Kaip užtikrinti el. parduotuvės saugumą?
Svarba
Saugumas svarbus visoms interneto svetainėms, nes yra pavojus prarasti svetainės turinį. Apsaugoti el. parduotuvės turinį tampa dar svarbiau, nes galite prarasti užsakymų informaciją, prekių likučius ir kitą reikšimgą informaciją, kuri gali turėti neigiamos įtakos Jūsų verslui.
Pateikiame populiariausios turinio valdymo sistemos WordPress saugumo užtikrinimo rekomendacijomis.
Slaptažodžių valdymo įrankis
Kai naujas interneto el. parduotuvės vartotojas susikuria savo paskyrą Jūsų parduotuvėje, būtina užtikrinti, kad vartotojas susikurtų saugų slaptažodį (pvz., nemažiau 12 ženklų). Šiam tikslui yra naudojami slaptažodžių valdymo įrankiai (įskiepiai).
Kiekvienai el. parduotuvei – atskira duomenų bazė
Jei talpinate daugiau kaip vieną el. parduotuvę serveryje, rekomenduotina kiekvienai svetainei naudoti atskirą duomenų bazę ir vengti vienos bazės su skirtingais duomenų bazės priešdėliais. Tai padės išlaikyti svetaines izoliuotas ir sutaupys pinigų, jei kuri nors iš jų bus nulaužta.
Reguliarios interneto svetainės kopijos
Jūsų el. parduotuvės talpinimo paslaugų tiekėjas, įprastai daro Jūsų el. parduotuvės failų ir duomenų bazių kopijas. Kiekvienas tiekėjas turi skirtingus kopijų atlikimo intervalus, pvz., vakarykštės dienos ir savaitgalinė koijos. Tačiau to gali ir nepakakti, jei pasirodo, kad el. parduotuvės kopijoje jau yra žalingas programinis kodas, nes el. parduotuvė buvo užkrėsta daug anksčiau, todėl iš kopijos negalėsite atstatyti sklandaus el. parduotuvės darbo.
Todėl svarbu užtikrinti, kad Jūsų el. parduotuvės kopijos būtų daromos kasdien (priklausomai, kiek transakcijų atliekama per tam tikrą laiko vienetą, svetainės kopijas galima daryti kas valandą, kas 10 min.).
SSL sertifikatas
Internetinės svetainės adrese esanti “s” raidė “https://”, nurodo, kad internetinės svetainės serveryje yra įdiegtas SSL sertifikatas. SSL (angl. Security Socket Layer) – internetinės svetainės serveryje įdiegtas SSL sertifikatas užtikrina saugiųjų jungčių lygmenį, todėl ryšys tarp serverio ir naršyklės yra saugus ir visi perduodami duomenys (mokėjimo informacija, asmens duomenys, slaptažodžiai) yra suagiai bendrinami su internetinės svetainės serveriu.
Atminkite, jei naudojate Turinio paskirstymo tinklų technologiją (angl. Content Deliver Network (CDN)), šios paslaugos tiekėjas suteikia ir SSL sertifikatą, taip suteikdamas saugų ryšį tarp Turinio paskirstymo tinklo DNS serverio ir tarp interneto naršyklės, tačiau jei nėra įdiegtas SSL sertifikatas Jūsų el. parduotuvės talpinimo serveryje, ryšys tarp serverio ir turinio paskirstymo tinklo DNS serverio lieka nesaugus.
El. parduotuvei neturint SSL sertifikato iškyla grėsmė asmens duomenų saugumui transakcijų duomenims, atliekant mokėjimus.
Administravimo aplanko apsaugojimas slaptažodžiu
WordPress turinio valdymo sistemos administravimo aplankas pagal nutylėjimą nėra apsaugotas slaptažodžiu. Jei šį aplanką apsaugosite papildomu slaptažodžiu, tai suteiks papildomą apsaugą nuo įsilaužimo į Jūsų internetinę svetainę.
Nuolatiniai atnaujinimai
Tiek turinio valdymo sistema WordPress, tiek įskiepiai (angl. plugins), tiek Jūsų el. parduotuvės šablonas (angl. theme), jei jis nebuvo darytas specialiai Jums, privalo būti nuolat atnaujinami. Internetinė svetainė, kurioje nėra atliekami atnaujinimai, yra potencialus programišių taikinys.
Nenaudojami įskiepiai (angl. plugins) ir šablonai (angl. theme)
Jei Jūsų el. parduotuvėje yra nenaudojami įskiepiai ar WordPress šablonai, išjunkite juos ir ištrinkite, priešingu atveju, tai gali tapti lengva landa programišiams.
El. parduotuvės ugniasienė
Kiekviena saugi el. parduotuvė privalo turėti ugniasienę, kuri užtikrintų papildomą el. parduotuvės saugumą. Turinio valdymo sistemos, pagal nutylėjimą, ugniasienės funkcijos neturi, todėl turi būti papildomai įdiegti įskiepiai, kurie šią funkciją užtikrintų.
Įskiepiai, kurie užtikrina ugniasienės funkciją, sudaro galimybę stebėti el. parduotuvės failų pokyčius. Jei pvz., failai buvo netikėtai pakoreguoti, ar WordPress įskiepių failai dėl nežinomų priežasčių buvo pakeisti – ugniasienė informuoja apie tai ir galima laiku pašalinti kenkėjišką kodą. Tai tik viena iš funkcijų, kurią užtikrina ugniasienės įskiepis.
Taip pat, papildomai galite naudoti Turinio paskirstymo tinklą (angl. Content Delivery Network (CDN)). Šią paslaugą teikia įvairūs tiekėjai kaip CloudFlare , StackPath ir kt.
Dviguba autorizacija (angl. Two factors authentification)
Kai jungiatės prie WordPress administravimo panelės, suvedate el. pašto adresą/vartotojo vardą ir slaptažodį. Tačiau, kad sustiprinti el. parduotuvės saugumą, rekomenduojama įdiegti dvigubos autorizacijos funkcionalumą.
Suvedus prisijungimo duomenis į WordPress administravimo panelę Jūs dar nebūsite prisijungę – naujame internetinės naršyklės lange prašys Jūsų suvesti šešių skaičių kombinaciją iš Google Authenticator programėlės, kurią galite nemokamai parsisiųsti į savo mobilųjį telefoną. Tai papdidins Jūsų internetinės svetainės saugumą.
wp-config.php failo saugumas
WordPress turinio valdymo sistema, el. parduotuvės pagrindiniame serverio aplanke, yra wp-config.php failas, kuriame yra pateikti el. parduotuvės duomenų bazių slaptažodžiai. Tai jautri informacija, todėl būtina šį failą papildomai apsaugoti.
Rekomenduojame wp-config.php failą patalpinti vienu lygiu aukščiau, kad šis failas nebūtų pasiekiamas įsilaužėliams.
Taip pat yra ir daugiau saugumo faktorių, kuriuos paminėsime kitose įžvalgose.