Análisis de seguridad
La Herramienta de análisis de seguridad de Adobe Commerce proporciona supervisión de seguridad gratuita para los sitios de Adobe Commerce y Magento Open Source. La herramienta funciona como un servicio basado en la web al que puedes acceder a través de tu cuenta en línea de Adobe Commerce en account.magento.com.
Cobertura del análisis
La Herramienta de análisis de seguridad funciona a través de protocolos HTTP y HTTPS para detectar malware, identificar vulnerabilidades de seguridad y ayudarle a mantener la postura de seguridad de su tienda. La herramienta está disponible para todos los comerciantes, desarrolladores y personal designado responsable de la seguridad del sitio.
La herramienta de análisis de seguridad proporciona funciones completas de supervisión de la seguridad que le ayudan a mantener un entorno de almacenamiento seguro:
- Obtenga insight en el estado de seguridad en tiempo real de su tienda.
- Reciba sugerencias basadas en las prácticas recomendadas para ayudarle a resolver problemas.
- Programe un análisis de seguridad para que se ejecute semanalmente, diariamente o bajo demanda.
- Ejecute más de 21.000 pruebas de seguridad para identificar malware potencial.
- Acceda a informes de seguridad históricos que rastrean y supervisan el progreso de sus sitios.
- Acceda al informe de análisis que muestra las comprobaciones correctas y fallidas, con las acciones recomendadas.
Acceso
La herramienta de análisis de seguridad mantiene estrictos controles de acceso para proteger la información del sitio. Solo usted puede analizar su sitio porque la herramienta requiere la verificación de la propiedad del dominio a través de su cuenta de Adobe Commerce. Cada sitio se conecta a su cuenta a través de un token único, lo que evita el análisis no autorizado por parte de terceros.
La herramienta se centra específicamente en los dominios de Adobe Commerce y sus vulnerabilidades de seguridad. Aunque su tienda web puede incluir páginas de otras plataformas, la herramienta de análisis de seguridad solo debe analizar el contenido generado por Adobe Commerce para garantizar resultados fiables. El análisis de páginas que no son de Adobe Commerce puede producir evaluaciones de vulnerabilidad poco fiables.
Ejecutar un análisis
El proceso de digitalización comprueba el sitio en busca de problemas de seguridad conocidos e identifica las revisiones y actualizaciones de Adobe Commerce que faltan y que podrían dejar el almacén vulnerable a ataques.
Para ejecutar un análisis:
-
En la página de inicio de Commerce, inicia sesión en tu cuenta de Commerce/Magento.
-
Revise y acepte las condiciones de uso de la Herramienta de exploración de seguridad.
- En el panel izquierdo, elija Security Scan.
- Haga clic en Go to Security Scan.
- Lea Terms and Conditions.
- Haga clic en Agree para continuar.
-
En la página Monitored Websites, haga clic en +Add Site.
Si tiene varios sitios con dominios diferentes, configure un análisis independiente para cada dominio.
-
Para comprobar la propiedad del dominio del sitio agregando un código de confirmación, siga uno de estos procedimientos:
tienda Commerce:
-
Escriba Site URL y Site Name.
-
Haga clic en Generate Confirmation Code.
-
Haga clic en Copiar para copiar el código de confirmación en el portapapeles.
-
Inicie sesión en el administrador de su tienda como usuario con privilegios de administrador completos y haga lo siguiente:
-
En la barra lateral Admin, vaya a Content > Design>Configuration.
-
Busque el sitio en la lista y haga clic en Edit.
-
Expanda
-
Desplácese hacia abajo hasta Scripts and Style Sheets y haga clic en el cuadro de texto al final de cualquier código existente. Pegue el código de confirmación en el cuadro de texto.
-
Una vez finalizado, haga clic en Save Configuration.
-
tienda PWA:
-
Escriba Site URL y Site Name.
-
Para Confirmation Code, elija la opción
META Tag
y haga clic en Generate Code. -
Haga clic en Copy para copiar el código de confirmación generado META Tag en el portapapeles.
-
Vaya al directorio del proyecto de la tienda PWA Studio y haga lo siguiente:
-
En el directorio del proyecto de PWA Studio, vaya a
packages > venia-concept > template.html
. -
Agregue el código de confirmación copiado (la etiqueta meta generada) al encabezado de HTML y guarde los cambios.
-
Vuelva a la CLI de PWA Studio y utilice un hilo para instalar las dependencias del proyecto y ejecutar el comando de generación del proyecto.
code language-sh yarn install && yarn build
-
Cree una carpeta
pwa
en su proyecto de Cloud y copie el contenido en la carpetadist
de su proyecto de tienda.code language-sh mkdir pwa && cp -r <path to your storefront project>/dist/* pwa
-
Utilice la herramienta CLI de Git para almacenar en zona intermedia, confirmar e insertar estos cambios en su proyecto de Cloud.
code language-sh git add . && git commit -m "Added storefront file bundles" && git push origin
Una vez completado el proceso de compilación, los cambios se implementarán en la tienda de PWA.
-
-
-
Vuelva a la página Security Scan de su cuenta de Commerce y haga clic en Verify Confirmation Code para establecer la propiedad del dominio.
-
Después de una confirmación correcta, configure las opciones Set Automatic Security Scan para uno de los siguientes tipos:
Análisis semanal (recomendado):
Elija Week Day, Time y Time Zone en los que se realizará el análisis cada semana.
De forma predeterminada, el análisis está programado para comenzar cada semana a medianoche del sábado (UTC) y continuar hasta el domingo a primera hora.
Examen diario:
Elija Time y Time Zone en los que se realizará el análisis cada día.
De forma predeterminada, el análisis está programado para comenzar cada día a medianoche (UTC).
-
Escriba el Email Address en el que desea recibir las notificaciones de análisis completados y actualizaciones de seguridad.
-
Una vez finalizado, haga clic en Submit.
Una vez verificada la propiedad del dominio, el sitio aparece en la lista Sitios web supervisados de su cuenta de Commerce.
-
Si tiene varios sitios web con dominios diferentes, repita este proceso para configurar un análisis de seguridad para cada uno.
Administrar errores de análisis
La herramienta de análisis de seguridad le permite administrar los errores de análisis directamente desde la vista de informe. Puede marcar errores de análisis específicos como falsos positivos y excluirlos de la puntuación de riesgo.
Ventajas de administrar los errores de análisis
La administración de los errores de análisis le ayuda a mantener una visión general de seguridad más precisa de su tienda mediante:
- Reducción de los falsos positivos en los informes de seguridad.
- Centrarse en las cuestiones de seguridad pertinentes que requieren atención.
- Mantener una visión más clara del verdadero estado de seguridad de tu tienda.
- Se elimina la necesidad de ponerse en contacto con el servicio de asistencia para falsos positivos conocidos.
- Ahorra tiempo gracias a la administración automática de los errores de análisis que ya ha investigado.
Entre los escenarios comunes en los que podría querer marcar un error de análisis como falso positivo se incluyen:
- Cuando ya haya aplicado un parche de seguridad que la herramienta de análisis no haya detectado.
- Cuando un problema detectado no es aplicable a su configuración de tienda específica.
- Cuando haya implementado una medida de seguridad alternativa que solucione el problema.
- Cuando el fallo de análisis se basa en una configuración que ha definido intencionadamente para sus necesidades empresariales.
Omitir errores de análisis
Para gestionar los errores de análisis identificados como falsos positivos, siga estos pasos:
-
En la página Monitored Websites, haga clic en View Report para el sitio que desee administrar.
-
En la vista de informe, busque el análisis fallido que desee marcar como falso positivo.
-
Haga clic en Ignore para ver el error de análisis específico.
-
Haga clic en Apply Changes para guardar la selección.
El error de análisis omitido se mueve a la sección Ignored Results y se excluye de la puntuación de riesgo.
Dejar de omitir errores de análisis
Si necesita restaurar un fallo de análisis previamente ignorado a su monitorización activa, siga estos pasos:
-
En la vista de informe, desplácese hasta la sección Ignored Results.
-
Haga clic en Stop Ignoring para el error de análisis que desea restaurar.
-
Haga clic en Apply Changes para guardar la selección.
El error de análisis vuelve a la sección Failed Scans y se incluye en la puntuación de riesgo.
Ver errores de análisis omitidos
Los resultados omitidos aparecen en una sección independiente del informe y la puntuación de riesgo se actualiza automáticamente para reflejar únicamente los errores de análisis activos. Puede administrar varios errores de análisis a la vez seleccionando varios elementos antes de aplicar los cambios.