마 젠토 보안 펀치 목록

우리는 종종 다른 회사에서 사이트를 가져 와서 코드의 집단과 사이트에서 일한 수십 명의 사람들로 갇혀 있습니다. 보안 담당자에게 Magento 사이트의 보안을 강화할 것을 요청하는 항목의 펀치 목록을 찾고 있습니다. 누군가가 모든 코드를 완전히 책임지고 클라이언트가 처음부터 다시 빌드하지 않으려는 경우에 필요합니다.

내 질문 : 상위 10 개 또는 상위 20 개 항목 목록이 있습니까?

내 경험상 이것들은 보안 관점에서 새 상점을 인수 할 때 정보를 얻는 중요한 것입니다. 이 목록은 아직 주문 및 완료되지 않았으므로 계속 목록을 작성하겠습니다.

마 젠토 보안

1. HTTPS를 사용 했습니까 (점포 전체, 체크 아웃 전용)?
2. 맞춤 관리자 경로?
3. 관리자 경로에 대한 액세스가 제한됩니까?
4. 관리자는 몇 명입니까? 불필요한 사용자가 활동하고 있습니까?
5. 계정 보호 및 암호 암호화 (고객 및 관리자 용) : 표준 또는 사용자 정의? 2 단계 인증?
6. (최신) 마 젠토 버전을 사용 했습니까?
7. 마 젠토 보안 패치가 적용 되었습니까?
8. 원격에서 액세스해야하는 사용자 지정 루트 수준 폴더 / 스크립트?
9. 테스트 / 스테이징 시스템 (사용 가능한 경우)에 대한 액세스가 제한됩니까?
10. 웹 서비스, 가져 오기 / 내보내기 기능이 사용 되었습니까?
11. 웹 서비스 역할은 몇 개입니까? 불필요한 역할이 있습니까?
12. 설치된 확장 목록
13. 최신 확장 프로그램을 설치 했습니까?
14. PCI-DSS, 신뢰할 수있는 상점, 기타 라벨?
15. 세션 / 쿠키 리프트 타임?
16. 마 젠토 만 실행하십시오. (워드 프레스 또는 기타 타사 소프트웨어 없음)
17. 저장된 데이터 : 어떤 종류의 고객 및 주문 데이터 (타사 및 맞춤형 확장 프로그램의 데이터)가 저장됩니까? 은행 데이터, 신용 카드 데이터 (PCI-DSS 참조)?

시스템 보안

1. PHP 버전 : 최신 버전 또는 이전 버전?
2. 파일 권한 : www-data / apache 사용자 또는 루트로 실행 중입니까?
3. 적절한 파일 권한이 설정 되었습니까?
4. 루트로 특정 데이터베이스 자격 증명 대 데이터베이스 실행을 구매 하시겠습니까?
5. SSH / SFTP 액세스? 키 기반 인증?
6. (일반) OS, PHP + 모듈 업데이트 및 보안 업데이트에 대한 호스팅 제공 업체와의 SLA?

조직

1. 시스템 (보안) 업데이트는 누가 담당합니까?
2. 누가 라이브 서버에 액세스 할 수 있습니까?
3. 누가 라이브 샵에 액세스 할 수 있습니까?
4. 코드는 어디에 호스팅됩니까? 베어 리포지토리 및 푸시 액세스 권한을 가진 사람은 누구입니까?
5. 현재 소프트웨어 개발 프로세스는 어떤 모습입니까? 준비 / 테스트 / 실시간에 코드를 배포하기 전에 코드 검토 및 자동 검사가 수행됩니까?
6. 보안 테스트 또는 보안 감사가 정기적으로 수행됩니까?
7. 정기적 인 백업이 있습니까? 그렇다면 외부입니까?
8. 작업장 / 회사 규모에 따라 : 비즈니스 연속성 및 / 또는 복구 계획이 있습니까?

/ downloader / 폴더가 안전한지 확인하십시오. 세계에서 가장 긴 암호를 사용할 수는 있지만 전 세계에서 다운로더 페이지에 사용자 정보를 강제로 입력 해야하는 경우 결국에는 암호를 얻습니다. 또 다른 것은 서버 디렉토리를 나열 할 수 없도록하는 것입니다. 그들이 목록에 있다면 Google에서 쉽게 서버 내용을 가져 와서 찾아 볼 수 있습니다. 사람들이 웹 서버에 저장하는 중요한 정보의 양에 놀랄 것입니다.

Anna Volk의 목록을 확장하기 위해이 목록은 일반적인 것보다 뛰어납니다.

• 콘텐츠 보안 정책 (제대로 구현되면 XSS가 불가능 해짐)
• HSTS (HTTP 엄격한 전송 보안)
• 컨텍스트가 올바르게 설정된 SELinux
• 자동 시스템 보안 업데이트를 위해 yum-cron / 무인 업데이트 설치