Как защитить интернет-магазин от хакеров: 10 обязательных шагов
Но на владельцах интернет-магазинов особая ответственность: им доверяют личные данные тысячи людей.
Чтобы не подвести покупателей и защитить сайт от большинства злоумышленников, используйте наши советы.
Чтобы не подвести покупателей и защитить сайт от большинства злоумышленников, используйте наши советы.
#1
Зарегистрируйте домен на свое имя
Регистрируйте домен только на настоящего владельца, то есть на вас. Кто владеет доменом, тот владеет интернет-магазином. Если передадите эту заботу наемному работнику или подрядчику, владельцем может оказаться другой человек или организация. Вы ничего не сможете сделать, если он решит продать домен или разместить на нём другой сайт вместо вашего.
Регистрируйте домен на физическое лицо (можно и на юридическое, но это больше подходит для крупных бизнесов). Выберите регистратора не по цене, а по надежности. Например, самые популярные российские регистраторы RU-CENTER и Reg.ru.
Чтобы купить хороший домен и не попасться в руки мошенникам, следуйте советам:
Регистрируйте домен на физическое лицо (можно и на юридическое, но это больше подходит для крупных бизнесов). Выберите регистратора не по цене, а по надежности. Например, самые популярные российские регистраторы RU-CENTER и Reg.ru.
Чтобы купить хороший домен и не попасться в руки мошенникам, следуйте советам:
1
Если возможно, регистрируйте сразу несколько имен: в разных зонах, с опечатками и дефисами (например, вместе с доменом toyshop.ru можно зарегистрировать toyshop.com, toishop.ru, toy-shop.ru). Так вы не потеряете клиентов, которые набирают домен с ошибкой, и не попадетесь киберсквоттерам. Эти люди скупают домены с названиями известных марок или похожие на них имена, чтобы потом перепродать владельцу марки или заполучить «промахнувшихся» посетителей и за счёт показа рекламы заработать денег.
2
Проверьте историю домена. Может оказаться, что на вашем домене был сайт для продажи ссылок, и Яндекс его забанил. После такого продвинуть интернет-магазин будет сложно. Поэтому лучше покупать «чистые» доменные имена, без какой-либо истории. Так вы сведёте риски к минимуму.
Для проверки используйте бесплатный сервис whoishistory.ru. Введите адрес и нажмите «Найти». Сервис выдаст список всех предыдущих владельцев домена, если они были.
Для проверки используйте бесплатный сервис whoishistory.ru. Введите адрес и нажмите «Найти». Сервис выдаст список всех предыдущих владельцев домена, если они были.
Информацию по любому домену (в зоне RU) за много лет выдаёт сервис whoishistory.ru
 |  |
3
Опасайтесь слишком дешевых доменов. Обычная цена около 180-200 рублей для зоны RU, 300-900 для зоны COM. Но можно найти предложения по регистрации доменов за 100 рублей. Это не значит, что этот домен хуже. Просто при покупке вы можете столкнуться с отсутствием поддержки, не получите бухгалтерских документов, некому будет выставить претензию. Но этих издержек может и не быть.
Перед покупкой рекомендуем поискать отзывы о сервисе. Посмотрите whois домена регистратора — там можно увидеть владельца домена, дату регистрации домена. Обратите внимание на наличие SSL-сертификата, юридического лица, почтового адреса, телефонов на сайте, договора-оферты. У серьёзного сервиса они, скорее всего, будут.
Перед покупкой рекомендуем поискать отзывы о сервисе. Посмотрите whois домена регистратора — там можно увидеть владельца домена, дату регистрации домена. Обратите внимание на наличие SSL-сертификата, юридического лица, почтового адреса, телефонов на сайте, договора-оферты. У серьёзного сервиса они, скорее всего, будут.
#2
Зарегистрируйте хостинг на свое имя
Сайт — это набор связанных друг с другом файлов. Чтобы сайт могли видеть все пользователи интернета, этот набор файлов должен хранится на хостинге — сервере, на котором установлено специальное программное обеспечение. Место на хостинге нужно покупать.
Хостинг нужен не всем. Владельцам магазинов на Эквиде, Wix, Tilda, uKit и других облачных сервисах он не понадобится.
Но если ваш магазин, например, на WordPress.org, Drupal, Joomla или разработан с нуля самостоятельно, хостинг вам нужен. Он, как и домен, должен быть зарегистрирован на вас. Иначе другой владелец сможет разместить на вашем сайте любую информацию (например, поставить рекламный баннер) или удалить сайт.
Выбирайте популярные хостинги с хорошей репутацией. Пользуйтесь Reg.ru, RU-CENTER, GoDaddy или выбирайте из подборки.
Хостинг нужен не всем. Владельцам магазинов на Эквиде, Wix, Tilda, uKit и других облачных сервисах он не понадобится.
Но если ваш магазин, например, на WordPress.org, Drupal, Joomla или разработан с нуля самостоятельно, хостинг вам нужен. Он, как и домен, должен быть зарегистрирован на вас. Иначе другой владелец сможет разместить на вашем сайте любую информацию (например, поставить рекламный баннер) или удалить сайт.
Выбирайте популярные хостинги с хорошей репутацией. Пользуйтесь Reg.ru, RU-CENTER, GoDaddy или выбирайте из подборки.
#3
Поменяйте пароль на надежный
Подходящий пароль должен содержать больше 6 знаков, среди которых буквы, цифры и символы (например, «?», «@», «_», «$»). Буквы рекомендуется использовать строчные и заглавные вперемежку.
Вот рецепт создания надежного пароля: возьмите случайную фразу или слово и добавьте в начало, конец или середину цифры и символы (например, v76o@ron?a). Такой пароль угадать или подобрать непросто.
Что в пароле использовать нельзя:
Чтобы сэкономить время, используйте сервисы генерации паролей, например Passgen.ru или LastPass Password Generator.
Вот рецепт создания надежного пароля: возьмите случайную фразу или слово и добавьте в начало, конец или середину цифры и символы (например, v76o@ron?a). Такой пароль угадать или подобрать непросто.
Что в пароле использовать нельзя:
- Наборы символов, расположенные на клавиатуре один за другим (654321, qwerty, 1q2w3e и подобные).
- Личные данные (имя или фамилию, номер паспорта, водительских прав или страхового свидетельства).
Чтобы сэкономить время, используйте сервисы генерации паролей, например Passgen.ru или LastPass Password Generator.
Выбирайте все опции, чтобы пароль был максимально надежным
Придумайте разные пароли для всех сервисов, которыми пользуетесь (почта, панель управления магазина, хостинга, домена и других). Один пароль для всех аккаунтов использовать опасно. Если хакер завладеет вашим паролем от одного сервиса, легко зайдёт во все остальные.
Меняйте пароль регулярно, в идеале — раз в месяц. Поставьте в календаре напоминание об этом, чтобы не забыть.
Меняйте пароль регулярно, в идеале — раз в месяц. Поставьте в календаре напоминание об этом, чтобы не забыть.
#4
Контролируйте доступ сотрудников
В Wordpress можно использовать роли, данные по умолчанию, или добавить свои
Поменяйте пароли, если давали доступ к магазину, хостингу или домену подрядчику или недавно уволенному работнику.
Если пароль просит кто-то, представившийся сотрудником технической поддержки или администратором хостинга, ни в коем случае не давайте. Тут как с кредитной картой — сотрудник банка никогда не попросит ваш пин-код, это могут сделать только злоумышленники.
Если пароль просит кто-то, представившийся сотрудником технической поддержки или администратором хостинга, ни в коем случае не давайте. Тут как с кредитной картой — сотрудник банка никогда не попросит ваш пин-код, это могут сделать только злоумышленники.
#5
Установите программу для хранения паролей
Надежные длинные пароли из разных символов — это правильно. Но запомнить их все невозможно. Сохранять пароли в файле на компьютере небезопасно, их могут украсть вирусы. Хранить на бумаге — тоже плохой вариант. Листок может потеряться или испортиться от влаги.
Решение — программы для хранения паролей:
Самый надежный менеджер паролей. Сервис платный — от 2,99$ в месяц (около 174 рублей) при оплате за год. Есть бесплатный тестовый период 30 дней.
Этот сервис дешевле и тоже вполне надежный. Стоимость — от 2$ в месяц (около 116 рублей) или 24$ в год (1392 рубля). Бесплатный тестовый период 30 дней.
Работает менеджер паролей так:
Решение — программы для хранения паролей:
Самый надежный менеджер паролей. Сервис платный — от 2,99$ в месяц (около 174 рублей) при оплате за год. Есть бесплатный тестовый период 30 дней.
Этот сервис дешевле и тоже вполне надежный. Стоимость — от 2$ в месяц (около 116 рублей) или 24$ в год (1392 рубля). Бесплатный тестовый период 30 дней.
Работает менеджер паролей так:
1
Вы придумываете сложный пароль от аккаунта — мастер-пароль. Только его вам нужно помнить.
2
Все остальные пароли и логины хранятся в менеджере. Они автоматически подставляются в поля ввода, когда вы заходите в сервис. При этом пароли для админок, почты и всего остального можно не придумывать — 1Password и LastPass сгенерируют уникальные пароли для каждого вашего сервиса, если вам самим этим заниматься не хочется.
При регистрации на новом сайте LastPass предлагает создать пароль за вас
#6
Настройте двухфакторную авторизацию в соцсетях и почте
Даже если пароль украдут, свой аккаунт можно защитить с помощью двухфакторной авторизации. Настройте её везде, где возможно.
При настройке вы привязываете к аккаунту свой номер телефона. При заходе в сервис, кроме логина и пароля, потребуется ввести код из СМС или одноразовый код из специального приложения на смартфоне (также привязывается к вашему аккаунту в сервисе). Кроме вас этот код никто не получит, а значит и войти в аккаунт не сможет.
При настройке вы привязываете к аккаунту свой номер телефона. При заходе в сервис, кроме логина и пароля, потребуется ввести код из СМС или одноразовый код из специального приложения на смартфоне (также привязывается к вашему аккаунту в сервисе). Кроме вас этот код никто не получит, а значит и войти в аккаунт не сможет.
Перед входом в свой сервис Google запрашивает одноразовый код из приложения на смартфоне
У популярных почтовых сервисов и соцсетей двухфакторная авторизация есть, вот инструкции для настройки:
Пренебрегать этим способом защиты рискованно. Если хакер узнает ваш пароль от почты, то сможет изменить пароли от других аккаунтов — админки магазина, хостинга, домена — и вы ничего не сможете сделать.
Пренебрегать этим способом защиты рискованно. Если хакер узнает ваш пароль от почты, то сможет изменить пароли от других аккаунтов — админки магазина, хостинга, домена — и вы ничего не сможете сделать.
#7
Заходите в аккаунты только со своего компьютера
Старайтесь не заходить в свои аккаунты с чужих компьютеров, особенно общедоступных в интернет-кафе или коворкингах. Если вы будете недостаточно осторожны, вашим логином и паролем может воспользоваться посторонний и войти в аккаунт.
Если приходится работать с чужих компьютеров:
Если приходится работать с чужих компьютеров:
#8
Установите самые новые версии программ
В каждой новой версии разработчики устраняют уязвимости и делают программы надежнее и безопаснее. То же касается браузеров и операционных систем. Программа обычно сама «просит» установить обновление или делает это автоматически.
Проверьте, обновились ли вы до последней версии. Если нет, сделайте это поскорее.
Обновления браузеров:
Обновления операционных систем смартфона и планшета:
Обновления операционных систем компьютера или ноутбука:
Обновление магазина
Магазины, построенные с помощью облачных конструкторов, обновляются автоматически без вашего участия. Это забота самого сервиса.
Магазин на CMS (например, WordPress.org), которые требуют хостинга, нужно обновлять. Следите за выходом обновлений и устанавливайте их как можно раньше. Кроме этого при обнаружении уязвимостей разработчики программ публикуют дополнительное средство — патчи безопасности. Это обновления в программном обеспечении, их применяют для исправления проблем.
Неважно, для какой программы вы хотите установить патч, это всегда делается примерно одинаково:
Проверьте, обновились ли вы до последней версии. Если нет, сделайте это поскорее.
Обновления браузеров:
Обновления операционных систем смартфона и планшета:
Обновления операционных систем компьютера или ноутбука:
Обновление магазина
Магазины, построенные с помощью облачных конструкторов, обновляются автоматически без вашего участия. Это забота самого сервиса.
Магазин на CMS (например, WordPress.org), которые требуют хостинга, нужно обновлять. Следите за выходом обновлений и устанавливайте их как можно раньше. Кроме этого при обнаружении уязвимостей разработчики программ публикуют дополнительное средство — патчи безопасности. Это обновления в программном обеспечении, их применяют для исправления проблем.
Неважно, для какой программы вы хотите установить патч, это всегда делается примерно одинаково:
1
Проверьте, установлена ли у вас самая последняя версия обновления ПО. Например, в WordPress эта информация указана в пункте меню «Обновления»:
Либо поищите версию программы в меню «О программе».
О последних обновлениях также можно узнать на официальном сайте производителя программы в разделе «Обновления», «Релизы», Downloads.
О последних обновлениях также можно узнать на официальном сайте производителя программы в разделе «Обновления», «Релизы», Downloads.
2
Если последнее обновление не установлено, загрузите его на компьютер, распакуйте, если оно заархивировано, и запустите. На экране появится окно, в котором нужно нажать «Далее». Если мастер установки спрашивает вас о местонахождении программы, то нажмите «Обзор» и выберите папку, где находится файл программы с расширением exe.
3
Следуя подсказкам мастера установки. В конце нажмите «Готово».
4
После установки компьютер предложит перезагрузиться. Если нет, то все равно перезагрузите его сами.
5
После перезагрузке откройте программу и убедитесь, что обновление установлено. В разделе «О программе» должен измениться номер версии.
#9
Используйте HTTPS протокол
Протокол HTTPS — это правила, по которым в интернете передаются все данные от устройства к устройству. Вся информация передаётся в зашифрованном виде (в отличие от протокола HTTP, который данные не шифрует).
Настройка HTTPS протокола защищает пользователей от кражи персональной информации и платежных данных (имя, реквизиты банковских карт, адрес, телефон). Поэтому каждый интернет-магазин обязан его использовать.
Настройка HTTPS протокола защищает пользователей от кражи персональной информации и платежных данных (имя, реквизиты банковских карт, адрес, телефон). Поэтому каждый интернет-магазин обязан его использовать.
Так в Google Chrome и Firefox отмечены сайты, работающие по протоколу HTTPS
Читайте инструкцию, как безопасно перейти на протокол HTTPS, и не откладывайте это дело.Но на владельцах интернет-магазинов особая ответственность: им доверяют личные данные тысячи людей.
Чтобы не подвести покупателей и защитить сайт от большинства злоумышленников, используйте наши советы.
Чтобы не подвести покупателей и защитить сайт от большинства злоумышленников, используйте наши советы.
#10
Регулярно делайте бэкапы магазина
Резервная копия (бэкап) — это полная копия вашего сайта, хранящаяся на случай поломки, взлома или потери информации основного сайта. Если копия есть, то сайт можно будет восстановить и почистить от вредных кусков кода, оставленных хакерами.
Делать резервное копирование нужно раз в месяц и только магазинам, которые хранятся на собственном хостинге. Часто хостинги делают бекапы автоматически (например, крупные хостинги Reg.ru, RU-CENTER, GoDaddy), уточните этот вопрос у своего сервиса.
Если ваш хостинг не делает бекапы, вот инструкции для популярных платформ:
Делать резервное копирование нужно раз в месяц и только магазинам, которые хранятся на собственном хостинге. Часто хостинги делают бекапы автоматически (например, крупные хостинги Reg.ru, RU-CENTER, GoDaddy), уточните этот вопрос у своего сервиса.
Если ваш хостинг не делает бекапы, вот инструкции для популярных платформ:
Чтобы защитить интернет-магазин от злоумышленников и сохранить данные клиентов в безопасности:
2
Хостинг регистрируйте также на своё имя. Выбирайте хостинг, у которого есть услуга резервного копирования.
3
Придумайте надежный пароль для каждого сервиса и программы, которыми пользуетесь. Используйте генераторы паролей.
4
Не давайте сотрудникам свои логин и пароль для входа в админку магазина. Предоставьте им гостевой доступ, если есть такая возможность.
5
Для хранения паролей установите специальную программу.
6
Настройте двухфакторную авторизацию в соцсетях и почте. Тогда злоумышленники не смогут войти в аккаунт, даже если узнают ваш логин и пароль.
7
Старайтесь не заходить в админку магазина и почту с чужих компьютеров. Если приходится, не ставьте галочку «Сохранить пароль» и выходите из своего аккаунта после окончания работы.
8
Устанавливайте самые новые версии программ и операционных систем. Не отказывайтесь, если программа предлагает обновление.
9
Настройте HTTPS протокол для защиты пользователей от кражи персональной информации и платежных данных.
10
Если ваш хостинг не делает резервные копии сайта, делайте их самостоятельно после каждого обновления сайта (если обновления частые, то раз в неделю).
Половина наших советов не пригодится, если ваш интернет-магазин создан с помощью надежного облачного конструктора (Эквид именно такой).
Нашли ошибку? Выделите её и нажмите Ctrl + Enter, чтобы сообщить нам.
Используйте лучшие SEO инструменты
Анализа домена
Узнайте о сильных и слабых сторонах любого сайта используя анализ домена
Проверка индексации
Узнайте какие страницы сайта не участвуют в выдаче используя инструмент проверка индексации
Мониторинг позиций
Отслеживайте изменение ранжирования запросов используя мониторинг позиций ключей
Анализ конкурентов
Сделайте полный анализ сайтов конкурентов для SEO и PPC
Рекомендуемые статьи
Кейсы, лайфхаки, исследования и полезные статьи
Не успеваешь следить за новостями? Не беда! Наш любимый редактор подберет материалы, которые точно помогут в работе. Только полезные статьи, реальные кейсы и новости Serpstat раз в неделю. Присоединяйся к уютному комьюнити :)
Нажимая кнопку, ты соглашаешься с нашей политикой конфиденциальности.