2021年のMagento2セキュリティに関する決定的なガイド

magento security

Magento 2のストアを立ち上げるのは簡単かもしれません。しかし、オンラインビジネスをサイバー攻撃や潜在的な脆弱性から守ることは困難です。

そこで本日は、Magento 2ストアのセキュリティのために実施できるベストプラクティスを公開します。

ハッカーは、ストアとその顧客に関する貴重な機密情報を狙い、データを盗みます。その代わりに、ビットコイン口座やその他の口座に入金するために、高額な金額を要求するかもしれません。最悪の場合、店舗やデータを破壊して詐欺を働くこともあります。

どのE-コマースストアも完全には安全ではありません。ハッカーは脆弱性を見極めてサイバー犯罪を行います。Magento 2のエキスパートや専門家は、ストアをより安全にするための方法を見つけるために懸命に取り組んでいます。

Sansec社の調査報告書によると、Megecart攻撃により、2000のMagentoストアのセキュリティが暴露されたとのことです。このようなシナリオは、Magento 2のセキュリティに関する以下のガイドに従うことで、ある程度回避することができます。

2021年のMagento2セキュリティの12のベストプラクティス

  1. カスタム管理パスの作成
  2. 強力なホスティングインフラストラクチャ選択
  3. 復旧計画を立てること
  4. 評判の良いセキュリティ拡張機能のみを使用すること
  5. 暗号化された接続にはSSLを使うこと
  6. Magentoストアの更新
  7. ファイルパーミッションの変更
  8. 2ファクタ認証の使用
  9. 最大ログイン試行回数の設定
  10. ディレクトリインデックスの無効化
  11. 強制的なパスワード変更の有効化
  12. その他のセキュリティ対策

Magento 2のストアを保護するためのガイド

1. カスタムアドミンパスの作成

カスタムアドミンパスを作成すると、ハッカーがアドミンログインページにアクセスするのを防ぐことができます。管理パスを変更した場合、ハッカーが管理パスを見つけ出し、何らかのサイバー犯罪を行うことは難しくなります。

管理用URLは、ストアのバックエンドにアクセスするために使用されます。管理用URLにアクセスできる人は、管理タスクの編集や管理を行うことができます。しかし、URLのデフォルトフォーマットである「sitename.com/admin」は、ボットに対して脆弱です。

admin、backendなどの予測可能な名前を避け、代わりにカスタムadminパスを使用してください。

Magento 2の管理画面のURLを変更するには、以下の3つの方法があります。

  • SSH経由
  • 手動で実施すること
  • 管理パネル経由で実施

2. 強力なホスティングインフラ選び

すべてのハッカーがMagentoストアからデータを盗むことを目的としているわけではありません。ハッカーの中には、お客様のウェブサイトを混乱させ、長期間アクセスできないようにして、最終的に収益に影響を与えることを目的としたグループもあります。

Magento 2のストアがダウンした場合、強力なホスティングサービスプロバイダが問題を解決し、ダウンタイムを短縮することができます。

3. 復旧計画を立てること

どんなに強力なホスティングサービスを利用していても、Magento 2ストアのリカバリープランを用意しておくことは不可欠です。ハッカーがあなたのE-コマースストアを狙って、すべてのデータを削除するかもしれません。この状況を想像してみてください。もしリカバリープランがなければ、E-コマースストアをゼロから構築しなければなりません。

復旧計画を立てるには、毎日、毎週、毎月のようにバックアップを取り始めればよいのです。Magento 2のバックアップには3つの方法があります。

  • コマンドラインによるMagento 2のバックアップ
  • 管理画面からのMagento 2のバックアップ
  • Magento 2の手動バックアップ

4. 評判の良いセキュリティエクステンションのみ使用

エクステンションを購入する主な目的は、Magento 2 のストア機能を拡張することです。Magento 2 のセキュリティエクステンションは、ストアのセキュリティレベルを向上させるのに役立ちます。

しかし、マーチャントは時々、ストアにとって有害であることを知らずに、評判の悪いセキュリティエクステンションを購入してしまうことがあります。

5. 暗号化された接続にはSSL使用

SSL(Secure Socket Layer)は、顧客の機密情報を暗号化し、Magento 2 のストアに安全な環境を提供します。これは、あなたのストアと顧客のために、プライバシー、重要なセキュリティとデータの整合性を提供します。

ストアが暗号化された接続を確立するためのSSLを持っていない場合、接続は脆弱になり、攻撃者は顧客のクレジットカード情報、ユーザー名、パスワードを見ることができます。

SSL証明書を使用すると、データは誰にも読めなくなります。情報を送信しているサーバーだけが読めるようになるのです。そのため、お客様の情報を守るためには、SSL証明書が必要不可欠なのです。

6. Magento 2ストアのアップデート

Magentoは、以前のMagentoのバージョンで見つかったバグや問題に対処するために、セキュリティパッチやアップデートバージョンをリリースし続けています。

Magentoのセキュリティパッチをインストールして、これらの脆弱性に対処することも選択肢の一つです。また、Magento の最新バージョンにアップグレードすれば、パッチのインストールを気にする必要はありません。

Magento 2 のストアをアップデートすることは、セキュリティを高めるための最良かつ推奨される方法です。Magento の各バージョンには、パフォーマンスや管理機能の強化に加えて、最新のセキュリティ機能が搭載されています。

VisaやPayPalも、PCI DS基準のセキュリティを維持するために、Magento 2への移行を推奨しています。

したがって、古いバージョンのMagentoを使用している場合は、Magentoストアのセキュリティを向上させるためにアップグレードする必要があります。

しかし、移行中にマーチャントはいくつかのミスを犯しますが、これは避けることができます。店舗と顧客の機密データが危険にさらされているため、Magento 2ストアへの移行中のミスを避けるための最良の方法の1つは、認定されたMagento開発者を雇うことです。

7. ファイルパーミッションの変更

ファイルのパーミッションを変更することは、E-コマースストアの貴重なファイルを保護するために非常に重要です。

ファイルパーミッションには主に3種類あります。読み取り」「書き込み」「実行」です。パブリックモードでファイルパーミッションが読み取りと書き込みを許可するように設定されている場合、攻撃者が簡単にファイルを閲覧したりダウンロードしたりできるため、ファイルは安全ではありません。

8. 2つのファクタ認証の使用

2ファクタ認証は、Magentoの管理画面に追加のセキュリティレイヤーを追加します。

そのため、攻撃者がパスワードを解読したとしても、別のセキュリティ層を迂回する必要があります。攻撃者は、ワンタイムパスワードがストアオーナーや管理者に送られているためログインできず、サイバー攻撃の可能性は低くなります。

以前のMagento 2では、2ファクタ認証をインストールするオプションがありました。ストアオーナーは、必要に応じてMagento 2 2FAを有効または無効にすることができます。しかし、Magento 2FAを無効にすることは最善の方法ではありません。

Magento 2.4のリリースでは、2FAはデフォルトで有効になっており、無効にすることはできません。最新のMagento 2バージョンをダウンロードして、Magento 2のデフォルトで提供されているこのセキュリティ機能を活用することをお勧めします。

9. 最大ログイン試行回数の設定

ログイン試行回数の設定は必須です。Magento 2のストアオーナーが最大のログイン試行回数を設定していない場合、攻撃者は様々なソフトウェアを使って試行錯誤することができます。そのため、攻撃者は管理画面に簡単にログインすることができてしまいます。

これを避けるために、Magento 2 のデフォルトでは、パスワードオプションを設定することができ、ストアオーナーはアカウントをロックアウトするための最大ログイン失敗回数を設定することができます。

10. ディレクトリインデックスの無効化

Googleがウェブサイトをクロールすると、クロールバジェットに応じて、ウェブサイトのすべてのページがほとんどの場合インデックスされます。

しかし、Googleにインデックスされてはならない機密性の高いWebページもあります。そのようなページがインデックスされてしまうと、Googleユーザーがそのページを見ることができ、機密データが流出してしまう可能性があります。

そこで、特定のウェブページを検索エンジンに表示しないようにするには、Magento 2ストアのディレクトリインデックスを無効にすればよいのです。

例えば、Magento 2 の管理者用 URL を Google にインデックスさせないようにすることができます!

11. 強制的なパスワード変更を有効にすること

Magento 2 の管理画面のパスワードを頻繁に変更することは、Magento ストアのオーナーにとって必須です。定期的にパスワードを変更しないと、攻撃者にパスワードを解読され、ストアに大きなダメージを与える可能性があります。

デフォルトのMagento 2には、パスワードの強制変更を有効にする機能があります。そのため、ある日を境に、店主がログインすると、パスワード変更のウェブページにリダイレクトされるようになっています。最終的には、Magento 2 のストアを保護するのに役立ちます。

Magento 2では、パスワードの有効期限を簡単に設定することができ、店舗の安全性を高めることができます。

12. その他のセキュリティ対策

誰にも話したくないような方法もありますが、実行すれば確実にハッカーからお店を守ることに貢献してくれます。

12.1.コンピュータの保護

Magento 2 ストアの管理に使用しているコンピュータに安全なパスワードが設定されていない場合、ハッカーがオペレーティングシステムをクラックして、コンピュータや Magento ストアに損害を与えることは非常に容易です。

コンピュータを保護するために、コンピュータにパスワードを設定し、優れたウイルス対策ソフトを使用し、ファイアウォールをオンにするようにしてください。

12.2.SFTP使い

単なるFile Transfer Protocolではなく、Secure File Transfer Protocolを使用したほうがよいでしょう。

SFTPは、データとコマンドを暗号化し、パスワードやその他の機密情報が攻撃者の目に触れることを防ぎます。

12.3.電子メールの保護

インターネット上で何をするにしても、電子メールは常に連動しています。もし店主が二要素認証をせずに弱いパスワードを設定していると、ハッキングされる可能性が非常に高くなります。

ハッカーが店舗の公式メールアドレスのパスワードを見つけ出した場合、サイバー犯罪を犯す可能性があります。したがって、電子メールを保護することは、店舗のセキュリティを高めるための小さいながらも重要なステップの一つでもあります。

The Hillによると、米連邦捜査局(FBI)は、COVID19の発生以来、毎日3000~4000件の苦情を報告しているという。

サイバー犯罪の発生率は急速に増加しています。ゆえに、E-commerceストアがセキュリティを高めることは憂慮すべき事態なのです。

ソース

 

 

►►►サービスについて