Esse ano não foi um bom ano quando se fala de problemas de segurança no Magento. Foram ao menos três atualizações críticas, disponibilizadas para corrigir falhas de segurança no sistema e impedir que milhares de lojas ao redor do mundo fossem invadidas como quem abre uma simples porta dentro de casa. Isso poderia ter sido evitado? O que pode ser feito para tornar sua loja virtual mais segura? Vamos a algumas dicas.
1) A segurança de sua loja começa pelo servidor
Não adianta você investir em segurança para sua loja Magento se seu servidor não é seguro. Se você está em uma conta compartilhada, com outros usuários, por mais que o provedor garanta segurança, não é a mesma coisa que ter uma conta única, em uma VPS, por exemplo. Atualmente, ter uma conta em uma VPS é tão simples e fácil quanto ter uma conta comum, e a dificuldade de configurá-la e gerenciá-la é minima. Eu recomendo a Knownhost – mesmo que você não fale inglês, não será um grande problema, pois dificilmente você precisará do suporte técnico.
Apenas esclarecendo, uma VPS é uma instância exclusiva de um servidor, equivalendo praticamente a um servidor inteiro, com seu próprio sistema, aplicativos e configurações. Dessa forma, você tem total controle sobre ela, com seus IPs dedicados – o que, de quebra, impede que seu endereço cai em listas antispams, por conta de atividades irregulares de outros usuários.
2) Mantenha sua loja sempre atualizada
Por atualizada, não quero dizer que você sempre deva ter a última versão lançada mas que sua loja esteja de acordo com as atualizações de segurança lançadas pela Magento. Você pode ter uma loja na versão 1.8 e estar atualizado e seguro da mesma forma que você pode ter uma versão 1.9 com problemas de segurança.
3) Não atualize sua loja assim que a nova versão for lançada
Ainda que boa parte dos testes sejam feitos antes do lançamento, é só na hora que o release “vem à luz” que ele poderá ser realmente testado. Os primeiros dias são críticos para a descoberta de problemas sérios e, portanto, vale a pena esperar duas ou três semanas até a atualização. Ah, isso não vale para as correções de segurança, que devem ser instaladas o quanto antes (recomendo instalar no dia seguinte ao lançamento, para esperar o primeiro dia de testes).
4) Cuidado com as permissões de arquivos
Pastas com permissões totais são um problema de segurança em potencial se não forem bem gerenciadas. Isso não vale apenas para o Magento mas para qualquer sistema. Cuide para que os arquivos tenham os donos e grupos corretos e que tenham apenas as permissões necessárias para seu correto funcionamento.
5) Não instale módulos com procedência duvidosa
Todo módulo deve ser revisado, se não em detalhes, ao menos em maneira global, em busca de possíveis arquivos e scripts maliciosos.
6) Mude o endereço do painel de administração
O padrão do Magento é o /admin e muitos desenvolvedores deixam a palavra admin como nome de usuário. Este é o primeiro lugar onde hackers vão procurar na hora de tentar invadir seu sistema com um ataque, testando múltiplas combinações de senhas. Troque esse endereço (seja na instalação, seja no arquivo /app/etc/local.xml) para um endereço exclusivo seu. Troque também o nome do usuário master, aquele com plenas permissões de acesso.
7) Utilize usuários segmentados via ACL
No dia-a-dia de uma loja Magento, você não tem necessidade de utilizar o usuário master, pois muitas configurações são alteradas raramente. Crie um usuário apenas com as permissões necessárias para as principais funções e o utilize nas operações rotineiras. Caso haja um vazamento de dados, o potencial de estrago será menor.
8) Coloque um certificado de segurança
Esse é outro ponto que não faz mais sentido economizar. Existem certificados de segurança simples, na faixa de 15 dólares por ano e eles cuidarão para que as comunicações no painel e em áreas críticas como checkout e área do cliente sejam protegidas.
Por último, tenha sempre um backup à mão. A maioria dos servidores traz essa possibilidade e você deve reforçá-la com um backup externo, usando por exemplo uma conta do Dropbox. Discuta isso com a empresa que dá suporte à sua loja e saiba como agir rapidamente em caso de problemas de segurança.
2 Comments
Ana Trandafilovic · 13/01/2016 at 12:59
Obrigado André, ótimo post! Muitos bons conselhos sobre segurança. Há um novo modulo para Magento, chamado MageFence: http://www.extensionsmall.com/mage-fence-security.html Gostaria de saber que voce pensa sobre isso.
Andre Gugliotti · 14/01/2016 at 07:05
Olá, Ana, infelizmente não conheço esse módulo.