С проникновением сети Интернет во все сферы человечества, веб-пространство стало мощным бизнес-инструментом для многих компаний и частных пользователей. Иногда даже кажется, что реальные магазины скоро будут вытеснены виртуальными электронными. Мы должны принять во внимание интенсивность роста интернет коммерции: в 2011 году в мире прибыль от интернет-продаж достигла 961 миллиарда долларов и увеличилась до 1,25 трлн долларов к 2013 году. Смотря на вышесказанное, можно сделать вывод, что что значимость сферы электронной коммерции не следует недооценивать.
Несмотря на свои плюсы, каждое положительное явление имеет свою темную сторону. В нашем случае истинное лицо демона — это злые хакеры стремящиеся завладеть персональной информацией, в том числе относящейся к электронной коммерции. Их методы прогрессируют с каждым годом. Данный факт поднимает важность серьезного подхода к мерам безопасности электронной коммерции на более высокий уровень. В этой статье я решил представить основные точки, которые были бы полезны для этого. Если вы один из храбрых пионеров электронной коммерции или просто амбициозный новичок, вам будут полезны несколько простых советов, которые помогут вам повысить безопасность свою и своего бизнеса.
1 . Надежный пароль
Первая рекомендация — касается используемых паролей. Практика показывает, что большинство людей выбирают пароли, типа "1234", "ABCD", "1111", "QWERTY" и т.д., а в качестве ключевого вопроса предпочитают вводить личную информацию, которая легко может быть определена: например, дата рождения или имя жены. Такие пароли очень легко подбираются — у хакеров уже давно они есть в базе и подбираются в течение нескольких секунд. Для того, чтоб пароль было сложно подобрать, следует использовать сложные пароли. Под сложным паролем понимают последовательность случайных букв разного регистра, цифр, а также специальных символов. Длина пароля должна быть достаточно большой, большинство систем рекомендуют использовать длину не меньше восьми символов, но если важность информации, находящейся за паролем очень большая - длина пароля должна быть больше — это усилит стойкость пароля ко взлому.
2 . Секретный Адрес электронной почты
Адрес электронной почты необходим везде, даже для управления сайтом. Во многих сайтах, адрес электронной почты используется для восстановления пароля, в случае если вы его забыли. Если хакер находит способ доступа к почтовому ящику, на который завязана учетная запись администратора, он на самом деле завладеет полным контролем над сайтом. Злоумышленнику будет достаточно сбросить пароль на сайте и на адрес электронной почты, которым ему удалось завладеть придет новый пароль. Отличным решением здесь будет использовать секретный адрес электронной почты, который нигде не используется и никому не известен.
Кстати, возвращаясь к предыдущему пункту: пароли для доступа к админ-панели и электронной почте следует использовать совершенно разные. Да и вообще, использовать одинаковые пароли в различных интернет службах — плохая практика. Если хакеру удается узнать ваш пароль на один интернет ресурс и ему известны все интернет ресурсы используемые вами — считайте он завладел ими всеми.
3 . Двухэтапная аутентификациия
Для бек-офиса используется одноэтапная аутентификация по умолчание и это нормално. Однако это не достаточно хорошо, для ресурсов фронт-офиса, находящихся в прямой досягаемости хакеров. Для многих сайтов разработаны модули с двухэтапной аутентификацией. Например, многие сайты после корректного ввода пароля, присылают на мобильный телефон код, который нужно ввести в качестве второго этапа аутентификации. Если злоумышленник и узнал ваш основной пароль, но пока он не завладел вашим телефоном, это не принесет ему никакой пользы. Плюс к этому в следующий раз, когда вы войдете в систему, вы будете знать что пароль уже взломан и его нужно сменить. Выгода двухэтапной аутентификации очевидна: взлом системы станновится, в два раза тяжелее.
4 . Мета-тег "Generator"
Разработчики программного обеспечения используют мета-тег «generator» в качестве визитной карточки своих компаний и продуктов. В большинстве случаев, для владельцев сайтов этот элемент не несет никакой пользы. Основная проблема заключается в том, что часто этот мета-тег сообщает злоумышленнику название и версию продукта, что тем самым открывает всю информацию системе и ее модулях, в том числе модулях электронной коммерции, например об инструменте корзины. Зная эту информацию хакер может легко выявить уязвимости присущие данной версии системы и ее модулям.
Примечание: Этот способ не защитит от серьезных хакеров, которые и без мета тега легко могут определить название продукта, но от любителей, скрытие мета-тега «generator» поможет немного защититься. Ну и плюс к этому, скрытие мета-тега «generator» не освобождает администратора сайта следить актуальностью системы и установленных модулей, а в случае выхода обновления с исправлением серьезной угрозы безопасности немедленно их устанавливать.
5 . PCI DSS тесты
PCI (сокращенно от Payment Card Industry) тесты — набор тестов, позволяющих выявть уязвимые места электронной системы. Хакеры, могут использовать небольшие ошибки системы в черную дыру, которая вытягивает ценные данные с вашего сайта и коммерческую информацию в частности. Так что хакеры нервно курят в сторонке, пытаясь взломать сервера, соответствующие стандартам PCI.
Добавить комментарий