Indholdsstyring på platformen er bestemt et af de vigtigste steder at være sikker.
Log ind på indholdsstyring
Vores anbefaling er altid at holde content management-referencen unik, fordi ondsindede bots allerede på forhånd kender indstillinger som Admin, Backend, Back, Backendadmin osv. Du kan skrive /lyserødbudding derinde – så længe det ikke er let at gætte. Det er også nemt at forbinde forbindelsen med domænenavnet eller et andet navn, der går igen på hjemmesiden (du kan også udelukke virksomhedens rigtige navn).
Det ville også være bedst at begrænse hele panelet til IP-adresser – det forhindrer også brute-force hacks. Derudover kunne man tilføje VPN-understøttelse, så brugere med dynamiske IP-adresser også kan få adgang til indholdsstyringen (eller gøre det sådan, at kun VPN’er kan få adgang til indholdsstyringen, hvis man ønsker et særligt højt sikkerhedsniveau i virksomheden).
Hvis denne mulighed er udelukket, ville en sikkerhedsboks være en mulighed, hvilket ville tilføje et ubelejligt ekstra trin for robotten. For eksempel ville en Google Captcha fungere godt.
Den bedste kombination ville selvfølgelig være IP-begrænsning + sikkerhedsboks.
Aktiviteter inden for indholdsstyring
Det er også ret almindeligt, at hvis tidligere trin ignoreres, kan robotten komme ind i nogens indholdsstyring og begynde at skabe problemer der. En anden mulighed er, at ballademageren er en (tidligere) medarbejder.
For at holde øje med dette anbefaler vi, at du installerer et aktivitetslogningsmodul til indholdsstyring, der registrerer nøjagtigt, hvilke aktiviteter der blev udført hvornår, og hvad der blev udført.
Derudover kan du også holde styr på, præcis hvad admin-brugerne (de mest privilegerede brugere) laver. For at beskytte dette ville det være nødvendigt enten at logge administratorernes aktivitet på en anden server eller lave en løbende backup af admin audit-tabellen og derefter lave en kopi af den.
En anden mulighed er at begrænse brugerrollerne i Magento, så brugerne kun har adgang til de nødvendige elementer.
For eksempel: Der er en medarbejder i virksomheden, som beriger produkterne, og han/hun har kun brug for at se produkterne – adgang til ordrer og systemindstillinger er ikke nødvendig.
Ud over alt det ovenstående er det tilrådeligt ikke at arbejde under en enkelt bruger, men hver medarbejder skal have sin egen personlige konto.
For eksempel: E-butikken administreres af 5 personer, som altid arbejder fra kontoret. Der er et aktivitetslogningsmodul til indholdsstyring, men medarbejderne bruger alle den samme bruger.
Resultatet: Der er rod i produktberigelsen/leveringen/optegnelserne er gemt forkert osv., men hvem der gjorde det, er ukendt, da loggen viser den samme bruger fra den samme IP og browser.
