Как обеспечить безопасность онлайн-магазину
Компании все чаще сталкиваются с угрозой безопасности сайтов. По данным University of Maryland и Fundera, каждые 39 секунд происходит атака, а 43% всех кибератак направлены на малый бизнес. Под опасностью находятся данные пользователей — имена, номера телефонов, данные платежных карт. Хранить их нужно максимально надежно.
В статье рассказываем, что проверить для сохранения безопасности интернет-магазинов и корпоративных сайтов.
Личная безопасность
При создании онлайн-проекта нужно убедиться в безопасности личного аккаунта. Учетная запись должна быть надежной и принадлежать только вам. Проверьте это по нашим рекомендациям:
- При регистрации используйте пароль с разным регистром букв и цифрами. Как вариант, вы можете использовать генератор паролей.
- Не используйте один пароль для нескольких систем.
- Используйте авторизацию с двухфакторной аутентификацией. При входе в личный кабинет на ваш дополнительный e-mail или номер телефона будет выслано сообщение с кодом. Корректный ввод подтверждает авторизацию пользователя.
- Не храните пароли в браузере. Либо используйте программу для сохранения паролей. Например, KeePass Password Safe.
- Иногда можно разрешать удаленный доступ гаджетам на сайте или в браузере. Удалите его, если не используете.
Надежный хостинг
Хостинг обеспечивает хранение и управление данными сайта. Важно, чтобы ваш проект был размещен на надежном хостинге, отвечающем современным требованиям безопасности.
Степень защиты дата-центра — min Tier III
Дата-центр — это место, в котором находятся физические накопители хостинга. При выборе хостинга следует учитывать его уровень. Он показывает, насколько безопасен и надежен и стоит ли размещать на нем интернет-магазин.
Всего различают 4 степени защиты дата-центра: Tier I, II, III и IV. Самый популярный — Tier III. Его устойчивость к отказам в работе достигает 99,982%, это всего 1,6 часов возможной недоступности в год.
Дата-центр с таким уровнем позволяет провести ремонтные работы без остановки работы. Возможна одновременно эксплуатация и техническое обслуживание с заменой компонентов системы, добавления и удаления вышедшего из строя оборудования.
Наличие резервного копирования
Один небольшой сбой может причинить огромный урон. Регулярное сохранение резервных копий поможет в случае ЧП на сайте. После атаки вы сможете вернуть проект в прежнее состояние, минимизировав потери данных.
В зависимости от политики хостинг-провайдера создание копий может быть ручным и автоматическим, а хранение длительным или краткосрочным. Проверьте, как сейчас у вас сохраняются бэкапы и есть ли у вас основная копия на локальном ПК или в облачном хранилище.
На Reddock резервные копии сайта сохраняются на удаленный FTP-сервер и не занимают место на вашем тарифе.
Предоставляем в 1,5 раза больше дискового пространства для создания бэкапов. По мере его завершения новые копии перезаписываются на старых.
Всегда храним 2 полных копии сайта и 6 дифференциальных.
Подключение защиты от DDoS-атак
Защита от DDoS-атак поможет заблокировать запросы, поступающих единовременно с одного IP-адреса или по заданному ключу. Для каждого домена создается зона распределяемой памяти и устанавливается максимальный размер обращений к сайту. Если они превышают ограничение для зоны, обработка запросов задерживается.
Подключение антивируса на хостинге
На сайте вирусы появляются незаметно — работа сайта и интерфейс не изменяются. Код обновляется на некоторых страницах сайта. Вирус может заразить компьютер посетителя и использовать его в своих целях. Например, для похищения личной информации, паролей.
SSL-сертификаты
Любое действие в Интернете — это обмен данными. По умолчанию обмен происходит с помощью HTTP, стандартного протокола передачи данных от сервера к пользователю. Данные, передаваемые таким протоколом, никак не защищены, потому как передаются в открытом виде.⠀
Для передачи данных от сервера к пользователю рекомендуется использовать протокол HTTPS. Он шифрует данные с помощью SSL-сертификата и обеспечивает конфиденциальность обмена данными.
Также отметим: Google считает сайты без SSL-сертификата небезопасными, а Яндекс выделяет наличие сертификата ключевым параметром качества сайта. Используйте SSL-сертификаты для увеличения доверия пользователей и наличия сайта в поисковой выдаче.
Соответствие стандарту безопасности данных платежных карт
Для возможности оплаты заказов интернет-магазина на сайт должен соответствовать стандарту PCI DSS. Он распространяется на все карты Visa и MasterCard.
По стандарту интернет-магазин должен обеспечивать не только защиту данных пользователей, но и регулярно отслеживать защищенность сети. Так программы Visa контролируют соответствие PCI DSS, требуя от участников программ регулярно подтверждать соответствие указанному стандарту. Интернет-магазин без сертификата PCI DSS имеет риск утечки данных и финансовых потерь.
Управление сайтом
На платформе сайта можно контролировать доступ к важной информации и создание резервных копий. При создании ролей для сотрудников ограничивайте доступ к важным материалам, а также генерируйте сложные пароли.
Создание резервных копий можно проверить в настройках платформы. После этого убедитесь в наличии актуальной копии и настройте нужный период создания бэкапов.
Заключение
Интернет-магазины нужно максимально защищать от угроз. Для этого:
- Соблюдайте личную безопасность.
- Используйте генератор паролей.
- Один пароль для одной системы.
- Используйте двухфакторную аутентификацию.
- Для хранения паролей в браузере установите специальное расширение.
- Используйте надежный хостинг для сайта.
- Степень защиты — Tier III.
- Создание бэкапов по возможности на удаленный сервер.
- Подключение защиты от DDoS-атак и антивируса.
- Подключите SSL-сертификат.
- Проверьте соответствие стандарту безопасности платежных карт.
- Убедитесь в создании резервных копий на платформе сайта и оформите ограниченный доступ для сотрудников.
Статья подготовлена Reddock — хостинг для 1С-Битрикс.