Magento安全嗎? 8招讓你的網站更安全

Magento安全嗎? 8招讓你的網站更安全

jikajika

JIKA Team

2024-08-23

Magento安全Magento安全

Magento的資訊安全歷史

Magento於2008年問世,是一個開源基礎的電子商務解決方案。於2015年推出第二世代—Magento 2。於2018年被Adobe併購後,更名為Adobe Commerce(但全球用戶仍習慣稱Magento)。目前全球有十多萬個網站使用Magento。

早期的Magento時代,會提供單一修護補丁。在Adobe時代則與版本升級結合。以持續更新作為安全防護的主要策略。

然後,偶然會有一些國外新聞傳出。Magento的網站被鎖定攻擊,可能被滲透。可能有人擔心,有人質疑。我們今天以自身過去十年Magento的經驗,分享安全的系統開發及Magento最佳安全實踐。

自身的Magento安全經驗

在過往同業,或來諮詢的朋友裡,普遍的問題就是版本沒升級。

在Magento 1時代,曾有朋友前來求援,因為疑似有客戶資料外流。我協助審視發現,他的系統有三至四年沒更新。(當時版本1.9,但他停留在1.6)。我協助他先作全站掃描,系統升級,並作部份使用流程改造,以期減少資安風險。

或許就有人問,我們的系統五年沒更新,也沒問題,為什麼Magento這麼麻煩?

首先,電子商務是對外系統,所需面對的風險自然和和內部系統不同。

再者,沒發現問題,不表示沒有問題。只是漏洞無人查察。

另外,Magento網站收量龐大,又不乏重量級客戶,因此在新聞價值上較高。(如果只有一個人使用的系統,上新聞比例自然少)

其實,不只Magento,全球資訊網絡也都持續面臨最新威脅。這也是資安顧問常提及的CVE( Common Vulnerabilities and Exposures)公告漏洞和暴露的公告主要內容。

Magento龐大的八項安全資源

在擔心和質疑Magento是否安全之前,我們建議可以先暸解Magento提供的安全資源。有了以下八個資源,讓網站更安全,而Magento做到了。問題是,用戶有沒有善用這些資源。

  1. 定期安全公告:針對全球最權威的資訊安全組織NVD(National Vulnerability Database)所揭露的最新全球資訊安全公共漏洞與暴露(CVE),隨時發布更新,並提供對應的防護程式。如以下即為2024年8月13日公告(筆者撰文前釋出,並立即安全團隊針對JIKA模組進行升級) [來源]    

  2. 版本更新說明: 針對各版本,提供包含安全性在內的版本升級說明,例如前述對應的Magento 2.4.7 P2,除了安全性強化,還將原本的雙因子認證(2FA,後台管理員登入管理時使用)修正了錯誤次數上限及鎖定時間的設定。  [來源]   

  3. 品質(含安全性)修補程式:緊急公共漏洞,也會有單一修補程式提供,以求最快速修復。 [來源]  

  4. 系統安全性升級:不只Magento的修護及升級,系統語言及技術,也能支援到最新。例如2.4.7版就支援到PHP 8.3。 [來源]  

  5. 產品生命週期(最後保固及更新期限):提前規劃產品大升級的計劃。 [來源] 

  6. 公開論壇:提供生態系協作,討論,及更新。及並通問題的分享及討論。 [來源]  

  7. 免費掃描工具:隨時可進行,減少委外的時間及費用,並大幅減少一般掃描工具誤判的情形。 [來源]  

  8. 提前公告更新時程:讓開發者可提前作未來開發計劃。 [來源]  

伊布克產品的實踐

以伊布克集團為例,自行開發的B2B模組-JIKA為例,除符合Magento開發規範,減少個人開發色彩,並也充份掌握上述Magento資源,使用最新版本,並提供一年至少二次的免費版本升級,及不定期的安全性修護。再結合國際主流雲服務,提昇防護力。

伊布克本身並通過了ISO 27001資安認證,也會以自身經驗,協助客戶能在維運網站時符合資安最佳實踐(例如雙因子認證登入)。

怕麻煩,圖方便,是資訊安全的兩大敵人。伊布克服務客戶的心情,是婆婆媽媽,一再提醒。我們也歡迎更多的夥伴,洽詢我們關於這方面知識的分享。

聯繫JIKA