Cert Guia Seguridad Magento
Páginas: 25 (6001 palabras)
Publicado: 3 de mayo de 2015
Título de la Guía (campo editable)
1
Autor: David Cantón Araujo
Esta guía ha sido elaborada con la colaboración de Daniel Fírvida Pereira, Elena García
Díez y Antonio López Padilla.
Junio 2014
La presente publicación pertenece a INTECO (Instituto Nacional de Tecnologías de la Comunicación) y está bajo una licencia
Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razónestá permitido copiar, distribuir y comunicar
públicamente esta obra bajo las condiciones siguientes:
•
•
Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y
haciendo referencia expresa tanto a INTECO o INTECO-CERT como a su sitio web: http://www.inteco.es . Dicho
reconocimiento no podrá en ningún caso sugerir que INTECOpresta apoyo a dicho tercero o apoya el uso que hace de su obra.
Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso
no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede
no aplicarse si se obtiene el permiso deINTECO-CERT como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
GUÍA BÁSICA DE SEGURIDAD DE MAGENTO
2
INDICE
1
SOBRE LA GUÍA
4
2
SOBRE EL COMERCIO ELECTRONICO
5
2.1
Contexto actual
5
2.2
Plataformas de comercio electrónico
6
Distribución de las plataformas de comercio electrónico
7
Magento
8
SERVICIOS DEHOSTING
9
3.1
selección de la modalidad de hosting
9
3.2
Requisitos técnicos
9
2.3
3
4
5
INSTALACIÓN
11
4.1
Requisitos previos de software
11
4.2
Instalación de Magento
11
4.3
Instalación del certificado SSL
17
4.4
Consideraciones generales de las extensiones de magento
18
SEGURIDAD EN EL SERVIDOR WEB
19
5.1
19
Permisos de archivos
Revisar los permisos trasactualizaciones o instalación de extensiones20
5.2
Limitar el acceso a la zona de administración
21
Robots.txt
21
6
GENERACIÓN DE COPIAS DE SEGURIDAD
24
7
EXTENSIONES DE SEGURIDAD DE MAGENTO
27
7.1
ET IP Security
27
7.2
Improved admin security
27
7.3
Improved admin security 2.0
27
7.4
Magepim PhpIDS security integration
27
7.5
Enhanced Admin Security: Two-Factor Authentication
28
7.6Admin Logger
28
7.7
MageBackup - Backup Solution Lite
28
7.8
AutoBackup
29
7.9
MagePlace Backup Extension
29
GUÍA BÁSICA DE SEGURIDAD DE MAGENTO
3
1
SOBRE LA GUÍA
El objeto de esta guía básica de seguridad en Magento 1 es describir de la forma clara y sencilla los
principales aspectos que se deben de tener en cuenta en la instalación segura de la plataforma de
comercioelectrónico Magento.
Para ello, en la guía se desarrollan las principales recomendaciones de seguridad a considerar al
establecer una tienda electrónica en esta plataforma, incluyendo cuestiones relacionadas con la
selección del proveedor de hosting y la instalación de la plataforma Magento, así como aspectos de
configuración segura del servidor web, la generación de copias de respaldo y las principalesfuncionalidades de seguridad disponibles como extensión de Magento.
El presente documento no incluye el bastionado de todos los aspectos, que se deben tener en
cuenta por los administradores de los sistemas, para la explotación de un entorno de producción
más allá de los más estrictamente relacionados con Magento. Para obtener más información se
puede consultar la sección de guías de INTECO 2.
1
2http://magento.com/
http://inteco.es/guias_estudios/guias/
GUÍA BÁSICA DE SEGURIDAD DE MAGENTO
4
2
2.1
SOBRE EL COMERCIO ELECTRONICO
CONTEXTO ACTUAL
Hoy en día, la importancia del comercio electrónico o eCommerce es indiscutible, una vez se ha
superado la desconfianza inicial sobre esta nueva forma de venta. Tanto los nuevos comercios
como los ya establecidos ven Internet como una gran...
1
Autor: David Cantón Araujo
Esta guía ha sido elaborada con la colaboración de Daniel Fírvida Pereira, Elena García
Díez y Antonio López Padilla.
Junio 2014
La presente publicación pertenece a INTECO (Instituto Nacional de Tecnologías de la Comunicación) y está bajo una licencia
Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razónestá permitido copiar, distribuir y comunicar
públicamente esta obra bajo las condiciones siguientes:
•
•
Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y
haciendo referencia expresa tanto a INTECO o INTECO-CERT como a su sitio web: http://www.inteco.es . Dicho
reconocimiento no podrá en ningún caso sugerir que INTECOpresta apoyo a dicho tercero o apoya el uso que hace de su obra.
Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso
no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede
no aplicarse si se obtiene el permiso deINTECO-CERT como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
GUÍA BÁSICA DE SEGURIDAD DE MAGENTO
2
INDICE
1
SOBRE LA GUÍA
4
2
SOBRE EL COMERCIO ELECTRONICO
5
2.1
Contexto actual
5
2.2
Plataformas de comercio electrónico
6
Distribución de las plataformas de comercio electrónico
7
Magento
8
SERVICIOS DEHOSTING
9
3.1
selección de la modalidad de hosting
9
3.2
Requisitos técnicos
9
2.3
3
4
5
INSTALACIÓN
11
4.1
Requisitos previos de software
11
4.2
Instalación de Magento
11
4.3
Instalación del certificado SSL
17
4.4
Consideraciones generales de las extensiones de magento
18
SEGURIDAD EN EL SERVIDOR WEB
19
5.1
19
Permisos de archivos
Revisar los permisos trasactualizaciones o instalación de extensiones20
5.2
Limitar el acceso a la zona de administración
21
Robots.txt
21
6
GENERACIÓN DE COPIAS DE SEGURIDAD
24
7
EXTENSIONES DE SEGURIDAD DE MAGENTO
27
7.1
ET IP Security
27
7.2
Improved admin security
27
7.3
Improved admin security 2.0
27
7.4
Magepim PhpIDS security integration
27
7.5
Enhanced Admin Security: Two-Factor Authentication
28
7.6Admin Logger
28
7.7
MageBackup - Backup Solution Lite
28
7.8
AutoBackup
29
7.9
MagePlace Backup Extension
29
GUÍA BÁSICA DE SEGURIDAD DE MAGENTO
3
1
SOBRE LA GUÍA
El objeto de esta guía básica de seguridad en Magento 1 es describir de la forma clara y sencilla los
principales aspectos que se deben de tener en cuenta en la instalación segura de la plataforma de
comercioelectrónico Magento.
Para ello, en la guía se desarrollan las principales recomendaciones de seguridad a considerar al
establecer una tienda electrónica en esta plataforma, incluyendo cuestiones relacionadas con la
selección del proveedor de hosting y la instalación de la plataforma Magento, así como aspectos de
configuración segura del servidor web, la generación de copias de respaldo y las principalesfuncionalidades de seguridad disponibles como extensión de Magento.
El presente documento no incluye el bastionado de todos los aspectos, que se deben tener en
cuenta por los administradores de los sistemas, para la explotación de un entorno de producción
más allá de los más estrictamente relacionados con Magento. Para obtener más información se
puede consultar la sección de guías de INTECO 2.
1
2http://magento.com/
http://inteco.es/guias_estudios/guias/
GUÍA BÁSICA DE SEGURIDAD DE MAGENTO
4
2
2.1
SOBRE EL COMERCIO ELECTRONICO
CONTEXTO ACTUAL
Hoy en día, la importancia del comercio electrónico o eCommerce es indiscutible, una vez se ha
superado la desconfianza inicial sobre esta nueva forma de venta. Tanto los nuevos comercios
como los ya establecidos ven Internet como una gran...
Leer documento completo
Regístrate para leer el documento completo.