Em outubro, o Portal G1 divulgou uma matéria sobre roubo de dados de cartão de crédito em lojas virtuais Magento.
No texto, que você pode ler aqui, o jornalista e colunista Altieres Rohr conta detalhes sobre o alerta feito pelo programador holandês Willem de Groot em seu blog. Por lá, foram listados 5.925 sites que tiveram sua segurança comprometida e, aproximadamente, 216 são brasileiros (terminados em .br).
Groot também explicou como o processo acontece: na hora da conversão, um código incluso pelos hackers identifica os dados digitados e os remetem a um site externo mantido pelos invasores. Dessa maneira, a fraude fica restrita à loja virtual, sem que haja nenhuma instalação no dispositivo do cliente.
Sobre isso, o jornalista ainda ressalta que a ocorrência tem como motivo principal a falta de atualização do Magento para as versões atuais. E, por aqui, concordamos!
Por isso, listamos os principais cuidados que você deve ter em relação à segurança do seu e-commerce. Afinal, ninguém vai querer confiar informações ao seu site se ele for inseguro e, olha, isso também é identificado pelo Google, o que prejudica a sua credibilidade no seu principal habitat: a internet.

Dicas de segurança para lojas virtuais Magento

Para facilitar a leitura, de forma com que as informações sejam arquivadas da melhor maneira em sua memória, enumeramos os principais cuidados que você deve ter em relação à segurança da sua loja virtual Magento.

Atualize o Magento para a versão atual

Podemos dizer que atualizar o Magento para a versão atual está no topo da lista. Desde a sua criação, a plataforma passou por diversas transformações e nenhuma foi à toa.
A cada nova versão, um item é acrescentado ou melhorado. Por isso, atualizá-lo, de forma constante, é essencial! Esse cuidado corrigirá problemas, manterá seu banco de dados estável e, consequentemente, aumentará a segurança.
Fique atento às atualizações recentes e busque implementá-las. Atualmente, o Magento está em sua versão 2.1.

Obtenha o Certificado SSL (SSL/HTTPS)

O momento do envio de dados envolve riscos caso a sua conexão não seja criptografada. Mas como fazer isso?
O Magento oferece o certificado de segurança SSL (SSL/HTTPS) e é por meio dele que ocorrerá a criptografia. Para obtê-lo, vá na opção URLs seguras e clique em configuração.
É importante ressaltar que ter o SSL é fundamental para que a sua loja virtual Magento seja compatível com os requisitos de segurança do PCI, que é o padrão de segurança de dados da Indústria de cartões de pagamento.

Adote o SFTP Secure

Uma das formas mais conhecidas para hackear um site é por meio de senhas FTP. Por isso, aposte em códigos elaborados compostos por números, letras maiúsculas e minúsculas e caracteres especiais.
Além do cuidado citado acima, é aconselhável o uso de um SFTP (Secured File Transfer Protocol), que funciona como uma chave privada na hora da autenticação do usuário.

Cautela com as permissões de diretório do Magento

Os diretórios do Magento são as pastas do sistema. Cada uma delas permitem administrações em três níveis que vão desde o responsável pelo controle da loja virtual, passando por pessoas que ajudam a manter o site até a opção “todos”.
Sobre isso, normalmente, iniciantes em Magento costumam administrar as pastas incorretamente, o que traz vulnerabilidade à loja virtual. Por isso, aconselhamos que você contrate uma equipe especializada em Magento, assim não haverá riscos de invasões.
Lembre-se: hackers conhecem muito bem como o Magento funciona, então é preciso saber blindar os diretórios do sistema.

Inclua o backup em sua rotina

Essa é uma dica básica, porém esquecida por muitos! De nada adianta seguir todas as medidas de segurança se o seu backup não for realizado. E mais: ele precisa ser feito com frequência.
Sobre isso, aconselhamos os backups externos, de hora em hora, e backups para download. Dessa maneira, se houver algum problema em seu sistema, você estará preparado para não perder arquivos e dados.
Você também pode armazenar os documentos de backup por meio de um provedor online voltado para essa finalidade.

Personalize o seu painel de administração

Talvez você, e muitos outros empresários de e-commerce, administram a loja virtual por meio da url: www.seusite.com/adm. Isso acontece por ser mais fácil, claro, mas também pela falta de orientação sobre os perigos dessa prática.
O que acontece é que ao fazer esse caminho, sua conta vira alvo dos invasores, já que esse acesso é muito óbvio. Muitas vezes o login permanece como “admin” e a senha, se for fraca, será achada facilmente por robôs programados para essa busca.
Para evitar esse problema, personalize o seu painel. Veja o passo a passo:

  • Encontre no sistema: /app/etc/local.xml
  • Busque por <! [CDATA [admin]]>
  • Troque o termo “admin” por outra palavra ou código

Escolha uma boa hospedagem

Um plano de hospedagem com recursos ampliados vai favorecer a administração e a segurança da sua loja virtual.
Escolha por um serviço que não limite os seus recursos e atenda suas demandas de maneira eficaz. Com certeza, você não quer que o seu e-commerce fique fora do ar devido o aumento de tráfego em época de promoção, não é mesmo?
Aqui na Bertholdo, usamos a Amazon Web Services (AWS), uma das alternativas mais seguras do mercado.

Contrate empresas de segurança

Existem empresas especializadas em manter a segurança do seu e-commerce. Então, essa opção sempre será uma das melhores alternativas.
Grandes lojistas têm um selo de qualidade, geralmente localizado no rodapé, que comprova a sua credibilidade. Nesse selo, além de identificarem o cuidado com a segurança, há uma data de verificação em que o sistema foi verificado pela última vez (em geral, eles verificam diariamente).
Então, se puder, invista nessa ideia. Você não terá arrependimentos!
Publicado anteriormente no Blog da Bertholdo.

Author

A Bertholdo está há 17 anos no mercado de Tecnologia da Informação. Somos especialistas no desenvolvimento, consultoria e melhoria de lojas virtuais Magento.

Write A Comment

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.