Dacă aveți un magazin online, este posibil să vedeți o creștere bruscă a traficului în timpul sezonului de vacanță. Cu clienții noi care își introduc informațiile de plată și adresele personale pe site-ul dvs., este mai important ca niciodată să vă asigurați magazinul online în pregătirea sărbătorilor.

Noiembrie și decembrie sunt cele mai aglomerate luni de cumpărături ale anului, ceea ce face ca orice perioadă de nefuncționare legată de un hack sau o încălcare a securității să fie mai costisitoare decât în ​​orice altă perioadă a anului. Timpul de funcționare al site-ului dvs. web nu a fost niciodată mai valoros și de aceea acesta este momentul perfect pentru a efectua un audit de securitate al magazinului dvs. online.

Întrebări importante pentru securitatea site-ului dvs. web

La finalul auditului de securitate al site-ului dvs. web, ar trebui să puteți răspunde la aceste 10 întrebări:

• 1. Magazinul meu este pe platforma potrivită?
• 2. Magazinul meu este pe gazda web potrivită?
• 3. Magazinul meu este compatibil PCI-DSS?
• 4. Colectez prea multe date despre clienții mei?
• 5. Criptez comunicarea dintre clienții mei și magazinul meu?
• 6. Conturile mele de clienți sunt sigure?
• 7. Software-ul care rulează magazinul meu online este actualizat?
• 8. Vizitez în mod regulat front-end-ul site-ului meu?
• 9. Folosesc CDN și WAF?
• 10. Îmi protejez conexiunea atunci când lucrez în spații publice?

Un audit de securitate a site-ului web în 10 puncte

Nu vă faceți griji dacă nu știți cum să răspundeți la unele sau la toate aceste întrebări. Veți ști cum să răspundeți la toate aceste întrebări până la sfârșitul acestei postări.

Pe măsură ce parcurgem restul acestei postări, vă recomandăm să luați note cu privire la rezultatele auditului dvs., precum și la orice acțiuni de întreprins. Acest audit este, de asemenea, un serviciu excelent de furnizat clienților dvs. de design web (în orice moment al anului).

Să începem cu auditul de securitate al site-ului dvs. web în pregătirea sezonului de vacanță.

1. Magazinul meu este pe platforma potrivită?

Shopify, Magento și WordPress sunt trei dintre cele mai populare platforme pe care oamenii le folosesc pentru a-și crea magazinele. Niciuna dintre aceste platforme nu ar fi soluții de comerț electronic populare dacă nu ar fi sigure. Toate cele trei platforme au punctele lor forte și punctele slabe, așa că ar trebui să faceți o mică cercetare pentru a afla care dintre ele se potrivește cel mai bine nevoilor dvs.

Un audit rapid al platformei dvs. actuale poate include următoarele întrebări:

• 1. Platforma împinge frecvent actualizări pentru a aborda vulnerabilitățile de securitate?
• 2. Platforma angajează / utilizează o echipă dedicată asigurării respectării standardelor de securitate?
• 3. Are platforma un istoric de încălcări de date la scară largă sau vulnerabilități care au fost lăsate deschise?
• 4. Care este reputația platformei ca fiind sigură?

Un lucru de reținut este cât de ușor ar fi să vă mutați magazinul pe o altă platformă sau gazdă. Dacă trebuie să vă îndepărtați de Shopify, puteți migra Shopify la WooCommerce. Cu toate acestea, nu va fi la fel de ușor ca mutarea unui magazin WordPress pe o nouă gazdă web. WordPress permite, de asemenea, mai multă personalizare și flexibilitate pentru instrumentele pe care le puteți utiliza.

2. Magazinul meu este pe gazda web potrivită?

Punerea site-ului dvs. pe aceeași găzduire partajată ca și blogul prietenului dvs. este o idee proastă. De ce? Un site de comerț electronic adaugă multă complexitate, care necesită o expertiză mai mare pentru a fi securizat în mod corespunzător. Nu ați creat un magazin pentru că ați visat să deveniți un expert în securitate cibernetică, deci ar trebui să descărcați această responsabilitate către gazda dvs.

Investiția într-o soluție de găzduire axată pe comerțul electronic, cum ar fi Găzduirea WooCommerce administrată de Liquid Web sau Găzduirea WordPress gestionată, este calea de urmat. Dezvăluire completă, Liquid Web este compania noastră mamă, dar este serios de găzduire excelentă pentru dvs. Du-te la magazinul de prețuri și găsește o altă companie de găzduire care concurează cu valoarea respectivă la acel preț. Dacă aveți o gazdă de comerț electronic gestionată, veți economisi mult timp și probleme în gestionarea site-ului dvs. - timp pe care îl puteți folosi pentru a vă dezvolta afacerea.

3. Magazinul meu este compatibil PCI-DSS?

Dacă acceptați plăți cu cardul de credit, trebuie să respectați Standardele de securitate a datelor din industria cardurilor de plată (PCI-DSS). Conform Consiliului oficial al standardelor de securitate PCI, „ Dacă acceptați sau procesați carduri de plată, vi se aplică standardele de securitate a datelor PCI”. Aceste standarde includ peste 300 de cerințe de securitate diferite, dar iată o prezentare generală a celor mai bune practici PCI-DSS:

Standard de securitate a datelor PCI

Când alegeți să luați numerele cardurilor de debit ale oamenilor, îndeplinirea acestor cerințe va contribui la prevenirea unui atacator rău intenționat de a-și scurge contul bancar. Vă îndemn cu insistență să obțineți sfaturi de specialitate pentru a vă asigura că îndepliniți cerințele PCI-DSS.

4. Colectez prea multe date despre clienții mei?

Cu cât colectați mai multe informații despre clienții dvs., cu atât mai multe informații pot fi compromise în timpul unei încălcări. În aceste zile, cu greu putem merge o săptămână fără să aflăm că o companie a fost victima unei încălcări a datelor care a expus datele clienților. De exemplu, în încălcarea Doordash, numerele de telefon ale clientului, adresele de e-mail, adresele de domiciliu și parolele hash au fost compromise. Această combinație de informații ar putea fi tot ceea ce este necesar pentru a contracta un împrumut fraudulos.

Nu ar trebui să colectați niciodată mai multe informații despre clienții dvs. decât aveți nevoie. Dacă vindeți produse digitale care nu se reînnoiesc automat, de ce ați colecta și stoca adresa poștală?

De asemenea, ar trebui să luați în considerare utilizarea unui gateway de plată precum Stripe. Gateway-urile de plată vă permit să descărcați plățile cu cardul de credit, astfel încât magazinul dvs. poate accepta plăți online fără a prelucra sau stoca numerele cardului de credit. Stripe vă va ajuta, de asemenea, să deveniți compatibil PCI-DDS.

Din păcate, vor exista întotdeauna atacatori online și nu vor lipsi rapoartele despre site-urile compromise. Limitarea informațiilor pe care le colectați asupra clienților dvs. va limita cantitatea de informații expuse în timpul unei încălcări. Nu puteți pierde datele sensibile ale clienților pe care nu le aveți.

5. Criptez comunicarea dintre clienții mei și magazinul meu?

SSL criptează comunicațiile pe care clienții dvs. le tastează în browserul lor și le trimit către site-ul dvs. Cu SLL, când cineva introduce numele contului și parola, acesta va fi protejat atunci când aceste informații sunt trimise la serverul site-ului dvs. pentru confirmare. Criptarea numelui de utilizator și a parolei va face mai dificil pentru un atacator să intercepteze numele de utilizator și parola în tranzit de la browserul său la serverul dvs.

Nu vom petrece prea mult timp pentru asta, deoarece vom presupune că toată lumea folosește deja un certificat SSL pe site-ul lor. Puteți consulta training-ul nostru WordPress WordPress dacă nu sunteți familiarizați cu SSL. Dacă utilizați o gazdă specializată în comerțul electronic, este probabil ca site-ul dvs. să utilizeze SSL în siguranță.

6. Conturile mele de clienți sunt sigure?

Un atac cu forță brută este cel mai frecvent tip de atac asupra conturilor dvs. de client. Forța brută este un tip de atac atunci când un hacker încearcă să ghicească o combinație aleatorie de nume de utilizator și parole până când le găsește pe cea potrivită. Motivul pentru care atacurile de forță brută sunt atât de populare este că bariera de intrare a abilităților este foarte scăzută. Puteți găsi o mulțime de instrumente gratuite de cracare a parolelor cu o căutare rapidă pe Google.

Vestea minunată este că utilizarea unui plugin de securitate WordPress precum iThemes Security Pro pe site-ul dvs. WordPress face mai ușoară prevenirea succesului atacurilor la datele de conectare ale clientului.

Pe baza cercetărilor efectuate de blogul de securitate Google, ar trebui să urmați aceste 5 reguli pentru a opri 100% din atacurile cu forță brută:

S-ar putea să vă gândiți că nu veți îngreuna niciodată conectarea clienților. Înțeleg cu adevărat de unde veniți, dar permiteți-mi să vă împărtășesc o poveste rapidă care ar putea să vă răzgândească.

Am avut un membru al familiei căruia i-a fost piratat unul dintre conturi. Rețineți că hackerul a reușit să descarce gratuit produsele cumpărate de membrii familiei. Niciuna dintre informațiile lor personale nu a fost stocată (a se vedea # 4), deci nu au fost nimic. Cu toate acestea, acest membru al familiei era încă supărat. Compania unde a fost încălcat contul le-a acordat o rambursare integrală și le-a asigurat că contul lor va fi securizat odată ce și-au actualizat parola.

Așadar, după ce am auzit acest lucru, am decis să fac impresia mea cea mai bună pe Sherlock Holmes și să încep o investigație. Am reușit să constat că hackerul a găsit probabil adresa de e-mail și parola membrului familiei într-una din multiplele depozite de încălcare a datelor. Membrul familiei mele folosea aceeași combinație de parole și nume de utilizator de ani de zile. Le-am arătat toate încălcările bazei de date în care făcuse parte adresa lor de e-mail pe haveibeenpwned.com și i-am încurajat să își actualizeze parola pe toate conturile lor înainte ca acele conturi să fie și ele piratate.

După ce ați aflat că parola lor a fost disponibilă pentru oricine, credeți că au dat vina pe alegerea unei parole slabe sau că compania a fost compromisă? Dacă ai spune că ai dat vina pe companie, ai fi corect. Când spun povestea hack-ului, credeți că este mai probabil să vorbească negativ despre companie sau despre practicile lor slabe de parolă? Chiar dacă vina era a lor, ei credeau totuși că responsabilitatea revine companiei pentru a-și proteja contul.

Deci, ce putem învăța din asta? Depinde de noi, ca proprietari de magazine, să solicităm parole puternice și autentificare în doi factori pentru a securiza conturile clienților. Deoarece atunci când contul unui client este piratat, este probabil ca proprietarii de magazine să fie vinovați.

Vestea bună este că pluginul iThemes Security Pro are o nouă funcție de conectare fără parolă WordPress care vă permite să solicitați utilizatorilor să utilizeze parole puternice și autentificare în doi factori fără a introduce vreodată o parolă sau un cod de autentificare suplimentar . Acum puteți oferi toată securitatea fără a sacrifica nici o utilizare.

7. Software-ul care rulează magazinul meu online este actualizat?

Actualizările de software nu sunt doar pentru funcții noi sau remedieri de erori. Actualizările pot include, de asemenea, patch-uri de securitate pentru exploatări de securitate cunoscute. Rularea unui software învechit cu exploatări cunoscute este unul dintre cele mai frecvente motive pentru care site-urile web sunt piratate. Este crucial pentru securitatea site-ului dvs. WordPress să aveți o rutină de actualizare. Ar trebui să vă conectați la site-urile dvs. cel puțin o dată pe săptămână pentru a efectua actualizări.

Folosind funcția de gestionare a versiunilor pluginului iThemes Security Pro, puteți activa actualizările automate WordPress pentru a vă asigura că primiți cele mai recente patch-uri de securitate. Actualizarea software-ului dvs. este cel mai simplu lucru pe care îl puteți face pentru a vă proteja magazinul online.

8. Vizitez în mod regulat front-end-ul site-ului meu?

Când ați trecut ultima oară prin front-end-ul site-ului dvs. sau chiar v-ați uitat la pagina de pornire? Ca proprietari de site-uri ocupați, de obicei ne conectăm direct la backend-ul site-urilor noastre pentru a adăuga noi produse, conținut și pentru a efectua actualizări ale site-ului. Rularea prin paginile și produsele site-ului dvs. vă poate ajuta să găsiți semne de infecție. Ar trebui să căutați aceste 3 semne de infecții atunci când inspectați partea frontală a site-ului dvs. sau când întrebați dacă site-ul meu WordPress este piratat.

1. Verificați pagina de pornire pentru modificări - Obiectivul principal al unor hack-uri este de a trola un site web sau de a câștiga notorietate. Așadar, îți schimbă pagina de pornire doar cu ceva ce li se pare amuzant sau să lase un card de vizită piratat.
2. Căutați ferestre pop-up rău intenționate sau spam - Există produse publicitate pe site-ul dvs. pe care nu le vindeți?
3. Găsiți redirecționări neașteptate - Faceți clic pe unul dintre linkurile produsului dvs. doar pentru a fi redirecționat către un magazin rău intenționat care încearcă să recolteze datele clienților dvs.?

Utilizarea funcției Detectarea modificărilor de fișiere a iThemes Security Pro vă poate ajuta să vă conștientizați orice modificare neașteptată a site-ului dvs. Este crucial să fiți avertizat cu privire la un atac reușit pe site-ul dvs., cu cât este identificată mai repede încălcarea, cu atât mai mult puteți atenua daunele provocate.

9. Folosesc CDN și WAF?

Utilizarea unei rețele de livrare a conținutului (CDN) precum Cloudflare CDN vă poate ajuta să vă protejați magazinul de atacurile DDoS. CDN este pe un server diferit de site-ul dvs. și poate inspecta solicitările către site-ul dvs. înainte ca acestea să ajungă vreodată la site-ul dvs. Un atac de refuz de serviciu (DDos) este atunci când un atacator încearcă să întrerupă sau să-ți aducă site-ul cu o inundație de trafic pe internet. În funcție de planul dvs. de găzduire, este posibil să nu fie nevoie de mult trafic suplimentar pentru a reduce site-ul dvs.

Un CDN poate ajuta la atenuarea unui atac DDoS în câteva moduri diferite. Primul lucru pe care îl va face un CDN este monitorizarea activă și identificarea faptului că site-ul dvs. este atacat, ceea ce este esențial. Nu poți opri un atac pe care nu ești configurat să îl detectezi. Odată ce IP-urile rău intenționate sunt identificate, CDN va împiedica orice solicitare a IP-urilor să vă lovească vreodată site-ul.

De asemenea, ar trebui să luați în considerare utilizarea unui Firewall pentru aplicații web (WAF). Un WAF este capabil să identifice și să filtreze traficul rău intenționat înainte de a ajunge pe site-ul dvs. Spre deosebire de un firewall pentru aplicații web PHP, un WAF precum Cloudflare WAF oferă nu este pe același server cu site-ul dvs. Deci, toate filtrele de securitate sunt realizate în afara site-ului și nu adaugă nicio încărcare suplimentară sau încetinesc site-ul.

10. Îmi protejez conexiunea atunci când lucrez în spații publice?

Unul dintre lucrurile minunate legate de administrarea unui magazin online este că puteți lucra oriunde. Din păcate, wifi-ul public este foarte nesigur, făcând bibliotecile publice, hotelurile, cafenelele și aeroporturile locații privilegiate pentru ca hackerii să intercepteze comunicarea și să recolteze parolele.

Am lucrat odată cu un client iThemes Security Pro care nu-și putea da seama modul în care contul lor de administrator a fost piratat chiar și după ce și-au schimbat parola. După câteva înapoi, am aflat că le place să lucreze din biblioteca lor locală și că erau conectați la wifi fără a utiliza o rețea privată virtuală (VPN).

O rețea privată virtuală vă permite să comunicați în siguranță cu banca dvs. sau magazinul online prin criptarea traficului dvs. de internet. Deoarece clientul iThemes Security Pro nu folosea un VPN, traficul lor nu a fost criptat, iar parola lor a fost interceptată de un actor rău intenționat. După ce le-am sugerat să încerce să utilizeze o rețea VPN la biblioteca locală, ne-au raportat că folosirea rețelei VPN pune capăt hacks-urilor.

Dacă aveți nevoie de mai multe dovezi cu privire la nesiguranța Wi-Fi-ului public, iată un articol minunat din USA Today în care un jurnalist a scris despre experiența sa de a fi piratat în timp ce folosea Wi-Fi în zbor: Am fost piratat în aer în timp ce scria o poveste Apple-FBI.

Încheierea: cele mai bune practici de securitate online

Majoritatea atacurilor asupra magazinului dvs. online pot fi împiedicate să aibă succes cu o mică acțiune din partea dvs. În acest moment este un moment excelent pentru a efectua un audit de securitate pentru a vă asigura că site-ul dvs. este sigur pentru sezonul de vacanță!

Un plugin de securitate WordPress vă poate ajuta să vă securizați site-ul WordPress

iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu autentificarea cu doi factori WordPress, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Obțineți iThemes Security Pro

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.