10 Consejos de Seguridad para Magento

Dificultad: Fácil
Tiempo de Lectura: 6 minutos

Hoy vamos a hablar de una de las cosas más importantes que debemos tener en cuenta como webmasters, la seguridad. En esta oportunidad estaremos hablando de la Seguridad en Magento en específico y les estaremos dando diez de los más importantes consejos de seguridad para Magento, para que ésta no sea un problema en nuestro sitio web.

Estos son diez de los tips más importantes que debemos tener en cuenta al tener un sitio en Magento. Aunque cabe destacar, que hay muchos más que podemos tomar en cuenta y que nunca están de más. La seguridad es algo muy importante, más teniendo en cuenta que trabajamos con una Tienda Online y por ende datos muy delicados de clientes. Datos como lo son las tarjetas de crédito, nombre, dirección, etc. Y es por ello que debemos tratarlos como tal, y darle a nuestro cliente la confianza de que nos preocupamos por su privacidad y la seguridad de sus datos.

Consejos de Seguridad para Magento

CMS y Extensiones actualizadas

Una de las cosas a tener en cuenta, que muy a menudo no lo hacemos es tener todo el Software que utilizamos en su última versión. Esto incluye CMS, themes, plugins, extensiones, etc. Cada actualización que es lanzada para dichas aplicaciones no solamente nos traerán nuevas y mejores implementaciones, sino que también, muchas veces nos traen parches de seguridad.

Muchas veces se encuentran vulnerabilidades y se solventan con nuevas actualizaciones y por supuesto, si tu no tienes tu sitio actualizado, entonces cualquier persona malintencionada puede abusar de las vulnerabilidades que éste presenta. Por eso mismo es muy importante recordar que debemos mantener todo actualizado a su última versión a modo de evitar estos inconvenientes.

Utilizar usuarios y contraseñas fuertes

Otro punto que sin duda debía estar en el principio de nuestra lista de consejos de seguridad para Magento, son los tan famosos usuarios y contraseñas. La gran mayoría de nosotros, aún siempre escuchando un sin fin de veces que debemos utilizar un password seguros, no lo hacemos. Lo que realmente no nos damos cuenta es lo tan sencillo que es para un hacker, o básicamente cualquier persona malintencionada, obtener nuestro password si no tomamos ciertos consejos en cuenta.

Es por ello que siempre recomendamos, utilizar letras combinadas entre mayúsculas y minúsculas, así como también números y algún carácter especial. De esta forma, le estaremos haciendo las cosas un poco más difíciles a los posibles hackers y no le estaremos dando los accesos a nuestro sitio en bandeja. Además recordemos también contar con un password de al menos 8 caracteres.

Por otro lado, esto es algo que también debemos tener en cuenta al seleccionar un usuario, ya que ambos son impotentes en cuanto a seguridad se trata. Y como siempre decimos, en caso de pensar que quizás nos olvidaremos de la contraseña, siempre podemos guardarla en nuestra PC, aunque siempre teniendo en cuenta que el archivo deberá estar protegido, pues en archivos de texto plano tampoco es recomendable. Si necesitas generar un password con éstas características y no sabes como, aquí te dejamos un Generador de Passwords fuertes online.

 Cambiar la URL del Administrador

Otro método que nos ayudará con la seguridad de nuestro sitio es cambiar la URL del panel de control de Magento.  Esto nos brindará una capa más de seguridad, ya que no será tan fácil de encontrar.

Para poder llevarlo a cabo, simplemente modificamos el archivo “local.xml“. Este archivo de debería encontrar en el directorio “/app/etc/local.xml“. Aunque primero que nada, antes de modificar algo tan delicado, siempre es bueno hacer un backup de nuestro sitio o bien verificar que contamos con uno reciente.

Allí, deberás localizar el siguiente bloque de código:

<admin>
        <routers>
            <adminhtml>
                <args>
                    <frontName><![CDATA[admin]]></frontName>
                </args>
            </adminhtml>
        </routers>
    </admin>

Y debemos cambiar simplemente lo que hay dentro de “![CDATA[admin]]“, en este caso cambiaríamos “admin” por un nombre rándom, por ejemplo “Lx100Ck“.

Usar Autenticación de Google

Un método que se está utilizando mucho en la actualidad es usar Two Factor Authentication. Algo que sin duda es un cambio para bien en la seguridad, pues nos asegura que para poder acceder a nuestro sitio, deberán contar con nuestro teléfono y más exactamente un código único, que es generado en éste cada 30 segundos.

Este método, es muy utilizado debido a la seguridad que brinda y sinceramente es uno de los que más les recomendamos pues es mucho más seguro, ya que aún si alguien conoce tu password, necesitaría además tu celular para poder acceder a tu cuenta. Para poder activarlo necesitaremos dos cosas. La primera de ellas es contar con la extensión “Two-Factor Authentication” en nuestro sitio y la segunda con la aplicación en nuestro SmartPhone.

Restringir el acceso al área administrativa

Restringir el acceso al área administrativa de nuestro Magento es algo que también debemos aplicar si nos preocupa la seguridad. Para ello debemos tener en cuenta el webserver que estamos utilizando, ya que las reglas a utilizar dependerán de este. Básicamente de lo que hablamos, es colocar un usuario y password a la URL de nuestra administración. De esta forma, solo aquellos que tengan los datos podrán acceder.

Aquí te dejamos un ejemplo de como hacerlo para ambos, Apache y Nginx:

  • Restringir el acceso por Apache:
AuthUserFile /home/usuario/.htpasswd 
AuthGroupFile /dev/null
AuthName "Acceso Restringido"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>

El código de arriba será el que debemos colocar en un .htaccess dentro del directorio a asegurar. También debemos tener en cuenta que debemos crear el archivo .htpasswd , que será el que contendrá nuestro usuario y password. Para lo cual podemos ejecutar el siguiente comando.

htpasswd -c /home/usuario/.htpasswd usuario
  • Restringir acceso por Nginx:
    location /admin {
        try_files $uri $uri/ =404;
        auth_basic "Restricted Content";
        auth_basic_user_file /etc/nginx/.htpasswd;
    }

En Nginx debemos agregar la configuración de arriba, también teniendo en cuenta que debemos crear el archivo .htpasswd y colocarle el path correspondiente. Por otro lado, asegúrate de cambiar “admin” por el nombre del directorio si lo has cambiado.

Utilizar un Certificado SSL

Algo que hemos mencionado anteriormente es el uso de un Certificado SSL. Si duda, será algo que no solamente nos ayudará en cuanto a seguridad sino que además nos dará credibilidad con nuestros clientes y por sobretodo algo que es realmente necesario teniendo en cuenta que nos encontramos hablando de una Tienda Online.

Por esto mismo, es que Instalar un Certificado SSL en nuestra web Magento se encuentra en nuestra lista.

Tener cuidado con Extensiones

Algo que usualmente hacemos y más teniendo en cuenta que estamos hablando de un CMS es instalar demasiadas extensiones. Las extensiones y módulos nos ayudan  en un sin fin de cosas, pero también nos afectan en cuanto a seguridad y performance se trata.

Es por ello mismo que debemos de tener en cuenta varias cosas antes de añadir una nueva a nuestro sitio. Por ejemplo, ¿Realmente necesitamos esta extensión?, ¿Es de una fuente confiable?, ¿No contamos con otra que lleve a cabo el mismo proceso? Estos puntos son muy importantes, recuerda que tener muchas extensiones no es para nada recomendable y mucho menos si se tratan de extensiones de fuentes no confiables o desconocidas.

Asegurar nuestra PC local

Muchas veces no nos damos cuenta, pero la seguridad de nuestra PC local también puede afectar la de nuestro sitio. Es decir, si nos ponemos a pensar, muchas veces es desde nuestro local mismo desde donde subimos archivos, así como también desde donde accedemos.

Es por ello, que mantener nuestra PC segura, nos ayudará también a mantener así nuestro sitio. Por lo que recuerda utilizar un antivirus, hay algunos que son muy buenos y gratis como por ejemplo Avast. Y por supuesto no descargar cosas de fuentes no confiables, con contenido Malicioso o sospechoso. Este es sin dudas uno de los puntos más críticos mencionados en nuestros consejos de seguridad para Magento, pues muchas veces se focaliza la seguridad de la tienda online en la misma tienda, y no fuera como en equipos locales, donde se dan gran parte de las infecciones.

Utilizar FTP seguro

FTP es uno de lo métodos más fáciles para poder subir el contenido a nuestra web, pero es también así uno de los más inseguros. Por ello mismo te recomendamos no utilizar FTP plano, sino que utilices la configuración segura.

De esta forma, los datos no se estarán enviando en texto plano, sino que irán encriptados, incluyendo los de acceso y evitaremos que otras personas los puedan interceptar. Aquí te dejamos una guía sobre Como utilizar FTP de forma segura.

Contratar Hosting de Calidad

Y el último punto de este post, pero uno de los más importantes es: contrata un Hosting de Calidad. El hosting que estemos utilizando, será quien al final definirá que tan segura es nuestra tienda online. De nada nos sirve asegurarla al máximo, si nuestra base no está asegurada. Recuerda contratar un Hosting de calidad, con un proveedor que realmente se preocupe por la seguridad y por que no, con un servidor optimizado para tu CMS.

Todos estos puntos, deberán de estar siempre contigo a la hora de elegir tu proveedor. Nosotros recomendamos los planes de Infranetworking, donde encontrarás Planes para Tiendas Online en Magento, en servidores totalmente optimizados y securizados, y por supuesto con soporte real 24/7 por si tienes algún inconveniente.

Conclusión

Como hemos visto en nuestro post de consejos de seguridad para Magento, hay un sin fin cosas que debemos tener en cuenta al asegurar nuestro sitio Magento. Lo bueno de todo esto igualmente es que sin dudas nos traerá beneficios. Ya que no solamente estaremos tranquilos de que la seguridad no es un problema en nuestro sitio, sino que además nuestros clientes lo podrán estar también. Y recordemos que al evitar tener un sitio Malicioso, también mejoraremos como nos ven los buscadores como Google, por lo que del punto de SEO sin duda será beneficioso también.

¿Conoces otros consejos de seguridad para Magento que vale la pena mencionar? Esperamos tus aportes.


¿Te resultó útil el artículo? Compártelo con tus colegas: