Magento Security Punch list

Muitas vezes, escolhemos um site de outra empresa e agora estamos presos a um conglomerado de código e, potencialmente, a dezenas de pessoas que trabalharam em um site. Estou procurando uma lista detalhada de itens a serem solicitados a uma pessoa de segurança para garantir que o site Magento seja reforçado. Isso seria necessário se alguém assumisse total responsabilidade por todo o código e o cliente não quisesse reconstruir do zero.

Minha pergunta: existe uma lista dos 10 ou 20 melhores itens a serem solicitados e documentados?

Pela minha experiência, essas são coisas importantes para obter informações sobre a aquisição de uma nova loja do ponto de vista da segurança. Esta lista ainda não foi encomendada e completa, continuarei a trabalhar na lista.

Magento Security

1. HTTPS usado (em toda a loja, apenas para checkout)?
2. Caminho de administrador personalizado?
3. Acesso ao caminho do administrador restrito?
4. Quantos administradores? Algum usuário desnecessário está ativo?
5. Proteção de conta e criptografia de senha (para clientes e administradores): padrão ou personalização? Autenticação de 2 fatores?
6. (Mais recente) versão Magento usada?
7. Patches de segurança Magento aplicados?
8. Pastas / scripts personalizados no nível da raiz que são necessários para serem acessados ​​remotamente?
9. Acesso ao sistema de teste / estadiamento (se disponível) restrito?
10. Serviços da Web, funcionalidade de importação / exportação usada?
11. Quantas funções de serviço da Web? Alguma função desnecessária ativa?
12. Lista de extensões instaladas
13. Extensões instaladas atualizadas?
14. PCI-DSS, lojas confiáveis, qualquer outra etiqueta?
15. Hora de levantamento da sessão / cookie?
16. Execute apenas o Magento. (Sem Wordpress ou qualquer outro software de terceiros)
17. Dados armazenados: que tipo de dados de clientes e pedidos (assim como dados de extensões personalizadas e de terceiros) são armazenados? Dados bancários, dados do cartão de crédito (consulte PCI-DSS)?

Sistema de segurança

1. Versão PHP: versão recente ou antiga?
2. Permissões de arquivo: Executando como usuário ou root www-data / apache?
3. Conjunto de permissões de arquivo adequadas?
4. Compre credenciais de banco de dados específicas versus execução de banco de dados como raiz?
5. Acesso SSH / SFTP? Autenticação baseada em chave?
6. SLA com provedor de hospedagem sobre SO (regular), atualizações de módulo PHP + e atualizações de segurança?

Organização

1. Quem é responsável pelas atualizações do sistema (segurança)?
2. Quem tem acesso ao servidor ativo?
3. Quem tem acesso à loja ao vivo?
4. Onde o código está hospedado? Quem tem acesso ao repositório simples e acesso push?
5. Como é o processo de desenvolvimento de software atual? Existem revisões de código e verificações automáticas antes de implantar o código no teste / teste / ao vivo?
6. Existe algum teste ou auditoria de segurança (regularmente)?
7. Existe um backup regular? Se sim, é externo?
8. Dependendo do tamanho da loja / empresa: Existem planos de continuidade de negócios e / ou recuperação?

Verifique se a sua pasta / downloader / está segura. Você pode ter a senha mais longa do mundo, mas se eu tiver todo o tempo do mundo para forçar de forma bruta suas informações de usuário na sua página de download, acabarei obtendo-a. Outra coisa é garantir que os diretórios do servidor não possam ser listados. Se eles estiverem listando, posso facilmente acessar o conteúdo do servidor no Google e começar a navegar. Você ficaria surpreso com a quantidade de informações confidenciais que as pessoas armazenam em seus servidores web.

Para expandir a lista de Anna Volk, essa lista vai além do que é típico

• Política de segurança de conteúdo (quando implementada corretamente, torna o XSS impossível)
• HSTS (HTTP Strict Transport Security)
• SELinux com contextos definidos corretamente.
• yum-cron / atualizações autônomas instaladas para atualizações automáticas de segurança do sistema