Если у вас есть интернет-магазин, вы, вероятно, увидите резкий рост посещаемости во время курортного сезона. Поскольку новые клиенты вводят свою платежную информацию и личные адреса на ваш веб-сайт, как никогда важно обеспечить безопасность вашего интернет-магазина в рамках подготовки к праздникам.

Ноябрь и декабрь - самые загруженные месяцы в году для покупок, поэтому любой простой, связанный со взломом или нарушением безопасности, дороже, чем в любое другое время года. Время безотказной работы вашего веб-сайта как никогда ценно, поэтому сейчас идеальное время для проведения аудита безопасности вашего интернет-магазина.

Важные вопросы для безопасности вашего веб-сайта

По завершении аудита безопасности вашего веб-сайта вы сможете ответить на эти 10 вопросов:

• 1. На правильной ли платформе находится мой магазин?
• 2. Находится ли мой магазин на правильном веб-хостинге?
• 3. Соответствует ли мой магазин требованиям PCI-DSS?
• 4. Собираю ли я слишком много данных о своих клиентах?
• 5. Шифрую ли я общение между покупателями и моим магазином?
• 6. Безопасны ли мои учетные записи клиентов?
• 7. Обновлено ли программное обеспечение моего интернет-магазина?
• 8. Регулярно ли я посещаю интерфейс своего сайта?
• 9. Использую ли я CDN и WAF?
• 10. Защищаю ли я свое соединение при работе в общественных местах?

Аудит безопасности веб-сайта из 10 пунктов

Не волнуйтесь, если вы не знаете, как ответить на некоторые или все эти вопросы. Вы узнаете, как ответить на все эти вопросы, к концу этого поста.

По мере того, как мы будем просматривать оставшуюся часть этого поста, вы можете делать заметки о результатах вашего аудита, а также о любых действиях, которые необходимо предпринять. Этот аудит также является отличной услугой для ваших клиентов, занимающихся веб-дизайном (в любое время года).

Приступим к аудиту безопасности вашего сайта в преддверии праздников.

1. На правильной ли платформе находится мой магазин?

Shopify, Magento и WordPress - три из самых популярных платформ, которые люди используют для создания своих магазинов. Ни одна из этих платформ не стала бы популярным решением для электронной коммерции, если бы не была безопасной. У всех трех платформ есть свои сильные и слабые стороны, поэтому вам следует провести небольшое исследование, чтобы выяснить, какая из них лучше всего соответствует вашим потребностям.

Быстрый аудит вашей текущей платформы может включать следующие вопросы:

• 1. Часто ли платформа выпускает обновления для устранения уязвимостей безопасности?
• 2. Использует ли платформа команду, посвященную обеспечению соблюдения стандартов безопасности?
• 3. Имеется ли у платформы история крупномасштабных утечек данных или уязвимостей, которые остались открытыми?
• 4. Какова репутация платформы как безопасной?

Следует иметь в виду, насколько легко будет перенести ваш магазин на другую платформу или другой хост. Если вам нужно отказаться от Shopify, вы можете перенести Shopify на WooCommerce. Однако это будет не так просто, как переместить магазин WordPress на новый веб-хостинг. WordPress также предоставляет больше возможностей для настройки и гибкости инструментов, которые вы можете использовать.

2. Находится ли мой магазин на правильном веб-хостинге?

Размещение вашего сайта на том же виртуальном хостинге, что и блог вашего друга, - плохая идея. Почему? Веб-сайт электронной коммерции добавляет много сложностей, которые требуют более высокого уровня знаний для надлежащей защиты. Вы создали магазин не потому, что мечтали стать экспертом по кибербезопасности, поэтому вам следует переложить эту ответственность на свой хост.

Лучше всего инвестировать в решение для хостинга, ориентированное на электронную коммерцию, такое как управляемый хостинг WooCommerce от Liquid Web или управляемый хостинг WordPress. Полное раскрытие, Liquid Web - наша материнская компания, но это действительно отличный хостинг для вас. Сходите по магазинам и найдите другую хостинговую компанию, которая конкурирует с этой ценой по этой цене. Наличие управляемого хоста электронной торговли сэкономит вам много времени и хлопот при управлении вашим сайтом - время, которое вы можете использовать вместо этого для развития своего бизнеса.

3. Соответствует ли мой магазин требованиям PCI-DSS?

Если вы принимаете платежи по кредитным картам, вы должны соответствовать стандартам безопасности данных индустрии платежных карт (PCI-DSS). Согласно официальному совету по стандартам безопасности PCI: « Если вы принимаете или обрабатываете платежные карты, к вам применяются стандарты безопасности данных PCI». Эти стандарты включают более 300 различных требований безопасности, но вот обзор лучших практик PCI-DSS:

Стандарт безопасности данных PCI

Когда вы решите использовать номера дебетовых карт людей, соблюдение этих требований будет иметь большое значение для предотвращения того, чтобы злоумышленник опустошил их банковский счет. Я настоятельно рекомендую вам получить консультацию специалиста, чтобы убедиться, что вы соответствуете требованиям PCI-DSS.

4. Собираю ли я слишком много данных о своих клиентах?

Чем больше информации вы собираете о своих клиентах, тем больше информации может быть скомпрометировано во время взлома. В наши дни мы едва ли можем прожить неделю, чтобы не услышать, что какая-то компания стала жертвой утечки данных, в результате которой были обнаружены данные клиентов. Например, в результате взлома Doordash были скомпрометированы номера телефонов клиентов, адреса электронной почты, домашние адреса и хешированные пароли. Эта комбинация информации может быть всем, что нужно для получения мошеннической ссуды.

Вы никогда не должны собирать больше информации о своих клиентах, чем вам нужно. Если вы продаете цифровые продукты, которые не продлеваются автоматически, зачем вам собирать и хранить почтовый адрес?

Вам также следует рассмотреть возможность использования платежного шлюза, такого как Stripe. Платежные шлюзы позволяют разгрузить платежи по кредитным картам, поэтому ваш магазин может принимать онлайн-платежи без обработки или хранения номеров кредитных карт. Stripe также поможет вам стать совместимым с PCI-DDS.

К сожалению, злоумышленники всегда будут в сети, и не будет недостатка в сообщениях о взломе сайтов. Ограничение информации, которую вы собираете о своих клиентах, ограничит объем информации, раскрываемой во время взлома. Вы не можете потерять конфиденциальные данные клиентов, которых у вас нет.

5. Шифрую ли я общение между покупателями и моим магазином?

SSL шифрует сообщения, которые ваши клиенты вводят в браузере и отправляют на ваш сайт. С SLL, когда кто-то вводит имя своей учетной записи и пароль, он будет защищен, когда эта информация будет отправлена ​​на сервер вашего сайта для подтверждения. Шифрование имени пользователя и пароля усложнит злоумышленнику перехват имени пользователя и пароля при передаче из их браузера на ваш сервер.

Мы не собираемся тратить на это много времени, потому что предположим, что все уже используют SSL-сертификат на своем сайте. Если вы не знакомы с SSL, вы можете ознакомиться с нашим тренингом по WordPress https. Если вы используете специализированный хостинг электронной коммерции, ваш сайт, скорее всего, уже безопасно использует SSL.

6. Безопасны ли мои учетные записи клиентов?

Атака методом грубой силы является наиболее распространенным типом атаки на ваши учетные записи клиентов. Грубая сила - это тип атаки, когда хакер пытается угадать случайную комбинацию имен пользователей и паролей, пока не найдет правильную. Причина, по которой атаки методом грубой силы так популярны, заключается в том, что входной барьер навыков очень низкий. Вы можете найти множество бесплатных инструментов для взлома паролей с помощью быстрого поиска в Google.

Хорошая новость заключается в том, что использование плагина безопасности WordPress, такого как iThemes Security Pro, на вашем сайте WordPress позволяет легко предотвратить успешные атаки на логин вашего клиента.

Основываясь на исследовании блога о безопасности Google, вы должны следовать этим 5 правилам, чтобы остановить 100% атак методом грубой силы:

Вы можете подумать, что никогда не усложните вход своим клиентам. Я действительно понимаю, откуда вы пришли, но позвольте мне рассказать небольшую историю, которая может изменить ваше мнение.

У меня был член семьи, у которого была взломана одна из учетных записей. Имейте в виду, что хакер мог бесплатно загрузить только продукты, приобретенные членом семьи. Никакая их личная информация не была сохранена (см. №4), поэтому они ничего не пропустили. Однако этот член семьи все равно был расстроен. Компания, в которой была взломана учетная запись, вернула им деньги и заверила, что их учетная запись будет в безопасности, как только они обновят свой пароль.

Поэтому, услышав это, я решил произвести лучшее впечатление на Шерлока Холмса и начать расследование. Мне удалось определить, что хакер, скорее всего, нашел адрес электронной почты и пароль члена семьи в одной из нескольких дампов утечки данных. Член моей семьи использовал одну и ту же комбинацию пароля и имени пользователя в течение многих лет. Я показал им все взломы баз данных, где их адрес электронной почты был частью на haveibeenpwned.com, и призвал их обновить свои пароли на всех своих учетных записях, прежде чем эти учетные записи также будут взломаны.

Как вы думаете, после того, как они узнали, что их пароль был доступен для всех, они обвинили свой выбор в пользу ненадежного пароля или компанию в том, что их учетная запись была взломана? Если бы вы сказали, что обвиняли компанию, вы были бы правы. Когда они рассказывают историю взлома, как вы думаете, они с большей вероятностью будут негативно отзываться о компании или о своих ненадежных паролях? Несмотря на то, что это была их собственная вина, они все же думали, что ответственность за защиту их аккаунта лежит на компании.

Итак, что мы можем извлечь из этого? Мы, как владельцы магазинов, должны требовать надежные пароли и двухфакторную аутентификацию для защиты учетных записей клиентов. Потому что, когда учетная запись клиента взломана, скорее всего, виноваты владельцы магазинов.

Хорошая новость заключается в том, что плагин iThemes Security Pro имеет новую функцию входа в систему без пароля WordPress, которая позволяет вам требовать от пользователей использования надежных паролей и двухфакторной аутентификации без ввода пароля или дополнительного кода аутентификации . Теперь вы можете предложить всю безопасность, не жертвуя при этом удобством использования.

7. Обновлено ли программное обеспечение моего интернет-магазина?

Обновления программного обеспечения предназначены не только для новых функций или исправлений ошибок. Обновления также могут включать исправления безопасности для известных уязвимостей безопасности. Использование устаревшего программного обеспечения с известными эксплойтами - одна из наиболее частых причин взлома веб-сайтов. Для безопасности вашего сайта WordPress крайне важно, чтобы у вас была процедура обновления. Вы должны входить на свои сайты не реже одного раза в неделю, чтобы выполнять обновления.

Используя функцию управления версиями плагина iThemes Security Pro, вы можете включить автоматические обновления WordPress, чтобы убедиться, что вы получаете последние исправления безопасности. Обновление программного обеспечения - это самый простой способ защитить свой интернет-магазин.

8. Регулярно ли я посещаю интерфейс своего сайта?

Когда вы в последний раз просматривали интерфейс своего сайта или даже просматривали домашнюю страницу? Как занятые владельцы сайтов, мы обычно входим прямо в серверную часть наших сайтов, чтобы добавлять новые продукты, контент и выполнять обновления сайтов. Просматривая страницы и продукты вашего сайта, вы можете обнаружить признаки заражения. Вы должны искать эти 3 признака заражения при проверке интерфейса вашего сайта или когда спрашиваете, взломан ли мой сайт WordPress.

1. Проверьте свою домашнюю страницу на предмет изменений. Основная цель некоторых взломов - троллить сайт или получить известность. Таким образом, они только меняют вашу домашнюю страницу на то, что им кажется забавным, или оставляют взломанную по визитной карточке.
2. Ищите вредоносные всплывающие окна или спам. Есть ли на вашем сайте рекламируемые продукты, которые вы не продаете?
3. Обнаружение неожиданных перенаправлений. Вы нажимаете на одну из ссылок на свой продукт только для того, чтобы попасть в вредоносный магазин, который пытается собрать данные вашего клиента?

Использование функции обнаружения изменений файлов iThemes Security Pro может помочь вам узнать о любых неожиданных изменениях, внесенных на ваш сайт. Очень важно быть предупрежденным об успешной атаке на ваш сайт. Чем раньше будет обнаружено нарушение, тем лучше вы сможете уменьшить нанесенный ущерб.

9. Использую ли я CDN и WAF?

Использование сети доставки контента (CDN), такой как Cloudflare CDN, может помочь защитить ваш магазин от DDoS-атак. CDN находится на другом сервере, чем ваш сайт, и может проверять запросы к вашему сайту, прежде чем они попадут на ваш сайт. Атака отказа в обслуживании (DDos) - это когда злоумышленник пытается нарушить работу вашего сайта или вывести его из строя с помощью потока интернет-трафика. В зависимости от вашего тарифного плана для остановки вашего сайта может не потребоваться очень много дополнительного трафика.

CDN может помочь смягчить DDoS-атаку несколькими способами. Первое, что сделает CDN, - это будет активно отслеживать и определять, что ваш сайт подвергается атаке, что очень важно. Вы не можете остановить атаку, на обнаружение которой не настроены. Как только вредоносные IP-адреса будут идентифицированы, CDN предотвратит попадание любых запросов с IP-адресов на ваш сайт.

Вам также следует рассмотреть возможность использования брандмауэра веб-приложений (WAF). WAF способен выявлять и фильтровать вредоносный трафик до того, как он попадет на ваш сайт. В отличие от брандмауэра веб-приложений PHP, WAF, такой как Cloudflare WAF, не находится на том же сервере, что и ваш сайт. Таким образом, вся фильтрация безопасности выполняется вне сайта и не увеличивает нагрузку на ваш сайт и не замедляет его.

10. Защищаю ли я свое соединение при работе в общественных местах?

Одним из преимуществ интернет-магазина является то, что вы можете работать где угодно. К сожалению, общественный Wi-Fi, как известно, очень небезопасен, поэтому публичные библиотеки, отели, кафе и аэропорты являются лучшими местами для хакеров, чтобы перехватить общение и собрать пароли.

Однажды я работал с клиентом iThemes Security Pro, который не мог понять, как их учетная запись администратора продолжала взламываться даже после того, как они изменили свой пароль. После некоторого разговора я узнал, что им нравится работать из своей локальной библиотеки, и что они были подключены к Wi-Fi без использования виртуальной частной сети (VPN).

Виртуальная частная сеть позволяет вам безопасно общаться с вашим банком или интернет-магазином, шифруя ваш интернет-трафик. Поскольку клиент iThemes Security Pro не использовал VPN, его трафик не был зашифрован, а его пароль продолжал перехватываться злоумышленником. После того, как мы предложили им попробовать использовать VPN в местной библиотеке, они ответили нам, что использование VPN положило конец взломам.

Если вам нужно больше доказательств небезопасности общедоступного Wi-Fi, вот отличная статья USA Today, в которой журналист написал о своем опыте взлома при использовании Wi-Fi в полете: Меня взломали в воздухе, когда я писал историю Apple и ФБР.

Подведение итогов: передовые методы обеспечения безопасности в Интернете

Большинство атак на ваш интернет-магазин можно предотвратить с помощью небольших действий с вашей стороны. Прямо сейчас отличное время для проверки безопасности, чтобы убедиться, что ваш сайт в безопасности в преддверии праздников!

Плагин безопасности WordPress может помочь защитить ваш сайт WordPress

iThemes Security Pro, наш плагин безопасности WordPress, предлагает более 50 способов защиты и защиты вашего сайта от распространенных уязвимостей безопасности WordPress. С двухфакторной аутентификацией WordPress, защитой от перебора, надежным паролем и многим другим вы можете добавить дополнительный уровень безопасности на свой веб-сайт.

Получите iThemes Security Pro

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.