.7 P2,除了安全性強化,還將原本的雙因子認證(2FA,後台管理員登入管理時使用)修正了錯誤次數上限及鎖定時間的設定。 [來源]
-
品質(含安全性)修補程式:緊急公共漏洞,也會有單一修補程式提供,以求最快速修復。 [來源]
-
系統安全性升級:不只Magento的修護及升級,系統語言及技術,也能支援到最新。例如2.4.7版就支援到PHP 8.3。 [來源]
-
產品生命週期(最後保固及更新期限):提前規劃產品大升級的計劃。 [來源]
-
公開論壇:提供生態系協作,討論,及更新。及並通問題的分享及討論。 [來源]
-
免費掃描工具:隨時可進行,減少委外的時間及費用,並大幅減少一般掃描工具誤判的情形。 [來源]
-
提前公告更新時程:讓開發者可提前作未來開發計劃。 [來源]
伊布克產品的實踐
以伊布克集團為例,自行開發的B2B模組-JIKA為例,除符合Magento開發規範,減少個人開發色彩,並也充份掌握上述Magento資源,使用最新版本,並提供一年至少二次的免費版本升級,及不定期的安全性修護。再結合國際主流雲服務,提昇防護力。
伊布克本身並通過了ISO 27001資安認證,也會以自身經驗,協助客戶能在維運網站時符合資安最佳實踐(例如雙因子認證登入)。
怕麻煩,圖方便,是資訊安全的兩大敵人。伊布克服務客戶的心情,是婆婆媽媽,一再提醒。我們也歡迎更多的夥伴,洽詢我們關於這方面知識的分享。