Innehållshantering på plattformen är utan tvekan en av de viktigaste platserna att vara säker på.
Logga in på innehållshantering
Vår rekommendation är att alltid hålla innehållshanteringsreferensen unik, eftersom skadliga robotar redan i förväg känner till alternativ som Admin, Backend, Back, Backendadmin, etcetera. Du kan skriva /rosapudding där – så länge det inte är lätt att gissa. Det är också lätt att associera kopplingen till domännamnet eller något annat namn som återkommer på webbplatsen (du kan också utesluta företagets riktiga namn).
Det bästa vore att begränsa hela panelen till IP-adresser – det förhindrar också brute-force-hackning. Dessutom kan VPN-stöd läggas till så att användare med dynamiska IP-adresser också kan komma åt innehållshanteringen (eller så kan du göra så att endast VPN kan komma åt innehållshanteringen om du vill ha en särskilt hög säkerhetsnivå inom företaget).
Om detta alternativ är uteslutet skulle en säkerhetsdosa vara ett alternativ, vilket skulle lägga till ett obekvämt extra steg för roboten. Till exempel skulle en Google Captcha fungera bra.
Den bästa kombinationen skulle naturligtvis vara IP-restriktion + säkerhetsbox.
Verksamhet inom innehållshantering
Det är också ganska vanligt att roboten, om tidigare steg ignoreras, kan ta sig in i någons innehållshantering och börja ställa till med oreda där. En annan möjlighet är att boven i dramat är en (före detta) anställd.
För att hålla ett öga på detta rekommenderar vi att du installerar en aktivitetsloggningsmodul för innehållshantering som registrerar exakt vilka aktiviteter som utfördes när och vad som gjordes.
Dessutom kan du hålla reda på exakt vad admin-användare (den mest privilegierade användaren) gör. För att skydda detta skulle det vara nödvändigt att antingen logga administratörernas aktivitet till en annan server eller göra en kontinuerlig säkerhetskopiering av administratörens revisionstabell och sedan göra en kopia av den.
En annan möjlighet är att begränsa användarrollerna i Magento så att användarna bara har tillgång till de element som behövs.
Till exempel: Det finns en anställd på företaget som berikar produkterna, och han/hon behöver bara se produkterna – åtkomst till order och systeminställningar behövs inte.
Förutom allt ovanstående är det tillrådligt att inte arbeta under en enda användare, utan varje anställd bör ha sitt eget personliga konto.
Till exempel: E-butiken sköts av 5 personer som alltid arbetar från kontoret. Det finns en loggmodul för innehållshantering, men all personal använder samma användare.
Resultatet: Produktberikningen/leveransen är förvirrad/records är felaktigt sparade, etc., men vem som gjorde det är okänt eftersom loggen visar samma användare från samma IP och webbläsare.
