5 простых советов по защите интернет-магазина
19.08.2014
5 простых советов по защите <nobr>интернет-магазина</nobr>
Как интернет-магазинам защищать свои сайты и данные своих клиентов

Новости о той или иной бреши на сайте eBay - это громкие напоминания всем сайтам электронной торговли об их уязвимости. Интернет-магазинам нужно защищать свои сайты и данные своих клиентов. И это касается не только таких гигантов как eBay. Небольшие сайты электронной коммерции часто становятся объектом атак.

Хакеры выбирают подобные сайты из-за отсутствия у них защиты.

Владельцы интернет-магазинов, которые думают - «раз eBay не смог защититься, значит я и тем более», заблуждаются. Благодаря SaaS технологиям появились доступные по цене решения для защиты сайтов любых размеров, которые всего пару лет назад были вне досягаемости для малого бизнеса.

Ниже представлены 5 простых советов для защиты сайта электронной коммерции:

1) Ликвидируйте дыры на сайте

Существует два распространенных типа уязвимости для сайтов электронной коммерции, которые должны быть вовремя устранены.

Первый тип – SQL injection. Многие сайты уязвимы для атак с использованием SQL инъекций. Внедрение SQL кода дает возможность злоумышленникам выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

Второй – Cross Site Scripting (XSS, межсайтовый скриптинг). XSS атака осуществляется посредством внедрения в выдаваемую веб-приложением страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. В результате использования XSS уязвимости хакеры могут украсть данные посетителей интернет-магазина, повысить привилегии доступа при работе в веб-приложении (CMS, движке интернет-магазина, и др.), перехватить сессию администратора и даже могут устанавливать вредоносное ПО и вирусы на компьютеры посетителей. Web Application Firewall (WAF) предотвращает оба типа таких атак.

2) Будьте готовы к распределённым атакам типа «отказ в обслуживании» (DDoS)

Распределённая атака типа «отказ в обслуживании» (DDoS) характеризуется как попытки вызвать сбой в работе интернет-магазина, сделав его недоступным для пользователей.

Для сайта электронной коммерции, DDoS-атака имеет прямое влияние на его выручку. Большинство владельцев интернет-магазинов знаю, сколько они зарабатывают в минуту или час. Поэтому легко представить сколько будет стоит минута или час простоя из-за DDoS-атаки. Так как атаки могут длиться от нескольких часов до нескольких дней – сумма недополученной выручки может оказаться крайне внушительной.

Вместо того, чтобы становиться жертвой злоумышленников и нести серьезные убытки, интернет-магазинам выгоднее иметь постоянную защиту от DDoS-атак.

Узнать как работает постоянная защита от DDoS можно по ссылке.

3) Используйте двухфакторную аутентификацию для защиты админ-панели вашего интернет-магазина

Украденные или скомпрометированные учетные данные пользователей являются частой причиной появления бреши. Хакеры используют социальную инженерию, "фишинг", вредоносные программы и другие средства, чтобы угадать или перехватить имена пользователей и пароли. Злоумышленники также часто нацелены на администраторов, которых они находят в социальных сетях, используя "целевой фишинг" (атаку, нацеленную на отдельную жертву) для получения их конфиденциальных данных.

Чтобы ликвидировать эту проблему, подключите двухфакторную аутентификацию. Это использование дополнительного метода подтверждения полномочий пользователя – одноразового уникального кода доступа из СМС или приложения в мобильном телефоне или email при доступе к административной консоли сайта. Злоумышленники не смогут украсть этот код, а значит и не получат доступ к административной части вашего интернет-магазина.

4) Регулярно сканируйте сайт на уязвимости

На сегодняшний день регулярное сканирование сайта на наличие уязвимостей стало необходимой процедурой. Сканеры обнаруживают SQL-инъекции и межсайтовый скриптинг (XSS), о которых рассказывалось выше, а также множество других уязвимостей.

Полученная по итогам сканирования информация позволит системным-администраторам устранить уязвимости на уровне кода. А так же даст общее представление об уровне безопасности сайта.

5) Будьте осторожны при выборе партнеров

Согласно исследованиям института Ponemon, сторонние поставщики услуг – хостинг-провайдеры, платежные системы, call-центры и т.п. – часто становятся причиной возникновения бреши на сайтах их партнеров. Убедитесь, что все ваши контрагенты имеют свою систему безопасности. В мире электронной коммерции важно соответствовать лучшим практикам безопасности, например Стандарту безопасности данных (PCI DSS) индустрии платежных карт. Попросите своих контрагентов показать вам их сертификаты.