Magento官方的安全性掃描

對於電商網站來說，安全性問題一直是首要考慮的因素之一，其中包含了會員地址、手機、聯絡方式、購買行為記錄、信用卡資訊……等隱私的機密資料，一但不慎外洩，除了讓客戶資訊暴露在不肖業者的非法運用風險以外，企業也會因違法相關法規而受罰，如此將會衍生出許多對企業客戶雙方不利的問題，因此商家必須不斷的針對安全性進行測試與更新。

 

Magento Security Scan tool是官方釋出的一套免費安全性掃描工具，讓Magento用戶能定期檢測網站，並了解是否有已知的安全性漏洞存在。

 

由上面Magento Security Scan tool之連結即可進入到Magento安全性中心之頁面，此頁面底下則提供Magento釋出的更新封包，供用戶依據掃描工具檢測結果自行下載更新。

1.註冊與登入

在開始進行安全性掃描前首先點選安全性中心頁面之Go to Security Scan並進去註冊用戶，註冊與登入畫面如下：

 

 

2.進入掃描列表

完成註冊並登入後，請點選左邊欄位最下方Security Scan，接著按GO TO SECURITY SCAN進去網站掃描列表頁面

 

 

 

接著你會看到當前所有已加入掃描的Magento網站清單，若想新增網站可由右上角ADD SITE選項進入操作

 

3.網站認證

加入認證編碼

在註冊成為用戶之後，為了證明你是該Magento網站的擁有者（或開發商），必須輸入網站的網址，同時將網站給予的確認代碼設置到網頁上面，如下圖：

詳細操作步驟將遵循上圖右側指令：

1. 輸入網址並產生編碼

2. 複製編碼

3. 登入Magento網站後台

4. 將編碼加進HTML header或footer，方式根據Magento版本1或2而定，本文將以Magento 2來做示範：

    a. 登入後台後從左側管理欄位依序點選CONTENT Design Configuration

 

b. 點選網站旁邊動作指令的edit，此處因Magento允許單一後台多網站管理，因此可根據使用者喜好決定掃描哪些網站。

c. 接著展開HTML Head欄位，並加編碼填入Scripts and Style Sheets表格裡

 

完成後，點選右上角的Save Configuration完成儲存。

 

 

 

5. 儲存後不要忘記刷新Magento的Cache，然後點選Verify Confirmation Code完成驗證。

 

 

 

設置排程與通知人員

自動掃瞄排程

自動掃瞄排成可依使用者考量設定成每週、每天或是永不自動掃瞄

• 每週掃描排成可自由選擇星期幾的哪個時段，時間區域則依據全球國家做區分

• 每日掃描則直接依據一日24小時為單為做設定

• 也可完全不啟用定期掃描，僅在需要時手動掃描網站

 

 

手動掃描的方式為進入掃描列表，選取右側Action欄位之Run Scan，而掃描結果將藉由點擊Reports底下的View Report來做檢視

 

 

下圖即為掃描結果的表格，分別以掃描結果、群組、掃描名稱、掃描細節等表格呈現。

 

如此一來便可知道自己的Magento網站存在著哪些安全性的潛在風險與漏洞，並請相關開發人員或廠商針對這些問題進行改善，亦可聯絡歐斯瑞—專業的Magento開發商！

想了解更多Magento請見Magento教學導覽