Как защитить коммерческий сайт от взлома

Взломать E-commerce сайт могут в любой момент, ведь там хранится много полезной информации: данные платежных карт клиентов, рыночные тренды, клиентские базы, информация о заказах и многое другое.
Сегодня DoS/DDoS атаки коммерческого сайта – это не редкость. Вы можете попасть в поле зрения хакера, которому просто интересно взломать ресурс и, возможно, потребовать выкуп за возвращение информации. Или же вас заказал конкурент, которого тревожат успехи компании на рынке. В любом случае нужно уметь защитить себя и клиентов, какие меры предосторожности стоит предпринять?

Хостинг

Для начала нужно выбрать хорошую компанию, которая будет выполнять свою работу качественно. Взломы хостинг-провайдера – это редкость, но и такое случается. Крайне важно, чтобы велись журналы действий, было постоянное резервное копирование, проводился мониторинг сетевой активности, а также уведомления хозяина сайта об изменениях и аномальных случаях, заражении и т.д.

CMS

Не менее важно позаботиться о безопасной платформе e-commerce. Система аутентификации должна быть максимально усложненной (2F, OTP), возможно, лучше установить ограничения административной зоны. CMS и её модули нужно постоянно обновлять, чтобы они были актуальными. Крайне важно использовать WAF/детектор аномалий и блокировок в виде дополнительного модуля или плагина. Не помешает также применять в CMS различные механизмы проверки и санитайзинг данных.

SSL/TLS

Создавайте защищенное соединение, с помощью зашифровки каналов связи между веб-ресурсом и браузером пользователя. На данный момент лучше использовать Transport Layer Security (обеспечение безопасности транспортного уровня). Важно применять только актуальные криптографические протоколы для надежности. Лучше всего установить HSTS, в котором защищенное соединение активируется по HTTPS. Таким образом, можно сразу обеспечить безопасное подключение, без HTTP.

Данные

Не храните критические данные, у вас не должно быть CVV кодов. Речь идет о кодах для проверки подлинности карт (Visa и MasterCard), которые относятся к аутентификационной критической информации, а значит, они не подлежат хранению. Таких данных должно быть как можно меньше, а если без них не обойтись, обязательно используйте шифрование. Особенно это важно для общей информации о клиенте (адрес, ФИО, телефон).

Пароли

Некоторые специалисты ставят вопрос юзабилити на первый план, но это неправильно, ведь безопасность важнее. Поэтому пароли должны быть сложными. Это касается не только клиентов, но и администрации сайта. Кроме того, специалист должен обновлять внутренние пароли (не реже раза в месяц). Если уволили ключевого сотрудника компании – смените пароли.

Антифрод

Не стоит игнорировать систему отслеживания подозрительных действий и операций. Лучше всегда быть в курсе того, что происходит на ресурсе.

Защитные механизмы

AntiDDoS, IPS, которые помогут выявить и предупредить использование уязвимостей ресурса в архитектуре, сервисах и приложениях. Конечно, это не панацея, но большинство детектируемых атак предотвращаются и выявляются.

Стандарт PCI DSS и аудит безопасности

PCI DSS был разработан специалистами Visa и MasterCard. Каждая организация, которая хочет принимать и обрабатывать информацию по банковским картам должна соответствовать этому стандарту. Поэтому важно проводить аудит безопасности, как минимум раз в три месяца, тестировать сайт на наличие уязвимостей и заниматься их устранением. Кроме того, нужно следить за постоянными обновлениями информационных систем безопасности. Но предварительно рекомендуется протестировать их в dev-среде, так как они могут иметь ряд ошибок или критических обновлений, которые могут навредить ресурсу.

Резервные копии

Важно время от времени делать резервные копии (инкрементные и дифференциальные), а также следить за актуальностью и функционированием текущих резервных копий. Кроме того, нужно проводить регулярный инструктаж среди сотрудников касательно основ информационной безопасности. И помните, что только комплексный и ответственный подход поможет избежать взлома сайта.