Magento beschermen tegen een Brute force aanval (NL)


Tags: Magento

Om in te loggen in je Magento back-end zijn URL’s die eindigen op /admin en /downloader behoorlijk standaard. Dit betekent dat als de magento management interface (de backend van je Magento shop) beschikbaar is via de /admin url (bijvoorbeeld yourdomain.com/admin/), dit de kans op Brute force aanvallen vergroot. In dit artikel wordt uitgelegd hoe je jouw Magento shop beveiligt tegen Brute force aanvallen.

Wijzig pad naar /Admin

Het pad naar de administrator van Magento is standaard admin. Dit is natuurlijk voor iemand met kwaad in de zin erg makkelijk te raden. Het is daarom verstandig deze te wijzigen naar iets dat minder voor de hand ligt. Je kunt dit doen door binnen je Magento installatie app/etc/local.xml te bewerken. Dit kan via de Shell server of door het door middel van FTP te downloaden en te bewerken. Zie voor meer informatie: Shell of FTP.

  1. Open het local.xml bestand
  2. Zoek het volgende gedeelte op:
<admin>   
<routers>     
<adminhtml>       
<args>          
<frontName>admin</frontName>       
</args>     
</adminhtml>   
</routers>
</admin>
  1. Pas “admin” tussen <frontName> en </frontName> aan naar het gewenste pad van je admin. Gebruik uitsluitend letters en geen speciale tekens of cijfers.
  2. Zodra je dit gedaan hebt, moet je de Magento cache legen en dan kun je naar de admin met het nieuwe pad.

Beveilig de /downloader en /rss/catalog map

Magento gebruikt de /downloader map om programma’s te installeren via de Connect Manager. Aangezien dit een standaard URL binnen magento is, is het ook vaak een doelwit voor Brute force aanvallen. Wij raden aan om deze map of te verwijderen of enkel specifieke IP-adressen toegang tot deze map te geven. Hetzelfde geldt hierbij voor de rss/catalog map. Ook deze URL is standaard in Magento en een doelwit voor Brute force aanvallen. Hieronder geven we voor zowel Magento Dedicated clusters (.htaccess) en Hypernode pakketten (Nginx)aan hoe je IP-adressen kunt blokkeren

Magento Dedicated Clusters (Apache)

Navigeer naar de /downloader en /rss/catalog map en voeg op beide locaties in het .htaccess bestand de volgende regels toe:

order deny,allow
deny from all
allow from x.x.x.x

Pas x.x.x.x aan naar het IP-adres dat wel toegang mag tot de /downloader

Aangezien de /RSS URL op meerdere manieren te bereiken is het niet mogelijk om hierop te filteren via Apache. We raden daarom aan om Magento te updaten naar de laatste versie en RSS uit te zetten.

Hypernode (Nginx)

Heb je een Hypernode pakket, maak dan in de Nginx map (/data/web/nginx) het bestand server.downloader aan en plaats hierin de volgende regels:

location /downloader/ {
  allow x.x.x.x;
  deny all;

  location ~ \.php$ {
    echo_exec @phpfpm;
  }
}

Vervang hierbij de x.x.x.x naar het IP-adres dat wel toegang mag tot de /downloader map.

Voor de /rss/catalog map maak je het bestand server.rss aan in de Nginx map en plaats hierin de volgende regels:

location /rss/catalog {
  allow x.x.x.x;
  deny all;

  location ~ \.php$ {
    echo_exec @phpfpm;
  }
}

Vervang hierbij de x.x.x.x naar het IP-adres dat wel toegang mag tot de /rss/catalog map

Amasty Improved Layered Navigation (Magento 1)

Heb je een Magento 1 shop en gebruik je de Amasty extensie dan kan je shop kwetsbaar zijn voor bruteforce aanvallen als je een  lekke versie van de Improved Layered Navigation plugin gebruikt. Probeer het volgende pad te bezoeken: /amshopby/adminhtml_filter (bijvoorbeeld www.voorbeeld.nl/amshopby/adminhtml_filter). Als je geredirect wordt naar je admin login pagina, zorg er dan voor dat je de toegang tot dit pad beperkt tot 1 of enkele IP adressen. De instructies staan hierboven.

 

2