Come proteggere il tuo negozio online per le vacanze: una verifica della sicurezza del sito Web in 10 punti

Pubblicato: 2020-12-09

Se gestisci un negozio online, è probabile che tu veda un forte aumento del traffico durante le festività natalizie. Con i nuovi clienti che inseriscono le informazioni di pagamento e gli indirizzi personali sul tuo sito web, è più importante che mai proteggere il tuo negozio online in preparazione per le vacanze.

Novembre e dicembre sono i mesi di shopping più impegnativi dell'anno, il che rende i tempi di inattività relativi a un attacco hacker oa una violazione della sicurezza più costosi rispetto a qualsiasi altro periodo dell'anno. Il tempo di attività del tuo sito Web non è mai stato così prezioso, ed è per questo che questo è il momento perfetto per eseguire un controllo di sicurezza del tuo negozio online.

Domande importanti per la sicurezza del tuo sito web

Alla fine del controllo di sicurezza del tuo sito web, dovresti essere in grado di rispondere a queste 10 domande:

1. Il mio negozio è sulla piattaforma giusta?
2. Il mio negozio è sull'host web giusto?
3. Il mio negozio è conforme allo standard PCI-DSS?
4. Raccolgo troppi dati sui miei clienti?
5. Sto crittografando la comunicazione tra i miei clienti e il mio negozio?
6. I miei account cliente sono sicuri?
7. Il software che esegue il mio negozio online è aggiornato?
8. Visito regolarmente il front-end del mio sito?
9. Sto utilizzando un CDN e un WAF?
10. Proteggo la mia connessione quando lavoro in spazi pubblici?

Una verifica della sicurezza del sito Web in 10 punti

Non preoccuparti se non sai come rispondere ad alcune o tutte queste domande. Saprai come rispondere a tutte queste domande entro la fine di questo post.

Mentre esaminiamo il resto di questo post, potresti voler prendere appunti sui risultati della tua verifica, nonché su eventuali azioni da intraprendere. Questo audit è anche un eccellente servizio da fornire ai tuoi clienti di web design (in qualsiasi momento dell'anno).

Iniziamo con il controllo della sicurezza del tuo sito web in preparazione per le festività natalizie.

Scarica il PDF: una verifica della sicurezza del sito e-commerce in 10 punti

Scarica ora

1. Il mio negozio è sulla piattaforma giusta?

Shopify, Magento e WordPress sono tre delle piattaforme più popolari che le persone usano per creare i loro negozi. Nessuna di queste piattaforme sarebbe una popolare soluzione di e-commerce se non fosse sicura. Tutte e tre le piattaforme hanno i loro punti di forza e di debolezza, quindi dovresti fare una piccola ricerca per scoprire quale si adatta meglio alle tue esigenze.

Un rapido controllo della tua piattaforma attuale potrebbe includere le seguenti domande:

1. La piattaforma invia frequentemente aggiornamenti per affrontare le vulnerabilità della sicurezza?
2. La piattaforma impiega/utilizza un team dedicato a garantire il rispetto degli standard di sicurezza?
3. La piattaforma ha una storia di violazioni o vulnerabilità di dati su larga scala che sono state lasciate aperte?
4. Qual è la reputazione della piattaforma come sicura?

Una cosa da tenere a mente è quanto sarebbe facile spostare il tuo negozio su un'altra piattaforma o host. Se devi allontanarti da Shopify, puoi migrare Shopify a WooCommerce. Tuttavia, non sarà facile come spostare un negozio WordPress su un nuovo host web. WordPress consente anche una maggiore personalizzazione e flessibilità per gli strumenti che puoi utilizzare.

2. Il mio negozio è sull'host web giusto?

Mettere il tuo sito web sullo stesso hosting condiviso del blog del tuo amico è una cattiva idea. Come mai? Un sito di e-commerce aggiunge molta complessità che richiede competenze più elevate per essere adeguatamente protetto. Non hai creato un negozio perché sognavi di diventare un esperto di sicurezza informatica, quindi dovresti scaricare questa responsabilità sul tuo host.

Investire in una soluzione di hosting incentrata sull'e-commerce come l'hosting WooCommerce gestito di Liquid Web o l'hosting WordPress gestito è la strada da percorrere. Informativa completa, Liquid Web è la nostra società madre, ma è davvero un ottimo hosting per te. Vai al negozio di prezzi e trova un'altra società di hosting che compete con quel valore a quel prezzo. Avere un host di e-commerce gestito ti farà risparmiare molto tempo e fatica nella gestione del tuo sito, tempo che puoi utilizzare per far crescere la tua attività.

3. Il mio negozio è conforme allo standard PCI-DSS?

Se accetti pagamenti con carta di credito, devi soddisfare gli standard PCI-DSS (Payment Card Industry Data Security Standards). Secondo il PCI Security Standards Council ufficiale, " Se accetti o elabori carte di pagamento, ti verranno applicati gli standard di sicurezza dei dati PCI". Questi standard includono oltre 300 diversi requisiti di sicurezza, ma ecco una panoramica delle migliori pratiche PCI-DSS:

Standard di sicurezza dei dati PCI

OBIETTIVI	REQUISITI PCI DSS
Costruisci e mantieni una rete sicura	1. Installare e mantenere una configurazione firewall per proteggere i dati dei titolari di carta 2. Non utilizzare le impostazioni predefinite fornite dal fornitore per le password di sistema e altri parametri di sicurezza.
Proteggi i dati dei titolari di carta	3. Proteggere i dati dei titolari di carta memorizzati 4. Cifrare la trasmissione dei dati dei titolari di carta attraverso reti pubbliche aperte
Mantenere un programma di gestione delle vulnerabilità	5. Utilizzare e aggiornare regolarmente software o programmi antivirus 6. Sviluppare e mantenere sistemi e applicazioni sicuri.
Implementare forti misure di controllo degli accessi	7. Limitare l'accesso ai dati dei titolari di carta in base alle esigenze aziendali 8. Assegna un ID univoco a ogni persona con accesso al computer 9. Limitare l'accesso fisico ai dati dei titolari di carta
Monitorare e testare regolarmente le reti	10. Traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta 11. Testare regolarmente i sistemi e i processi di sicurezza
Mantenere una politica di sicurezza delle informazioni	12. Mantenere una politica che affronti la sicurezza delle informazioni per dipendenti e appaltatori

Quando scegli di prendere i numeri delle carte di debito delle persone, soddisfare questi requisiti farà molto per impedire a un utente malintenzionato di prosciugare il loro conto bancario. Vi esorto caldamente a chiedere la consulenza di un esperto per assicurarvi di soddisfare i requisiti PCI-DSS.

4. Raccolgo troppi dati sui miei clienti?

Più informazioni raccogli sui tuoi clienti, più informazioni possono essere compromesse durante una violazione. In questi giorni, difficilmente possiamo passare una settimana senza sentire che qualche azienda è stata vittima di una violazione dei dati che ha esposto i dati dei clienti. Ad esempio, nella violazione di Doordash, i numeri di telefono, gli indirizzi e-mail, gli indirizzi di casa e le password con hash dei clienti sono stati compromessi. Quella combinazione di informazioni potrebbe essere tutto ciò che serve per ottenere un prestito fraudolento.

Non dovresti mai raccogliere più informazioni sui tuoi clienti di quelle di cui hai bisogno. Se vendi prodotti digitali che non si rinnovano automaticamente, perché dovresti raccogliere e memorizzare l'indirizzo postale?

Dovresti anche considerare l'utilizzo di un gateway di pagamento come Stripe. I gateway di pagamento ti consentono di scaricare i pagamenti con carta di credito, in modo che il tuo negozio possa accettare pagamenti online senza elaborare o memorizzare i numeri di carta di credito. Stripe ti aiuterà anche a diventare conforme allo standard PCI-DDS.

Sfortunatamente, ci saranno sempre aggressori online e non mancheranno segnalazioni di siti compromessi. Limitare le informazioni che raccogli sui tuoi clienti limiterà la quantità di informazioni esposte durante una violazione. Non puoi perdere i dati sensibili dei clienti che non hai.

5. Sto crittografando la comunicazione tra i miei clienti e il mio negozio?

SSL crittografa la comunicazione che i tuoi clienti digitano nel browser e inviano al tuo sito. Con SLL, quando qualcuno inserisce il nome dell'account e la password, sarà protetto quando tali informazioni verranno inviate al server del tuo sito per la conferma. La crittografia del nome utente e della password renderà più difficile per un utente malintenzionato intercettare il nome utente e la password in transito dal browser al server.

Non spenderemo troppo tempo su questo perché supporremo che tutti stiano già utilizzando un certificato SSL sul proprio sito. Puoi dare un'occhiata alla nostra formazione su WordPress https se non hai familiarità con SSL. Se stai utilizzando un host specializzato in e-commerce, è probabile che il tuo sito utilizzi già SSL in modo sicuro.

6. I miei account cliente sono sicuri?

Un attacco di forza bruta è il tipo più comune di attacco ai tuoi account cliente. La forza bruta è un tipo di attacco quando un hacker cerca di indovinare una combinazione casuale di nomi utente e password finché non trova quella giusta. Il motivo per cui gli attacchi di forza bruta sono così popolari è che la barriera di accesso alle abilità è molto bassa. Puoi trovare molti strumenti gratuiti per decifrare le password con una rapida ricerca su Google.

La grande notizia è che l'utilizzo di un plug-in di sicurezza di WordPress come iThemes Security Pro sul tuo sito WordPress rende facile impedire che gli attacchi al login dei tuoi clienti abbiano successo.

Sulla base della ricerca del blog sulla sicurezza di Google, dovresti seguire queste 5 regole per fermare il 100% degli attacchi di forza bruta:

Raccomandazione	Descrizione	Soluzione
Limita i tentativi di accesso non riusciti	Limita il numero di tentativi di accesso errati che un bot può provare prima di essere bloccato.	La funzione iThemes Security Pro WordPress Brute Force Protection ti dà la possibilità di impostare il numero di tentativi di accesso falliti consentiti prima che un nome utente o un IP venga bloccato. Un blocco disabiliterà temporaneamente la capacità dell'attaccante di effettuare tentativi di accesso. Una volta che gli aggressori sono stati bloccati tre volte, sarà loro vietato persino di visualizzare il sito.
Forza password complesse	Una password lunga almeno 12 caratteri, casuale e che include un ampio pool di caratteri come "ISt8XXa!28X3" la renderà molto difficile da decifrare.	Richiedi agli utenti che possono apportare modifiche a WordPress di utilizzare password complesse. L'utilizzo di un plug-in di sicurezza di WordPress come iThemes Security Pro per costringere gli utenti privilegiati a utilizzare password complesse contribuirà ad aumentare la sicurezza dell'accesso a WordPress.
Rifiuta password compromesse	Più utenti hai che riutilizzano le password, più debole sarà la tua sicurezza di accesso a WordPress.	Impedisci ai tuoi clienti di utilizzare password compromesse note. iThemes Security Pro sfrutta l'API HaveIBeenPwned per rilevare se una password è apparsa o meno in una violazione dei dati. Se è stata trovata una password in una violazione dei dati, iThemes Security ti chiederà di aggiornare immediatamente la password del tuo account.
Usa l'autenticazione a due fattori	Non c'è modo migliore per proteggere i tuoi account cliente che richiedere l'autenticazione a due fattori di WordPress. L'autenticazione a due fattori richiede un codice aggiuntivo insieme al nome utente e alla password di WordPress per accedere.	Utilizzando un plug-in di sicurezza di WordPress, come iThemes Security Pro, puoi aggiungere l'autenticazione a due fattori di WordPress al tuo sito WordPress. Abilita il metodo e-mail o app mobile di due fattori. Puoi anche utilizzare la funzione di accesso senza password di WordPress per rendere ancora più semplice l'accesso con la sicurezza di due fattori.
Limita i tentativi di autenticazione esterni	Esistono altri modi per accedere a un sito WordPress oltre a utilizzare un modulo di accesso. Utilizzando XML-RPC, un utente malintenzionato può effettuare centinaia di tentativi di nome utente e password in una singola richiesta HTTP. Il metodo di amplificazione della forza bruta consente agli aggressori di effettuare migliaia di tentativi di nome utente e password utilizzando XML-RPC in poche richieste HTTP.	Utilizzando le impostazioni di WordPress Tweaks di iThemes Security Pro, puoi bloccare più tentativi di autenticazione per richiesta XML-RPC. Limitare il numero di tentativi di nome utente e password a uno per ogni richiesta farà molto per proteggere il tuo accesso a WordPress.

Potresti pensare che non avresti mai reso più difficile l'accesso dei tuoi clienti. Capisco davvero da dove vieni, ma permettimi di condividere una breve storia che potrebbe farti cambiare idea.

Ho avuto un membro della famiglia a cui è stato violato uno dei loro account. Tieni presente che l'hacker è stato in grado di scaricare gratuitamente solo i prodotti acquistati dal membro della famiglia. Nessuna delle loro informazioni personali è stata memorizzata (vedi #4), quindi non erano fuori nulla. Tuttavia, questo membro della famiglia era ancora sconvolto. La società in cui l'account è stato violato ha fornito loro un rimborso completo e ha assicurato che il loro account sarebbe stato sicuro una volta aggiornata la password.

Quindi, dopo aver sentito questo, ho deciso di fare la mia migliore imitazione di Sherlock Holmes e iniziare un'indagine. Sono stato in grado di determinare che l'hacker probabilmente ha trovato l'indirizzo e-mail e la password del membro della famiglia in uno dei molteplici dump di violazione dei dati. Il mio familiare utilizzava da anni la stessa combinazione di password e nome utente. Ho mostrato loro tutte le violazioni del database in cui il loro indirizzo e-mail era stato parte su haveibeenpwned.com e li ho incoraggiati ad aggiornare la password su tutti i loro account prima che anche quegli account venissero violati.

Dopo aver appreso che la loro password era disponibile per essere utilizzata da chiunque, pensi che abbiano incolpato la loro scelta di una password debole o l'azienda per la compromissione del loro account? Se dicessi di aver incolpato la compagnia avresti ragione. Quando raccontano la storia dell'hack, pensi che siano più propensi a parlare negativamente dell'azienda o delle loro scarse pratiche di password? Anche se la colpa era tutta loro, pensavano ancora che l'onere fosse sull'azienda per proteggere il loro account.

Quindi cosa possiamo imparare da questo? Spetta a noi, in qualità di proprietari di negozi, richiedere password complesse e autenticazione a due fattori per proteggere gli account dei clienti. Perché quando l'account di un cliente viene violato, è probabile che i proprietari dei negozi vengano incolpati.

La buona notizia è che il plug-in iThemes Security Pro ha una nuova funzione di accesso senza password di WordPress che consente di richiedere agli utenti di utilizzare password complesse e autenticazione a due fattori senza mai inserire una password o un codice di autenticazione aggiuntivo . Ora puoi offrire tutta la sicurezza senza sacrificare l'usabilità.

7. Il software che esegue il mio negozio online è aggiornato?

Gli aggiornamenti software non sono solo per nuove funzionalità o correzioni di bug. Gli aggiornamenti possono includere anche patch di sicurezza per exploit di sicurezza noti. L'esecuzione di software obsoleto con exploit noti è uno dei motivi più comuni per cui i siti Web vengono compromessi. È fondamentale per la sicurezza del tuo sito WordPress che tu abbia una routine di aggiornamento. Dovresti accedere ai tuoi siti almeno una volta alla settimana per eseguire gli aggiornamenti.

Utilizzando la funzione di gestione delle versioni del plug-in iThemes Security Pro, puoi abilitare gli aggiornamenti automatici di WordPress per assicurarti di ricevere le ultime patch di sicurezza. Aggiornare il software è la cosa più semplice che puoi fare per proteggere il tuo negozio online.

8. Visito regolarmente il front-end del mio sito?

Quando è stata l'ultima volta che hai eseguito il front-end del tuo sito o hai persino guardato la tua home page? In qualità di proprietari di siti impegnati, in genere accediamo direttamente al backend dei nostri siti per aggiungere nuovi prodotti, contenuti ed eseguire aggiornamenti del sito. Scorrere le pagine e i prodotti del tuo sito può aiutarti a trovare segni di infezione. Dovresti cercare questi 3 segni di infezione quando ispezioni il front-end del tuo sito o quando chiedi se il mio sito WordPress è stato violato.

Controlla la tua home page per eventuali modifiche : l'obiettivo principale di alcuni hack è trollare un sito Web o acquisire notorietà. Quindi cambiano solo la tua home page con qualcosa che trovano divertente o per lasciare un biglietto da visita hackerato.
Cerca eventuali pop-up dannosi o spam : ci sono prodotti pubblicizzati sul tuo sito che non vendi?
Trova reindirizzamenti imprevisti : fai clic su uno dei link dei tuoi prodotti solo per essere reindirizzato a un negozio dannoso che cerca di raccogliere i dati dei tuoi clienti?

L'utilizzo della funzione di rilevamento delle modifiche ai file di iThemes Security Pro può aiutarti a renderti consapevole di eventuali modifiche impreviste apportate al tuo sito. È fondamentale essere avvisati di un attacco riuscito al tuo sito, prima viene identificata la violazione e più puoi mitigare il danno arrecato.

9. Sto utilizzando un CDN e un WAF?

L'utilizzo di una rete di distribuzione dei contenuti (CDN) come Cloudflare CDN può aiutare a proteggere il tuo negozio dagli attacchi DDoS. Il CDN si trova su un server diverso dal tuo sito ed è in grado di ispezionare le richieste al tuo sito prima che arrivino al tuo sito. Un attacco Denial of Service (DDos) si verifica quando un utente malintenzionato tenta di interrompere o far crollare il tuo sito con un flusso di traffico Internet. A seconda del tuo piano di hosting, potrebbe non essere necessario molto traffico extra per disattivare il tuo sito.

Un CDN può aiutare a mitigare un attacco DDoS in un paio di modi diversi. La prima cosa che farà un CDN è monitorare attivamente e identificare che il tuo sito è sotto attacco, il che è fondamentale. Non puoi fermare un attacco che non sei impostato per rilevare. Una volta identificati gli IP dannosi, il CDN impedirà a qualsiasi richiesta degli IP di raggiungere il tuo sito.

Dovresti anche considerare l'utilizzo di un Web Application Firewall (WAF). Un WAF è in grado di identificare e filtrare il traffico dannoso prima che colpisca il tuo sito. A differenza di un Web Application Firewall PHP, un WAF come quello fornito da Cloudflare WAF non si trova sullo stesso server del tuo sito. Quindi tutto il filtraggio di sicurezza viene eseguito fuori sede e non aggiunge alcun carico aggiuntivo o rallenta il tuo sito.

10. Proteggo la mia connessione quando lavoro in spazi pubblici?

Una delle grandi cose della gestione di un negozio online è che puoi lavorare ovunque. Sfortunatamente, il wifi pubblico è noto per essere molto insicuro, rendendo le biblioteche pubbliche, gli hotel, le caffetterie e gli aeroporti le posizioni privilegiate per gli hacker per intercettare le comunicazioni e raccogliere le password.

Una volta ho lavorato con un cliente iThemes Security Pro che non riusciva a capire come il loro account amministratore continuasse a essere violato anche dopo aver cambiato la password. Dopo un po' di tempo ho scoperto che a loro piace lavorare dalla loro biblioteca locale e che erano connessi al wifi senza utilizzare una rete privata virtuale (VPN).

Una rete privata virtuale ti consente di comunicare in sicurezza con la tua banca o il tuo negozio online crittografando il tuo traffico Internet. Poiché il cliente di iThemes Security Pro non utilizzava una VPN, il suo traffico non era crittografato e la sua password continuava a essere intercettata da un malintenzionato. Dopo aver suggerito loro di provare a utilizzare una VPN presso la biblioteca locale, ci hanno riferito che l'utilizzo della VPN ha posto fine agli hack.

Se hai bisogno di ulteriori prove sull'insicurezza del Wi-Fi pubblico, ecco un ottimo articolo di USA Today in cui un giornalista ha scritto della sua esperienza di essere stato hackerato mentre utilizzava il Wi-Fi in volo: Sono stato hackerato a mezz'aria mentre scrivevo una storia Apple-FBI.

Conclusioni: best practice per la sicurezza online

La maggior parte degli attacchi al tuo negozio online può essere impedita con un piccolo intervento da parte tua. In questo momento è un ottimo momento per fare un controllo di sicurezza per assicurarti che il tuo sito sia sicuro per le festività natalizie!

plugin di sicurezza per wordpress

Un plugin di sicurezza per WordPress può aiutarti a proteggere il tuo sito Web WordPress

iThemes Security Pro, il nostro plug-in di sicurezza per WordPress, offre oltre 50 modi per proteggere e proteggere il tuo sito Web dalle vulnerabilità di sicurezza comuni di WordPress. Con l'autenticazione a due fattori di WordPress, la protezione dalla forza bruta, l'imposizione di password complesse e altro, puoi aggiungere un ulteriore livello di sicurezza al tuo sito web.

Ottieni iThemes Security Pro

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.