Как обеспечить безопасность онлайн-магазину

Компании все чаще сталкиваются с угрозой безопасности сайтов. По данным University of Maryland и Fundera, каждые 39 секунд происходит атака, а 43% всех кибератак направлены на малый бизнес. Под опасностью находятся данные пользователей — имена, номера телефонов, данные платежных карт. Хранить их нужно максимально надежно.

В статье рассказываем, что проверить для сохранения безопасности интернет-магазинов и корпоративных сайтов.

Личная безопасность

При создании онлайн-проекта нужно убедиться в безопасности личного аккаунта. Учетная запись должна быть надежной и принадлежать только вам. Проверьте это по нашим рекомендациям:

  • При регистрации используйте пароль с разным регистром букв и цифрами. Как вариант, вы можете использовать генератор паролей.
  • Не используйте один пароль для нескольких систем.
  • Используйте авторизацию с двухфакторной аутентификацией. При входе в личный кабинет на ваш дополнительный e-mail или номер телефона будет выслано сообщение с кодом. Корректный ввод подтверждает авторизацию пользователя.
  • Не храните пароли в браузере. Либо используйте программу для сохранения паролей. Например, KeePass Password Safe.
  • Иногда можно разрешать удаленный доступ гаджетам на сайте или в браузере. Удалите его, если не используете.

Надежный хостинг

Хостинг обеспечивает хранение и управление данными сайта. Важно, чтобы ваш проект был размещен на надежном хостинге, отвечающем современным требованиям безопасности.

Степень защиты дата-центра — min Tier III

Дата-центр — это место, в котором находятся физические накопители хостинга. При выборе хостинга следует учитывать его уровень. Он показывает, насколько безопасен и надежен и стоит ли размещать на нем интернет-магазин.

Всего различают 4 степени защиты дата-центра: Tier I, II, III и IV. Самый популярный — Tier III. Его устойчивость к отказам в работе достигает 99,982%, это всего 1,6 часов возможной недоступности в год.

Дата-центр с таким уровнем позволяет провести ремонтные работы без остановки работы. Возможна одновременно эксплуатация и техническое обслуживание с заменой компонентов системы, добавления и удаления вышедшего из строя оборудования.

Наличие резервного копирования

Один небольшой сбой может причинить огромный урон. Регулярное сохранение резервных копий поможет в случае ЧП на сайте. После атаки вы сможете вернуть проект в прежнее состояние, минимизировав потери данных.

В зависимости от политики хостинг-провайдера создание копий может быть ручным и автоматическим, а хранение длительным или краткосрочным. Проверьте, как сейчас у вас сохраняются бэкапы и есть ли у вас основная копия на локальном ПК или в облачном хранилище.

На Reddock резервные копии сайта сохраняются на удаленный FTP-сервер и не занимают место на вашем тарифе.

Предоставляем в 1,5 раза больше дискового пространства для создания бэкапов. По мере его завершения новые копии перезаписываются на старых.

Всегда храним 2 полных копии сайта и 6 дифференциальных.

Подключение защиты от DDoS-атак

Защита от DDoS-атак поможет заблокировать запросы, поступающих единовременно с одного IP-адреса или по заданному ключу. Для каждого домена создается зона распределяемой памяти и устанавливается максимальный размер обращений к сайту. Если они превышают ограничение для зоны, обработка запросов задерживается.

Подключение антивируса на хостинге

На сайте вирусы появляются незаметно — работа сайта и интерфейс не изменяются. Код обновляется на некоторых страницах сайта. Вирус может заразить компьютер посетителя и использовать его в своих целях. Например, для похищения личной информации, паролей.

SSL-сертификаты

Любое действие в Интернете — это обмен данными. По умолчанию обмен происходит с помощью HTTP, стандартного протокола передачи данных от сервера к пользователю. Данные, передаваемые таким протоколом, никак не защищены, потому как передаются в открытом виде.⠀

Для передачи данных от сервера к пользователю рекомендуется использовать протокол HTTPS. Он шифрует данные с помощью SSL-сертификата и обеспечивает конфиденциальность обмена данными.

Также отметим: Google считает сайты без SSL-сертификата небезопасными, а Яндекс выделяет наличие сертификата ключевым параметром качества сайта. Используйте SSL-сертификаты для увеличения доверия пользователей и наличия сайта в поисковой выдаче.

Соответствие стандарту безопасности данных платежных карт

Для возможности оплаты заказов интернет-магазина на сайт должен соответствовать стандарту PCI DSS. Он распространяется на все карты Visa и MasterCard.

По стандарту интернет-магазин должен обеспечивать не только защиту данных пользователей, но и регулярно отслеживать защищенность сети. Так программы Visa контролируют соответствие PCI DSS, требуя от участников программ регулярно подтверждать соответствие указанному стандарту. Интернет-магазин без сертификата PCI DSS имеет риск утечки данных и финансовых потерь.

Управление сайтом

На платформе сайта можно контролировать доступ к важной информации и создание резервных копий. При создании ролей для сотрудников ограничивайте доступ к важным материалам, а также генерируйте сложные пароли.

Создание резервных копий можно проверить в настройках платформы. После этого убедитесь в наличии актуальной копии и настройте нужный период создания бэкапов.

Заключение

Интернет-магазины нужно максимально защищать от угроз. Для этого:

  • Соблюдайте личную безопасность.
  1. Используйте генератор паролей.
  2. Один пароль для одной системы.
  3. Используйте двухфакторную аутентификацию.
  4. Для хранения паролей в браузере установите специальное расширение.
  • Используйте надежный хостинг для сайта.
  1. Степень защиты — Tier III.
  2. Создание бэкапов по возможности на удаленный сервер.
  3. Подключение защиты от DDoS-атак и антивируса.
  • Подключите SSL-сертификат.
  • Проверьте соответствие стандарту безопасности платежных карт.
  • Убедитесь в создании резервных копий на платформе сайта и оформите ограниченный доступ для сотрудников.

Статья подготовлена Reddock — хостинг для 1С-Битрикс.

33
Начать дискуссию