Как защитить свой магазин от взлома: 9 простых советов для сайтов на CS-Cart

Электронная коммерция предъявляет высокие требования в отношении безопасности веб-сайтов и всех конфиденциальных данных, получаемых и обрабатываемых в процессе оформления заказа. Большинство CMS, в том числе CS-Cart, надежно защищены по умолчанию, но, как и любое программное обеспечение, инструмент или решение, они полностью эффективны только при соответствующей настройке, мониторинге и интеграции с общей политикой безопасности, которая начинается с осознания того, что каждая уязвимость в проекте может быть обнаружена и использована для взлома и кражи данных.

Распространенными ошибками безопасности являются общий доступ к панели управления, один пароль для всех учетных записей, отсутствие политики обработки данных и обучения персонала цифровой гигиене и информационной безопасности. В этой статье мы собрали 9 советов по предотвращению наиболее распространенных угроз безопасности для сайтов на базе CS-Cart или Multi-Vendor.

1. Переименуйте адрес панели администратора

Для URL-адреса панели администратора мы рекомендуем использовать случайную и безопасную последовательность символов, например «CiFmHsKHSilw.php», полученную с помощью генератора паролей. Не используйте admin.php, secureadmin.php или подобные имена.

2. Установите SSL и настройте редирект на HTTPS

Secure Sockets Layer (SSL) — это протокол безопасности, который создает зашифрованное соединение между сервером компании и браузером пользователя. Он не позволяет злоумышленникам считывать или изменять информацию, передаваемую между двумя системами.

Если у сайта нет сертификата, браузер предупредит пользователя о «небезопасном соединении». Будет ли потенциальный покупатель доверять вашему магазину? Сомнительно. Если ваш провайдер не предоставляет SSL по умолчанию, вам придется приобрести его самостоятельно. Наше хостинг-решение для CS-Cart уже включает в себя бесплатный и автоматически обновляемый SSL-сертификат для защиты вашего проекта.

3. Используйте надежные пароли и двухфакторную аутентификацию

Всегда используйте только уникальные пароли для каждой создаваемой учетной записи. Убедитесь, что все пароли к вашему сайту, включая пароль администратора CS-Cart, безопасны.

Проверьте, надежны ли ваши пароли. Мы рекомендуем создавать комбинацию из верхнего и нижнего регистров, цифр и символов. Никогда не используйте один и тот же пароль для разных ресурсов.

Включите двухфакторную аутентификацию, чтобы предотвратить несанкционированный доступ к учетным записям панели администратора в вашем магазине. Методы двухфакторной аутентификации основаны на использовании пользователем не только пароля в качестве первого фактора защиты, но и другого токена безопасности либо биометрического фактора, такого как отпечаток пальца или сканирование лица.  На маркетплейсе CS-Cart вы сможете найти рекомендуемые модули для создания одноразовых кодов доступа или push-уведомлений.

4. Устанавливайте только безопасные модули и темы

Выбирая модуль или тему для CS-Cart, убедитесь, что они совместимы с вашей версией платформы. Разработчики модулей, представленных на официальном маркетплейсе, сертифицированы по стандартам CS-Cart. Сотрудники CS-Cart тестируют случайные дополнения и помечают их специальной меткой, а также следят за тем, чтобы размещенные отзывы исходили от реальных владельцев магазинов CS-Cart.

5. Обновите платформу CS-Cart, модули и темы

Регулярно обновляйте свой магазин, чтобы защитить личные данные, повысить производительность и уменьшить количество ошибок. Обновления, выпущенные разработчиками CS-Cart, модулей и тем включают патчи безопасности и новые фичи для повышения производительности.

Перед обновлением проекта не забудьте создать резервную копию, в идеале обновления нужно сначала тестировать на стейджинге (тестовой среде).

Выбирайте хостинг-провайдеров, которые предоставляют бесплатные ежедневные автоматические резервные копии и тестовые среды. Это обезопасит вас, если что-то пойдет не так в процессе обновления.

6. Скройте версии PHP, NGINX и Apache

Когда директива expose_php включена, заголовок ответа HTTP будет передавать версию PHP. Если вы не хотите транслировать конкретную версию PHP, которую использует ваш сайт, запретите веб-серверу отправлять обратно заголовок «X-Powered-By», установив expose_php = off в файле php.ini

Добавьте server_tokens в раздел «http» файла конфигурации NGINX.

Добавьте строки, содержащие «ServerTokens Prod» и «ServerSignature Off» в конце файла конфигурации Apache2.

7. Настройте твики в корневой папке вашего проекта

Твики — это настройки ПО, операционной системы и пользовательские настройки, хранящиеся в системном реестре.

Список настроек постоянно растет для лучшей производительности проектов. Их необходимо правильно настроить для большей безопасности. Мы рекомендуем установить для следующих настроек значение «true» в файле config.local.php.

  • API_https_only
  • api_allow_customer, если вы разрешаете действия неавторизованным клиентам
  • secure_cookies

Не забудьте настроить cors_allowlist и csp_frame_ancestors.

8. Удалите конфиденциальные файлы

Удалите такие файлы как temp_dump.sql, error_log, test.php. Все они могут помочь злоумышленникам получить больше информации о вашем проекте. Попросите своего разработчика, системного администратора или хостинг-провайдера проверить следующие типы файлов:

9. Проведите аудит безопасности

При релизе каждой новой версии CS-Cart и Multi-Vendor, начиная с версии 4.12.0, совместно с нашим партнером по инфраструктуре и информационной безопасности ASAP Lab мы проводим SAST и DAST тестирования для выявления распространенных уязвимостей и рисков проникновения в ядро ​​CS-Cart и штатные модули.

Для проектов с многочисленными модификациями, интеграциями и сторонними модулями мы рекомендуем проводить регулярные расширенные аудиты безопасности. Ошибка в любой программе или инструменте может потенциально привести к компрометации конфиденциальных данных проекта. По результатам аудита безопасности вы получите подробный отчет о состоянии вашего проекта, список выявленных уязвимостей, а также рекомендации по их устранению и предотвращению кибератак для снижения рисков безопасности.

Если вы столкнулись с любым признаками кибератаки, не откладывайте консультацию у специалистов по ИТ-безопасности. Серьезно относитесь к безопасности своих проектов и наслаждайтесь круглосуточной доступностью ваших магазинов CS-Cart и Multi-Vendor для увеличения продаж, повышения деловой репутации и лояльности клиентов.


Роман Ананьев
CEO ASAP Lab
Хостинг для бизнеса, кастомные инфраструктурные и серверные услуги

Ян Кулаков
eCommerce-эксперт CS-Cart

Ян — руководитель отдела контент-маркетинга в CS-Cart с опытом работы более 10 лет в электронной коммерции. Он умеет объяснять сложные вещи простыми словами и разбирается в создании, управлении и развитии маркетплейсов. Ян увлекается обучением людей лучшим практикам, новым технологиям и трендам в eCommerce.