Magento安全打卡清单

通常，我们从另一家公司那里获取一个站点，而现在，我们陷入了代码的混乱局面，并且可能有数十个人在站点上工作。我正在寻找安全人员要询问的项目清单，以确保Magento网站得到加固。如果有人要对所有代码承担全部责任，而客户端又不想从头开始重建，则需要这样做。

我的问题：是否有前10名或前20名要询问和记录的项目清单？

根据我的经验，从安全的角度来看，这些都是获取有关接管新商店的信息的重要事项。该列表尚未订购和完成，我将继续在该列表上工作。

Magento安全

1. 使用HTTPS（在整个商店中，仅用于结帐）？
2. 自定义管理路径？
3. 限制访问管理路径？
4. 多少个管理员？有不需要的用户活跃吗？
5. 帐户保护和密码加密（针对客户和管理员）：是标准还是自定义？2要素验证？
6. （最新）使用了Magento版本吗？
7. Magento安全补丁已应用？
8. 需要从远程访问的自定义根目录文件夹/脚本？
9. 限制访问测试/分期系统（如果有）吗？
10. Web服务，使用的导入/导出功能？
11. 多少个Web服务角色？有不需要的角色活跃吗？
12. 已安装扩展的列表
13. 是否安装了最新的扩展程序？
14. PCI-DSS，值得信赖的商店，还有其他标签吗？
15. 会话/ Cookie提升时间？
16. 只运行Magento。（没有Wordpress或任何其他第三方软件）
17. 存储的数据：存储了什么样的客户和订单数据（以及来自第三方的数据和定制的扩展名）？银行数据，信用卡数据（请参阅PCI-DSS）？

系统安全性

1. PHP版本：是最新版本还是旧版本？
2. 文件权限：以www-data / apache用户或root用户身份运行？
3. 设置正确的文件权限？
4. 购买特定的数据库凭证与以root用户身份运行数据库？
5. SSH / SFTP访问？基于密钥的身份验证？
6. 与托管提供商进行的SLA关于（常规）OS，PHP +模块更新和安全更新？

组织

1. 谁负责系统（安全）更新？
2. 谁可以访问实时服务器？
3. 谁可以使用现场商店？
4. 代码在哪里托管？谁可以访问裸仓库和推送访问权限？
5. 当前的软件开发过程是什么样的？在将代码部署到暂存/测试/实时运行之前，是否要进行代码审查和自动检查？
6. （定期）进行安全测试或安全审核吗？
7. 有定期备份吗？如果是这样，是外部原因吗？
8. 根据商店/公司规模：是否有业务连续性和/或恢复计划？

确保您的/ downloader /文件夹是安全的。您可以拥有世界上最长的密码，但是如果我有世界上的所有时间在下载页面上强行使用您的用户信息，那么我最终将得到它。另一件事是确保您的服务器目录无法列出。如果他们正在列出，我可以轻松地在Google上提取您的服务器内容并开始浏览。人们对他们存储在其Web服务器上的敏感信息的数量感到惊讶。

为了扩展Anna Volk的列表，此列表超出了典型值

• 内容安全策略（正确实施后，将使得XSS成为不可能）
• HSTS（HTTP严格传输安全性）
• SELinux具有正确设置的上下文。
• 安装了yum-cron /无人值守更新，用于自动系统安全更新