Новости о той или иной бреши на сайте eBay - это громкие напоминания всем сайтам электронной торговли об их уязвимости. Интернет-магазинам нужно защищать свои сайты и данные своих клиентов. И это касается не только таких гигантов как eBay. Небольшие сайты электронной коммерции часто становятся объектом атак.
Хакеры выбирают подобные сайты из-за отсутствия у них защиты.
Владельцы интернет-магазинов, которые думают - «раз eBay не смог защититься, значит я и тем более», заблуждаются. Благодаря SaaS технологиям появились доступные по цене решения для защиты сайтов любых размеров, которые всего пару лет назад были вне досягаемости для малого бизнеса.
Ниже представлены 5 простых советов для защиты сайта электронной коммерции:
1) Ликвидируйте дыры на сайте
Существует два распространенных типа уязвимости для сайтов электронной коммерции, которые должны быть вовремя устранены.
Первый тип – SQL injection. Многие сайты уязвимы для атак с использованием SQL инъекций. Внедрение SQL кода дает возможность злоумышленникам выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.
Второй – Cross Site Scripting (XSS, межсайтовый скриптинг). XSS атака осуществляется посредством внедрения в выдаваемую веб-приложением страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. В результате использования XSS уязвимости хакеры могут украсть данные посетителей интернет-магазина, повысить привилегии доступа при работе в веб-приложении (CMS, движке интернет-магазина, и др.), перехватить сессию администратора и даже могут устанавливать вредоносное ПО и вирусы на компьютеры посетителей. Web Application Firewall (WAF) предотвращает оба типа таких атак.
2) Будьте готовы к распределённым атакам типа «отказ в обслуживании» (DDoS)
Распределённая атака типа «отказ в обслуживании» (DDoS) характеризуется как попытки вызвать сбой в работе интернет-магазина, сделав его недоступным для пользователей.
Для сайта электронной коммерции, DDoS-атака имеет прямое влияние на его выручку. Большинство владельцев интернет-магазинов знаю, сколько они зарабатывают в минуту или час. Поэтому легко представить сколько будет стоит минута или час простоя из-за DDoS-атаки. Так как атаки могут длиться от нескольких часов до нескольких дней – сумма недополученной выручки может оказаться крайне внушительной.
Вместо того, чтобы становиться жертвой злоумышленников и нести серьезные убытки, интернет-магазинам выгоднее иметь постоянную защиту от DDoS-атак.
Узнать как работает постоянная защита от DDoS можно по ссылке.
3) Используйте двухфакторную аутентификацию для защиты админ-панели вашего интернет-магазина
Украденные или скомпрометированные учетные данные пользователей являются частой причиной появления бреши. Хакеры используют социальную инженерию, "фишинг", вредоносные программы и другие средства, чтобы угадать или перехватить имена пользователей и пароли. Злоумышленники также часто нацелены на администраторов, которых они находят в социальных сетях, используя "целевой фишинг" (атаку, нацеленную на отдельную жертву) для получения их конфиденциальных данных.
Чтобы ликвидировать эту проблему, подключите двухфакторную аутентификацию. Это использование дополнительного метода подтверждения полномочий пользователя – одноразового уникального кода доступа из СМС или приложения в мобильном телефоне или email при доступе к административной консоли сайта. Злоумышленники не смогут украсть этот код, а значит и не получат доступ к административной части вашего интернет-магазина.
4) Регулярно сканируйте сайт на уязвимости
На сегодняшний день регулярное сканирование сайта на наличие уязвимостей стало необходимой процедурой. Сканеры обнаруживают SQL-инъекции и межсайтовый скриптинг (XSS), о которых рассказывалось выше, а также множество других уязвимостей.
Полученная по итогам сканирования информация позволит системным-администраторам устранить уязвимости на уровне кода. А так же даст общее представление об уровне безопасности сайта.
5) Будьте осторожны при выборе партнеров
Согласно исследованиям института Ponemon, сторонние поставщики услуг – хостинг-провайдеры, платежные системы, call-центры и т.п. – часто становятся причиной возникновения бреши на сайтах их партнеров. Убедитесь, что все ваши контрагенты имеют свою систему безопасности. В мире электронной коммерции важно соответствовать лучшим практикам безопасности, например Стандарту безопасности данных (PCI DSS) индустрии платежных карт. Попросите своих контрагентов показать вам их сертификаты.