我一直在寻找使Magento尽可能安全的技巧。我找到了这个http://magplazza.com/2010/06/top-4-security-tips-for-your-magento-store-that-can-be-done-easily/,但我想知道是否有人有更多的提示或链接,如上面的那个......或者Magento开箱即可。 (我已经用WordPress做了很多工作,并且有很多事情可以做到香草WordPress以保护它,所以我假设Magento也会有一些)
编辑: 注意:下面的评论者提出了上述链接中包含的信息质量的一些问题。
答案 0 :(得分:4)
1)很明显。
通过覆盖adminhtml模块的frontName更适当地更改 2)。这是在Magento安装期间或通过编辑admin/routers/adminhtml/args/frontName中的app/etc/local.xml节点随时完成的。顺便说一句,admin frontName或admin URL应该总是除了/ admin之外的东西 - 它是机器人攻击最便宜的障碍。
3)是可怕的建议。密钥不会暴露任何内容,应该减轻POST攻击。
4)是这篇文章中唯一有价值的东西。
除此之外,其他一切都归结为标准的Web服务器安全性。定期修补您的安装,定期修补软件,尽可能使用sFTP。
我可以添加的唯一Magento特定建议是确保在安装之前查看任何第三方模块。
答案 1 :(得分:2)
还有一件好事是在您的管理位置设置基于Web服务器的登录/密码,为您的管理员添加额外的安全层或将管理员设置为只能访问一组特定的IP 。尽可能保持操作系统,PHP,Apache和MySQL的最新状态,以防止在Magento本身范围之外利用这些服务。
http://addoa.com/blog/ten-tips-keeping-your-magento-store-secure
答案 2 :(得分:0)
在安装过程中设置magento时,选择使用表格前缀的选项也可能有所帮助。然后,当站点受到攻击并使用SQL注入时,攻击者将更难(但并非不可能):)找出SQL查询的正确表名。