Magento Güvenlik Punch listesi

Sıklıkla başka bir firmadan bir siteyi alıyoruz ve şimdi bir kod kümesini ve bir sitede çalışan potansiyel olarak onlarca insanı kullanıyoruz. Magento sitesinin sertleştiğinden emin olmak için bir güvenlik görevlisinden bir parça isteyin. Birisi tüm kodun tüm sorumluluğunu üstlendiyse ve müşteri sıfırdan yeniden kurmak istemiyorsa bu gerekli olacaktır.

Sorum şu: Sorulması ve belgelenmesi gereken ilk 10 veya ilk 20 öğe listesi var mı?

Tecrübelerime göre, bunlar güvenlik açısından yeni bir dükkanı devralırken hakkında bilgi almanız gereken önemli şeylerdir. Bu liste henüz sipariş edilmedi ve tamamlanmadı, listede çalışmaya devam edeceğim.

Magento Güvenliği

1. HTTPS kullanıldı (dükkanın her tarafında, yalnızca ödeme için)?
2. Özel Yönetici Yolu?
3. Yönetici yoluna erişim kısıtlı mı?
4. Kaç tane yönetici var? Gereksiz kullanıcılar aktif mi?
5. Hesap koruması ve şifre şifreleme (müşteriler ve yöneticiler için): Standart mı, özelleştirme mi? 2 faktörlü Auth?
6. (Son) Magento sürümü kullanıldı mı?
7. Magento Güvenlik Yamaları uygulanıyor mu?
8. Uzaktan erişim için gerekli olan özel kök seviyeli klasörler / scriptler?
9. Test / aşamalandırma sistemine erişim (varsa) kısıtlandı mı?
10. Web servisleri, ithalat / ihracat işlevlerini kullanıyor mu?
11. Kaç tane Web servis rolü var? Gereksiz roller aktif mi?
12. Yüklü uzantıların listesi
13. Yüklü uzantılar güncel mi?
14. PCI-DSS, güvenilir mağazalar veya başka bir etiket var mı?
15. Oturum / Çerez liftetime?
16. Sadece Magento'yu çalıştırın. (Wordpress veya başka bir üçüncü taraf yazılımı yok)
17. Depolanan veriler: Ne tür müşteri ve sipariş verileri (ayrıca 3. taraf ve özelleştirilmiş uzantılardaki veriler) saklanır? Banka verileri, kredi kartı verileri (bkz. PCI-DSS)?

Sistem güvenliği

1. PHP versiyonu: son sürüm mü eski mi?
2. Dosya izinleri: www-data / apache kullanıcısı veya root olarak mı çalışıyorsunuz?
3. Uygun dosya izinleri ayarlandı mı?
4. Belirli bir veritabanı kimlik bilgileri ile kök olarak çalışan veritabanına mı ihtiyacınız var?
5. SSH / SFTP erişimi? Anahtar tabanlı kimlik doğrulaması?
6. (Düzenli) OS, PHP + modülü güncellemeleri ve güvenlik güncellemeleri hakkında barındırma sağlayıcılı SLA?

organizasyon

1. Sistem (güvenlik) güncellemelerinden kim sorumludur?
2. Canlı sunucuya kim erişebilir?
3. Canlı dükkana kimler erişebilir?
4. Kod nerede barındırılıyor? Kim çıplak repo ve itme erişimine erişimi var?
5. Mevcut yazılım geliştirme süreci neye benziyor? Sahneleme / test etme / canlı hale getirme kodunu dağıtmadan önce kod incelemeleri ve otomatik kontroller yapılmış mı?
6. Düzenli olarak herhangi bir güvenlik testi veya güvenlik denetimi yapıldı mı?
7. Düzenli bir yedekleme var mı? Eğer öyleyse, dış mı?
8. Mağazanın / şirketin büyüklüğüne bağlı olarak: İş sürekliliği ve / veya Kurtarma planları var mı?

/ Downloader / klasörünüzün güvenli olduğundan emin olun. Dünyadaki en uzun parolaya sahip olabilirsiniz, ancak dünyadaki tüm zamanlara sahip olduğumda kullanıcı bilgilerinizi indirme sayfanızda zorlamak için zorlarsam, sonunda onu alacağım. Başka bir şey de sunucu dizinleri liste yapamam emin olmaktır. Eğer listeleniyorlarsa, sunucu içeriğinizi Google’da kolayca açıp taramaya başlayabilirim. İnsanların web sunucularında depoladığı hassas bilgi miktarına şaşıracaksınız.

Anna Volk'in listesini genişletmek için bu liste tipik olanın üstünde ve ötesinde

• İçerik Güvenliği Politikası (Doğru şekilde uygulandığında, XSS'yi imkansız kılar)
• HSTS (HTTP Sıkı Taşımacılık Güvenliği)
• SELinux uygun ayarlanmış bağlamlarda.
• otomatik sistem güvenliği güncellemeleri için yüklenen yum-cron / katılımsız güncelleme