Como evitar ataques de força bruta no Magento 1 e 2

Algumas dicas que podem te ajudar a evitar ou parar ataques de força bruta no Magento 1 e 2.

ataques de força bruta no Magento

O que é um ataque de força bruta?

Todo sistema de acesso restrito é acessível através do conjunto nome de usuário / senha e um ataque de força bruta significa tentar adivinhar o conjunto por meio de inumeras tentativa e erro.

Os ataques de força bruta estão se tornando muito comuns nos dias de hoje.

A maioria dos sites por padrão estão vulnerareis a tais tipos de ataques.

Se você utiliza a plataforma Magento 1, há por padrão, alguns diretórios localizados em /admin e /downloader que podem ser explorados e atacados de várias maneiras. Por serem caminhos padrões do Magento, os hackers podem facilmente encontrá-los e lançar um ataque de força bruta.

Em tal ataque, as senhas aleatórias são testadas automaticamente, até que uma seja bem sucedida.

Já falando especificamente sobre o Magento 2, temos importantes melhorias na questão de segurança, porém todos os sistemas estão sujeitos a ataques, mesmo os protegidos por avançados sistemas de captcha, como: O novo captcha da Google

Medidas que devem ser tomadas

  • Caminho personalizado para acesso painel administrativo
  • Senha forte e não utilize “admin” como usuário.
  • Habilite Captcha
  • Proteja o diretório /downloader.
  • Proteja o diretório .git.
  • Mantenha a sua loja atualizada.
  • Habilite também o protocolo HTTPS para painel administrativo.

Caminho personalizado para o painel administrativo

Para alterar o caminho para o painel administrativo, siga as instruções de acordo com a versão do Magento utilizada.

Magento 1

Edite o arquivo /app/etc/local.xml (XML: admin -> routers -> adminhml -> args -> frontName).

Você verá o seguinte valor: <![CDATA[admin]]>, altere apenas o “admin” para o novo caminho desejado, ex: “gere060708”.

Agora atualize o cache do Magento: Sistema -> Gerenciamento de Cache -> Liberar Cache do Magento

Magento 2

Este passo não é necessário, pois o Magento 2 gera um caminho aleatório para backend durante a instalação.

Para configurar um Admin CAPTCHA:

Captcha é a melhor solução contra ataques de força bruta no Magento 1 e 2.

O que é um Captcha?

CAPTCHA é um acrônimo da expressão “Completely Automated Public Turing test to tell Computers and Humans Apart” (teste de Turing público completamente automatizado para diferenciação entre computadores e humanos): um teste de desafio cognitivo, utilizado como ferramenta anti-spam

Magento 2

  • No painel de administração, clique em Lojas. Na seção de Configurações, clique em Configuração.
  • Selecione Admin em Avançado no painel à esquerda
  • Clique na seção “CAPTCHA”

habilitar captcha admin magento 2

Habilitar o Captcha no Admin: Sim

Selecione em Formulários ambas as opções, salve e atualize o Cache.

Magento 1

Acesse: Sistema > Configurações > Avançado > Admin

habilitando captcha no magento 1

Habilitar o Captcha no Admin: Sim

Selecione em Formulários ambas as opções, salve e atualize o Cache.

Tutorial completo de como habilitar captcha Magento 1

Habilitar captcha no formulario de Contato no Magento

Não utilize a conta “admin”

Muitas lojas utilizam como principal usuário administrativo da loja, o usuário admin.

Este é um problema de segurança para a sua loja Magento.

Recomendamos que você altere o usuário da conta do administrador para um nome pessoal, seu apelido ou seu endereço de e-mail.

Criação de Senhas “Fortes”

Uma das formas mais simples e eficaz de evitar ataques de força bruta no Magento é com a utilização de senhas fortes nas contas dos usuários administrativos da loja.

Como criar uma senha “forte”?

O que uma senha forte DEVE ter:

  • pelo menos 15 letras
  • alternância entre letras maiúsculas e minusculas
  • números aleatórios
  • símbolos, exemplo “& ¨% $ #”

O que uma senha forte NÂO deve ter:

  • conter o login/usuário que é utilizado junto com a senha
  • seu nome, nome de um amigo, sobrenome, nome de alguém conhecido
  • palavra comum do dicionário
  • senhas utilizadas em outros sites/sistemas/redes sociais
  • data de nascimento
  • padrão de digitação, exemplo: qwertyui ou 123456789

Quanto mais forte for a senha, menores serão as chances dela ser acertada por um ataque de força bruta.

Utilize esta ferramenta para gerar senhas fortes e seguras: Gerador de senhas seguras

Proteja o diretório /downloader

Magento 1

Edite o arquivo: downloader/.htaccess

Adicione no final do arquivo a seguinte instrução:

Altere o valor de x.x.x.x para o seu IP.

Mantenha a plataforma atualizada

sempre atualize o Magento

Constantemente o Magento está sendo atualizado.

Muitas dessas atualizações trazem melhorias na parte de segurança e correções de falhas que foram encontradas

Mantenha a sua loja atualiza acompanhando os lançamentos de “patchs” neste link: https://magento.com/tech-resources/download

Conclusão ataques de força bruta no Magento

Vários fatores influenciam no sucesso de um ataque desse tipo.

A sua loja pode estar sofrendo uma ataque, porém a probabilidade dele ser bem sucedido, por exemplo, devido a complexidade da senha torna o ataque inútil, por isso não se desespere.

É muito Importante que você sempre mantenha a sua plataforma atualizada e esteja analisando periodicamente os logs de acesso do seu servidor.

Conheça mais sobre ataques de força bruta acessando: Ataque de Força Bruta, proteja seu Site, Loja ou Blog!

Avalie este artigo!

Clique nas estrelas, para dar uma nota de 1 à 5.

1 estrela2 estrelas3 estrelas4 estrelas5 estrelas (Nenhuma avaliação ainda)
Loading...

Um comentário sobre “Como evitar ataques de força bruta no Magento 1 e 2

  1. Olá, como faço para recuperar uma instalação comprometida? Você pode me auxiliar? suporte da empresa que hospeda a minha loja aconselhou que eu instalase a nova versão do Magento, o problema é que não gostaria de perder o cadastro de produtos e clientes que já estão da loja, desde ja muito obrigado!

Dúvidas? Faça um comentário logo abaixo ou envie uma mensagem clicando aqui.

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *