Magentoセキュリティパンチリスト

27

別の会社からサイトを取得することは非常に頻繁であり、現在はコードのコングロマリと、サイトで作業した数十人の人々に悩まされています。Magentoサイトが強化されていることを確認するために、セキュリティ担当者に依頼するアイテムのパンチリストを探しています。これは、誰かがすべてのコードに対して全責任を負い、クライアントがゼロから再構築したくない場合に必要になります。

私の質問:質問して文書化するアイテムのトップ10リストまたはトップ20リストはありますか?

security 
ブレント
ソース

回答:

39

私の経験から、これらはセキュリティの観点から新しい店を引き継ぐときに情報を得るための重要なものです。このリストはまだ順序付けられておらず、完全ではありません。リストの作業を続けます。

Magentoのセキュリティ

  1. HTTPSが使用されている(店舗全体、チェックアウト専用)
  2. カスタム管理パス?
  3. 管理パスへのアクセスが制限されていますか?
  4. 管理者は何人ですか?不要なユーザーはアクティブですか?
  5. アカウント保護とパスワート暗号化(顧客と管理者向け):標準ですか、それともカスタマイズですか?2要素認証?
  6. (最新)Magentoのバージョンを使用しましたか?
  7. Magentoセキュリティパッチが適用されていますか?
  8. リモートからアクセスする必要があるカスタムルートレベルのフォルダー/スクリプト?
  9. テスト/ステージングシステム(利用可能な場合)へのアクセスが制限されていますか?
  10. Webサービス、インポート/エクスポート機能を使用しましたか?
  11. Webサービスの役割はいくつですか?不要な役割はアクティブですか?
  12. インストールされた拡張機能のリスト
  13. 最新の拡張機能をインストールしましたか?
  14. PCI-DSS、信頼のお店、その他のラベルはありますか?
  15. セッション/ Cookieのリフト時間?
  16. Magentoのみを実行します。(Wordpressまたはその他のサードパーティソフトウェアはありません)
  17. 保存されるデータ:どのような種類の顧客および注文データ(およびサードパーティおよびカスタマイズされた拡張機能からのデータ)が保存されますか?銀行データ、クレジットカードデータ(PCI-DSSを参照)?

システムセキュリティ

  1. PHPバージョン:最新バージョンですか、それとも古いバージョンですか?
  2. ファイル許可:www-data / apacheユーザーまたはrootとして実行していますか?
  3. 適切なファイル許可が設定されていますか?
  4. 特定のデータベースクレデンシャルとルートとして実行されているデータベースを購入しますか
  5. SSH / SFTPアクセス?キーベースの認証?
  6. (通常の)OS、PHP +モジュールの更新、およびセキュリティの更新に関するホスティングプロバイダーとのSLA

組織

  1. システム(セキュリティ)更新の責任者は誰ですか?
  2. 誰がライブサーバーにアクセスできますか?
  3. ライブショップにアクセスできるのは誰ですか?
  4. コードはどこでホストされていますか?誰がベアレポジトリとプッシュアクセスにアクセスできますか?
  5. 現在のソフトウェア開発プロセスはどのようなものですか?コードをステージング/テスト/ライブにデプロイする前に、コードレビューと自動チェックが行われていますか?
  6. セキュリティテストまたはセキュリティ監査が(定期的に)行われていますか?
  7. 定期的なバックアップはありますか?もしそうなら、それは外部ですか?
  8. ショップ/会社の規模に応じて:事業継続および/または復旧計画はありますか?
アンナ・フォルクル
ソース
1
グッドリスト@Anna Volki :)
アミットベラ
4
私のバグの1つは、独自の管理フロント名を宣言するサードパーティモジュールです。(ストアに拡張子があることがわかっている場合)それらは、おそらく秘密のフロント名が何であるかを解決することを可能にします!
ピーターオキャラハン
3

/ downloader /フォルダーが安全であることを確認してください。あなたは世界で最も長いパスワードを持つことができますが、もし私があなたのダウンローダーページであなたのユーザー情報をブルートフォースするために世界中で常に持っているなら、私は最終的にそれを手に入れるつもりです。もう1つは、サーバーディレクトリがリストを許可しないようにすることです。リストに掲載されている場合、Googleでサーバーのコンテンツを簡単に取得して、ブラウジングを開始できます。Webサーバーに保存されている機密情報の量には驚くでしょう。

notmyfirstrodeo
ソース
ダウンローダーフォルダを削除することをお勧めします...何のために必要ですか?
brentwpeterson
1
削除するのではなく、htaccessルールによってdownloader / *にアクセスするユーザーをホームページにリダイレクトします。
カルペシュ
3

アンナボルクのリストを拡張するために、このリストは典型的なものを超えています

  • コンテンツセキュリティポリシー(適切に実装すると、XSSは不可能になります)
  • HSTS(HTTP Strict Transport Security)
  • コンテキストが適切に設定されたSELinux。
  • 自動システムセキュリティアップデート用にインストールされたyum-cron / unattended-updates
レイ・フォス
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.