Consejos útiles para una buena seguridad de tu Magento
La seguridad siempre ha sido un elemento muy importante de tener en cuenta cuando se trata de tu tienda de comercio electrónico. Por esto vamos a dar algunos consejos básicos para proteger nuestras tiendas.
1- Nombre de administrador y password
En primer lugar debemos usar un nombre que no sea “admin” o “administrador” y tampoco el nombre de nuestra tienda, es demasiado predecible para los ataques. Además la contraseña debe ser fuerte, siempre es bueno utilizar combinación de letra mayúscula y minúsculas con números y caracteres especiales de teclado.
Quizas vá a ser difícil de recordar pero es segura y si alguien nos quiere hackear lo tendrá más complicado. Para ayudarnos podemos utilizar algún buen programa para recordar password cómo LastPass o 1Password. Son muy cómodos y siempre es mejor no dejar passwords por nuestro computador.
Para cambiar la password en Magento debemos ir a Sistema > Mi Cuenta y editar la información de nuestro account.
2- Cambiar la URL para acceder al login del panel de control
Por defecto nosotros accedemos al nuestro panel de control desde misitio.cl/admin. Esto es demasiado fácil para los hackers que ya saben donde empezar, buscamos una solución para hacerle esta tarea más difícil.
Vamos en cambiar la configuración en Sistema > Configuración y nos vamos a Administrador dentro de Avanzado.
En Admin Base URL le ponemos Use Custom Admin Path “SI” y en “Custom Admin Path” escribimos lo que nos parezca más necesario como por ejemplo: mipaneldecontrol
3- Eliminar la clave secreta para las URL
Es importante no dar ninguna información adicional sobre datos interesantes, por esto debemos esconder la clave secreta desde la URL. Esta clave determina una clave única en cada sesión que nos conectamos con el backend de Magento.
Para cambiarla nos vamos a “Seguridad” y en “Add Secret Key to URLs” le ponemos NO.
4- Copia de seguridad
Debemos hacer copias de seguridad periódicas de todos los archivos y de las bases de datos de Magento. De esta manera si nos pasa algo siempre podemos volver a la versión anterior gracias a nuestro respaldo.
5- Actualizar
Cuando llega una nueva versión estable de Magento es siempre mejor actualizar. Muchas actualizaciones viene con soluciones de diversos tipos, incluyendo problemas de seguridad.
6- Permisos de archivos
Aseguremonos que los archivos de Magento y sus carpetas tengan los permisos correctos. Los archivos deben tener permisos de 644 y 755 las carpetas.
7- Utiliza un sistema SSL para el login
SSL (Secure Sockets Layer) es un protocolo de red que se utiliza para cifrar la transmisión de datos entre el servidor y el cliente. Esto evita las escuchas y la exposición de información. Si quieres que tu tienda Magento pueda utilizar el protocolo SSL primero necesitas un certificado SSL privado que se contrata en una empresa de hosting.
Después de tener un certificado SSL, desde tu panel de administración de Magento se puede optar por utilizar SSL para el backend de tu sitio y/o de su interfaz.
Para hacerlo debes ir a Sistema > Configuración, luego en Web en Seguro “Usar URLs seguras en el Frontend” pon SI.
Si por cualquier causa, olvidaste el admin path, te equivocaste o no puedes entrar tras hacerlo, puedes volver atrás:
============Paso 1=======================
En phpmyadmin busca ‘core_config_data’ ve a la pestaña de ‘examinar’ y en las cabeceras pulsas sobre ‘path’ para ordenar por este campo. En la columna de ‘path’ busca y elimina los siguientes registros:
admin/url/use_custom
admin/url/custom
web/secure/base_url
web/unsecure/base_url
==========Paso 2=========================
En /public_html/var/cache/ borra los directorios:
mage–0 hasta mage–f
==========Paso 3=========================
En /app/etc/ comprueba que el fichero local.xml
tiene la linea:
Esto soluciona el error. El admin vuelve a estar operativo 100% con todas sus características operativas.