Meet Magento © 2009-2015 é uma marca da Meet Magento Association.

Dicas para reforçar a segurança da sua loja virtual Magento

Autor: Equipe de Conteúdo da Trezo
Contato: contato@trezo.com.br

Avanços tecnológicos trazem mais modernidade e praticidade para o nosso dia a dia, mas também nos deixam vulneráveis a certas falhas de segurança. Os vírus, por exemplo, são os mais comuns, principalmente aqueles que encontramos em certos e-mails maliciosos, onde um clique errado pode infectar seu dispositivo e roubar seus dados.

Mas não só de vírus que vive uma brecha na segurança. Recentemente houveram vários casos de empresas de mídia que tiveram roteiros de séries e filmes vazados por hackers, além de episódios inteiros disponíveis na internet antes mesmo de irem ao ar na TV.

No comércio eletrônico, a preocupação é mais latente, pois estamos lidando diretamente com as informações de nossos clientes. E-mails, senhas, endereços, telefones e até mesmo dados de cartão de crédito.

As grandes empresas provedoras de e-mails, e-commerces e redes sociais, se preocupam fortemente com isso, tanto que pesquisas indicam que, nos últimos anos, houve um aumento significativo na busca de profissionais especializados em segurança da informação.

O Magento possui uma estrutura fantástica quando se trata de segurança, porém, aqui vão alguns pontos que merecem atenção:

Não ignore os Patches de Segurança

Quando a equipe do Magento descobre uma vulnerabilidade ou violação de segurança na plataforma, é liberado um novo patch de segurança. Pense nisso como um bloqueio de uma porta aberta em que os hackers podem entrar no seu site. Sem bloquear essa porta, você pode ter convidados indesejados.

Os patches são scripts que atualizam o código nos arquivos principais do Magento. É por isso que nunca se deve mudar nada nestes arquivos: os patches e outras atualizações podem simplesmente não funcionar ou causar sérios bugs.

Existem serviços que notificam quando um novo patch está disponível ou quais as brechas de segurança há seu site, um deles é o MageReport. As notificações também estão disponíveis no site oficial da Magento.

Atualize seus plugins e módulos

Embora o Magento disponha de ótimas funcionalidades, você provavelmente precisará de alguns módulos ou plugins para personalizá-lo e adicionar novos recursos, como uma pesquisa inteligente, recuperação de carrinho e etc.

Esses módulos são criados por diferentes desenvolvedores e empresas e você deve ter cuidado ao escolher entre eles. A maioria dos módulos possui atualizações regulares, com correções de bugs ou de segurança. Por isso, a importância na atualização dos seus módulos.

Faça backup de sua loja regularmente

‘Backup’ é uma palavra constante quando se trata de projetos relacionados a internet, porém não são todos que adotam essa medida. Geralmente a importância do backup só é compreendida quando é muito tarde para restaurar os dados perdidos.

Já diria aquele velho ditado: “É melhor prevenir do que remediar”. Para evitar maiores perdas, é importante criar backups agendados e armazená-los em seus servidores ou usar serviços em nuvem para isso.

Além disso, não se esqueça de verificar a integridade dos seus backups. Tente usar um deles no seu ambiente de testes e veja se funciona conforme o que você esperava.

Alterar URL de login

Todos os sistemas de gerenciamento de conteúdo possuem uma URL de Login padrão e o Magento não é uma exceção. Os hackers usam os chamados ‘ataques de força bruta’ quando acham o painel de login do seu e-commerce, que por padrão será a URL www.seuecommerce.com.br/admin, testando várias senhas e usuários ao mesmo tempo.

O indicado é personalizar este caminho padrão para proteger os dados importantes do seu e-commerce, além de colocar um autenticador como o captcha, por exemplo. Assim, quando um usuário tentar vários usuários e senhas, ele terá que verificar que não é um robô.

Cuidados com seu painel administrativo

Personalizar a URL de login é apenas o primeiro passo para um painel administrativo mais seguro, o que vem a seguir é deixar que somente IPs marcados por você, possam acessar o painel. Isso vai ser um problema caso você tenha um endereço de IP dinâmico, uma solução pra isso seria o uso de VPN. Indicamos conversar com sua equipe técnica para verificar a viabilidade disto.

Ainda falando de login, caso um hacker consiga entrar no seu site, um dos primeiros passos dados por ele será criar várias permissões de usuários no painel administrativo. Geralmente é usado um script para isso, então regularmente, revise as permissões do painel da sua loja, até mesmo para excluir pessoas que já não precisam ter acesso, como ex-fornecedores, ex-funcionários e etc.
Para deixar seu usuário de acesso mais seguro, use uma senha com uma quantidade significativa de caracteres, misturando números, símbolos e letras, trocando regularmente.

Fazer com que seu cliente se sinta seguro

Apesar de se prevenir de várias maneiras, uma brecha de segurança pode passar despercebida aos olhos humanos, porém, existem serviços que fazem a verificação diária, se há scripts maliciosos no seu e-commerce, como o Site Blindado, por exemplo.
Além disso, e-commerce com selos de segurança no rodapé (SSL, Site Blindado e etc) deixam o cliente mais à vontade para preencher suas informações pessoais e de pagamento.

Outro ponto importante é a criptografia do seu site através de HTTPS (HyperText Transfer Protocol Secure). Alguns navegadores, como o Google Chrome, classificam sites em HTTP (HyperText Transfer Protocol) como ‘não seguro’, o que acaba passando uma falta de credibilidade. Então, é importante que seu site tenha, pelo menos, os formulários em HTTPS, onde são compartilhadas informações sensíveis como senhas, endereços e dados de pagamento.

No geral, os procedimentos para garantir a segurança do seu Magento podem levar um tempo, mas uma vez que bem configurado, você somente precisará verificar isso de tempos em tempos.