Não é de hoje que a segurança da sua loja é um dos fatores mais importantes
Sempre instale os pacotes de segurança
Sua loja Magento possui um recurso que te mostra uma mensagem sempre quando há uma notificação não lida, algumas são notificações de eventos, mas muitas são alertas de segurança, de vulnerabilidades encontradas. Por isso esteja sempre atento a estas notificações do sistema e, no caso de atualizações de segurança baixe imediatamente o arquivo patch de segurança, um arquivo geralmente com a extensão .SH pra ser executado pelo servidor, lembrando que não é necessário atualizar a versão do Magento, a menos que você queira.
Atualize seus módulos
Da mesma forma que o sistema principal, os módulos que tem instalado são constantemente melhorados por seus desenvolvedores e muito mais do que novas funcionalidades, podem haver melhorias de segurança que nem sempre são ditas.
Por tanto, mantenha sempre seus módulos atualizados para ter uma loja sempre melhor e mais segura.
Faça backup com regularidade
Muito negligenciado é o backup regular, que pode ser configurado no seu provedor para um determinado período, como semanal ou diário, dependendo do seu volume de transações.
Na minha opinião considero ineficiente o backup do Magento pelo seu admin, prefiro fazer o backup “na mão” executando uma função pra baixar o banco de dados e salvar as partes mais críticas da loja.
Esse processo pode ser automatizado utilizando o crontab do seu provedor, caso queiram mais informações comente aqui embaixo;
Altere o endereço de login
Nada de utilizar /admin ou /adm, utilize um endereço que so tenha significado pra você. Geralmente feita somente no momento da instalação da loja fica esquecida depois de um tempo, o problema aqui é um hacker saber o endereço e ficar rodando um brut atak a fim de forçar uma senha na sua loja e conseguir informações privilegiadas ou acabar com todo seu negócio online.
Se seu endereço é admin ou acha que pessoas demais sabem do seu endereço, saiba que é possível alterar o endereço pelo próprio painel administrativo, indo em sistema > configurações, mas prefiro alterar diretamente no arquivo de configuração da loja que fica em app/etc/local.xml. Pode abrir este arquivo e lá no final você encontrará a seguinte linha:
<frontName><![CDATA[admin]]></frontName>
Basta alterar o admin para o endereço de sua escolha, pode ser necessário reindexar a loja depois dessa alteração.
Restrinja o acesso ao admin por endereço de ip
Quer dizer que somente endereços de ips previamente configurados poderão visualizar seu admin, isso pode ser um problema caso seu ip seja dinâmico, mas é uma poderosa ferramenta de segurança.
Use autenticação de login em dois passos
Consistem em acrescentar mais um passo depois de entrar com a senha, geralmente é usado quando se entra em um novo dispositivo, o sistema enviará um codigo para seu telefone que deve ser informado para seu sistema e assim prosseguir.
Configure seu sistema para alertar sobre atividades suspeitas
São muito comuns as tentativas de burlar senhas ou fraudes, esteja sempre monitorando sua loja pra encontrar possíveis problemas.
Finalizando
Lojas virtuais movimentam muito dinheiro na web e se seu negócio é muito pequeno, não pense que está livre de ataques, pos os hackers visam principalmente os pequenos negócios pois sabem que são eles os mais frágteis em segurança, todo cuidado é pouco, previna-se sempre pra nunca ter dor de cabeça depois.
Um forte abraço e até a próxima.