Пользователи предъявляют высокие требования к качеству торговых площадок, потому что не хотят отдавать свои деньги компаниям, не вызывающим доверия. Поэтому безопасность для интернет-магазина — приоритетный вопрос, который надо закрыть до появления проекта в общем доступе.

В статье поговорим о распространённых проблемах безопасности интернет-магазинов, разберём негативные последствия ошибок и поделимся советами по защите торговых площадок от несанкционированного доступа.

Публичные исследования безопасности торговых площадок

Пользователи оформляют заказ в интернет-магазине, только если на 100% уверены в его безопасности. Именно поэтому крупные ритейлеры пользуются безоговорочным доверием целевой аудитории. Как только появляется информация о проблемах с безопасностью, часть пользователей перетекает к конкурентам.

В ноябре 2020 года компания StormWall опубликовала результаты, исследования согласно которым интенсивность атак на коммерческие проекты выросла в 4 раза по сравнению с показателями прошлого года. Это свидетельствует о том, что e-commerce сайты оказались под прицелом.

Конкуренция в нише сильно увеличилась, а DDoS-атаки являются распространённым инструментом нечестной борьбы. Если ритейлер не готов к такому развитию событий, он потеряет часть аудитории и лояльность новых клиентов.

В большинстве случаев главная цель хакеров — украсть персональные данные пользователей. Если интернет-магазин недостаточно хорошо их защитил или хранил в открытом виде, последствия для репутации будут разрушительными.

Никто не хочет сотрудничать с брендами, которые не только безответственно относятся к вопросам защиты, но и преподносят конфиденциальные данные на «блюдце». Злоумышленникам остаётся только найти потайной вход и они уйдут с хорошей добычей.

Исследование StormWall показывает, что атаки хакеров стали более продуманными. Если раньше они чаще использовали HTTP метод, то в конце 2020 года увеличилась популярность TCP атак.

Владельцам интернет-магазинов надо быть готовым к тому, что инструментарий злоумышленников постоянно увеличивается. Если сайт защищён от атак, которые могут использоваться в обозримом будущем, ему не страшна никакая искусственная активность.

Интернет-магазины часто запускают на базе WordPress, хотя CMS больше подходит для блогов, сайтов-визиток и корпоративных порталов. Эту систему управления контентом постоянно взламывают через «дыры» в популярных плагинах или из-за отсутствия минимальной защиты.

Например, в апреле 2020 года за неделю хакеры атаковали 900 тысяч сайтов на WordPress. Определённое количество ресурсов оказались под угрозой из-за уязвимостей в расширениях, и злоумышленники достигли своих целей.

Проблемы безопасности не должны касаться пользователей. Ответственность за хранение персональных данных и их защиту несёт команда интернет-магазина. Если преступники получат к ним доступ и будет доказано, что это случилось из-за халатности торговой площадки, очистить репутацию будет сложно.

Исследование, опубликованное на тематическом портале о e-commerce показывает, что россияне не верят в безопасность онлайн-платежей. Люди, которые покупают через интернет, активно пользуются банковскими картами, но не забывают о мерах предосторожности.

По результатам опроса большинство пользователей тратят деньги на ресурсах, которым безоговорочно доверяют. На втором месте по популярности — SMS о расходах по карте, а на третьем — отдельная карта для платежей в интернете.

Целевая аудитория интернет-магазинов самостоятельно заботится о своей безопасности, но покупатели рассчитывают, что команда торговых площадок бережно хранит их персональные данные и оперативно реагирует на угрозы.

Распространённые проблемы с безопасностью интернет-магазинов

Многие атаки злоумышленников приносят результат из-за того, что интернет-магазин не закрыл известные «бреши» в CMS. Часть атак оказываются эффективными потому, что у ритейлера нет специалистов, которые следят за стабильностью площадки.

Пользователям без разницы, по чьей вине их конфиденциальные данные оказались в публичном доступе. Они хотят, чтобы этого не произошло и торговой площадке необходимо по максимуму защититься от таких ситуаций, если владелец сайта рассчитывает на успешную работу в конкурентных нишах.

Собрали распространённые проблемы с безопасностью интернет-магазинов, которые актуальны не только для маленьких площадок. У крупных ритейлеров тоже есть «пробелы» в безопасности, которые приносят много проблем.

Неправильно настроенный SSL-сертификат

Несколько лет назад интернет-магазины и другие коммерческие проекты перешли на защищённый HTTPS протокол, который пришёл на смену HTTP. В российском интернет-пространстве остался совсем небольшой процент проектов, которые ещё не сделали миграцию.

Главная особенность нового протокола в том, что он защищает данные от перехвата. Они передаются в зашифрованном виде и злоумышленникам сложнее получить к ним доступ.

Если SSL-сертификат неправильно настроен или устарел, толку от него не будет. Он принесёт вред и, если команда торговой площадки оперативно не отреагирует на проблему, часть аудитории потеряет доверие к бренду.

Хранение данных в открытом виде

В интернете часто разгораются скандалы, когда очередной крупный сайт попадает под прицел хакеров и они не уходят с пустыми руками. Через некоторое время после успешной атаки личные данные, информация о платёжных инструментах и пароли оказываются скомпрометированными.

Конфиденциальные данные должны храниться в зашифрованном виде и желательно, чтобы использовалась надёжная криптографический протокол. Если использовать простые инструменты, которые давно устарели, хакеры легко получат доступ к базе данных.

Информация о паролях и другие важные сведения должны быть защищены по максимуму. Желательно не публиковать в открытом доступе информацию, которая может дать подсказки злоумышленникам.

Незащищенный доступ к административной панели

Самая грубая ошибка — админка, которая открывается по стандартному адресу. Если ещё установить простой пароль, хакеры пробьются сквозь защиту очень быстро. Перебор паролей может осуществляться с огромной скоростью и если система не мониторит вторжения, последствия будут непредсказуемыми.

Для популярных CMS есть модули, которые позволяют изменить адрес входа в административную панель и активировать дополнительный протокол безопасности. Например, доступ к инструментам управления откроется после ввода кода из SMS.

Удивительно, но зачастую именно халатное отношение к защите административной панели становится причиной глобальных проблем интернет-магазина. Хакеры получают доступ к центру управления и могут сделать, что угодно. Например, выгрузить статистику о заказах с телефонами и адресами электронной почты.

Свободный доступ к загрузке файлов любого типа

Не во всех интернет-магазинах можно загружать файлы, но иногда такая возможность доступна. К примеру, пользователи могут установить аватарку в личном кабинете, чтобы менеджеры их идентифицировали. Или в форме отзыва есть поле для загрузки фотографий товара.

Если на сайте нет проверки на расширение файлов при загрузке или медиаконтент загружается на основной сервер, хакеры могут воспользоваться этим. Они заливают PHP и JS файлы, а потом используют их сразу или планируют отложенную атаку.

Особенно актуальна проблема для WordPress. Специалисты, которые занимаются восстановлением проектов после вирусов, говорят о том, что в большинстве случаев злоумышленники обходят защиту с помощью загрузки вредоносных файлов.

Хакерам даже не нужен доступ к административной панели. После заливки файлов с определённым кодом, они могут сделать всё, что захотят. Например, загрузят ссылки на вредоносные сайты. А поисковые системы быстро на это отреагируют.

Редирект на спамные ресурсы

Чаще всего об этой проблеме владельцы сайта узнают после жалоб пользователей или санкций поисковых систем. Редирект — очень коварный приём злоумышленников, который может долго не проявляться или действовать только для определённых сегментов пользователей.

Чаще всего перенаправление на вредоносные ресурсы осуществляется для владельцев мобильных устройств. Хакеры получают деньги с каждой проданной подписки на платные услуги.

Проблем с безопасностью интернет-магазинов и сайтов другого формата хватает. Если команда проекта позаботилась о своих пользователях и закрыла распространённые «дыры», остаётся только защититься от нестандартных атак.

Негативные последствия от проблем с безопасностью

Мы уже несколько раз говорили, что самый худший сценарий предполагает утечку конфиденциальных данных в открытый доступ. Таких примеров в интернете очень много. Крупные сайты пренебрегают безопасностью, а потом несут многомиллионные убытки.

Злоумышленники не всегда охотятся за ценной информацией. Их цели могут быть какими угодно. Есть хакеры, которые взламывают сайты ради удовольствия и ничего не делают с доступом к административной панели до определённого времени.

Возможные негативные последствия от проблем с безопасностью:

1. Потеря доступа к сайту. Злоумышленники устанавливают вредоносный скрипт, который подменяет содержимое страницы. Вместо каталога товаров появляется текст на другом языке.
2. Падение количества заказов. Пока команда занимается восстановлением сайта после взлома, клиенты отказываются от заказов, а потенциальные покупатели уходят к конкурентам.
3. Отток аудитории. Если информация о проблемах с безопасностью попадает в сеть, она распространяется с огромной скоростью. Доверие к бренду на время падает и восстановить его сложно.
4. Длительный офлайн. Если проект небольшой и мониторинг работоспособности не настроен, до обнаружения проблем может пройти много времени.
5. Появление нерелевантных страниц. Хакеры заливают сотни или тысячи страниц, которые появляются в выдаче поисковых систем и портят рейтинг проекта.

Многие атаки направлены на похищение данных, но в некоторых случаях у преступников другие цели. Например, в прошлом году произошел взлом крупной партнёрской сети. Хакеры потребовали деньги за восстановление доступа и компания сильно пострадала.

От большинства атак, которые выполняются с использованием распространённых проблем безопасности, можно защититься. Лучше всего, если в процессе взлома хакеры столкнутся с непреодолимыми препятствиями. Если они смогут пройти дальше, борьба может затянуться надолго.

Как защитить торговую площадку по максимуму

Владельцам интернет-магазинов, у которых нет денег на собственную команду специалистов по безопасности, придётся действовать своими силами. Базовую защиту можно сделать самостоятельно, но этого недостаточно, чтобы гарантировать 100% результат.

Нанимать команду профессионалов на постоянной основе необязательно, но периодически можно заказывать отчёт у компаний, предоставляющих релевантные услуги.

Ещё один вариант — платные системы мониторинга, которые оповещают об изменениях в файлах и несанкционированном доступе. Стоимость зависит от уровня продукта, но они полностью окупают себя в случае масштабных атак.

Выбирайте надёжный хостинг и регистратора

В сети много компаний, предлагающих домены по выгодной цене и услуги размещения сайтов дешевле, чем у конкурентов. Не используйте сомнительных партнёров, если собираетесь активно инвестировать в площадку и рассчитываете на долгосрочный результат.

В России несколько аккредитованных регистраторов, работающих на основе профильной лицензии. Например, есть Beget, который продаёт домены и одновременно предоставляет услуги хостинг-провайдера.

Лучше покупать хостинг и домен у разных компаний, чтобы в случае возникновения проблем быстро перенести домен или файлы сайта. При таком сценарии восстановление произойдёт гораздо быстрее, чем когда все ресурсы сосредоточены в одном интерфейсе.

Закройте популярные «дыры» CMS

У каждой системы управления свои слабые места, которые известны опытным специалистам. Даже если программный продукт развивается больше 10 лет, нет никаких гарантий, что злоумышленники не смогут обойти протоколы безопасности.

В интернете много инструкций, позволяющих сделать базовую защиту самостоятельно, но лучше делегировать задачу человеку, который делал аналогичные операции не один раз.

Установите SSL-сертификат

Необязательно покупать дорогой сертификат за 10-20 тысяч рублей в год. На первых этапах подойдёт бесплатный Let’s Encrypt или бюджетный EssentialSSL Wildcard. Всё зависит от желания владельца сайта и особенностей проекта.

Кроме покупки сертификата, его ещё нужно правильно настроить. В этом тоже могут помочь профильные специалисты или служба поддержки сервиса, распространяющего сертификаты.

Настройте двухфакторную авторизацию

Для дополнительной безопасности лучше защитить административную панель и другие важные разделы паролем. Почту тоже могут взломать, а вот обойти SMS на телефоне гораздо сложнее.

Можно даже сделать так, что при вводе URL адреса админки появлялась авторизационная форма, и, если хакер использует неправильные данные, его IP-адрес попадёт в чёрный список.

Ограничьте права пользователей

Если без регистрации новых пользователей не обойтись, необходимо жёстко ограничить их права. Чтобы они не могли делать ничего, кроме публикации отзывов или комментирования записей в блоге.

Проблемы с правами могут привести к тому, что злоумышленники после регистрации получат функции редактора или администратора. И результат проникновения полностью зависит от их свободы действий.

Следите за новостями о CMS

Когда появляется информация об уязвимостях в системе управления контента или плагинах, надо действовать максимально оперативно. Можно на время отключить компонент, затем обновить его и восстановить работоспособность.

WordPress и другие CMS постоянно взламывают, но они не теряют популярность. Опытные разработчики знают, что даже самописные системы управления контентом не защищены на 100%, а известные продукты всегда находятся под прицелом хакеров.

Настройте резервный сервер

Если со временем интернет-магазин наберёт популярность и количество заказов будет увеличиваться, понадобится резервное хранилище для хранения данных и восстановления работоспособности в случае необходимости.

Когда основной сервер выйдет из строя, скрипт автоматически переключит его на резервный, и проект будет доступен пользователям. Это дорогостоящая защита, но затраты полностью окупятся в случае возникновения проблем.

Используйте наши советы, чтобы защитить торговую площадку от злоумышленников и сохранить лояльность аудитории. Покажите пользователям, что держите ситуацию под контролем и с их персональными данными ничего не случится.