Jak zabezpieczyć swój sklep internetowy na święta: 10-punktowy audyt bezpieczeństwa witryny?

Opublikowany: 2020-12-09

Jeśli prowadzisz sklep internetowy, prawdopodobnie zauważysz gwałtowny wzrost ruchu w okresie świątecznym. Ponieważ nowi klienci wpisują swoje dane dotyczące płatności i adresy osobiste w Twojej witrynie, zabezpieczenie sklepu internetowego jest ważniejsze niż kiedykolwiek przed świętami.

Listopad i grudzień to najbardziej ruchliwe miesiące zakupowe w roku, co sprawia, że ​​wszelkie przestoje związane z włamaniem lub naruszeniem bezpieczeństwa są droższe niż jakakolwiek inna pora roku. Czas działania Twojej strony nigdy nie był bardziej wartościowy, dlatego jest to idealny moment na wykonanie audytu bezpieczeństwa Twojego sklepu internetowego.

Ważne pytania dotyczące bezpieczeństwa Twojej witryny

Pod koniec audytu bezpieczeństwa Twojej witryny powinieneś być w stanie odpowiedzieć na te 10 pytań:

  • 1. Czy mój sklep jest na właściwej platformie?
  • 2. Czy mój sklep jest na właściwym hoście internetowym?
  • 3. Czy mój sklep jest zgodny ze standardem PCI-DSS?
  • 4. Czy zbieram zbyt dużo danych o moich klientach?
  • 5. Czy szyfruję komunikację między moimi klientami a moim sklepem?
  • 6. Czy moje konta klientów są bezpieczne?
  • 7. Czy oprogramowanie obsługujące mój sklep internetowy jest aktualne?
  • 8. Czy regularnie odwiedzam front-end mojej witryny?
  • 9. Czy korzystam z CDN i WAF?
  • 10. Czy chronię swoje połączenie podczas pracy w miejscach publicznych?

10-punktowy audyt bezpieczeństwa witryny

Nie martw się, jeśli nie wiesz, jak odpowiedzieć na niektóre lub wszystkie z tych pytań. Pod koniec tego postu dowiesz się, jak odpowiedzieć na wszystkie te pytania.

W dalszej części tego posta możesz sporządzić notatki na temat wyników audytu, a także wszelkich działań, które należy podjąć. Ten audyt jest również doskonałą usługą dla Twoich klientów zajmujących się projektowaniem stron internetowych (o każdej porze roku).

Zacznijmy od audytu bezpieczeństwa Twojej witryny w ramach przygotowań do sezonu świątecznego.

Pobierz plik PDF: 10-punktowy audyt bezpieczeństwa witryn e-commerce
Pobierz teraz

1. Czy mój sklep jest na właściwej platformie?

Shopify, Magento i WordPress to trzy najpopularniejsze platformy, z których ludzie korzystają do tworzenia swoich sklepów. Żadna z tych platform nie byłaby popularnym rozwiązaniem e-commerce, gdyby nie była bezpieczna. Wszystkie trzy platformy mają swoje mocne i słabe strony, więc powinieneś zrobić trochę badań, aby dowiedzieć się, która z nich najlepiej odpowiada Twoim potrzebom.

Szybki audyt Twojej obecnej platformy może zawierać następujące pytania:

  • 1. Czy platforma często rozsyła aktualizacje usuwające luki w zabezpieczeniach?
  • 2. Czy platforma zatrudnia/wykorzystuje zespół, który jest oddany zapewnieniu spełnienia standardów bezpieczeństwa?
  • 3. Czy platforma ma historię naruszeń danych na dużą skalę lub luk, które pozostały otwarte?
  • 4. Jaka jest reputacja platformy jako bezpiecznej?

Jedną rzeczą, o której należy pamiętać, jest to, jak łatwo byłoby przenieść Twój sklep na inną platformę lub hosta. Jeśli chcesz odejść od Shopify, możesz przeprowadzić migrację Shopify do WooCommerce. Jednak nie będzie to tak proste, jak przeniesienie sklepu WordPress do nowego hosta internetowego. WordPress pozwala również na większą personalizację i elastyczność narzędzi, z których możesz korzystać.

2. Czy mój sklep jest na właściwym hoście internetowym?

Umieszczenie swojej witryny na tym samym współdzielonym hostingu, co blog znajomego, to zły pomysł. Czemu? Witryna e-commerce dodaje wiele złożoności, która wymaga większej wiedzy, aby odpowiednio zabezpieczyć. Nie stworzyłeś sklepu, ponieważ marzyłeś o zostaniu ekspertem ds. cyberbezpieczeństwa, więc powinieneś zrzucić tę odpowiedzialność na swojego hosta.

Inwestowanie w rozwiązanie hostingowe skoncentrowane na e-commerce, takie jak Managed WooCommerce Hosting firmy Liquid Web lub Managed WordPress hosting, to droga do zrobienia. Pełne ujawnienie, Liquid Web jest naszą spółką macierzystą, ale to naprawdę świetny hosting dla Ciebie. Idź do sklepu cenowego i znajdź inną firmę hostingową, która konkuruje z tą wartością w tej cenie. Posiadanie zarządzanego hosta e-commerce pozwoli Ci zaoszczędzić dużo czasu i kłopotów w zarządzaniu witryną - czas, który możesz wykorzystać na rozwój swojej firmy.

3. Czy mój sklep jest zgodny ze standardem PCI-DSS?

Jeśli akceptujesz płatności kartą kredytową, musisz spełnić standardy bezpieczeństwa danych branży kart płatniczych (PCI-DSS). Według oficjalnej Rady Standardów Bezpieczeństwa PCI: „ Jeśli akceptujesz lub przetwarzasz karty płatnicze, obowiązują Cię Standardy Bezpieczeństwa Danych PCI”. Standardy te obejmują ponad 300 różnych wymagań dotyczących bezpieczeństwa, ale oto przegląd najlepszych praktyk PCI-DSS:

Standard bezpieczeństwa danych PCI

CELE WYMAGANIA PCI DSS
Zbuduj i utrzymuj bezpieczną sieć
  • 1. Zainstaluj i utrzymuj konfigurację zapory sieciowej, aby chronić dane posiadaczy kart
  • 2. Nie używaj dostarczonych przez dostawcę wartości domyślnych haseł systemowych i innych parametrów bezpieczeństwa.
Chroń dane posiadacza karty
  • 3. Chroń przechowywane dane posiadaczy kart
  • 4. Szyfruj transmisję danych posiadaczy kart w otwartych sieciach publicznych
Prowadź program zarządzania podatnościami
  • 5. Używaj i regularnie aktualizuj oprogramowanie lub programy antywirusowe
  • 6. Twórz i utrzymuj bezpieczne systemy i aplikacje.
Wdrożenie silnych środków kontroli dostępu
  • 7. Ogranicz dostęp do danych posiadacza karty według potrzeb biznesowych
  • 8. Przypisz unikalny identyfikator każdej osobie z dostępem do komputera
  • 9. Ogranicz fizyczny dostęp do danych posiadacza karty
Regularnie monitoruj i testuj sieci
  • 10. Śledź i monitoruj cały dostęp do zasobów sieciowych i danych posiadaczy kart
  • 11. Regularnie testuj systemy i procesy bezpieczeństwa
Utrzymuj politykę bezpieczeństwa informacji
  • 12. Utrzymuj politykę dotyczącą bezpieczeństwa informacji dla pracowników i wykonawców

Jeśli zdecydujesz się na przejęcie numerów kart debetowych użytkowników, spełnienie tych wymagań pozwoli zapobiec opróżnieniu konta bankowego przez złośliwego napastnika. Gorąco zachęcam do zasięgnięcia porady eksperta, aby upewnić się, że spełniasz wymagania PCI-DSS.

4. Czy zbieram zbyt dużo danych o moich klientach?

Im więcej informacji o klientach zbierzesz, tym więcej informacji może zostać skompromitowanych podczas naruszenia. W dzisiejszych czasach nie możemy przejść przez tydzień bez słyszenia, że ​​jakaś firma padła ofiarą wycieku danych, który ujawnił dane klientów. Na przykład, w przypadku naruszenia Doordash, numery telefonów klientów, adresy e-mail, adresy domowe i zaszyfrowane hasła zostały naruszone. Ta kombinacja informacji może być wszystkim, co jest potrzebne do zaciągnięcia fałszywej pożyczki.

Nigdy nie powinieneś zbierać więcej informacji o swoich klientach, niż potrzebujesz. Jeśli sprzedajesz produkty cyfrowe, które nie odnawiają się automatycznie, po co zbierać i przechowywać adres pocztowy?

Powinieneś również rozważyć użycie bramki płatniczej, takiej jak Stripe. Bramki płatności umożliwiają odciążenie płatności kartą kredytową, dzięki czemu Twój sklep może akceptować płatności online bez przetwarzania lub przechowywania numerów kart kredytowych. Stripe pomoże Ci również uzyskać zgodność z PCI-DDS.

Niestety, w sieci zawsze znajdą się napastnicy i nie zabraknie zgłoszeń o atakach na witryny. Ograniczenie informacji, które zbierasz o swoich klientach, ograniczy ilość informacji ujawnionych podczas naruszenia. Nie możesz stracić poufnych danych klientów, których nie masz.

5. Czy szyfruję komunikację między moimi klientami a moim sklepem?

SSL szyfruje komunikację, którą Twoi klienci wpisują w przeglądarce i wysyłają do Twojej witryny. Dzięki SLL, gdy ktoś wprowadzi swoją nazwę konta i hasło, będzie ono chronione, gdy ta informacja zostanie wysłana na serwer Twojej witryny w celu potwierdzenia. Zaszyfrowanie nazwy użytkownika i hasła utrudni atakującemu przechwycenie nazwy użytkownika i hasła podczas przesyłania ich z przeglądarki na Twój serwer.

Nie poświęcimy na to zbyt wiele czasu, ponieważ założymy, że każdy już używa certyfikatu SSL na swojej stronie. Możesz sprawdzić nasze szkolenie WordPress https, jeśli nie znasz SSL. Jeśli korzystasz z wyspecjalizowanego hosta e-commerce, Twoja witryna prawdopodobnie już bezpiecznie korzysta z SSL.

6. Czy moje konta klientów są bezpieczne?

Atak brute force jest najczęstszym rodzajem ataku na konta Twoich klientów. Brute force to rodzaj ataku, w którym haker próbuje odgadnąć losową kombinację nazw użytkowników i haseł, dopóki nie znajdzie właściwego. Powodem, dla którego ataki brute force są tak popularne, jest to, że bariera umiejętności wejścia jest bardzo niska. Możesz znaleźć wiele bezpłatnych narzędzi do łamania haseł dzięki szybkiemu wyszukiwaniu w Google.

Wspaniałą wiadomością jest to, że korzystanie z wtyczki zabezpieczającej WordPress, takiej jak iThemes Security Pro, w witrynie WordPress, ułatwia zapobieganie udanym atakom na logowanie klienta.

Według badań przeprowadzonych na blogu Google dotyczącym bezpieczeństwa, powinieneś przestrzegać tych 5 zasad, aby zatrzymać 100% ataków typu brute force:

Rekomendacje Opis Rozwiązanie
Limit nieudanych prób logowania Ogranicz liczbę niepoprawnych prób logowania, które bot może próbować przed zablokowaniem. Funkcja iThemes Security Pro WordPress Brute Force Protection daje możliwość ustawienia liczby dozwolonych nieudanych prób logowania przed zablokowaniem nazwy użytkownika lub adresu IP. Blokada tymczasowo wyłączy możliwość podejmowania prób logowania przez atakującego. Gdy atakujący zostaną trzykrotnie zablokowani, nie będą mogli nawet przeglądać witryny.
Wymuś silne hasła Hasło o długości co najmniej 12 znaków, losowe i zawierające dużą pulę znaków, np. „ISt8XXa!28X3”, sprawi, że będzie bardzo trudne do złamania. Wymagaj od użytkowników, którzy mogą wprowadzać zmiany w WordPressie, używania silnych haseł. Korzystanie z wtyczki zabezpieczającej WordPress, takiej jak iThemes Security Pro, aby zmusić uprzywilejowanych użytkowników do używania silnych haseł, pomoże zwiększyć bezpieczeństwo logowania WordPress.
Odrzuć przejęte hasła Im więcej masz użytkowników, którzy ponownie używają haseł, tym słabsze będzie Twoje bezpieczeństwo logowania do WordPressa. Zapobiegaj używaniu przez klientów znanych złamanych haseł. iThemes Security Pro wykorzystuje API HaveIBeenPwned do wykrywania, czy hasło pojawiło się w przypadku naruszenia danych. Jeśli hasło zostało znalezione w przypadku naruszenia danych, iThemes Security będzie wymagać natychmiastowej aktualizacji hasła do konta.
Użyj uwierzytelniania dwuskładnikowego Nie ma lepszego sposobu na zabezpieczenie kont klientów niż wymaganie uwierzytelniania dwuskładnikowego WordPress. Uwierzytelnianie dwuskładnikowe wymaga dodatkowego kodu wraz z nazwą użytkownika i hasłem WordPress, aby się zalogować. Korzystając z wtyczki zabezpieczającej WordPress, takiej jak iThemes Security Pro, możesz dodać uwierzytelnianie dwuskładnikowe WordPress do swojej witryny WordPress. Włącz dwuskładnikową metodę poczty e-mail lub aplikacji mobilnej. Możesz także skorzystać z funkcji logowania bez hasła WordPress, aby jeszcze bardziej ułatwić logowanie z dwuskładnikowym bezpieczeństwem.
Ogranicz zewnętrzne próby uwierzytelnienia Oprócz korzystania z formularza logowania istnieją inne sposoby logowania się do witryny WordPress. Korzystając z XML-RPC, osoba atakująca może wykonać setki prób podania nazwy użytkownika i hasła w jednym żądaniu HTTP. Metoda amplifikacji brute force umożliwia atakującym tysiące prób nazwy użytkownika i hasła przy użyciu XML-RPC w zaledwie kilku żądaniach HTTP. Korzystając z ustawień WordPress Tweaks iThemes Security Pro, możesz zablokować wiele prób uwierzytelnienia na żądanie XML-RPC. Ograniczenie liczby prób podania nazwy użytkownika i hasła do jednego na każde żądanie znacznie pomoże w zabezpieczeniu logowania do WordPressa.

Być może myślisz, że nigdy nie utrudnisz swoim klientom logowania. Naprawdę rozumiem, skąd pochodzisz, ale pozwól, że podzielę się krótką historią, która może zmienić zdanie.

Miałem członka rodziny, któremu włamano się na jedno z jego kont. Pamiętaj, że haker mógł pobrać tylko te produkty, które członek rodziny kupił za darmo. Żadna z ich danych osobowych nie była przechowywana (patrz #4), więc nic im nie wychodziło. Jednak ten członek rodziny nadal był zdenerwowany. Firma, w której konto zostało naruszone, dała im pełny zwrot pieniędzy i zapewniła, że ​​ich konto będzie bezpieczne po zaktualizowaniu hasła.

Więc po usłyszeniu tego postanowiłem zrobić moje najlepsze wrażenie Sherlocka Holmesa i rozpocząć śledztwo. Udało mi się ustalić, że haker prawdopodobnie znalazł adres e-mail i hasło członka rodziny w jednym z wielu zrzutów naruszenia danych. Członek mojej rodziny od lat używał tej samej kombinacji hasła i nazwy użytkownika. Pokazałem im wszystkie włamania do baz danych, w których znajdował się ich adres e-mail na haveibeenpwned.com i zachęciłem ich do zaktualizowania hasła na wszystkich swoich kontach, zanim te konta również zostaną zhakowane.

Po dowiedzeniu się, że ich hasło było dostępne dla każdego, czy myślisz, że obwinili swój wybór słabego hasła lub firmę za włamanie na ich konto? Gdybyś powiedział, że obwiniasz firmę, miałbyś rację. Czy sądzisz, że opowiadając historię włamania, częściej będą mówić negatywnie o firmie lub jej złych praktykach związanych z hasłami? Mimo że wina była ich własna, nadal uważali, że to na firmie spoczywa ciężar ochrony ich konta.

Czego więc możemy się z tego nauczyć? Od nas, jako właścicieli sklepów, zależy wymaganie silnych haseł i dwuskładnikowego uwierzytelniania w celu zabezpieczenia kont klientów. Ponieważ gdy konto klienta zostanie zhakowane, właściciele sklepów prawdopodobnie poniosą winę.

Dobrą wiadomością jest to, że wtyczka iThemes Security Pro ma nową funkcję logowania bez hasła WordPress, która pozwala wymagać od użytkowników używania silnych haseł i uwierzytelniania dwuskładnikowego bez konieczności wprowadzania hasła lub dodatkowego kodu uwierzytelniającego . Możesz teraz oferować wszystkie zabezpieczenia bez poświęcania jakiejkolwiek użyteczności.

7. Czy oprogramowanie obsługujące mój sklep internetowy jest aktualne?

Aktualizacje oprogramowania to nie tylko nowe funkcje lub poprawki błędów. Aktualizacje mogą również zawierać poprawki bezpieczeństwa dla znanych luk w zabezpieczeniach. Uruchamianie przestarzałego oprogramowania ze znanymi exploitami jest jednym z najczęstszych powodów włamań na strony internetowe. Dla bezpieczeństwa Twojej witryny WordPress ma kluczowe znaczenie, jeśli masz rutynę aktualizacji. Powinieneś logować się do swoich witryn co najmniej raz w tygodniu, aby przeprowadzić aktualizacje.

Korzystając z funkcji zarządzania wersjami wtyczki iThemes Security Pro, możesz włączyć automatyczne aktualizacje WordPress, aby mieć pewność, że otrzymujesz najnowsze poprawki bezpieczeństwa. Aktualizacja oprogramowania to najłatwiejsza rzecz, jaką możesz zrobić, aby chronić swój sklep internetowy.

8. Czy regularnie odwiedzam front-end mojej witryny?

Kiedy ostatnio przeglądałeś front-end swojej witryny, a nawet przeglądałeś swoją stronę główną? Jako zapracowani właściciele witryn zazwyczaj logujemy się bezpośrednio do zaplecza naszych witryn, aby dodawać nowe produkty, treści i przeprowadzać aktualizacje witryn. Przeglądanie stron i produktów witryny może pomóc w znalezieniu oznak infekcji. Powinieneś poszukać tych 3 oznak infekcji podczas sprawdzania frontonu swojej witryny lub pytania, czy moja witryna WordPress została zhakowana.

  1. Sprawdź swoją stronę główną pod kątem zmian – Głównym celem niektórych hacków jest trollowanie strony internetowej lub zdobycie rozgłosu. Zmieniają więc tylko twoją stronę główną na coś, co uważają za zabawne lub zostawiają zhakowaną kartę telefoniczną.
  2. Poszukaj złośliwych wyskakujących okienek lub spamu — czy w Twojej witrynie są reklamowane produkty, których nie sprzedajesz?
  3. Znajdź nieoczekiwane przekierowania — czy klikasz jeden z linków do swoich produktów tylko po to, by zostać przekierowanym do złośliwego sklepu próbującego zebrać dane klienta?

Korzystanie z funkcji wykrywania zmian plików programu iThemes Security Pro może pomóc w uświadomieniu sobie wszelkich nieoczekiwanych zmian wprowadzonych w witrynie. Ważne jest, aby być ostrzeżonym o udanym ataku na Twoją witrynę, im szybciej zostanie zidentyfikowane naruszenie, tym bardziej możesz złagodzić wyrządzone szkody.

9. Czy korzystam z CDN i WAF?

Korzystanie z sieci dostarczania treści (CDN), takiej jak Cloudflare CDN, może pomóc chronić Twój sklep przed atakami DDoS. CDN znajduje się na innym serwerze niż Twoja witryna i jest w stanie sprawdzać żądania kierowane do Twojej witryny, zanim dotrą one do Twojej witryny. Atak typu „odmowa usługi” (DDos) ma miejsce, gdy osoba atakująca próbuje zakłócić działanie lub spowodować awarię witryny przez zalew ruchu internetowego. W zależności od Twojego planu hostingowego, wyłączenie witryny może nie wymagać dużego ruchu.

CDN może pomóc złagodzić atak DDoS na kilka różnych sposobów. Pierwszą rzeczą, jaką zrobi CDN, jest aktywne monitorowanie i identyfikowanie, że Twoja witryna jest atakowana, co ma kluczowe znaczenie. Nie możesz powstrzymać ataku, którego nie potrafisz wykryć. Po zidentyfikowaniu złośliwych adresów IP, CDN zapobiegnie wszelkim żądaniom z adresów IP przed trafieniem na Twoją witrynę.

Należy również rozważyć użycie zapory aplikacji sieci Web (WAF). WAF jest w stanie zidentyfikować i odfiltrować złośliwy ruch, zanim dotrze on do Twojej witryny. W przeciwieństwie do zapory aplikacji internetowej PHP, WAF, taki jak Cloudflare WAF, nie znajduje się na tym samym serwerze, co Twoja witryna. Tak więc całe filtrowanie bezpieczeństwa odbywa się poza witryną i nie powoduje dodatkowego obciążenia ani nie spowalnia witryny.

10. Czy chronię swoje połączenie podczas pracy w miejscach publicznych?

Jedną z największych zalet prowadzenia sklepu internetowego jest to, że możesz pracować w dowolnym miejscu. Niestety, publiczne Wi-Fi jest bardzo niepewne, co sprawia, że ​​biblioteki publiczne, hotele, kawiarnie i lotniska są najlepszymi lokalizacjami dla hakerów do przechwytywania komunikacji i przechwytywania haseł.

Kiedyś pracowałem z klientem iThemes Security Pro, który nie mógł zrozumieć, w jaki sposób jego konto administratora było hackowane, nawet po zmianie hasła. Po pewnym czasie dowiedziałem się, że lubią pracować ze swojej lokalnej biblioteki i że są połączeni z Wi-Fi bez korzystania z wirtualnej sieci prywatnej (VPN).

Wirtualna sieć prywatna umożliwia bezpieczną komunikację z bankiem lub sklepem internetowym poprzez szyfrowanie ruchu internetowego. Ponieważ klient iThemes Security Pro nie korzystał z VPN, jego ruch nie był szyfrowany, a jego hasło było przechwytywane przez złośliwego aktora. Po tym, jak zasugerowaliśmy, aby spróbowali skorzystać z VPN w lokalnej bibliotece, zgłosili nam, że korzystanie z VPN położyło kres włamaniom.

Jeśli potrzebujesz więcej dowodów na brak bezpieczeństwa publicznego Wi-Fi, oto świetny artykuł w USA Today, w którym dziennikarz napisał o swoim doświadczeniu włamania się podczas korzystania z Wi-Fi podczas lotu: Zostałem zhakowany w powietrzu podczas pisania artykułu o Apple-FBI.

Podsumowanie: najlepsze praktyki w zakresie bezpieczeństwa online

Większości ataków na Twój sklep internetowy można zapobiec, wykonując niewielkie działania z Twojej strony. Teraz jest świetny czas na przeprowadzenie audytu bezpieczeństwa, aby upewnić się, że Twoja witryna jest bezpieczna w okresie świątecznym!

Wtyczka bezpieczeństwa wordpress

Wtyczka zabezpieczająca WordPress może pomóc zabezpieczyć Twoją witrynę WordPress

iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki dwuskładnikowemu uwierzytelnianiu WordPress, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

Uzyskaj iThemes Security Pro