Innholdshåndtering på plattformen er absolutt et av de viktigste stedene å sikre seg.
Logg inn på innholdsstyring
Vi anbefaler at du alltid holder innholdsadministrasjonsreferansen unik, fordi ondsinnede roboter allerede på forhånd kjenner til alternativer som Admin, Backend, Back, Backendadmin osv. Du kan skrive /rosapudding der – så lenge det ikke er lett å gjette. Det er også enkelt å knytte forbindelsen til domenenavnet eller et annet navn som går igjen på nettstedet (du kan også utelukke selskapets virkelige navn).
Det beste ville være å begrense hele panelet til IP-adresser – dette forhindrer også brute-force-hacking. I tillegg kan du legge til VPN-støtte, slik at brukere med dynamiske IP-adresser også får tilgang til innholdsadministrasjonen (eller gjøre det slik at bare VPN-er får tilgang til innholdsadministrasjonen, hvis du ønsker et spesielt høyt sikkerhetsnivå i bedriften).
Hvis dette alternativet er uaktuelt, kan en sikkerhetsboks være et alternativ, noe som vil legge til et ubeleilig ekstra trinn for roboten. For eksempel kan en Google Captcha fungere godt.
Den beste kombinasjonen er selvfølgelig IP-begrensning + sikkerhetsboks.
Aktiviteter innen innholdsstyring
Det er også ganske vanlig at roboten kan komme seg inn i noens innholdsadministrasjon og begynne å gjøre ugagn der hvis tidligere trinn ignoreres. En annen mulighet er at ugjerningsmannen er en (tidligere) ansatt.
For å holde et øye med dette anbefaler vi at du installerer en loggmodul for innholdsstyring som registrerer nøyaktig hvilke aktiviteter som ble utført når og hva som ble gjort.
I tillegg kan du også holde oversikt over nøyaktig hva admin-brukerne (de mest privilegerte brukerne) gjør. For å beskytte dette må du enten logge administratorens aktivitet på en annen server eller ta en kontinuerlig sikkerhetskopi av admin-revisjonstabellen og deretter lage en kopi av den.
En annen mulighet er å begrense brukerrollene i Magento slik at brukerne bare har tilgang til de elementene de trenger.
For eksempel: Det er en ansatt i bedriften som beriker produktene, og han/hun trenger bare å se produktene – tilgang til ordrer og systeminnstillinger er ikke nødvendig.
I tillegg til alt det ovennevnte er det tilrådelig å ikke jobbe under en enkelt bruker, men hver ansatt bør ha sin egen personlige konto.
For eksempel: Nettbutikken administreres av 5 personer som alltid jobber fra kontoret. Det finnes en modul for logging av innholdsstyringsaktiviteter, men alle de ansatte bruker samme bruker.
Resultatet: Produktberikingen/leveransen er ødelagt/oppføringer er feil lagret osv., men hvem som har gjort det er ukjent ettersom loggen viser samme bruker fra samme IP og nettleser.
