PDF de programación - Guía básica de seguridad en Magento

Título de la Guía (campo editable)

1





Autor: David Cantón Araujo

Esta guía ha sido elaborada con la colaboración de Daniel Fírvida Pereira, Elena García
Díez y Antonio López Padilla.



Junio 2014

La presente publicación pertenece a INTECO (Instituto Nacional de Tecnologías de la Comunicación) y está bajo una licencia
Reconocimiento-No comercial 3.0 España de Creative Commons. Por esta razón está permitido copiar, distribuir y comunicar
públicamente esta obra bajo las condiciones siguientes:

•

Reconocimiento. El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y
haciendo referencia expresa tanto a INTECO o INTECO-CERT como a su sitio web: http://www.inteco.es . Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.
Uso No Comercial. El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso
no tenga fines comerciales.

•


Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede
no aplicarse si se obtiene el permiso de INTECO-CERT como titular de los derechos de autor. Texto completo de la licencia:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/

GUÍA BÁSICA DE SEGURIDAD DE MAGENTO



2

SOBRE LA GUÍA


SOBRE EL COMERCIO ELECTRONICO

2.1
2.2

Contexto actual

Plataformas de comercio electrónico

Distribución de las plataformas de comercio electrónico
Magento

2.3



SERVICIOS DE HOSTING

3.1
3.2

Selección de la modalidad de hosting
Requisitos técnicos



INSTALACIÓN

4.1
4.2
4.3
4.4



Requisitos previos de software
Instalación de Magento

Instalación del certificado SSL
Consideraciones generales de las extensiones de magento



INDICE

1

2

3

4

5

6

7



4


5

5

6

7

8


9

9

9


11

11

11

17

18


19

19

20
21

21


SEGURIDAD EN EL SERVIDOR WEB

5.1



Permisos de archivos
Revisar los permisos tras actualizaciones o instalación de extensiones
Limitar el acceso a la zona de administración

Robots.txt



5.2

GENERACIÓN DE COPIAS DE SEGURIDAD



EXTENSIONES DE SEGURIDAD DE MAGENTO
7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9

ET IP Security

Improved admin security

Improved admin security 2.0

Magepim PhpIDS security integration

Enhanced Admin Security: Two-Factor Authentication

Admin Logger

MageBackup - Backup Solution Lite

AutoBackup

MagePlace Backup Extension



24


27

27

27

27

27

28

28

28

29

29


GUÍA BÁSICA DE SEGURIDAD DE MAGENTO



3



1 SOBRE LA GUÍA

El objeto de esta guía básica de seguridad en Magento1
es describir una forma clara y sencilla los
principales aspectos que se deben de tener en cuenta en la instalación segura de la plataforma de
comercio electrónico Magento.

Para ello, en la guía se desarrollan las principales recomendaciones de seguridad a considerar al
establecer una tienda electrónica en esta plataforma, incluyendo cuestiones relacionadas con la
selección del proveedor de hosting y la instalación de la plataforma Magento, así como aspectos de
configuración segura del servidor web, la generación de copias de respaldo y las principales
funcionalidades de seguridad disponibles como extensión de Magento.

El presente documento no incluye el bastionado de todos los aspectos, que se deben tener en
cuenta por los administradores de los sistemas, para la explotación de un entorno de producción
más allá de los más estrictamente relacionados con Magento. Para obtener más información se
puede consultar la sección de guías de INTECO2
.


1
http://magento.com/
2 http://inteco.es/guias_estudios/guias/

GUÍA BÁSICA DE SEGURIDAD DE MAGENTO



4



2 SOBRE EL COMERCIO ELECTRONICO

CONTEXTO ACTUAL

2.1
Hoy en día, la importancia del comercio electrónico o eCommerce es indiscutible, una vez se ha
superado la desconfianza inicial sobre esta nueva forma de venta. Tanto los nuevos comercios
como los ya establecidos ven Internet como una gran oportunidad de ventas con una importante
fuente de clientes potenciales que no pueden olvidar.

En el año 2012, según estimaciones de eMarketer3, los ingresos mundiales debidos al comercio
electrónico alcanzaron los 740 mil millones de euros,y apuntan una tendencia ascendente en los
próximos años. Según estudios de la consultora Morgan Stanley4
, el comercio mundial electrónico
crecerá un 50% para el 2016, llegando a suponer más de un 9% de todo el volumen de ventas
mundial.

Ilustración 1.- Volumen de ventas en comercio electrónico. (Fuente: Morgan StanleyBlue Paper: eCommerce

Disruption - A Global Theme)

En el caso de España, el informe de comercio electrónico IT 20135 de la CMT (Comisión del
Mercado de las Telecomunicaciones6
) muestra que en el primer trimestre del 2013 el comercio
electrónico alcanzó un volumen de negocio de 2.822,6 millones de euros, lo que supuso un 15,1%



3
http://www.emarketer.com/
4 http://www.businessinsider.com/morgan-stanley-ecommerce-disruption-2013-1?op=1
5 http://www.cmt.es/informes-de-comercio-electronico
6 http://www.cmt.es/

GUÍA BÁSICA DE SEGURIDAD DE MAGENTO



5

más que en el mismo trimestre de 2012, con un total de 43,5 millones de operaciones. De estos
datos se desprenden perspectivas de crecimiento también en España para los próximos años,
convirtiéndo el comercio electrónico, en un factor fundamental a tener en cuenta para el
crecimiento y expansión del comercio7
.



Ilustración 2.- Evolución trimestral del volumen de negocio del comercio electrónico y variación interanual

(millones de euros y porcentaje). (Fuente: Informe de comercio electrónico IT 2013 de la CMT)

PLATAFORMAS DE COMERCIO ELECTRÓNICO

2.2
Dentro de este contexto, uno de los principales actores en la venta a través de Internet son las
plataformas digitales para el comercio electrónico, las cuales básicamente son aplicaciones web
desarrolladas específicamente para el comercio o venta a través de Internet. Entre las principales
características de las plataformas de comercio electrónico destacan:

 Catálogo de productos. Las plataformas suelen facilitar la creación, categorización y

mantenimiento de los productos que se desean vender en la tienda.

 Personalización de la apariencia de la tienda, ya que no tendría ninguna ventaja de

marketing que todas las tiendas fuesen iguales y no pudiesen diferenciarse.

 Soporte de transacciones bancarias como medio de pago en la tienda, este soporte
puede ser a través de pasarelas de pago electrónico para realizar transacciones con tarjetas
de crédito, mediante transferencia bancaria o interoperabilidad con otros sistemas como
Paypal8
.


7
http://www.cmt.es/informes-de-comercio-electronico
8 https://www.paypal.es/

GUÍA BÁSICA DE SEGURIDAD DE MAGENTO



6



 Gestión de pedidos. Muchas aplicaciones para eCommerce aportan facilidades para el

envío y seguimiento de las mercancías.

 Creación de informes y estadísticas sobre la tienda.

Todas estas funcionalidades han de prestarse en un marco de seguridad adecuado a la gestión de
transacciones y datos propias de una plataforma de comercio electrónico. Así, su diseño debe
contemplar la capacidad para afrontar ataques y proteger frente a los mismos los datos tanto de la
compañía como de los usuarios de la plataforma.

Distribución de las plataformas de comercio electrónico

Dentro de las plataformas de comercio electrónico se pueden encontrar aplicaciones propietarias y
de código abierto, siendo estas últimas las que predominan en las instalaciones existentes. En la
ilustración 3 se incluye la distribución del mercado de las plataformas de comercio electrónico, en
ella se puede observar como las cinco primeras copan aproximadamente el 75% de las alternativas
existentes.

Ilustración 3.- Estudio de plataformas de comercio electrónico en base a Alexa. (Fuente: aheadworks9
)

El modelo de negocio de las aplicaciones de comercio de código abierto está basado en la venta
del soporte de la aplicación y en la venta de plugins o extensiones que mejorarán y añaden nuevas
funcionalidades.



9 http://blog.aheadworks.com/2013/07/ecommerce-platforms-survey-who-rules-olympus-these-days-and-who-will-
gain-power-in-the-future/

GUÍA BÁSICA DE SEGURIDAD DE MAGENTO



7

2.3 MAGENTO
Como la plataforma de comercio electrónico más extendida en la actualidad, Magento se ha
convertido en un referente en su sector, consiguiendo ser una de las principales opciones a la hora
de crear una tienda virtual.

Las principales características de Magento son las siguientes:



 escalabilidad y alto rendimiento, permitiendo que los sistemas puedan crecer en función de

la evolución de la demanda.
fidelización de clientes y marketing online, que permiten desarrollar estrategias comerciales
para afianzar la cartera de clientes, pudiendo gestionar descuentos, cupones, ofertas, etc.



 gran disponibilidad de opciones gracias a los plugins tanto de Magento, Inc.10

como de

terceros desarrolladores.

 Y evolución continua, impulsada por su posición predominante en número de instalaciones

y a la gran comunidad que hay detrás del producto que incluye empresas como


ebay11
.

Su nivel de difu