Безопасность интернет-магазина: 8 обязательных шагов против угроз в сети
13 июня 2017, Анна Конева, Эквид

Безопасность интернет-магазина: 8 обязательных шагов против угроз в сети

Атаки хакеров на магазины и сервисы случаются периодически. Например, из-за такой атаки в конце 2016 года перестали работать десятки крупных сайтов, включая Twitter, Amazon, PayPal и Netflix.

После подобных новостей вам хочется немедленно что-то сделать, чтобы защитить свой интернет-магазин? В этой статье мы дадим тот минимум, который поможет вашему магазину противостоять большинству угроз в сети. Чем скорее вы последуете нашим рекомендациям, тем лучше.

Пользователей Эквида половина этих предостережений не касается. Эквид соответствует самым высоким требованиям международных стандартов безопасности и не уступает в надежности даже банкам. Поэтому ваш магазин и данные покупателей в безопасности.

Прочитайте наши советы, они пригодятся для защиты не только интернет-магазина, но и всей вашей жизни в интернете.

Безопасность для всех

Итак, не откладывайте и выполните все пункты:

1. Убедитесь, что домен зарегистрирован на ваше имя

Для тех, у кого сайт на собственном домене. Если вы покупали его не сами, а передали эту заботу админу, менеджеру или подрядчику, проверьте, на чьё имя домен зарегистрирован. Должен быть на вас. В противном случае владельцем домена является другой человек (или организация), и он сможет разместить на этом домене другой сайт или продать.

Домен зарегистрирован не на вас? Перерегистрируйте. В помощь инструкции от Reg.ru и RU-CENTER.

Если собираетесь покупать домен для своего магазина, не доверяйте покупку подрядчику (либо проследите, чтобы домен был оформлен на вас). Вы не транснациональная корпорация? Тогда регистрируйте на физическое лицо, на того, кто является настоящим хозяином бизнеса. Запомните свой логин и пароль. Он пригодится, когда придется продлять подписку.

Читайте подробнее, как правильно выбрать и купить домен, чтобы потом не жалеть.

2. Убедитесь, что хостинг зарегистрирован на ваше имя

Если для работы вашего магазина нужен собственный хостинг (например, для сайта на WordPress.org, Adobe Muse, Joomla), убедитесь, что он зарегистрирован на ваше имя. Если нет, то владелец хостинга сможет сделать с сайтом, что захочет, в том числе и удалить совсем.

Также у вас должен быть логин и пароль для доступа к панели управления хостингом, чтобы вы смогли его продлить.

Совет: интернет-магазину лучше всего использовать хостинг с хорошей репутацией (например, Reg.ru, RU-CENTER, GoDaddy). А ещё лучше — хостинг, специализирующийся на e-commerce. Например, этот. Минус — специализированные хостинги стоят недешево.

3. Придумайте надежный пароль

Если вы используете простые пароли менее 6 символов, поменяйте их на более надежные по инструкции:

  • Придумайте пароль из минимум шести символов (лучше больше).
  • Используйте в пароле буквы, цифры и символы (например, «!», «@», «_», «$» и другие). Буквы лучше использовать строчные и заглавные вперемешку.
  • Не используйте личные данные (имя, фамилию, номер паспорта или страхового свидетельства) и наборы символов, идущих подряд на клавиатуре (qwerty, 123456789, qazxsw и другие). Лучше возьмите случайное слово или фразу и добавьте в конец, начало или середину символы или цифры, чтобы получить пароль, который будет не так просто угадать (например, dOm8ziM@oi).

Поменяйте на надежные все свои пароли: от панели управления магазина, хостинга, домена, от почты и других сервисов. И ни в коем случае не используйте один пароль для всех аккаунтов. Иначе, если злоумышленник узнает пароль от одного сервиса, сможет зайти под вашим именем и во все остальные.

Поменяйте пароли, если вы давали доступ к своим сервисам стороннему подрядчику или недавно уволенному сотруднику.

Читайте, как придумать надежный пароль и не забыть его.

4. Установите программу для хранения паролей

Запомнить длинные сложные пароли от хостингов, админок, почты и прочего невозможно физически. Выход — программы для хранения паролей:

  • 1Password, самый лучший менеджер паролей.
  • LastPass, тоже хороший и дешевле.

С ними вам нужно всего лишь помнить один главный пароль (мастер-пароль) от сервиса.

Кроме хранения паролей 1Password и LastPass могут сами генерировать уникальные сложные пароли. Воспользуйтесь этой возможностью, если придумывать надежные пароли самому некогда или не хочется.

Хранить пароли в открытом доступе, например, на бумаге — небезопасно. Бумага может потеряться, испортится от влаги и времени. Также не храните пароли в блокноте / word / excel, данные в электронном виде часто воруют вирусы.

5. Установите на сайт SSL сертификат

SSL сертификат защищает данные клиентов интернет-магазина — имя, адрес, телефон, реквизиты банковской карты — от хакеров, которые могут украсть эту информацию и использовать (например, списать деньги с карты клиента).

Кроме того сертификат поможет магазину улучшить позиции в Google и заслужить доверие клиентов. Подробно об этом мы рассказали в статье про SSL сертификаты. Там же вы найдете инструкцию, где взять сертификат для своего интернет-магазина.

6. Установите двухфакторную авторизацию в почте

И не только в почте, а везде, где возможно. При входе в сервис вам нужно будет кроме логина и пароля ввести код из СМС или одноразовый код из специального приложения на телефоне. СМС отправляется только на ваш номер телефона, а приложение привязывается к вашему аккаунту в сервисе, поэму кроме вас никто проверочный код не получит.

Даже если кто-то украдет или угадает ваш пароль, все равно в аккаунт он зайти не сможет, потому что система потребует ввести проверочный код, которого у злоумышленника нет.

Если вы не используете двухфакторную авторизацию, то можете стать жертвой вируса или фишинга. Например, злоумышленник получит ваш пароль от почты и сможет изменить пароли от других аккаунтов, которыми вы пользуетесь (в том числе от панели управления интернет-магазина).

Некоторые сервисы вводят двухфакторную аутентификацию по умолчанию, например, Mailchimp. Вот инструкции для включения функции в популярных почтовых сервисах и соцсетях:

7. Установите самые новые версии программ

А также установите последние обновления браузера и обновите операционную систему своего компьютера и телефона. С каждой новой версией разработчики совершенствуют программы и устраняют слабые места, которые могли бы стать лазейками для хакеров.

Обычно такие обновления устанавливаются автоматически либо с вашего одобрения (всегда соглашайтесь).

Браузер:

Операционная система телефона или планшета:

ОС компьютера или ноутбука:

Если у вас сайт на WordPress.org, Adobe Muse, Joomla (или другом движке, который требует наличия собственного хостинга), не пренебрегайте обновлениями и не мешкайте с их установкой после выпуска. Проверяйте уведомления сервиса о безопасности и будьте готовы срочно бежать накладывать патчи безопасности, чтобы ваш сайт не взломали.

Проверьте сейчас и скачайте, если необходимо:

Если ваш сайт создан с помощью облачного конструктора (Эквид, WordPress.com, uKit, Tilda, Wix), сервис сам делает обновления, вам ничего предпринимать не нужно.

8. Сделайте резервную копию сайта (бэкап)

Если ваш сайт сделан на CMS платформе (например, WordPress.org, Adobe Muse, Joomla) и хранится на собственном хостинге, сделайте резервную копию. И повторяйте процесс раз в месяц.

Крупные хостинги делают бекапы автоматически (например, у Reg.ru, RU-CENTER именно так). Уточните у своего хостера, делает ли он резервные копии. Если нет, сделайте бэкап самостоятельно по инструкции.

Если магазин взломают, сохраненные копии помогут вам (возможно, с помощью специалиста) найти и удалить все нежелательные куски кода, вставленные злоумышленниками. В случае полного удаления сайта бэкап спасет ваш бизнес.

Для магазинов на Эквиде

Ваш Эквид-магазин защищен настолько, насколько это возможно. Эквид полностью соответствует требованиям Level 1 PCI DSS — самому высокому уровню международного стандарта безопасности передачи данных для решений в сфере электронной коммерции. Такими же стандартами пользуются банки во всем мире.

Мы регулярно проверяем Эквид сканерами безопасности, делаем резервные копии ваших магазинов, обновляем программное обеспечение, храним данные на надежном хостинге.

Но если вы установили Эквид на свой сайт, позаботьтесь о безопасности этого сайта (при этом ваш Эквид-магазин по-прежнему надежно защищен). Пройдите по порядку все шаги и защитите себя и своих клиентов от опасностей в сети.

Если у вас Эквид-магазин на стартовом сайте:

  • Смените пароль от панели управления магазина (и домена, если привязали собственный) на более сложный. Это необходимо, если сейчас у вас короткий пароль менее 6 символов и/или состоящий только из букв или цифр. Как придумать хороший пароль, смотрите выше в 3 пункте.
  • Установите специальную программу, которая шифрует и защищает пароли.

Больше ничего делать не надо, мы уже обо всём позаботились.

***

Мы начинаем цикл статей про безопасность интернет-магазинов. Будем писать, как противостоять фишингу, какие платформы для создания сайтов подойдут новичкам в деле безопасности, почему магазину ни в коем случае нельзя хранить у себя данные банковских карт клиентов… Постараемся рассказать все просто и понятно даже для тех, кто вникает в тему в первый раз.

Какие вопросы безопасности интересуют вас больше всего? Напишите об этом в комментариях.

Об авторе
Анна Конева — контент-маркетолог и редактор в Эквиде. Разбирается в интернет-рекламе и статистике. Любит большие города, пасту и фильмы Вуди Аллена.