Algumas dicas que podem te ajudar a evitar ou parar ataques de força bruta no Magento 1 e 2.
O que é um ataque de força bruta?
Todo sistema de acesso restrito é acessível através do conjunto nome de usuário / senha e um ataque de força bruta significa tentar adivinhar o conjunto por meio de inumeras tentativa e erro.
Os ataques de força bruta estão se tornando muito comuns nos dias de hoje.
A maioria dos sites por padrão estão vulnerareis a tais tipos de ataques.
Se você utiliza a plataforma Magento 1, há por padrão, alguns diretórios localizados em /admin e /downloader que podem ser explorados e atacados de várias maneiras. Por serem caminhos padrões do Magento, os hackers podem facilmente encontrá-los e lançar um ataque de força bruta.
Em tal ataque, as senhas aleatórias são testadas automaticamente, até que uma seja bem sucedida.
Já falando especificamente sobre o Magento 2, temos importantes melhorias na questão de segurança, porém todos os sistemas estão sujeitos a ataques, mesmo os protegidos por avançados sistemas de captcha, como: O novo captcha da Google
Para alterar o caminho para o painel administrativo, siga as instruções de acordo com a versão do Magento utilizada.
Edite o arquivo /app/etc/local.xml (XML: admin -> routers -> adminhml -> args -> frontName).
Você verá o seguinte valor: admin, altere apenas o “admin” para o novo caminho desejado, ex: “gere060708”.
Agora atualize o cache do Magento: Sistema -> Gerenciamento de Cache -> Liberar Cache do Magento
Este passo não é necessário, pois o Magento 2 gera um caminho aleatório para backend durante a instalação.
Captcha é a melhor solução contra ataques de força bruta no Magento 1 e 2.
O que é um Captcha?
CAPTCHA é um acrônimo da expressão “Completely Automated Public Turing test to tell Computers and Humans Apart” (teste de Turing público completamente automatizado para diferenciação entre computadores e humanos): um teste de desafio cognitivo, utilizado como ferramenta anti-spam
Magento 2
Habilitar o Captcha no Admin: Sim
Selecione em Formulários ambas as opções, salve e atualize o Cache.
Magento 1
Acesse: Sistema > Configurações > Avançado > Admin
Habilitar o Captcha no Admin: Sim
Selecione em Formulários ambas as opções, salve e atualize o Cache.
Tutorial completo de como habilitar captcha Magento 1
Habilitar captcha no formulario de Contato no Magento
Muitas lojas utilizam como principal usuário administrativo da loja, o usuário admin.
Este é um problema de segurança para a sua loja Magento.
Recomendamos que você altere o usuário da conta do administrador para um nome pessoal, seu apelido ou seu endereço de e-mail.
Uma das formas mais simples e eficaz de evitar ataques de força bruta no Magento é com a utilização de senhas fortes nas contas dos usuários administrativos da loja.
O que uma senha forte DEVE ter:
O que uma senha forte NÂO deve ter:
Quanto mais forte for a senha, menores serão as chances dela ser acertada por um ataque de força bruta.
Utilize esta ferramenta para gerar senhas fortes e seguras: Gerador de senhas seguras
Magento 1
Edite o arquivo: downloader/.htaccess
Adicione no final do arquivo a seguinte instrução:
order deny,allow deny from all allow from x.x.x.x
Altere o valor de x.x.x.x para o seu IP.
Constantemente o Magento está sendo atualizado.
Muitas dessas atualizações trazem melhorias na parte de segurança e correções de falhas que foram encontradas
Mantenha a sua loja atualiza acompanhando os lançamentos de “patchs” neste link: https://magento.com/tech-resources/download
Vários fatores influenciam no sucesso de um ataque desse tipo.
A sua loja pode estar sofrendo uma ataque, porém a probabilidade dele ser bem sucedido, por exemplo, devido a complexidade da senha torna o ataque inútil, por isso não se desespere.
É muito Importante que você sempre mantenha a sua plataforma atualizada e esteja analisando periodicamente os logs de acesso do seu servidor.
Conheça mais sobre ataques de força bruta acessando: Ataque de Força Bruta, proteja seu Site, Loja ou Blog!
Segurança: Atualizações frequentes geralmente incluem patches de segurança para corrigir vulnerabilidades identificadas. Ao manter o Magento atualizado, você reduz significativamente…
Como adicionar uma mensagem de Alerta ou Aviso do Admin do Magento 2 Injete o Magento\Framework\Message\ManagerInterface no construtor da sua…
Para exibir as mensagens adicionadas na classe Magento\Framework\Message\ManagerInterface em um arquivo .phtml, você pode usar o seguinte código: <?php $objectManager…
Para criar um script no Magento 2 que exporte as categorias para um arquivo XML com o nome da categoria,…
Para definir um vídeo MP4 como plano de fundo em um <div> usando HTML e CSS, você pode seguir estas…
Como desativar o "lastname" no Magento 2 e Adobe Commerce Desativando a obrigatoriedade do campo Execute a SQL abaixo diretamente…
Ver comentários
Olá, como faço para recuperar uma instalação comprometida? Você pode me auxiliar? suporte da empresa que hospeda a minha loja aconselhou que eu instalase a nova versão do Magento, o problema é que não gostaria de perder o cadastro de produtos e clientes que já estão da loja, desde ja muito obrigado!