Magento 安全设置详解

Magento是一款强大的开源网店系统,应用于金融和大型购物商城系统的框架,在安装运行中,必须充分确保系统稳定与安全。英国鱼眼网站设计在为客户提供Magento网站建设以及 Magento网店维护服务的过程中总结出了一些应对各种漏洞和攻击的安全设置,与大家分享。

MAGENTO基础安全设置

1.为自己的数据库加上表前缀。
Magento安装过程中就能自己设置。这个表前缀不要.一类符号,为了以后更好的识别,建议用XX_这样的格式比较好。另,修改了表前缀,可能会引起一些插件的BUG,因为它们可能是基于无前缀的表的初始化。

2.修改MAGENTO后台地址。
这个在安装过程中,也可以设置到。为了安全,可以设置大小写数字混合的地址。

3.修改downloader地址。
一般都会修改后台地址,而忽略了downloader地址的不在少数。对于没有修改过这项的,域名加DOWNLOADER后直接可以进入Magento Connect。但是也听说过,修改这个后。会引起一些插件在线安装上的BUG。建议是学会如何手工安装后,把这个文件包给关掉。或者增加一个FORLDER PROTECT密码,也可以试试。

4.后台使用与域名不同的复杂用户名以及密码.
后提密码必须超过8位,然后大小写带数字。再带1-2个数字上的怪符号,那基本很安全了。

5.修改ftp,ssh密码,不要与域名相关,切英文数字混杂。
这个其实说到底,就是应该是服务器方面的安全问题,和Magento本身的关系不大,但是也不可以忽视。

6.使用ssl访问后台以及checkout页面。
用SSL的话。需要买证书,费用来说会有提升,按个人情况来考虑了。

7.对于app/etc/local.xml 文件在安装后,设置CHMOD为644。

通过以上的设置,你的网站基本上能防止初级以及中级的黑客了。以下的方法比较复杂,能防范更高级的安全问题。

MAGENTO高级安全设置

1.修改类名,以及url。
此剑一出,高级黑客也没办法,明明知道有漏洞,却只能干瞪眼。

2.重写以及分析第三方扩展的安全性。
特别对于API和插件等功能,要仔细过滤代码或者自己编写,可以有效提升安全系数。

3.web DB分离。
更改默认文件放置位置,一些不必要的文件夹,不要放在public下,有效保证数据库的安全。这个似乎在Magento2的版本,官方已经引用了这个思路。所以Magento2会越来越安全,但是得明年第4季度才会上线,只要地球没毁灭,大家可以期待。

4.修改Magento密码的加密方式。
Magento默认是MD5加密的,大家可以稍做修改。可以用多层嵌套加密来做,有点技术含量。

5.限制访问后台IP,公司统一用VPN进入,以及人员内部安全问题
这招对于外贸公司上不错,后台IP只对自己公司开放,公司外的地方都不能登陆,也可以同时设置SSH,CPANEL等重要后台管理页面。
还有1%,就要从自己公司内部解决了,可能会存在内部人员对用户密码泄露等情况。可以用Magento本身的后台管理权限来有效的控制,专职人员对应专用区域。

以上是鱼眼设计总结的MAGENTO安全设置方法,希望能为广大外贸公司以及相关人员提供帮助。