Algumas dicas que podem te ajudar a evitar ou parar ataques de força bruta no Magento 1 e 2.
O que é um ataque de força bruta?
Todo sistema de acesso restrito é acessível através do conjunto nome de usuário / senha e um ataque de força bruta significa tentar adivinhar o conjunto por meio de inumeras tentativa e erro.
Os ataques de força bruta estão se tornando muito comuns nos dias de hoje.
A maioria dos sites por padrão estão vulnerareis a tais tipos de ataques.
Se você utiliza a plataforma Magento 1, há por padrão, alguns diretórios localizados em /admin e /downloader que podem ser explorados e atacados de várias maneiras. Por serem caminhos padrões do Magento, os hackers podem facilmente encontrá-los e lançar um ataque de força bruta.
Em tal ataque, as senhas aleatórias são testadas automaticamente, até que uma seja bem sucedida.
Já falando especificamente sobre o Magento 2, temos importantes melhorias na questão de segurança, porém todos os sistemas estão sujeitos a ataques, mesmo os protegidos por avançados sistemas de captcha, como: O novo captcha da Google
Medidas que devem ser tomadas
- Caminho personalizado para acesso painel administrativo
- Senha forte e não utilize “admin” como usuário.
- Habilite Captcha
- Proteja o diretório /downloader.
- Proteja o diretório .git.
- Mantenha a sua loja atualizada.
- Habilite também o protocolo HTTPS para painel administrativo.
Caminho personalizado para o painel administrativo
Para alterar o caminho para o painel administrativo, siga as instruções de acordo com a versão do Magento utilizada.
Magento 1
Edite o arquivo /app/etc/local.xml (XML: admin -> routers -> adminhml -> args -> frontName).
Você verá o seguinte valor: <![CDATA[admin]]>, altere apenas o “admin” para o novo caminho desejado, ex: “gere060708”.
Agora atualize o cache do Magento: Sistema -> Gerenciamento de Cache -> Liberar Cache do Magento
Magento 2
Este passo não é necessário, pois o Magento 2 gera um caminho aleatório para backend durante a instalação.
Para configurar um Admin CAPTCHA:
Captcha é a melhor solução contra ataques de força bruta no Magento 1 e 2.
O que é um Captcha?
CAPTCHA é um acrônimo da expressão “Completely Automated Public Turing test to tell Computers and Humans Apart” (teste de Turing público completamente automatizado para diferenciação entre computadores e humanos): um teste de desafio cognitivo, utilizado como ferramenta anti-spam
Magento 2
- No painel de administração, clique em Lojas. Na seção de Configurações, clique em Configuração.
- Selecione Admin em Avançado no painel à esquerda
- Clique na seção “CAPTCHA”
Habilitar o Captcha no Admin: Sim
Selecione em Formulários ambas as opções, salve e atualize o Cache.
Magento 1
Acesse: Sistema > Configurações > Avançado > Admin
Habilitar o Captcha no Admin: Sim
Selecione em Formulários ambas as opções, salve e atualize o Cache.
Tutorial completo de como habilitar captcha Magento 1
Habilitar captcha no formulario de Contato no Magento
Não utilize a conta “admin”
Muitas lojas utilizam como principal usuário administrativo da loja, o usuário admin.
Este é um problema de segurança para a sua loja Magento.
Recomendamos que você altere o usuário da conta do administrador para um nome pessoal, seu apelido ou seu endereço de e-mail.
Criação de Senhas “Fortes”
Uma das formas mais simples e eficaz de evitar ataques de força bruta no Magento é com a utilização de senhas fortes nas contas dos usuários administrativos da loja.
Como criar uma senha “forte”?
O que uma senha forte DEVE ter:
- pelo menos 15 letras
- alternância entre letras maiúsculas e minusculas
- números aleatórios
- símbolos, exemplo “& ¨% $ #”
O que uma senha forte NÂO deve ter:
- conter o login/usuário que é utilizado junto com a senha
- seu nome, nome de um amigo, sobrenome, nome de alguém conhecido
- palavra comum do dicionário
- senhas utilizadas em outros sites/sistemas/redes sociais
- data de nascimento
- padrão de digitação, exemplo: qwertyui ou 123456789
Quanto mais forte for a senha, menores serão as chances dela ser acertada por um ataque de força bruta.
Utilize esta ferramenta para gerar senhas fortes e seguras: Gerador de senhas seguras
Proteja o diretório /downloader
Magento 1
Edite o arquivo: downloader/.htaccess
Adicione no final do arquivo a seguinte instrução:
order deny,allow deny from all allow from x.x.x.x
Altere o valor de x.x.x.x para o seu IP.
Mantenha a plataforma atualizada
Constantemente o Magento está sendo atualizado.
Muitas dessas atualizações trazem melhorias na parte de segurança e correções de falhas que foram encontradas
Mantenha a sua loja atualiza acompanhando os lançamentos de “patchs” neste link: https://magento.com/tech-resources/download
Conclusão ataques de força bruta no Magento
Vários fatores influenciam no sucesso de um ataque desse tipo.
A sua loja pode estar sofrendo uma ataque, porém a probabilidade dele ser bem sucedido, por exemplo, devido a complexidade da senha torna o ataque inútil, por isso não se desespere.
É muito Importante que você sempre mantenha a sua plataforma atualizada e esteja analisando periodicamente os logs de acesso do seu servidor.
Conheça mais sobre ataques de força bruta acessando: Ataque de Força Bruta, proteja seu Site, Loja ou Blog!
Um comentário sobre “Como evitar ataques de força bruta no Magento 1 e 2”