A jelenlegi helyzet miatt egyre több vállalat sürgősen átáll az internetes kereskedelemre, és ehhez a legegyszerűbb megoldás az e-commerce platformok használata. Ez biztonsági szempontból is jó megoldás lehet, a legtöbb kritikus funkció profi fejlesztők által került implementálásra. Ám ez még nem jelenti a teljes biztonságot, számos dologra kell odafigyelni ezen rendszerek konfigurálása közben. Ebben a posztban leírtuk a főbb általános biztonsági szempontokat, hibákat, javaslatokat az e-commerce rendszerek beállításához és használatához.
1. Admin panel elérése
Az alapértelmezett értékeket meg kell változtatni. És itt nem csak a jelszóról van szó: az /admin vagy a /wp-admin URL, admin felhasználónév, ezeket érdemes átírni valami egyedire, ami nem tartalmazza az “admin” szót vagy az üzlet nevét. A legtöbb platformban out-of-the-box van erre lehetőség, másokban security plug-inok telepítésére lesz szükség. Például a Magento esetén az env.php fájlban lehet megváltoztatni az admin panel elérési útját.
Ezen kívül fontos utánanézni, hogy milyen felhasználók, szerepkörök jönnek létre a platform telepítésével.
2. Kommentek, értékelések
Különös veszélyt jelenthet minden adat, ami a felhasználótól érkezik. Minden felhasználói bemenethez szerver oldali validáció szükséges az XSS, SQL Injection, Command/Code Injection, Insecure Deserialization és hasonló támadások elkerülése végett.
Emellett a spambotokra is figyelni kell, minden hozzászóláshoz vagy értékeléshez legyen captcha, ahol lehet, premoderation alapon történjen a publikálás. A felhasználók e-mail címeit ne jelenítsük meg semmilyen formában.
3. Szenzitív adatok
A felhasználóktól csak a szükséges adatokat kérjük le, minimalizáljuk az érzékeny adatok tárolását. Minél több szenzitív adatot tartalmaz az adatbázis, annál vonzóbb lesz a támadók számára, és annál több kárt okozhat egy esetleges támadás.
4. Biztonsági mentések
Az adatok visszaállíthatóságától egyes esetekben az üzlet sorsa is függhet.
A legnépszerűbb e-commerce platformok többsége támogatja az automatizált biztonsági mentések készítését. Ha a platform nem tartalmazza az ehhez szükséges eszközöket, egy security plugin segítségével lehet ezt beállítani (például a WooCommerce esetén a jetpack’s optional security features nevű pluginnal). Fontos, hogy a mentések egy fizikailag dedikált helyen legyenek.
5. Frissítések
A platform kiválasztásánál figyelni kell arra, hogy az aktuális, legfrissebb verziót használjuk például Magento esetén mindenképpen a 2-es verziót válasszuk, mivel az 1-esnek 2020. júliusában jár le a támogatása, vagyis a biztonsági hibák nem fognak javításra kerülni.
Fontos a platform és az összes használt plugin frissítéseinek rendszeres telepítésére. Egyetlen elavult verziójú plugin is elegendő lehet egy támadás végrehajtásához.
6. Dedikált e-mail cím, telefonszám
Javasoljuk egy új e-mail cím létrehozását az administrator fiók regisztrálásához. Minél kevesebb helyen használjuk azt az e-mail címet, annál nagyobb biztonságban marad. Az e-mail fiók feltörése az e-commerce rendszert is veszélyezteti.
Ezen kívül lehetnek platform specifikus beállítások is, minden esetben javasoljuk a “<platformnév> security checklist”, “steps to secure <platformnév>” kulcsszavakkal megtalálható cikkek, guideline-ok követését. Ha az egyes platformok tekintetében mélyebbre mennétek, akkor a PRAUDIT blogon hamarosan részletesebb cikkeket találtok ezekről. Kérdés esetén pedig írjatok a praudit@praudit.hu címre.
Üdvözlettel,
A PR-AUDIT Csapata
kép: https://www.freepik.com/