Bezpieczeństwo Magento 2

  1. Strona główna
  2. Baza wiedzy
  3. Hosting e-commerce
  4. Wszystko o Magento2/MageOS
  5. Bezpieczeństwo Magento 2

Bezpieczeństwo Magento 2 – jak chronić sklep przed atakami

Kompleksowy przewodnik zabezpieczania sklepu Magento 2 i MageOS: zmiana ścieżki admina, 2FA, aktualizacje bezpieczeństwa, ochrona przed Magecart i innymi zagrożeniami.

2 marca 2026 · Magento 2 / MageOS · 8 min czytania

Spis treści

  1. Dlaczego Magento 2 jest celem ataków?
  2. Zabezpieczenie panelu administracyjnego
  3. Dwuskładnikowe uwierzytelnianie (2FA)
  4. Aktualizacje bezpieczeństwa Magento 2
  5. Ochrona przed Magecart i atakami na checkout
  6. Monitorowanie i skanowanie bezpieczeństwa
  7. Często zadawane pytania

Dlaczego Magento 2 jest celem ataków?

Bezpieczeństwo Magento 2 to temat krytyczny dla każdego właściciela sklepu. Magento obsługuje miliony transakcji na całym świecie, przetwarzając dane kart płatniczych i osobowe klientów. To sprawia, że jest jedną z najczęściej atakowanych platform e-commerce — według raportów bezpieczeństwa sklepy Magento są celem ok. 70% wszystkich ataków Magecart.

Złożoność Magento 2 (tysiące plików, setki modułów) zwiększa powierzchnię ataku. Nieuaktualnione instalacje z nienaprawionymi podatnościami są regularnie skanowane przez boty. Dlatego bezpieczeństwo Magento wymaga systematycznego podejścia: regularnych aktualizacji, ograniczenia dostępu do panelu i monitorowania integralności.

Ważne: Plany Magento 2 i MageOS w smartxhosting.pl są chronione przez infrastrukturę sieciową SMARTX: firewall, fail2ban, izolacja kontenerów Docker/LXC i monitoring dostępności. Jednak bezpieczeństwo aplikacji (Magento i zainstalowane moduły) leży po stronie właściciela sklepu.

Zabezpieczenie panelu administracyjnego

Panel administracyjny Magento 2 to główny cel ataków. Domyślna ścieżka /admin jest skanowana przez boty tysiące razy dziennie. Kilka kroków znacząco ogranicza ryzyko.

Zmień ścieżkę URL panelu admina

Przez SSH wykonaj: php bin/magento setup:config:set --backend-frontname=twoja-unikalna-sciezka. Lub edytuj bezpośrednio app/etc/env.php i zmień wartość klucza backend → frontName. Wyczyść cache: php bin/magento cache:flush.

Ogranicz dostęp do admina po IP

W konfiguracji nginx (lub .htaccess) dodaj ograniczenie dostępu do ścieżki admina tylko z zaufanych adresów IP. Zgłoś tę potrzebę do wsparcia technicznego SMARTX — konfiguracja jest realizowana na poziomie reverse proxy.

Ustaw silne hasła i ograniczenie prób logowania

W Sklepy → Konfiguracja → Zaawansowane → Admin → Security ustaw: Maximum Login Failures to Lockout Account (np. 5), Lockout Time (np. 60 minut), Password Lifetime (np. 90 dni). Upewnij się, że hasło admina ma min. 14 znaków z mieszanką liter, cyfr i symboli.

Skonfiguruj Allowed IPs dla zaawansowanych funkcji

W Sklepy → Konfiguracja → Zaawansowane → Programowanie ustaw Allowed IPs dla trybu developer (Dev Mode) — tylko Twoje IP powinno mieć dostęp do trybów debugowania. Nigdy nie zostawiaj trybu developer włączonego na produkcji.

Dwuskładnikowe uwierzytelnianie (2FA)

Magento 2 od wersji 2.4 ma wbudowany moduł 2FA (Magento_TwoFactorAuth), który jest domyślnie włączony. Każdy administrator musi skonfigurować aplikację uwierzytelniającą (Google Authenticator, Duo Security, Authy lub U2F) podczas pierwszego logowania po aktualizacji.

Wskazówka: Nigdy nie wyłączaj 2FA na produkcji. Jeśli masz trudności z konfiguracją, możesz tymczasowo zresetować 2FA dla konkretnego konta przez CLI: php bin/magento security:tfa:reset [email-admina] google. Po zresetowaniu administrator będzie musiał skonfigurować 2FA ponownie przy następnym logowaniu.

Zarządzanie 2FA dla kont administratorów: System → Bezpieczeństwo → Wszyscy użytkownicy (System → Security → All Users). Możesz sprawdzić, którzy administratorzy skonfigurowali 2FA i zresetować konfigurację jeśli admin utracił dostęp do urządzenia.

Aktualizacje bezpieczeństwa Magento 2

Regularne aktualizacje to najważniejszy element bezpieczeństwa Magento 2. Adobe wydaje Security Patches (APSB) dla wszystkich wspieranych wersji Magento 2 i MageOS regularnie — często w odpowiedzi na krytyczne podatności 0-day.

Sprawdź dostępne aktualizacje

Przez SSH: composer outdated magento/* — pokaże komponenty Magento z dostępnymi aktualizacjami. Sprawdź też Adobe Security Advisory pod kątem krytycznych łatek bezpieczeństwa (helpx.adobe.com/security/products/magento.html).

Wykonaj backup przed aktualizacją

Zawsze rób backup bazy danych i plików przed aktualizacją: php bin/magento setup:backup --code --db lub przez dedykowane narzędzie backupu SMARTX.

Zaktualizuj Magento

Aktualizacja przez Composer: composer require magento/product-community-edition:[nowa-wersja] --no-update, następnie composer update, a po zakończeniu: php bin/magento setup:upgrade && php bin/magento setup:di:compile && php bin/magento setup:static-content:deploy pl_PL en_US.

Uwaga: Aktualizacje Magento 2 mogą powodować konflikty z zainstalowanymi modułami zewnętrznymi. Zawsze testuj aktualizację najpierw na środowisku staging, nigdy bezpośrednio na produkcji.

Ochrona przed Magecart i atakami na checkout

Magecart to rodzaj ataku skimmingowego, gdzie złośliwy JavaScript w checkout przechwytuje dane kart płatniczych. Ataki Magecart uderzyły w dziesiątki tysięcy sklepów Magento na całym świecie.

  • Aktualizuj Magento i moduły — większość ataków Magecart wykorzystuje znane podatności w nieaktualizowanych instalacjach
  • Content Security Policy (CSP) — Magento 2.3.5+ obsługuje CSP. Skonfiguruj białą listę dozwolonych źródeł skryptów w Sklepy → Konfiguracja → Ogólne → Content Security Policy
  • Monitoruj integralność plików — regularnie sprawdzaj, czy pliki core Magento nie zostały zmodyfikowane: php bin/magento setup:integrity:check
  • Użyj skanera malware — narzędzia jak MageReport (magereport.com), Sucuri SiteCheck lub Magento Security Scan (account.magento.com/scanner) wykrywają złośliwy kod
  • Ogranicz edycję plików — nie udostępniaj FTP; dostęp do plików tylko przez SSH z kluczami RSA

Monitorowanie i skanowanie bezpieczeństwa

Proaktywne monitorowanie jest równie ważne jak reaktywne łatanie podatności. Sklep powinien być regularnie skanowany pod kątem znanych podatności i złośliwego kodu.

  • Magento Security Scan Tool (account.magento.com/scanner) — oficjalne narzędzie Adobe, bezpłatne, skanuje sklep pod kątem znanych podatności i złośliwego kodu
  • MageReport (magereport.com) — szybki skan dostępny bez rejestracji
  • Logi serwera — monitoruj logi nginx/Apache pod kątem podejrzanego ruchu, skanowania /admin i ataków SQL Injection w parametrach URL
  • Alerty mailowe — skonfiguruj powiadomienia o logowaniu do panelu admina w Sklepy → Konfiguracja → Zaawansowane → Admin → Security → Login Is Monitored: TAK
Wskazówka: Ustaw harmonogram automatycznych skanów w Magento Security Scan Tool — cotygodniowy skan wystarczy dla większości sklepów. Przy krytycznych podatnościach Adobe wysyła powiadomienia e-mail do zarejestrowanych użytkowników.

Często zadawane pytania

Jak zmienić adres URL panelu administracyjnego Magento 2?

Zmianę ścieżki admina wykonuje się przez CLI: php bin/magento setup:config:set --backend-frontname=[nowa-sciezka] lub edytując app/etc/env.php (klucz backend → frontName). Domyślna ścieżka /admin jest pierwszym celem ataków brute-force. Ustaw unikalną, trudną do odgadnięcia ścieżkę, np. /panel-zarzadzania-xyz1234. Po zmianie wyczyść cache.

Co to jest atak Magecart i jak się przed nim bronić?

Magecart to typ ataku, w którym cyberprzestępcy wstrzykują złośliwy JavaScript do sklepu Magento i kradną dane kart płatniczych podczas checkout. Ochrona: regularne aktualizacje Magento i modułów, Content Security Policy (CSP), monitorowanie integralności plików, skanery malware (MageReport, Sucuri), ograniczenie edycji plików tylko do SSH z kluczami RSA.

Jak sprawdzić, czy moja wersja Magento 2 ma luki bezpieczeństwa?

Aby sprawdzić luki bezpieczeństwa, użyj narzędzia MageReport (magereport.com) — analizuje sklep pod kątem znanych podatności. Sprawdź też Adobe Security Advisory (helpx.adobe.com) dla aktualnych biuletynów. Komenda: composer show magento/magento2-base | grep versions pokaże zainstalowaną wersję do porównania z listą wersji z poprawkami.

Zobacz też

Potrzebujesz bezpiecznego hostingu dla Magento 2?

Środowiska Docker i LXC w smartxhosting.pl zapewniają izolację procesów, firewall i regularne aktualizacje systemu operacyjnego. Twój sklep jest chroniony na poziomie infrastruktury.

Sprawdź plany Magento 2
Magento 2 MageOS bezpieczeństwo 2FA Magecart aktualizacje
Czy ta informacja była pomocna? 0 klientów oceniło tę informację jako przydatną (0 Głosów)

Najpopularniejsze artykuły

Co to jest MageOS i Magento 2

Co to jest MageOS i Magento 2 – platforma e-commerce dla dużych sklepów...
Faktury w Magento 2

Faktury i dokumenty sprzedaży w Magento 2 – VAT, PDF, KSeF Jak wystawiać i...
Jak uruchomić sklep Magento 2 na hostingu SMARTX

Jak uruchomić sklep Magento 2 / MageOS na hostingu SMARTX? Kompletny...
Kategorie i nawigacja w Magento 2

Kategorie i nawigacja w Magento 2 – struktura i layered navigation Jak...
Kopia zapasowa Magento 2

Kopia zapasowa Magento 2 – backup bazy danych i plików Jak wykonywać...

Skontaktuj się z nami!

Copyright © 2026 SMARTX Sp. z o.o.. Wszelkie prawa zastrzeżone.
Ta strona korzysta z plików cookies Używamy plików cookies w celu zapewnienia prawidłowego działania strony, analizy ruchu oraz dostosowania treści do Twoich preferencji. Korzystając z naszej strony, wyrażasz zgodę na używanie plików cookies zgodnie z naszą polityką prywatności.