Embora não haja uma maneira única de eliminar todos os riscos à segurança, há muitas etapas que você pode seguir para proteger suas instalações e torná-las um alvo menos atraente para agentes mal-intencionados. O Guia de práticas recomendadas de segurança do Adobe Magento Commerce oferece uma visão e orientações práticas para ajudar a proteger as instalações do Adobe Magento Commerce de incidentes de segurança.
Magento 2 Segurança
Medidas implementadas pela Adobe no Magento 2 para aumentar o seu nível de segurança:
Gerenciamento de senha aprimorado
O Magento fortaleceu os algoritmos de hash (SHA-256) usados no gerenciamento de senhas. Magento agora suporta Argon2ID13 por meio da extensão PHP sodium, que requer a biblioteca libsodium versão 1.0.13 ou superior.
Prevenção aprimorada de ataques de script entre sites (XSS), tornando os dados de escape o padrão
O Magento Framework adotou convenções que regulam o escape de dados na saída. Estas convenções incluem a capacidade de escapar de saída para HTML páginas (HTML, JSON e JavaScript) e e-mail. Sempre que possível, o escape é transparente para o código do cliente. Consulte Medidas de segurança contra ataques XSS no Guia do desenvolvedor de frontend.
Propriedade e permissões mais flexíveis do sistema de arquivos
A partir da versão 2.0.6, o Magento não define mais explicitamente as permissões do sistema de arquivos. Em vez disso, recomendamos que determinados arquivos e diretórios sejam graváveis em um ambiente de desenvolvimento e somente leitura em um ambiente de produção.
Para fornecer a você uma maneira simples de restringir o acesso ao sistema de arquivos em produção, fornecemos a flexibilidade para restringir ainda mais essas permissões usando um umask .
Para obter uma visão geral, consulte Visão geral de propriedade e permissões.
Para obter detalhes sobre propriedade e permissões em desenvolvimento e produção, consulte Magento propriedade e permissões em desenvolvimento e produção.
Prevenção aprimorada de exploits de clickjacking
O Magento protege sua loja de ataques de clickjacking usando um cabeçalho de solicitação HTTP X-Frame-Options. Para obter mais informações, consulte o cabeçalho X-Frame-Options.
Uso de URL de administrador Magento não padrão
Um URL simples de administrador do Magento torna mais fácil direcionar ataques em locais específicos usando adivinhação automática de senha. Para prevenir contra este tipo de ataque, o Magento por padrão cria um URI de Admin aleatório quando você instala o produto. O comando CLI é fornecido para que você possa ver o URI caso o esqueça. Você também pode usar a CLI para alterar esse URI. Embora o uso de uma URL administrativa não padrão não proteja o site, seu uso ajudará a prevenir ataques automatizados em grande escala. Consulte Exibir ou alterar o URI de administração no Guia de configuração para obter mais informações. Para alterar a URI de acesso ao admin do Magento 2, execute:
php bin/magento info:adminuri
Dúvidas? Posta aí
Um abraço.