Serpstat использует файлы cookie для обеспечения работоспособности сервиса, улучшения навигации, предоставления возможности связаться с командой поддержки, а также маркетинговых активностей Serpstat.

Нажав кнопку "Принять и продолжить", вы соглашаетесь с Политики конфиденциальности

Принять и продолжить

Сообщить об ошибке

Отменить
5577 12 1
Маркетинг Читать 14 минут 4 декабря 2017

Как защитить интернет-магазин от хакеров: 10 обязательных шагов

Как защитить интернет-магазин от хакеров
Анна Конева — редактор блога ekwid
Анна Конева
Редактор блога компании Эквид
Пока хакеры не взломали твой сайт или почту, кажется, что это случается с другими, но не с тобой. Можно так думать, если под угрозой только собственная информация.
Но на владельцах интернет-магазинов особая ответственность: им доверяют личные данные тысячи людей.

Чтобы не подвести покупателей и защитить сайт от большинства злоумышленников, используйте наши советы.
#1

Зарегистрируйте домен на свое имя

Регистрируйте домен только на настоящего владельца, то есть на вас. Кто владеет доменом, тот владеет интернет-магазином. Если передадите эту заботу наемному работнику или подрядчику, владельцем может оказаться другой человек или организация. Вы ничего не сможете сделать, если он решит продать домен или разместить на нём другой сайт вместо вашего.

Регистрируйте домен на физическое лицо (можно и на юридическое, но это больше подходит для крупных бизнесов). Выберите регистратора не по цене, а по надежности. Например, самые популярные российские регистраторы RU-CENTER и Reg.ru.

Чтобы купить хороший домен и не попасться в руки мошенникам, следуйте советам:
1
Если возможно, регистрируйте сразу несколько имен: в разных зонах, с опечатками и дефисами (например, вместе с доменом toyshop.ru можно зарегистрировать toyshop.com, toishop.ru, toy-shop.ru). Так вы не потеряете клиентов, которые набирают домен с ошибкой, и не попадетесь киберсквоттерам. Эти люди скупают домены с названиями известных марок или похожие на них имена, чтобы потом перепродать владельцу марки или заполучить «промахнувшихся» посетителей и за счёт показа рекламы заработать денег.
2
Проверьте историю домена. Может оказаться, что на вашем домене был сайт для продажи ссылок, и Яндекс его забанил. После такого продвинуть интернет-магазин будет сложно. Поэтому лучше покупать «чистые» доменные имена, без какой-либо истории. Так вы сведёте риски к минимуму.

Для проверки используйте бесплатный сервис whoishistory.ru. Введите адрес и нажмите «Найти». Сервис выдаст список всех предыдущих владельцев домена, если они были.
Анализ истории домена в сервисе whoishistory
Информацию по любому домену (в зоне RU) за много лет выдаёт сервис whoishistory.ru
Проверить домен на бан и попадание под фильтры можно с помощью сервисов xtool.ru или pr-cy.ru.
Дата последней актуальной проверки сайта на фильтры Яндекса Проверка на фильтры сервисом pr-cy.ru
3
Опасайтесь слишком дешевых доменов. Обычная цена около 180-200 рублей для зоны RU, 300-900 для зоны COM. Но можно найти предложения по регистрации доменов за 100 рублей. Это не значит, что этот домен хуже. Просто при покупке вы можете столкнуться с отсутствием поддержки, не получите бухгалтерских документов, некому будет выставить претензию. Но этих издержек может и не быть.

Перед покупкой рекомендуем поискать отзывы о сервисе. Посмотрите whois домена регистратора — там можно увидеть владельца домена, дату регистрации домена. Обратите внимание на наличие SSL-сертификата, юридического лица, почтового адреса, телефонов на сайте, договора-оферты. У серьёзного сервиса они, скорее всего, будут.
Запомните свой логин и пароль или добавьте их в специальную программу для запоминания паролей (про неё расскажем ниже). Эти данные понадобятся для продления подписки.

Домен уже зарегистрирован не на вас? Не всё потеряно. Его можно перерегистрировать:

#2

Зарегистрируйте хостинг на свое имя

Сайт — это набор связанных друг с другом файлов. Чтобы сайт могли видеть все пользователи интернета, этот набор файлов должен хранится на хостинге — сервере, на котором установлено специальное программное обеспечение. Место на хостинге нужно покупать.

Хостинг нужен не всем. Владельцам магазинов на Эквиде, Wix, Tilda, uKit и других облачных сервисах он не понадобится.

Но если ваш магазин, например, на WordPress.org, Drupal, Joomla или разработан с нуля самостоятельно, хостинг вам нужен. Он, как и домен, должен быть зарегистрирован на вас. Иначе другой владелец сможет разместить на вашем сайте любую информацию (например, поставить рекламный баннер) или удалить сайт.

Выбирайте популярные хостинги с хорошей репутацией. Пользуйтесь Reg.ru, RU-CENTER, GoDaddy или выбирайте из подборки.
#3

Поменяйте пароль на надежный

Подходящий пароль должен содержать больше 6 знаков, среди которых буквы, цифры и символы (например, «?», «@», «_», «$»). Буквы рекомендуется использовать строчные и заглавные вперемежку.

Вот рецепт создания надежного пароля: возьмите случайную фразу или слово и добавьте в начало, конец или середину цифры и символы (например, v76o@ron?a). Такой пароль угадать или подобрать непросто.

Что в пароле использовать нельзя:
  • Наборы символов, расположенные на клавиатуре один за другим (654321, qwerty, 1q2w3e и подобные).
  • Личные данные (имя или фамилию, номер паспорта, водительских прав или страхового свидетельства).

Чтобы сэкономить время, используйте сервисы генерации паролей, например Passgen.ru или LastPass Password Generator.
Онлайн генератор паролей, чтобы защитить свой сайт от взлома
Выбирайте все опции, чтобы пароль был максимально надежным
Придумайте разные пароли для всех сервисов, которыми пользуетесь (почта, панель управления магазина, хостинга, домена и других). Один пароль для всех аккаунтов использовать опасно. Если хакер завладеет вашим паролем от одного сервиса, легко зайдёт во все остальные.

Меняйте пароль регулярно, в идеале — раз в месяц. Поставьте в календаре напоминание об этом, чтобы не забыть.
#4

Контролируйте доступ сотрудников

Не давайте сотруднику свой логин и пароль, а создайте гостевой, если сервис это позволяет. Например, в сайте на WordPress предусмотрено 5 ролей. Если вы дадите сотруднику роль редактора, он сможет только добавлять новые страницы, но в настройках сайта ничего изменить не сможет.
Настройка ролей для WordPress
В Wordpress можно использовать роли, данные по умолчанию, или добавить свои
Поменяйте пароли, если давали доступ к магазину, хостингу или домену подрядчику или недавно уволенному работнику.

Если пароль просит кто-то, представившийся сотрудником технической поддержки или администратором хостинга, ни в коем случае не давайте. Тут как с кредитной картой — сотрудник банка никогда не попросит ваш пин-код, это могут сделать только злоумышленники.
#5

Установите программу для хранения паролей

Надежные длинные пароли из разных символов — это правильно. Но запомнить их все невозможно. Сохранять пароли в файле на компьютере небезопасно, их могут украсть вирусы. Хранить на бумаге — тоже плохой вариант. Листок может потеряться или испортиться от влаги.

Решение — программы для хранения паролей:

Самый надежный менеджер паролей. Сервис платный — от 2,99$ в месяц (около 174 рублей) при оплате за год. Есть бесплатный тестовый период 30 дней.

Этот сервис дешевле и тоже вполне надежный. Стоимость — от 2$ в месяц (около 116 рублей) или 24$ в год (1392 рубля). Бесплатный тестовый период 30 дней.

Работает менеджер паролей так:
1
Вы придумываете сложный пароль от аккаунта — мастер-пароль. Только его вам нужно помнить.
2
Все остальные пароли и логины хранятся в менеджере. Они автоматически подставляются в поля ввода, когда вы заходите в сервис. При этом пароли для админок, почты и всего остального можно не придумывать — 1Password и LastPass сгенерируют уникальные пароли для каждого вашего сервиса, если вам самим этим заниматься не хочется.
Генерация уникального пароля в менеджере LastPass
При регистрации на новом сайте LastPass предлагает создать пароль за вас
#6

Настройте двухфакторную авторизацию в соцсетях и почте

Даже если пароль украдут, свой аккаунт можно защитить с помощью двухфакторной авторизации. Настройте её везде, где возможно.

При настройке вы привязываете к аккаунту свой номер телефона. При заходе в сервис, кроме логина и пароля, потребуется ввести код из СМС или одноразовый код из специального приложения на смартфоне (также привязывается к вашему аккаунту в сервисе). Кроме вас этот код никто не получит, а значит и войти в аккаунт не сможет.
Настройка двухэтапной аутентификации сайта
Перед входом в свой сервис Google запрашивает одноразовый код из приложения на смартфоне
У популярных почтовых сервисов и соцсетей двухфакторная авторизация есть, вот инструкции для настройки:


Пренебрегать этим способом защиты рискованно. Если хакер узнает ваш пароль от почты, то сможет изменить пароли от других аккаунтов — админки магазина, хостинга, домена — и вы ничего не сможете сделать.
#7

Заходите в аккаунты только со своего компьютера

Старайтесь не заходить в свои аккаунты с чужих компьютеров, особенно общедоступных в интернет-кафе или коворкингах. Если вы будете недостаточно осторожны, вашим логином и паролем может воспользоваться посторонний и войти в аккаунт.

Если приходится работать с чужих компьютеров:

  • Пользуйтесь браузером в режиме инкогнито.
  • Отказывайтесь, когда браузер предлагает сохранить пароль.
  • По окончании работы выйдите из своего аккаунта.
  • По окончании работы в браузере очистите кеш и cookie, чтобы стереть историю ваших посещений за время пользования компьютером.
#8

Установите самые новые версии программ

В каждой новой версии разработчики устраняют уязвимости и делают программы надежнее и безопаснее. То же касается браузеров и операционных систем. Программа обычно сама «просит» установить обновление или делает это автоматически.

Проверьте, обновились ли вы до последней версии. Если нет, сделайте это поскорее.

Обновления браузеров:

Обновления операционных систем смартфона и планшета:

Обновления операционных систем компьютера или ноутбука:

Обновление магазина

Магазины, построенные с помощью облачных конструкторов, обновляются автоматически без вашего участия. Это забота самого сервиса.

Магазин на CMS (например, WordPress.org), которые требуют хостинга, нужно обновлять. Следите за выходом обновлений и устанавливайте их как можно раньше. Кроме этого при обнаружении уязвимостей разработчики программ публикуют дополнительное средство — патчи безопасности. Это обновления в программном обеспечении, их применяют для исправления проблем.

Неважно, для какой программы вы хотите установить патч, это всегда делается примерно одинаково:
1
Проверьте, установлена ли у вас самая последняя версия обновления ПО. Например, в WordPress эта информация указана в пункте меню «Обновления»:
Как проверить версию сайта
Либо поищите версию программы в меню «О программе».

О последних обновлениях также можно узнать на официальном сайте производителя программы в разделе «Обновления», «Релизы», Downloads.
2
Если последнее обновление не установлено, загрузите его на компьютер, распакуйте, если оно заархивировано, и запустите. На экране появится окно, в котором нужно нажать «Далее». Если мастер установки спрашивает вас о местонахождении программы, то нажмите «Обзор» и выберите папку, где находится файл программы с расширением exe.
3
Следуя подсказкам мастера установки. В конце нажмите «Готово».
4
После установки компьютер предложит перезагрузиться. Если нет, то все равно перезагрузите его сами.
5
После перезагрузке откройте программу и убедитесь, что обновление установлено. В разделе «О программе» должен измениться номер версии.

#9

Используйте HTTPS протокол

Протокол HTTPS — это правила, по которым в интернете передаются все данные от устройства к устройству. Вся информация передаётся в зашифрованном виде (в отличие от протокола HTTP, который данные не шифрует).

Настройка HTTPS протокола защищает пользователей от кражи персональной информации и платежных данных (имя, реквизиты банковских карт, адрес, телефон). Поэтому каждый интернет-магазин обязан его использовать.
Как узнать, работает сайт на HTTPS
Так в Google Chrome и Firefox отмечены сайты, работающие по протоколу HTTPS
Читайте инструкцию, как безопасно перейти на протокол HTTPS, и не откладывайте это дело.Но на владельцах интернет-магазинов особая ответственность: им доверяют личные данные тысячи людей.

Чтобы не подвести покупателей и защитить сайт от большинства злоумышленников, используйте наши советы.
#10

Регулярно делайте бэкапы магазина

Резервная копия (бэкап) — это полная копия вашего сайта, хранящаяся на случай поломки, взлома или потери информации основного сайта. Если копия есть, то сайт можно будет восстановить и почистить от вредных кусков кода, оставленных хакерами.

Делать резервное копирование нужно раз в месяц и только магазинам, которые хранятся на собственном хостинге. Часто хостинги делают бекапы автоматически (например, крупные хостинги Reg.ru, RU-CENTER, GoDaddy), уточните этот вопрос у своего сервиса.

Если ваш хостинг не делает бекапы, вот инструкции для популярных платформ:

Чтобы защитить интернет-магазин от злоумышленников и сохранить данные клиентов в безопасности:
1
Регистрируйте домен только на своё имя. Выберите регистратора не по цене, а по надежности (например, RU-CENTER или Reg.ru). Если доверили регистрацию домена подрядчику, после посмотрите whois домена — владельцем должны быть указаны вы.
2
Хостинг регистрируйте также на своё имя. Выбирайте хостинг, у которого есть услуга резервного копирования.
3
Придумайте надежный пароль для каждого сервиса и программы, которыми пользуетесь. Используйте генераторы паролей.
4
Не давайте сотрудникам свои логин и пароль для входа в админку магазина. Предоставьте им гостевой доступ, если есть такая возможность.
5
Для хранения паролей установите специальную программу.
6
Настройте двухфакторную авторизацию в соцсетях и почте. Тогда злоумышленники не смогут войти в аккаунт, даже если узнают ваш логин и пароль.
7
Старайтесь не заходить в админку магазина и почту с чужих компьютеров. Если приходится, не ставьте галочку «Сохранить пароль» и выходите из своего аккаунта после окончания работы.
8
Устанавливайте самые новые версии программ и операционных систем. Не отказывайтесь, если программа предлагает обновление.
9
Настройте HTTPS протокол для защиты пользователей от кражи персональной информации и платежных данных.
10
Если ваш хостинг не делает резервные копии сайта, делайте их самостоятельно после каждого обновления сайта (если обновления частые, то раз в неделю).
Половина наших советов не пригодится, если ваш интернет-магазин создан с помощью надежного облачного конструктора (Эквид именно такой).

Оцените статью по 5-бальной шкале

3.75 из 5 на основе 4 оценок
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.

Поделитесь статьей с вашими друзьями

Войти Регистрация

Вы исчерпали лимит запросов.

Или email
Забыли пароль?
Или email
Back To Login

Не волнуйтесь! Напишите свой электронный адрес и мы пришлем вам новый пароль.

Вы уверены?

Awesome!

To complete your registration you need to enter your phone number

Назад

Мы отправили код подтверждения на ваш номер телефона

Your phone Resend code Осталось запросов

Что-то пошло не так.

Свяжитесь с нашей службой поддержки
Или подтвердите регистрацию с помощью Телеграм бота Перейдите по этой ссылке
Выберите один из проектов

Знакомство с сервисом

Ознакомьтесь с основными возможностями Serpstat удобным способом!

Отправьте заявку для ознакомления с сервисом и мы свяжемся с вами в кратчайшие сроки. Наш специалист предложит подходящий вариант, который может включать персональную демонстрацию, пробный период, материалы для обучения и повышения экспертизы, личную консультацию, а также комфортные условия для начала работы с Serpstat.

Имя

Email

Телефон

Будем рады вашему комментарию
Увеличить лимиты

Улучшить тариф

Экспорт недоступен для вашего тарифного плана. Вам необходимо улучшить свой тариф до Lite или выше, чтобы получить доступ к инструменту Подробнее

Зарегистрироваться

Спасибо, мы с вами свяжемся в ближайшее время

Пригласить
Просмотр Редактирование

E-mail
Сообщение
необязательно
E-mail
Сообщение
необязательно

У вас закончились лимиты

Вы достигли лимита на количество созданных проектов и больше не можете создавать новые проекты. Увеличьте лимиты или удалите существующие проекты.

Я хочу больше лимитов