Come proteggere il vostro negozio e mercato online: 9 consigli e trucchi per la sicurezza

09 Ago 2022 - 15:30:04

09 Ago 2022 - 15:30:04


L'e-commerce è un settore molto esigente per quanto riguarda la sicurezza dei siti web e di tutti i dati sensibili memorizzati ed elaborati durante il processo di checkout. I moderni CMS, tra cui CS-Cart e Multi-Vendor, includono già una forte protezione di sicurezza, ma come ogni software è pienamente efficace solo se opportunamente configurato, monitorato e integrato con una politica di sicurezza globale che inizia con la consapevolezza che ogni vulnerabilità del progetto potrebbe essere rilevata e sfruttata.
Gli errori di sicurezza più diffusi sono l'accesso condiviso al pannello di amministrazione, una sola password per tutti gli account e la mancanza di una politica dei dati e di formazione sull'igiene degli accessi e sulla sicurezza informatica. In questo articolo abbiamo raccolto 9 suggerimenti per prevenire gli attacchi degli hacker e le minacce alla sicurezza più comuni per i siti web basati su CS-Cart o Multi-Vendor.

1. Rinominate l'indirizzo del pannello di amministrazione

1. Rinominate l'indirizzo del pannello di amministrazione

Si consiglia di impostare l'URL del pannello di amministrazione con una stringa casuale e sicura come CiFmHsKHSilw.php, dove il nome è generato da un generatore di password. Non utilizzate admin.php, secureadmin.php o nomi simili.

2. Installare SSL e creare reindirizzamenti a HTTPS

2. Installare SSL e creare reindirizzamenti a HTTPS

Secure Sockets Layer (SSL) è un protocollo di sicurezza che crea una connessione criptata tra il server dell'azienda e il browser dell'utente. Nel commercio elettronico è essenziale per proteggere le transazioni online e garantire la sicurezza dei dati dei clienti. Se il sito non dispone di un certificato, il browser avvisa l'utente di una "connessione insicura". Un potenziale cliente si fiderebbe del vostro negozio? Ne dubito. Se il vostro provider di hosting non fornisce un SSL di default, acquistatelo voi stessi. La nostra soluzione di hosting per CS-Cart include un certificato SSL gratuito e rinnovato automaticamente, quindi non dovete preoccuparvi.

3. Utilizzate password forti e l'autenticazione a due fattori

3. Utilizzate password forti e l'autenticazione a due fattori

Utilizzate sempre una password unica per ogni account creato. Assicuratevi che tutte le password del vostro sito web, compresa quella di amministrazione di CS-Cart, siano forti e sicure. Si raccomanda vivamente di includere maiuscole e minuscole, numeri e simboli. Non utilizzate mai la stessa password per risorse diverse.

Utilizzate l'autenticazione a due fattori per impedire l'accesso non autorizzato agli account del pannello di amministrazione del vostro negozio. I metodi di autenticazione a due fattori si basano sulla fornitura di una password come primo fattore di protezione e sull'utilizzo di un token di sicurezza o di un fattore biometrico, come un'impronta digitale o una scansione facciale come secondo livello di protezione. Sul marketplace CS-Cart è possibile trovare i componenti aggiuntivi consigliati per generare codici di accesso unici, notifiche push o effettuare chiamate telefoniche.

4. Installare componenti aggiuntivi e temi sicuri

Quando scegliete un componente aggiuntivo o un tema per CS-Cart, verificate che siano compatibili con la versione del vostro CMS. Si consiglia di scaricare applicazioni e temi di design dal marketplace ufficiale di CS-Cart. Gli sviluppatori che vi si trovano sono certificati secondo gli standard di CS-Cart. Gli specialisti di CS-Cart testano i componenti aggiuntivi casuali e li contrassegnano con un'etichetta speciale, assicurandosi inoltre che le recensioni pubblicate provengano dai veri proprietari dei negozi CS-Cart.

5. Mantenere aggiornati la piattaforma CS-Cart, i componenti aggiuntivi e i temi

Aggiornate il vostro negozio per proteggere i dati personali, migliorare le prestazioni e aumentare la sicurezza generale. Si raccomanda vivamente di installare gli aggiornamenti rilasciati dagli sviluppatori di CMS, componenti aggiuntivi e temi, in quanto includono patch per la sicurezza e le prestazioni. Non dimenticate di creare un backup e di testare gli aggiornamenti su un server di sviluppo prima di passare alla produzione. Scegliete fornitori di hosting che forniscano backup automatici giornalieri gratuiti e ambienti di sviluppo. In questo modo i vostri dati saranno protetti nel caso in cui qualcosa vada storto durante il processo di aggiornamento.

6. Nascondere le versioni di PHP, NGINX e Apache

Quando la direttiva expose_php è abilitata, l'intestazione della risposta HTTP includerà la versione di PHP. Tuttavia, si potrebbe non voler trasmettere la versione PHP specifica utilizzata dal sito. Per evitare che il server web invii l'intestazione "X-Powered-By", impostare expose_php = off nel file php.ini. Questo è utile anche per la conformità PCI.

Aggiungete server_tokens= off alla sezione http- del file di configurazione di NGINX.

Aggiungete/modificate le righe contenenti ServerTokens Prod e ServerSignature Off alla fine del file di configurazione di Apache2.

7. Impostare i tweak nel file di configurazione nella cartella principale del progetto.

L'elenco dei tweak nel file di configurazione è in continua crescita per migliorare le prestazioni dei progetti. È necessario impostarli correttamente per una maggiore sicurezza. Si consiglia di impostare i seguenti tweak su un valore "true" nel file config.local.php

    api_https_only
    api_allow_customer, se si consente l'accesso a clienti non autorizzati
    secure_cookies

Non dimenticare di impostare cors_allowlist e csp_frame_ancestors.

8. Rimuovere i file sensibili

8. Rimuovere i file sensibili

Rimuovere file come temp_dump.sql, error_log, test.php. Questi file possono aiutare gli intrusi a ottenere ulteriori informazioni sul vostro progetto. Verificate con il vostro sviluppatore o amministratore di sistema i seguenti tipi di file:

9. Effettuare controlli di sicurezza

Durante ogni rilascio di una nuova versione di CS-Cart e Multi-Vendor a partire dalla versione 4.12.0, insieme al nostro partner di infrastruttura e sicurezza ASAP Lab, conduciamo test di sicurezza SAST e DAST per identificare vulnerabilità comuni e rischi di penetrazione nel core di CS-Cart e componenti aggiuntivi predefiniti.

Per i progetti con numerose modifiche, integrazioni e componenti aggiuntivi di terze parti, consigliamo di eseguire regolarmente controlli di sicurezza avanzati. Un errore o una svista in uno qualsiasi dei punti precedenti può potenzialmente portare alla divulgazione di dati di progetto sensibili e critici o addirittura comprometterli. Di solito dopo l'audit di sicurezza riceverai un rapporto dettagliato sullo stato di sicurezza del tuo progetto, un elenco di vulnerabilità identificate e possibili attacchi e consigli per la loro eliminazione e prevenzione per mitigare eventuali rischi per la sicurezza.

Se riscontri uno di questi segnali di attacco informatico, non rimandare una consultazione con gli specialisti della sicurezza IT. Prendi sul serio la sicurezza dei tuoi progetti e goditi la disponibilità 24 ore su 24 dei tuoi negozi CS-Cart/Multi-Vendor per maggiori vendite, migliore reputazione aziendale e fidelizzazione dei clienti.

Contatta il nostro personale tecnico!