Wszystkie artykuły Poprzedni Następny

Jak zabezpieczyć sklep internetowy przed cyberatakami

Rynek e-commerce rośnie z roku na rok. W 2019 roku Polacy wydadzą aż 50 mld złotych na zakupy w internecie. Jak zwiększyć bezpieczeństwo naszego sklepu? W tym artykule postaramy się przeanalizować właśnie ten aspekt.

skep internetowy na tablecie

Gigantyczne kwoty, jakie są obecnie w e-commerce to bardzo dobra wiadomość dla właścicieli sklepów internetowych, którzy cieszą się rosnącą branżą każdego roku. Niestety duże kwoty, jakie są obracane w internecie, przyciągają również cyberprzestępców.

Eksperci są zgodni co do tego, że ta branża jest jedną z najbardziej narażonych na cyberataki.

Cyberbezpieczeństwo to jednocześnie jedno z najważniejszych aspektów e-commerce. Sklepy internetowe obracają bardzo wrażliwymi danymi swoich klientów. Udany atak może całkowicie zniszczyć wiarygodność i wizerunek danej firmy, ale w przeciwieństwie do zwykłych ataków internetowych, ten może narazić na straty finansowe klientów.

Rodzaje sklepów

Ważnym jest rozumienie narzędzi, jakie zostały użyte do stworzenia naszej strony. Wyróżnić można trzy typy sklepów pod tym względem.

Jeden z rodzajów sklepów internetowych to gotowe rozwiązaniu typu Wix czy Squarespace. W tym przypadku wynajmujemy software i nie odpowiadamy za jego konfiguracje. Tego typu rozwiązania stosowane są, zwykle, w przypadku małych sklepów — są łatwe do stworzenia i obsługiwania, ale nie dają nam możliwości implementowania naszych rozwiązań, dlatego często stosowane są tylko na początkowej fazie rozwoju.

Drugi rodzaj to sklepy wykorzystujące gotowe, specjalnie przygotowane do tego CMS-y (Content Management Systems) takie jak WooCommerce, które są hostowane przez nas samych. Tego typu rozwiązania dają nam dużo większą kontrolę nad tym, co i w jaki sposób serwujemy naszym potencjalnym klientom. Jest to najczęściej występujące rozwiązanie.

Ostatni rodzaj to strony napisane od zera. Dają największą kontrolę, ale wymagają najwięcej pracy i programistycznej wiedzy.

Niezależnie od zastosowanego rozwiązania ograniczenie potencjalnych cyberniebezpieczeństw jest bardzo ważne.

Szyfruj dane

Szyfrowanie danych jest niesamowicie ważne nie tylko w przypadku sklepów internetowych. Niezaszyfrowana komunikacja może być przejęta i odczytana przez niepowołane osoby. Na szczęście szyfrowanie staje się standardem — niektóre przeglądarki wręcz wymuszają jej stosowanie, a praktycznie wszystkie dają jasny komunikat użytkownikom, że znajdują się na niebezpiecznej stronie.

Należy, bezwzględnie, używać certyfikatów SSL — komunikacja z serwerami będzie szyfrowana. Obecnie implementacja ich nie jest problemem, ani nawet kosztem. Mamy możliwość wygenerowania certyfikatów przez Let's Encrypt za darmo.

Znajdź odpowiedni hosting

Przy wyborze hostingu nie należy sugerować się jedynie ceną. Przed wyborem konkretnego rozwiązania należy spędzić czas nad oceną firm pod względem bezpieczeństwa.

Dobre zabezpieczenie strony to tylko jeden z aspektów — ważnym jest także dobre zabezpieczenie samego hostingu, którego błędy mogą zostać wykorzystane przez atakujących.

Sklep internetowy nie jest zwykłą witryną i w tym przypadku należy bardzo dokładnie porównać firmy hostingowe pod względem tego, jak bardzo skupiają się nad ochroną swoich klientów.

Oczywiście każda z firm hostingowych będzie starała się zapewniać, że jest całkowicie bezpieczna, dlatego warto poszukać recenzji i opinii ze źródeł niezależnych.

Należy także korzystać z dedykowanego serwera — to rozwiązanie wiąże się także z potencjalnymi niebezpieczeństwami takimi jak nieprawidłowa konfiguracja, ale jest dużo bezpieczniejsze od hostingów współdzielonych (w przypadku których może dojść do zarażenia malware niezależnie od naszych starań, a przez zaniedbania administratorów innych stron z naszego serwera, lub, w prost ich złośliwe działania).

Zwróć uwagę, czy hosting oferuje:

- Szyfrowanie AES - Backupy

- Monitorowanie sieci

- Dobrą obsługę techniczną pracującą 24 godzin na dobę

- Szybkie reagowanie w przypadku problemów

Używaj bezpiecznej platformy

Ważnym krokiem do budowania bezpieczeństwa naszego sklepu online jest wybór platformy eCommerce.

Na rynku dostępnych jest wiarygodnych platform takich jak Magento, Shopify, BigCommerce, WooCommerce, Prestashop itd.

Dostępne CMS-y różnią się między sobą nie tylko w łatwości obsługi, czy funkcjonalnościach, ale i pod względem bezpieczeństwa. Tak samo, jak w przypadku wyboru hostingu musisz dobrze przeanalizować obecny stan rynku. Niestety nie istnieje jedno rozwiązanie, które będzie całkowicie zabezpieczało nas przed atakami. Mimo że da się różnicować dostępne CMS-y pod względem bezpieczeństwa to trzeba mieć na uwadze, że każde z nich może mieć swoje partykularne problemy (np. platforma WordPress znana jest z bardzo dużej ilości plug-inów, które mogą stać się wektorem ataku, jeżeli administrator nie będzie regularnie ich kontrolował).

Platforma powinna zapewniać dobrą obsługę i szybkie aktualizację związane z cyberbezpieczeństwem.

Nie zachowuj danych jeśli nie musisz

Przez długi okres, w związku z wybuchem popularności big data, firmy zajmowały stanowisko, że warto zbierać jak najwięcej danych. Nawet jeśli nie są w stanie wykorzystać ich obecnie to na pewno przydadzą się w przyszłości. Ten trend zmienia się w obliczu zmian legislacyjnych takich jak GDPR i głośnych wycieków danych. Niektóre z firm wręcz zaczęły traktować dane jako toksyczny odpad — takie podejście jest prawdopodobnie przesadzone, ale należy bardzo dokładnie zastanowić się jakie dane zbieramy, i w jaki sposób je wykorzystujemy. W przypadku sklepów internetowych powinniśmy zbierać jedynie najpotrzebniejsze informacje i w szczególności dbać o te wrażliwe.

dane sklepu internetowego na laptopie

Nie zbieraj wrażliwych danych finansowych swoich klientów. Takie zachowanie jedynie prosi się o problemy i może mieć bardzo duże konsekwencje w przypadku udanego ataku. Nigdy nie powinno się przechowywać danych kart kredytowych na swoim serwerze. Zachowuj jedynie informacje, które są niezbędne do refundacji czy kompensacji i regularnie czyść te dane, gdy przestają być potrzebne. Miej pewność, że weryfikujesz kody CVV2 i adres przy wszystkich płatnościach online by wzmocnić zabezpieczenia przeciwko wyłudzeniom.

Używaj firewall'a

Mocny i, przede wszystkim, dobrze skonfigurowany firewall to podstawowe narzędzie przeciwko wirusom i próbom ataków. Bariera ta także może informować o podejrzanym ruchu w twojej sieci. Firewall może pomóc w zabezpieczeniu się przeciwko SQL injection i cross-site scripting. Upewnij się, że korzystasz z aktualnej wersji oprogramowania i, że jest skonfigurowane poprawnie. 

Zapora powinna blokować wszystkie porty, które nie są niezbędne do poprawnego funkcjonowania strony. Optymalnym jest aktywne monitorowanie ruchu — dzięki temu od razu możemy wykryć dziwne zachowania, czy w przypadku udanego ataku komunikacje z serwerami C&C (command and control), z którymi łączy się złośliwy kod.

Zabezpiecz się przed DDoS'em

DDoS to atak, który uniemożliwia korzystanie z serwisu poprzez zajęcie wszystkich wolnych zasobów jednocześnie. Przeprowadzenie takiego ataku jest obecnie łatwe i tanie dlatego ważnym jest, by zabezpieczyć się na taki przypadek. Możesz skorzystać z zewnętrznych data center, które będą chroniły przed takim wypadkiem, lub wykupić usługę ochrony przed atakami DDoS.

Badania pokazują, że długość ataków DDoS rośnie z roku na rok — nie możemy sobie pozwolić, by nasz sklep został wyłączony na całe dni, dlatego należy zabezpieczyć się przed tym typem ataku.

Aktualizuj oprogramowanie

To zasada, która tyczy się całego oprogramowania. Bardzo ważnym jest, by być na bieżąco z aktualizacjami.

Firewall, oprogramowanie antywirusowe, oprogramowanie serwera, czy w końcu plugin-y i motywy naszego systemu CMS powinny być zawsze aktualne. Co jakiś czas w oprogramowaniu znajdowane są luki. Błędy te mogą zostać wykorzystane do ataku na dany serwis, ale i często do przejęcia całkowitej kontroli. Autorzy oprogramowania po odkryciu danego błędu wydają aktualizacje.

Niestety jest to bardzo często zaniedbywany aspekt. W internecie istnieją miliony stron, które zawierają przestarzałe oprogramowanie, w konsekwencji czego, zawierają znane od lat krytyczne luki, które mogą zostać bardzo łatwo wykorzystane do ataku.

Aktualizacje należy potraktować bardzo poważnie, ponieważ jest to bardzo częsty wektor ataków. Często po odkryciu danej dziury zostaje ona bardzo szybko zautomatyzowana — boty skanują całe przestrzenie internetu w celu znalezienia stron podatnych na dany atak.

Przeszkól obsługę

Należy pamiętać nie tylko o aspektach technicznych. Strona może być bardzo dobrze zabezpieczona, ale zostać skutecznie zaatakowana z wykorzystaniem czynnika ludzkiego. Coraz częstszym wektorem ataku są bowiem ludzie i ich słabości.

Należy przeszkolić pracowników pod względem ataków socjotechnicznych.

szkolenie personelu z socjotechnik

Warto przeszkolić załogę z ogólnych zasad cyberbezpieczeństwa, bezpiecznego logowania, haseł, urządzeń USB itd.

Używaj ciężkich haseł

Używaj managerów haseł. Generuj długie, nic nieznaczące hasła i nie używaj ich w innych miejscach. Zapewnij minimalny standard, jaki musi spełniać hasło użytkowników. Użytkownicy nie przepadają za sytuacjami, gdy są zmuszeni do przestrzegania minimalnej długości hasła czy użycia, w nim, numeru, ale przejęcie ich konta przez hakera może wiązać się z dużymi problemami w przypadku sklepu internetowego.

Ubezpieczenie od cyberataków

W przypadku naprawdę poważnych biznesów wartym przemyślenia staje się wykupienie ubezpieczenia od cyberataków.

Przetestuj system

Po wprowadzeniu wszystkich wzmocnień, warto przemyśleć zlecenie testów systemu profesjonalnej firmie, która przeprowadzi pentesting. Ten test, który określany jest czasami jako etyczny hacking, ma na celu sprawdzenie poziomu zabezpieczeń i wykrycie wszystkich potencjalnych luk, które nie zostały wykryte podczas implementacji strony.

Podsumowując

Obrona sklepu online i klientów należy do ciężkich zadań. Duże pieniądze krążące w eCommerce i same płatności online dostarczają sporo motywacji hakerom, by skupić się na tego typu atakach.

Nie jest także tajemnicą, że ilość cyberprzestępstw rośnie z dnia na dzień.

Zabezpieczenie sklepu jest ważne. Upewnij się, że zaimplementowałeś powyższe praktyki — nie zapewni to stuprocentowego bezpieczeństwa, ale znacznie je zwiększy.

Zobacz wszystkie artykuły

Jeśli potrzebujesz pomocy, twoja strona została zainfekowana, chcesz dokonać audytu bezpieczeństwa, czy po prostu masz jakieś pytania — napisz do nas. Postaramy się pomóc.

Zgłoś błąd w tekście
×