Elenco Punch di sicurezza Magento

È molto spesso che prendiamo un sito da un'altra società e ora siamo bloccati da un conglomerato di codice e potenzialmente dozzine di persone che hanno lavorato su un sito. Sto cercando un elenco completo di elementi da chiedere a una persona di sicurezza per garantire che il sito Magento sia rafforzato. Ciò sarebbe necessario se qualcuno si assumesse la piena responsabilità di tutto il codice e il client non volesse ricostruire da zero.

La mia domanda: esiste un elenco dei primi 10 o dei primi 20 articoli da chiedere e documentare?

Dalla mia esperienza, queste sono cose importanti su cui ottenere informazioni quando si acquisisce un nuovo negozio dal punto di vista della sicurezza. Questo elenco non è stato ancora ordinato e completo, continuerò a lavorare sull'elenco.

Magento Security

1. HTTPS utilizzato (in tutto il negozio, solo per il checkout)?
2. Percorso di amministrazione personalizzato?
3. Accesso al percorso di amministrazione limitato?
4. Quanti amministratori? Tutti gli utenti non necessari attivi?
5. Protezione dell'account e crittografia del passwort (per clienti e amministratori): standard o personalizzazione? Autenticazione a 2 fattori?
6. (Più recente) Versione Magento utilizzata?
7. Patch di sicurezza Magento applicate?
8. Cartelle / script a livello di root personalizzati a cui è necessario accedere da remoto?
9. Accesso al sistema di test / stadiazione (se disponibile) limitato?
10. Servizi Web, funzionalità di importazione / esportazione utilizzate?
11. Quanti ruoli di Webservice? Qualche ruolo non necessario attivo?
12. Elenco delle estensioni installate
13. Estensioni installate aggiornate?
14. PCI-DSS, negozi fidati, qualsiasi altra etichetta?
15. Durata della sessione / cookie?
16. Esegui solo Magento. (No Wordpress o qualsiasi altro software di terze parti)
17. Dati archiviati: quali tipi di dati di clienti e ordini (nonché dati di terze parti ed estensioni personalizzate) vengono archiviati? Dati bancari, dati della carta di credito (vedi PCI-DSS)?

Sicurezza del sistema

1. Versione PHP: versione recente o precedente?
2. Autorizzazioni file: in esecuzione come utente www-data / apache o root?
3. Permessi file corretti impostati?
4. Acquista credenziali di database specifiche rispetto al database in esecuzione come root?
5. Accesso SSH / SFTP? Autenticazione basata su chiave?
6. SLA con provider di hosting su aggiornamenti del sistema operativo (regolari), PHP + e aggiornamenti di sicurezza?

Organizzazione

1. Chi è responsabile per gli aggiornamenti di sistema (sicurezza)?
2. Chi ha accesso al server live?
3. Chi ha accesso al live-shop?
4. Dov'è ospitato il codice? Chi ha accesso al repository nudo e accesso push?
5. Come si presenta l'attuale processo di sviluppo del software? Esistono revisioni del codice e controlli automatici prima di distribuire il codice in staging / test / live?
6. Sono stati eseguiti (regolarmente) test di sicurezza o audit di sicurezza?
7. Esiste un backup regolare? In tal caso, è esterno?
8. A seconda delle dimensioni del negozio / dell'azienda: esistono piani di continuità aziendale e / o di recupero?

Assicurati che la cartella / downloader / sia sicura. Puoi avere la password più lunga del mondo ma se ho tutto il tempo per forzare la forza delle tue informazioni utente sulla tua pagina di download, alla fine le avrò. Un'altra cosa è assicurarsi che l'elenco delle directory del server non possa essere elencato. Se sono in elenco, posso facilmente estrarre i contenuti del tuo server su Google e iniziare a navigare via. Sareste sorpresi dalla quantità di informazioni sensibili che le persone memorizzano sui loro server web.

Per espandere l'elenco di Anna Volk, questo elenco va oltre ciò che è tipico

• Informativa sulla sicurezza dei contenuti (se implementata correttamente, rende XSS impossibile)
• HSTS (HTTP Strict Transport Security)
• SELinux con contesti impostati correttamente.
• yum-cron / unattended-updates installati per gli aggiornamenti automatici della sicurezza del sistema