Как защитить интернет-магазин от взлома

Здравствуйте! Сегодня поговорим о безопасности интернет-магазина и безопасном поведении в интернете.

Взлом интернет-магазина опасен для обеих сторон — владельца магазина и покупателей. Из взломанного магазина злоумышленники крадут конфиденциальную информацию: контакты клиентов, номера банковских карт и другие ценные сведения. Злоумышленники могут полностью сломать магазин. В результате продавец лишается репутации, а покупатели — анонимности.

Защититься от взлома можно кучей способов. В этой статье мы расскажем о самых доступных.

Шифруйте соединение

Подключите к серверу вашего интернет-магазина SSL-сертификат, чтобы включить защищенное соединение между браузером покупателя и магазином. Такое соединение почти невозможно взломать. Поэтому SSL-соединение — мастхэв для любого сайта, обрабатывающего личные данные клиентов.

Хорошо, если движок интернет-магазина поддерживает стандарт безопасности данных индустрии платежных карт (PCI DSS). Например, CS-Cart поддерживает и SSL-соединение и PCI DSS.

Обновляйте программное обеспечение

Хакеры постоянно находят новые уязвимости в программах — операционной системе, браузере, движках сайтов. Нужно быстро закрывать эти дыры в безопасности обновлениями.

Популярные браузеры и операционные системы обновляются автоматически, а вот движки сайтов часто нужно обновлять вручную. Следите за выходом обновлений и сразу обновляйте ваш интернет-магазин. Например, почти в каждом обновлении CS-Cart мы улучшаем защиту.

Внедрите двухэтапную авторизацию

Если ваш логин и пароль узнают злоумышленники — все пропало. Но только не с двухэтапной авторизацией. Для входа на сайт с такой авторизацией мало знать логин и пароль.

После ввода логина и пароля на телефон приходит сообщение с кодом доступа. Войти на сайт можно, только введя этот код в специальное поле на странице авторизации. Даже если злоумышленник получит ваш пароль, он не сможет войти на сайт без вашего мобильника.

Двухэтапная авторизация — один из самых надежных способов защиты от взлома, поэтому такую авторизацию используют интернет-банки.

Пользуйтесь менеджерами паролей

За некоторыми есть такой грешок — использование одинаковых паролей для разных ресурсов. Я сам раньше так делал — использовал одинаковый пароль для форумов, соцсетей, блогов. Потому что лень запоминать все пароли. Меня ни разу не взламывали, но до этого точно дошло бы. Для безопасности нужно использовать сложные пароли, уникальные для каждого ресурса.

Чтобы не держать в голове или на бумажке под клавиатурой все пароли, используйте менеджер паролей.

Менеджер паролей сгенерирует вам надежные пароли и будет хранить их. Доступ к паролям в менеджере можно получить только с помощью мастер-пароля. Так достаточно помнить только мастер-пароль.

Хорошие менеджеры паролей — KeePass и 1Password. Есть и другие хорошие.

Защищайте устройства

Все предыдущие способы защищают от программного взлома. Но вам может попасться совершенно отчаянный злоумышленник, который попытается получить доступ к вашим устройствам.

Представляете, подбирается взломщик к компьютеру, с которого вы управляете сайтом, а в браузере настроено автозаполнение паролей. Доступ в руках взломщика.

Чтобы защитить устройства, настройте шифрование.

Простейший способ — установить пароль администратора для входа на компьютер и экран блокировки на мобильном устройстве.

Но лучше воспользоваться продвинутым шифрованием. Для разных устройств разные способы:

    • Mac: зашифруйте загрузочный диск с помощью функции FileVault.

 

    • Windows: шифруйте данные с помощью программы BitLocker.

 

 


Эти способы — только верхушка безопасности. Начните использовать их сейчас, если еще не используете.

Следующая статья скоро будет. Оставайтесь с нами и подписывайтесь на нас в Facebook. Тогда не пропустите новую статью.

 
Поделиться:
  • Sergey Klimov

    Хорошая статья, я бы наверное вот что еще бы добавил:

    1) иметь несколько карт для оплаты, одна пусть будет для оплаты в реальной жизни, другая для оплаты в интернете, на одну просто вносишь сумму, какую планируешь потратить и все, предварительно конечно отказавшись от овердрафта, так будет сложнее, красть деньги, которых нет и оплачивать то чего нет.

    2) Не знаю во всех или нет, банках есть функция выпуска электронных карт, для оплаты в интернете. Но из преимуществ то что можно установить самому срок, действия карты, и также ограничить лимит карты. Если вдруг по какой-то причине нужно будет вернуть деньги клиента, а карта уже закончилась, то деньги попадут на основную карту. Так что я думаю это тоже не плохо, если бы клиенты знали какие полезные функции может предоставить им банк 🙂

  • Yan Kulakov

    Сергей, ваш комментарий отлично дополняет статью. Спасибо! 🙂

  • Всем привет, не могу найти в админке cs cart двухэтапную аутентификацию. Подскажите где это настроить. Спасибо

  • Вячеслав Сиверцев

    Да, Павел, действительно в CS-Cart отсутствует модуль двухэтапной аутентификации. А нужен.

  • Vladimir Lobyntsev

    И меня заинтересовал модуль двухэтапной аутентификации! Было бы не плохо и для покупателей и администратора. Где взять?!

  • Yan Kulakov

    Владимир, здравствуйте.

    В CS-Cart нет такого модуля из коробки. Функционал двухэтапной авторизации нужно заказывать у разработчиков.

  • Yana Tynnikova

    Модуль двухэтапной авторизации для CS-Cart 4.3.1 — 4.4.x
    https://www.simtechdev.com/addons/customer-experience/two-factor-authentication-by-google.html

    Разработан Simtech Development, позволяет защитить панель администратора с помощью сервиса двухфакторной авторизации Google.
    Коды авторизации приходят бесплатно через мобильное приложение Google Authenticator, доступное на Google Play.
    Модуль переведён на русский язык. Есть пошаговое руководство пользователя по установке и настройке.

  • Yana Tynnikova