Top.Mail.Ru

Безопасность интернет-магазинов автозапчастей

Общие вопросы по безопасности интернет-магазинов автозапчастей

Безопасность интернет-магазинов автозапчастей, как и многих других сайтов, складывается из множества компонентов, каждый из которых отвечает за защиту сайта от определенного вида угроз. Важно понимать, что сайт интернет-магазина автозапчастей сам по себе работает на хостинге (или сервере) и взаимодействует с пользователями через сеть. Поэтому, обеспечение безопасности интернет-магазина должно учитывать всю цепочку взаимодействия - от конечного устройства пользователя (посетителя сайта) и до прикладного ПО, на котором работает интернет-магазин. На этой странице мы разберем основные моменты по безопасности интернет-магазинов автозапчастей, дадим некоторые рекомендации, которые позволят Вам минимизировать риски, связанные с различными возможными угрозами, которые могут исходить со стороны недобросовестных лиц.

Информация, приведенная на этой странице, не претендует на полноту. Тема очень большая и комплексная. Тем не менее, мы имеем большой опыт в создании интернет-магазинов автозапчастей и их техническом обслуживании, и часть этой работы связана, в том числе и базовыми настройками безопасности сайтов, серверов и т.д. Многие вещи, о которых пойдет речь здесь, окажутся вполне доступными и для понимания даже неподготовленному в техническом плане пользователю - владельцу интернет-магазина автозапчастей, особенно - всякие рекомендации, что нужно делать обязательно, а что делать не стоит. Также здесь мы соберем общую информацию и для технических специалистов, у которых уже есть некоторый опыт в создании сайтов.

Любой интернет-магазин автозапчастей является сложным с технической точки зрения проектом, состоящим из таких компонентов, как сервер, системное программное обеспечение, прикладное программное обеспечение (т.е. платформа, на которой работает сайт), база данных, в которой хранятся клиенты, заказы и другая критически-важная информация. Сайт интернет-магазина автозапчастей может также взаимодействовать с различными сторонними сервисами, например с поставщиками по API, с платежными системами, SMS-операторами и т.д. И соответственно меры безопасности необходимо обеспечивать и внутри самого интернет-магазина (в пределах сервера, на котором он работает), а также на стыках интернет-магазина и сторонних информационных систем.

Базовые рекомендации по безопасности для интернет-магазинов автозапчастей

Интернет-магазин автозапчастей, как и любой другой веб-проект требует внимательного и ответственного отношения к вопросам безопасности со стороны своего владельца. Базовые рекомендации по безопасности для интернет-магазинов автозапчастей заключаются в соблюдении простых правил, которые с одной стороны легко соблюдать, но, если их не придерживаться, то, можно столкнуться с серьезными проблемами.

Мы выделяем следующий набор базовых правил, которые необходимо соблюдать владельцу сайта интернет-магазина автозапчастей. Перечень не является исчерпывающим, но, базовые правила таковы:

1. Использовать сложный и длинный (не менее 10 символов, содержащих цифры и буквы в нижнем и верхнем регистрах) пароль администратора сайта и любого другого пользователя (например, продавца), имеющего доступ в панель управления сайта. Пароль ни в коем случае не должен содержать даты рождения, марки и модели автомобилей, фамилий, имен и любой другой информации, которую может легко подобрать злоумышленник.

2. Не позволять покупателям использовать простые пароли на своем сайте. Установить допустимую сложность пароля можно через настройки сайта.

3. Никогда не давать доступ в панель управления своего сайта, а также на сервер никаким сторонним специалистам, в добросовестности которых Вы не уверены. Нужно иметь в виду, что любой, кто получил доступ на Ваш сервер, имеет полный доступ ко всему Вашему сайту и может оставить свой скрипт, с помощью которого он сможет продолжать контролировать Ваш сайт даже после того, как Вы смените доступ к серверу.

4. Никогда не переходить по ссылкам, которые Вы получили от недоверенных источников по E-mail, SMS, через месседжеры и т.д.

5. Использовать на сайте интернет-магазина автозапчастей SSL-сертификат для обеспечения защищенного HTTPS-соединения между сайтом и пользователем.

6. Переименовать папку панели управления интернет-магазина автозапчастей. Тогда никто посторонний не будет знать URL панели управления. Лучше это сделать в процессе установки CMS.

7. Использовать ограничение доступа по IP-адресу в панель управления сайта. Тогда посторонний не сможет получить доступ даже к форме входа в панель управления сайта.

8. Использовать http-авторизацию для доступа к панели управления интернет-магазина автозапчастей. Такой прием является дополнительным препятствием для доступа к панели управления посторонним лицам.

Далее более подробно разберем некоторые из пунктов.

Использование протокола HTTPS для интернет-магазинов автозапчастей

Интернет-магазин автозапчастей, как правило, работает с персональными данными пользователей, логинами, паролями и другой критически важной информацией. Когда любой пользователь, как продавец, так и покупатель, заходит на сайт под своей учетной записью, то при каждом открытии любой страницы с его устройства (ПК или смартфона) на сайт передаются данные, которые нельзя показывать третьим лицам. К таким данным относятся пароли, платежные данные, некоторые технические данные и т.д. Чтобы взаимодействие пользователя с интернет-магазином автозапчастей было бы безопасным, необходимо, чтобы эти данные передавались бы между сайтом и браузером пользователя в зашифрованном виде, так, что даже если они будут кем-либо перехвачены - их нельзя будет прочитать.

Для того чтобы обеспечить безопасную передачу данных между сайтом и браузером пользователя, на хостинге, на котором работает сайт необходимо установить SSL-сертификат и затем настроить работу сайта таким образом, чтобы сайт работал бы исключительно по защищенному протоколу HTTPS. Необходимо настроить автоматическую переадресацию пользователя - в случае если пользователь пробует зайти на сайт по открытому протоколу HTTP, чтобы он был автоматически перенаправлен на тот же URL, но уже через протокол HTTPS. Тогда можно быть уверенным, что все данные, передаваемые между пользователем и сайтом, никто не сможет перехватить и прочитать, даже включая содержимое страниц сайта, а не только логины и пароли.

На наш взгляд, лучше подключать на хостинге платные SSL-сертификаты. Сегодня есть варианты стоимостью порядка 3 500 рублей на год. Существует и бесплатный вариант SSL - от удостоверяющего центра Let's Encrypt. Большинство современных хостингов позволяют устанавливать этот бесплатный SSL-сертификат. Важно помнить, что интернет-магазин автозапчастей - это серьезный веб-проект и его работа по открытому протоколу HTTP не допустима. Поэтому мы настоятельно рекомендуем начать использовать HTTPS сразу при запуске сайта, тем более, что при установке Docpart, можно выбрать протокол HTTPS на первом шаге мастера установки и тогда установщик автоматически настроит редирект на HTTPS. Когда мы сами запускаем интернет-магазины автозапчастей для своих клиентов, мы изначально настраиваем сайт на работу по защищенному протоколу.

Переименование директории с панелью управления в CMS для интернет-магазинов автозапчастей

Одной из наиболее важных частей интернет-магазина автозапчастей является его панель управления. В Docpart, панель управления - это целый раздел сайта, через который администраторы и продавцы могут решать критически важные задачи: настраивать сайт, менять настройки дизайна, настраивать почту, обрабатывать заказы покупателей, работать с платежными данными, редактировать собственный каталог автозапчастей, настраивать подключение к поставщикам, редактировать текстовую и графическую информацию страниц сайта, работать с персональными данными своих покупателей и т.д. Таким образом, защита панели управления интернет-магазина автозапчастей от несанкционированного доступа посторонних лиц является критически важной.

Защита панели управления должна быть комплексной. Одной из мер ее защиты является переименование папки, содержащей скрипты панели управления. CMS Docpart изначально проектировалась таким образом, чтобы раздел панели управления был бы полностью независимым от остальной части сайта - так, чтобы его можно было бы переименовывать в процессе использования сайта и чтобы такое переименование не влияло бы на работоспособность сайта. Переименование папки с панелью управления является дополнительным фактором защиты от несанкционированного доступа - так, чтобы посторонние даже не знали, по какому URL находится форма входа в ПУ. Потенциальный злоумышленник, не зная текущего названия директории с панелью управления, не сможет в нее попасть.

Чтобы переименовать директорию с панелью управления в платформе для интернет-магазинов автозапчастей Docpart, для этого нужно сначала переименовать саму папку с ПУ, а затем в конфигурационном файле сайта скорректировать название этой папки в соответствующем параметре. Таким образом, менять название папки с панелью управления в Docpart можно довольно часто, поскольку этот процесс является простым и быстрым с одной стороны и при этом полезным для задач безопасности с другой стороны. Также отметим, что указать свое название директории с панелью управления, можно на первом шаге мастера установки Docpart - тогда изначально панель управления Вашего сайта будет иметь нестандартное значение.

HTTP-авторизация в панели управления интернет-магазина автозапчастей

Еще одним приемом по защите доступа в панель управления интернет-магазина автозапчастей является включение http-авторизации. Работает это следующим образом. Когда пользователь обращается в своем веб-браузере по адресу панели управления, либо на любой вложенный раздел панели управления, то, веб-сервер, на котором работает Ваш интернет-магазин запчастей, перед тем, как начать загружать скрипты панели управления, сначала запросит от пользователя ввод дополнительных логина и пароля. Соответственно, без ввода этих логина и пароля, панель управления будет не доступна. Этот способ защиты панели управления интернет-магазина автозапчастей можно комбинировать со всеми приемами, перечисленными на этой странице.

За счет того, что все содержимое панели управления находится в одной корневой папке, т.е. скрипты страниц ПУ, скрипты, которые вызываются асинхронно, подключаемые библиотеки, модули, плагины и даже отдельные HTML-шаблоны для панели управления, настроить http-авторизацию не составит труда. Для этого достаточно будет прописать пару строк в файл .htaccess (при условии, что Ваш сайт работает на веб-сервере apache), который находится в корневой папке панели управления и добавить еще один скрытый файл, содержащий логин и пароль для http-авторизации. Детальную информацию по настройке http-авторизации, применительно к Вашему конкретному серверу или хостингу, лучше искать в документации от хостинг-провайдера.

Если у Вас возникли вопросы по настройке этой функции или Вы понимаете, что самостоятельно с настройкой сервера Вам будет справиться не просто, поскольку это вообще задача для сисадминов, Вы также можете обратиться к специалистам нашей технической поддержки за дополнительными услугами по добавлению http-авторизации в панель управления Вашего интернет-магазина автозапчастей с учетом конфигурации Вашего конкретного сервера. В любом случае, рекомендуется привлекать для таких настроек компетентных специалистов, разбирающихся в технологиях, на которых работают веб-проекты, в веб-протоколах и принципах работы серверного программного обеспечения для грамотной и качественной настройки безопасности сайта.

Ограничение доступа в панель управления интернет-магазина автозапчастей по IP-адресу

Одним из самых надежных способов защиты панели управления интернет-магазина автозапчастей является ограничение доступа по IP-адресу. Этот способ заключается в том, чтобы на уровне веб-сервера, т.е. еще до загрузки скриптов сайта, проверять, с какого IP-адреса происходит вход в панель управления интернет-магазина автозапчастей или обращение к любому из скриптов, относящихся к панели управления. Заранее, на сервере формируется перечень доверенных IP-адресов и если запрос поступает с IP-адреса не из доверенного, т.е. белого списка, то такой запрос отклоняется сервером автоматически так, что никакой ресурс панели управления не может быть получен посторонним лицом.

В общем случае, когда Вы подключаетесь к интернету дома или в офисе, то, при каждом включении роутера, IP-адрес Вам назначается автоматически интернет-провайдером, и каждый раз этот IP-адрес может отличаться от того, какой был еще 10 минут назад. Поэтому, для реализации защиты панели управления через ограничение доступа по IP-адресам из белого списка, Вам потребуется статический IP-адрес, т.е. такой, какой не будет меняться со временем, даже - через несколько месяцев. Услугу поддержки статического IP-адреса Вы можете подключить у своего интернет-провайдера. Такая услуга обычно стоит совсем не много, но, при этом дает свои преимущества, и в том числе - возможность закрыть доступ в панель сайта со всех остальных IP-адресов.

Как и описанные Выше способы защиты панели управления сайта, описанный в данном блоке способ также можно легко комбинировать с другими, повышая, таким образом, безопасность своего интернет-магазина автозапчастей еще больше. Например, Вы можете поставить http-авторизацию на панель управления и при этом ограничить доступ еще и по IP-адресу. Таким образом, мало будет зайти в панель сайта с помощью Вашего Wi-Fi, т.к. нужен будет еще и дополнительный пароль для доступа к панели управления. Если Вы хотите настроить ограничение доступа к панели управления своего сайта по IP-адресам из доверенного списка, но затрудняетесь сделать это самостоятельно, обратитесь к нашей технической поддержке.

Ограничение пользовательских прав для продавцов в панели управления интернет-магазина автозапчастей

Сразу после установки Docpart на хостинг из установочного пакета, на сайте создается супер-пользователь (администратор), который имеет доступ в панель управления интернет-магазина автозапчастей и его пользовательские права никак не ограничены. Он может создавать любые страницы, редактировать их содержимое, загружать на сайт любые файлы, обрабатывать заказы интернет-магазина, управлять другими пользователями и т.д. Если интернет-магазин не большой и его владелец сам управляет сайтом и обрабатывает заказы, то, он вполне может пользоваться аккаунтом супер-пользователя для всех задач, которые у него возникают в процессе работы с сайтом.

Но, если магазин большой и заказы обрабатываются наемным сотрудником - менеджером или продавцом, то, необходимо определять грамотную политику безопасности. Ведь, наемный сотрудник изначально имеет более низкий уровень доверия и ему не следует давать слишком много возможностей по управлению Вашим сайтом. Поэтому, в Docpart можно создавать отдельные аккаунты с доступом в панель управления с ограниченными правами, например, только для обработки заказов. В таком случае, Вы можете быть уверены в безопасности, ведь продавец не имеет доступа к критически важным функциям и не сможет навредить работе сайта ни случайно не преднамеренно.

По-умолчанию, сразу после установки Docpart, доступом в панель управления обладает единственная группа пользователей "Администраторы" и ее единственный представитель, о котором сказано выше. Затем Вы можете создавать другие группы с доступом в панель управления и для каждой из таких групп Вы можете отдельно указывать, к каким разделам панели управления представители этих групп будут иметь доступ. К примеру, Вы можете создать группу "Продавцы", члены которой будут иметь доступ только к обработке заказов, или, к примеру, группу "Кладовщики", представители которой смогут только заниматься учетом складских остатков и при этом не смогут зайти в раздел обработки заказов.

Базовые настройки безопасности сервера для интернет-магазина автозапчастей

Любой веб-сайт, и в том числе и интернет-магазин автозапчастей начинается не с платформы или CMS, а с веб-сервера. Для любого сайта нужен сервер, т.е. по сути, компьютер, который подключен к сети и на котором установлено необходимое системное и серверное программное обеспечение - для последующего запуска сайта на нем. На сервере также необходимо обеспечить настройку безопасности - в первую очередь, еще до установки на него CMS. Это большая отдельная тема, но, в рамках данного материала мы обозначим основные моменты по обеспечению безопасности сервера для интернет-магазина автозапчастей, на которые необходимо обратить внимание в первую очередь.

То, что описано в данном блоке - актуально для VDS или для отдельного сервера. Если у Вас обычный виртуальный хостинг, то, с ним обычно всё несколько проще и безопасность виртуального хостинга следует настраивать исходя из рекомендаций от соответствующего хостинг-провайдера.

Для работы интернет-магазина автозапчастей с использованием CMS Docpart, необходимы следующие компоненты: веб-сервер Apache, PHP, база данных MySQL. Для технического обслуживания интернет-магазина, требуются следующие интерфейсы: подключение к базе данных, доступ к файлам для редактирования, командная строка. Все, что не перечислено - лучше вовсе отключить на сервере, если не требуется для каких-либо других задач помимо работы интернет-магазина. Все, что перечислено - необходимо настроить соответствующим образом.

Первое, что нужно сделать - закрыть все порты, кроме 80 (протокол HTTP), 443 (протокол HTTPS), которые необходимы для работы сайта. Также еще можно оставить один порт для протокола SSH, оставив вместо стандартного порта 22 - любой нестандартный порт. Затем необходимо ограничить доступ к SSH по IP-адресу - чтобы кто попало, не мог подключиться к консоли Вашего сервера. Также следует оставить единственным способом аутентификации SSH - RSA-ключи, что исключает возможность подобрать пароль к серверу. Таким образом, через 80 и 443 порт будет работать Ваш сайт, а через надежно защищенный SSH, Вы сможете проводить техническое обслуживание сайта - работать с файлами по SFTP и с базой данных через SSH-туннель.

Индикатор SSL сертификата в интернет-магазине автозапчастей на Docpart

Как уже было написано выше, одной из мер, обеспечивающих безопасность интернет-магазинов автозапчастей является подключение к сайту SSL-сертификата, который делает соединение между Вашим сайтом и пользователем, защищенным, т.е. таким, по которому все данные, включая логины, пароли, платежную информацию, передаются в закрытом от посторонних лиц виде - по протоколу HTTPS, а не HTTP. Даже если кто-то перехватит интернет-трафик такого соединения, то, информацию, передаваемую в таком трафике, прочитать не получится - всё надежно зашифровано. Убедиться в том, что Ваш сайт работает через защищенный протокол HTTPS, можно посмотрев в адресную строку браузера - слева от адреса Вашего сайта должен отображаться индикатор в виде зеленого замочка.

Мы с каждой новой версией нашей платформы для интернет-магазинов автозапчастей, стараемся делать ее еще более функционально и удобной. В одной из очередных версий Docpart у нас появилась вспомогательная функция индикации корректной настройки HTTPS-соединения. Эта функция позволяет Вам, как администратору интернет-магазина, проверять, что у Вас на сервере не только установлен SSL-сертификат и доступно защищенное HTTPS-соединение, но и что корректно настроено перенаправление пользователя на защищенный протокол. Т.е. когда пользователь заходит на Ваш сайт по незащищенному протоколу HTTP - чтобы сайт его автоматически перенаправил бы на защищенный протокол. Другими словами - чтобы у пользователя не было бы возможности взаимодействовать с Вашим интернет-магазином через небезопасное соединение. Это важно, так как простой пользователь, покупатель в Вашем интернет-магазине может вообще не знать обо всех технических особенностях и важно всю безопасность обеспечить, так, чтобы от него не требовалось бы никаких активных действий для этого. Наш встроенный индикатор SSL-сертификата имеет такие состояния: SSL-сертификат не подключен; SSL-сертификат подключен, но, не настроен; SSL-сертификат подключен и настроен. Таким образом, Вы точно знаете, всё ли корректно у Вас настроено для HTTP-протокола, и нужно ли принимать какие-либо меры. Описанная функция встроена в исходных дистрибутив нашей CMS для магазинов автозапчастей и является абсолютно бесплатной.

Новости

08.11.2024

Обновление API поставщиков автозапчастей в новой версии

Очередное большое обновление API поставщиков автозапчастей на платформе Docpart

01.11.2024

Новая система тестирования платформы ИМ автозапчастей

Доступны новые возможности при тестировании платформы для интернет-магазинов автозапчастей Docpart

25.10.2024

Важная информация по обновлениям Docpart

Важная информация по обновлениям интернет-магазинов автозапчастей на Docpart