我正在尝试决定是使用 Magento 还是创建自己的平台,我想知道安全性。Magento 的代码是否包含某种蛮力保护?如果不是,这不重要吗?
问问题
1719 次
3 回答
3
保护您的 Magento 商店免受暴力攻击。按照以下步骤。
Apache 服务器用户
要将管理面板的 IP 地址列入白名单,请在根 .htaccess 文件(内部
<IfModule mod_rewrite.c>)中添加以下规则
RewriteCond %{REMOTE_ADDR} !^xx.xx.xx.xx
RewriteRule ^(index.php/)?admin/ - [L,R=403]
要将 RSS 提要的 IP 地址列入白名单,请在根 .htaccess 文件中添加以下规则(在
<IfModule mod_rewrite.c>):
RewriteCond %{REMOTE_ADDR} !^xx.xx.xx.xx
RewriteRule ^(index.php/?)?rss/ - [L,R=403]
要将下载器应用程序的 IP 地址列入白名单,请在 ./downloader/.htaccess 文件中添加以下规则:
order deny,allow
deny from all
allow from xx.xx.xx.xx
于 2017-02-20T09:28:44.917 回答
2
所以我知道这是一个旧线程,但我发现它正在寻找有关如何保护 Magento 免受暴力攻击的答案。自 2012 年以来,情况发生了变化,因此我想指出寻找有关 Magento 安全信息的人们(希望)是正确的方向。
似乎 Magento 终于决定不再忽视 Magento 网站上越来越多的暴力攻击的问题,因此他们发布了一份关于如何保护 Magento 免受此类攻击的推荐步骤的官方列表:https ://magento.com/security /best-practices/protect-your-magento-installation-password-guessing
托管公司也开始提供解决方案来阻止这些黑客尝试,从阻止和黑名单 IP 到安装过滤软件。
还有几个安全扩展,包括大量的两因素身份验证。在我看来,目前可用的最完整的安全扩展是 ExtensionsMall 的 MageFence。这是 Magento Connect 上的链接:magentocommerce[.]com/magento-connect/catalog/product/view/id/30596/。它具有许多有用的功能,例如扫描您的网站以查找恶意软件和漏洞,在多次失败的登录尝试后阻止 IP 地址,并且它与两因素身份验证模块一起提供。您还可以查看ExtensionsMall 网站上的 MageFence 页面以了解所有信息该模块将帮助您修补安全漏洞。
于 2016-04-20T13:07:36.653 回答
0
Magento 唯一的强力保护是在礼品卡的情况下。当在那里抛出异常时,Magento 会隐藏真正的异常消息(但将其放在日志中)并显示“错误的礼品卡代码”消息。
在登录表单方面,Magento 没有蛮力保护。
如果在决定是使用 Magento 还是编写自己的平台时,这对您来说是一个重要因素,请记住您可以编写自己的 Magento 模块来引入一些蛮力保护。这将比编写具有类似于 Magento 功能的自己的平台更省时。
我在 Magento Connect 上进行了快速搜索,发现了一个提供蛮力保护的扩展。这是: http: //www.magentocommerce.com/magento-connect/market-ready-germany.html。您可以使用Freegento 网站下载它,并查看代码以获取有关如何制作类似内容的线索。
于 2012-09-23T10:44:51.850 回答