Seguridad en Magento

tips.jpg
Solucionex
10
Jul 15

Cuando ponemos en producción un proyecto web, debemos asegurarnos de que ciertos aspectos de seguridad se cumplan.

En el caso de Magento existen una serie de comprobaciones que debemos realizar para controlar la seguridad en nuestra tienda.

Permisos de los ficheros

Debemos asegurarnos de que los permisos de los ficheros sean los correctos, lo más recomendable para realizar esta tarea es tener un acceso SSH a nuestro hosting.

Los permisos que debemos tener son los siguiente:

  • Directorios: 775
  • Ficheros: 664
  • Fichero local.xml: 600

Para ajustar los permisos, nos situaremos en la carpeta del proyecto Magento y usaremos los siguientes comandos:

  • find . -type d -exec chmod 775 {} \;
  • find . -type f -exec chmod 664 {} \;
  • Para el caso del fichero local: chmod 600 app/etc/local.xml

Usuario admin

Debemos evitar el uso del usuario admin, los ataques de fuerza bruta, tratan de atacar utilizando los nombre más comunes de usuarios y claves, poner un nombre de usuario con admin, facilitará este tipo de ataques.

Evitar el acceso a downloader

La entrado a Magento Connect es una posible entrada de ataques, para evitar el ataque por esta vía podemos renombrar la carpeta downloader por otro nombre. Este proceso puede dar algunos problemas con las actualizaciones vía Mage.

Cambio de la URL de entrada al backend de nuestra tienda

Del mismo modo que debemos evitar el uso de nombres de usuario como admin, debemos evitar usar la URL nuestrodominio.xxx/admin ya que es la entrada por defecto de la instalación de Magento.

Para cambiar esta URL, debemos editar el fichero local.xml (app/etc/local.xml) y cambiar la siguiente línea: , sustituyendo admin por la palabra que queramos usar en nuestra URL.

Esperamos que estos trucos o consejos de seguridad en Magento os sean de utilidad, existen otros muchos para reforzar la seguridad de vuestro sitio que podréis encontrar en la web.