mageplaza/module-security

Mageplaza安全扩展

维护者

详细信息

github.com/mageplaza/magento-2-security

源代码

问题

安装数: 79,646

依赖项: 1

建议者: 0

安全: 0

星级: 44

关注者: 8

分支: 19

开放问题: 1

类型:magento2-module

4.0.5 2024-05-31 09:32 UTC

Requires

proprietary eefb2e051dd26c793ba2aae8dd941f169e60c824

This package is auto-updated.

Last update: 2024-09-03 03:09:14 UTC

README

由于Magento存在安全问题,在网店社区中留下了许多疑问。特别是在拥有关键信息和大量交易量的基于Magento的店铺,很容易成为黑帽黑客攻击的理想目标。为了帮助网店防止暴力入侵,Mageplaza开发了安全扩展。

Mageplaza的Magento 2安全扩展使店主能够检测在任何给定时间故意攻击其店铺的IP地址。因此,他们可以及时采取措施防止此问题,例如阻止这些IP地址或向店主发送警告邮件。

Latest Stable Version Total Downloads

重要提示:此版本的Mageplaza安全扩展在Github上免费提供,作为Mageplaza对Magento社区的贡献。此包不包括技术支持。如果您需要对此扩展的技术支持,您将必须从Mageplaza购买许可证。点击此处购买

1. 安全文档

2. 常见问题解答

问:我遇到了错误:Mageplaza_Core已经被定义

答:阅读解决方案:https://github.com/mageplaza/module-core/issues/3

3. 如何安装Magento 2安全扩展

通过composer安装(推荐)

在Magento 2根目录中运行以下命令

composer require mageplaza/module-security
php bin/magento setup:upgrade
php bin/magento setup:static-content:deploy

4. 贡献安全模块

请随意分支并为此模块贡献,创建一个拉取请求,我们将合并您的更改到master分支。

感谢贡献者

5. 安全套件介绍

这是一个容易被忽视的小事实:由于一些模糊的原因,Magento 2没有限制登录尝试的次数,为什么这个潜在的危险没有被认真考虑?前端显示、客户知识、销售额和宝贵的交易数据库都在后端详细记录。因此,很明显,黑客会尽力在您的后端登录中造成严重破坏。结果,您的网站可能会在您没有意识到的情况下同时被许多电脑欺负,由任何Badguy™小组默默地进行。

Mageplaza安全扩展提供了各种选择,让您了解如何确保您的店铺安全。一旦这种无稽之谈进入您的内部后端,您就会立即采取行动。

在免费模块的层面,您可以在轻量级的大小中探索一些基本但不可或缺的配置,您应该尽快将其安装到您的店铺中。

失败的登录尝试限制

大量失败的登录尝试是未授权攻击的第一个迹象。黑客使用的工具会不断尝试,直到输入正确的凭证;因此,如果您不限制一定时间内的尝试次数,这将对您和外部敌人构成危险。

在后台配置中,有一个名为 最大失败登录尝试次数 的字段,可以限制上述危险。根据许多流行的安全限制,理想的最大失败登录尝试次数应限制在5次以下,遵循这个可靠的数字是一种安全的方法。此外,确定这些登录尝试是否可疑的另一个因素是这些入侵尝试所花费的时间。例如,10分钟内5次失败的登录无疑是店主必须注意的不寻常行为。

当您启用此模块时,默认情况下,10分钟会话中允许的失败尝试次数为5次。如果您不知道如何设置保护系统,您可以利用这些默认设置快速设置。

自动警告电子邮件

在Magento 2中,管理员不知道何时达到了安全防线。为了纠正这种被动的局面,Mageplaza安全模块与电子邮件引擎完美集成。此功能中确切的有用之处在于,所有记录的失败登录都会自动发送到您的电子邮件地址。

在警告电子邮件中,您可以查看滥用IP地址及其登录时间详情。

黑名单/白名单IP

黑名单/白名单字段已精心设计并方便地放置在配置中。

在黑名单字段中,为了防止奇怪的IP地址滥用您的后台登录页面,您可以在此字段中列出这些IP地址(一次多个IP或多个IP范围)。现在,店主可以安心,这些被阻止的地址不能再对您的商店进行任何操作。

保留意义,白名单字段用于输入允许的IP地址,检测这些IP地址是否为您的团队或同事的安全认证。

登录日志

如果您经营的是由多个管理员管理的商店,此选项卡将无疑是总结所有登录细节的理想界面。对于每个特定的登录,您可以了解其ID、时间、用户名、IP、浏览器代理、URL和状态(失败或成功)。

安全清单

此模块还附加了后端的安全清单功能。清单技术将一般扫描您的内部齿轮并提供一些可能被视为潜在安全问题的概述。凭借这一特性,您可以及时解决问题,因为有这些方便的建议。

完整功能列表

  • 启用/禁用安全模块
  • 自动警告电子邮件
  • 限制失败登录尝试次数
  • 限制失败登录尝试会话时间
  • 失败登录尝试和允许持续时间的默认设置
  • 黑名单IP以阻止IP地址
  • 白名单IP以允许IP地址
  • 可以对IP地址、多个IP地址或IP地址范围应用操作。
  • 带有登录详细信息的登录日志(ID、时间、用户名、IP、浏览器代理、URL和状态)
  • 仪表板上的最后5次登录
  • 安全清单
  • 特定管理员最后一次登录的时间。
  • 操作日志详情
  • 文件更改报告

6. 安全用户指南

如何使用安全扩展

当进入后端时,您可以在仪表板上查看登录记录。日志显示最新的5次登录,您可以通过点击登录名来查看详细信息。

How to use Magento 2 Security extension

如何配置安全套件

在登录到 Magento 后端后,前往 系统 > 安全。我们将提供以下配置的详细指南

  • 登录日志
  • 清单
  • 配置

How to configure Magento 2 Security Suite

I. 安全套件配置

1.1. 暴力破解保护配置。

按照 Mageplaza > 安全 > 配置 > 通用 > 暴力破解保护

Magento 2 Brute Force Protection

  • 启用 字段中:选择“是”以启用模块。
  • 发送警告邮件到 字段
    • 输入可接收警告邮件的电子邮件地址。
    • 您可以使用逗号 , 分隔多个电子邮件地址。
  • 最大失败登录尝试次数 字段
    • 输入允许的失败登录次数。
    • 启用安全模块时,默认的最大失败登录尝试次数为 5
    • 如果您留空或输入 0,则发生失败登录后,将发送电子邮件。
  • 允许时长 字段
    • 输入表示会话长度的分钟数。在此会话期间,如果达到 最大失败登录尝试次数,将发送警告邮件。
    • 启用安全模块时,默认的允许时长为 10 分钟。
    • 如果您留空该字段或输入 0,即使达到可接受的登录最大次数,也不会发送警告邮件。
  • 电子邮件模板 字段
    • 选择警告邮件的模板。
    • 您可以在 营销 > 电子邮件模板 中编辑/自定义一个。

以下是警告邮件的示例

Magento 2 Security Configuration

1.2. 黑名单/白名单 IP 配置。

Magento 2 Blacklist and Whitelist IPs

  • 黑名单 字段
    • 在此部分填写的所有 IP 地址在访问管理登录页面时都会被阻止。
    • 您可以选择一个 IP 地址、多个 IP 地址、IP 地址范围或多个 IP 地址范围。IP 地址用逗号 , 分隔。
    • 您还可以如下使用通配符掩码阻止 IP 地址
      • 10.0.0. *
      • 10.0. *. *
      • 10.0.0. * - 123.0.0. *
      • 12.3. *. * - 222.0. *. *
  • 标记 *0 - 255 范围内.*
  • 白名单 字段
    • 在此部分填写的所有 IP 地址在访问管理登录页面时都将被允许。
    • 您可以选择一个 IP 地址、多个 IP 地址、IP 地址范围或多个 IP 地址范围。IP 地址用逗号 , 分隔。
    • 您还可以如下使用通配符掩码允许 IP 地址
    • 10.0.0. *
    • 10.0. *. *
    • 10.0.0. * - 123.0.0. *
    • 12.3. *. * - 222.0. *. *
  • 标记 *0 - 255 范围内.*
Blacklist(s) has higher priority than Whitelist(s) which means if a IP address is in the Blacklist, it will be blocked even it's in the Whitelist as well. So please make sure that you've added your IP address in the Whitelist only.

II. 安全清单配置。

清单是一系列概述,指出哪些因素可能是您商店的潜在漏洞。前往 系统 > 安全 > 清单

Magento 2 Security Checklist

  • 检查管理员用户名 复选框中:检查管理员账户的名称,如果默认名称过于明显或常用,则消息将警告店主。
  • 检查验证码 复选框中
    • 检查是否在前端或后端启用了验证码。
    • 如果店主启用了验证码,则通知店主。如果没有,消息将警告店主启用验证码。
  • 检查 Magento 版本 复选框中
  • 检查店主使用的 Magento 版本。如果不是最新版本,清单将警告店主升级到最新版本。
    • 检查数据库前缀 复选框中
    • 检查店主是否使用了数据库前缀。如果没有,清单将警告店主为数据库安全使用它们。
For possible low-key factors that are not good for your security, they will be marked a red X. We'd highly recommend you should upgrade Security module to Professional edition to learn the detail way how to fix it throughoutly.

如果店主使用了数据库前缀,清单将通知他们数据库正在正常运行。

III. 登录日志配置。

magento 2 secure login

点击 查看 查看登录详情。以下是一个示例

magento 2 Login Log

一旦管理员账户超过允许的登录尝试次数(配置在 商店> 设置> 配置> 高级> 锁定账户的最大登录失败次数),系统将向商店所有者发送邮件通知,告知该账户已被锁定。商店所有者应重新审查此情况,以重置安全设置。

magento 2 Login Logs

此外,商店所有者还可以检查特定管理员的最后登录时间。您可以按照 系统> 权限> 所有用户 进行操作。

magento 2 security Login Log

  • 最后登录 列记录了管理员的最新最近登录尝试。
  • IP 地址 列记录了与管理员最新最近登录尝试相对应的 IP 地址。点击 IP 地址,将跳转到 IP 位置 页面。

重置命令行

  • 如果商店管理员错误地将他们的 IP 地址添加到黑名单,可以首先运行以下命令行
bin/magento security:reset blacklist

然后,运行此命令行

bin/magento cache:flush
  • 在运行上述命令行以重置 黑名单 字段之后,您将能够再次访问管理员页面。请注意,现在已重置 黑名单 字段,因此请勿忘记重新输入黑名单 IP。
  • 类似地,可以使用这些命令行重置 白名单
bin/magento security:reset whitelist
bin/magento cache:flush
  • 如果您运行 bin/magento security:reset 命令,则将重置 黑名单白名单

人们还搜索

  • magento 2 安全性
  • magento 2 白名单 IP
  • magento 2 安全扩展
  • magento 2 阻止 IP 地址
  • magento 2 管理员操作日志
  • magento 2 管理员日志
  • magento 2 安全特性
  • magento 2 检查管理员是否已登录
  • magento 2 安全扩展免费
  • magento 2 安全登录
  • magento 2 黑名单与白名单安全
  • magento 2 安全检查
  • magento 2 安全套件