1. Выбор сервера
Прежде всего, необходимо определиться с компанией, которой вы доверяете в плане надежности и безопасности. Выбор хостинг-провайдера, вида сервера должны решать основные бизнес-задачи в соответствии с техническим заданием для вашего проекта.
В первую очередь необходимо осуществить выбор типа хостинга среди: виртуального хостинга, VPS, VDS, Dedicated или даже разместить colocation сервер. Различия диктуются масштабом вашего проекта, однако нередко надежность оборудования и локации различаются в зависимости от провайдера.
Так, виртуальный хостинг и VPS содержит как правило собственное предустановленное ПО, на которое вы не сможете оказать влияние. VDS и выделенный сервер - обладает функциями самостоятельной настройки, однако подлежит виртуализации и соответствующего надуровневого управления. Colocation представляет собой максимальную надежность, т.к. полностью используется ваше «железо» и программное обеспечение.
2. Используйте защищённую CMS
Все платформы имеют свои сильные и слабые стороны, но некоторые из них более безопасны, чем другие, или имеют плагины, которые могут сделать их надёжными.
Например, Magento — это CMS, специально разработанная для интернет-магазинов, с функциями безопасности, созданными с учётом потребностей таких ресурсов.
В свою очередь, WordPress, ведущая в мире CMS, имеет множество плагинов, которые вы можете использовать для обеспечения безопасности сайта, в том числе хорошо зарекомендовавшие себя и уважаемые Wordfence и Sucuri.
Эти средства защиты могут защитить ваш сайт от ряда угроз, включая заражение вредоносными программами, взломы баз данных SQL, атаки типа «отказ в обслуживании», межсайтовые сценарии и т. д.
3. Убедитесь, что вы защищены от вредоносного ПО
Большинство сервисов хостинга предлагают услуги по сканированию вредоносных программ. Это ПО обнаруживает и предотвращает установку различных вредоносных программ, которые могут заразить ваши файлы.
Использование надёжного антивируса может помешать этим скрытым программам выполнять свои вредоносные действия, такие как похищение ваших данных, заражение компьютеров ваших пользователей и т. д. В идеале выберите службу, которая сразу же уведомит вас об обнаружении потенциальных угроз.
4. Установите SSL-сертификаты
SSL необходим для интернет-магазинов, так как большинство платёжных шлюзов не позволят вам проводить финансовые транзакции на вашем сайте без этого сертификата. По сути, подключение SSL позволяет шифровать финансовые данные, когда они отправляются из браузера клиента на ваш сервер, что предотвращает их кражу в процессе оформления заказа.
При установленном сертификате SSL ваш веб-адрес меняется с HTTP на HTTPS (S означает Secure), что это позволяет поисковым системам помещать зелёный значок замка в браузере пользователей. Это увеличивает вероятность того, что люди будут доверять сайту и совершать покупки. Это также повысит ваши шансы на продвижение по ключевым запросам.
5. Не собирайте «лишние» данные клиентов
Данные пользователей ценны для хакеров, поскольку они используют их для кражи денег у людей или продажи в даркнете другим преступникам. Если вы собираете данные о клиентах, это означает, что вы являетесь потенциальной мишенью для киберпреступников.
Однако ни один хакер не может получить информацию, если у вас её нет. Поэтому первое правило управления данными о клиентах — собирать только ту информацию, которая вам действительно нужна. Если эти данные могут быть получены анонимно, то их нельзя будет связать с отдельными пользователями, что ещё лучше.
Шифрование данных (например, с помощью упомянутых выше сертификатов SSL) также делает сайты более безопасными. Наконец, подумайте, где вы храните личные данные покупателей. Если они хранятся вместе с другими файлами вашего веб-сайта, они более уязвимы, чем если держать их, например, в том же месте, где и удалённые резервные копии.
6. Установите надёжные пароли или используйте двухэтапную аутентификацию
Хотя использование надёжных паролей может быть затруднительным, а двухэтапная аутентификация увеличивает время входа в систему, оба подхода значительно снижают вероятность того, что вы, сотрудники или клиенты попадёте в поле зрения киберпреступников.
Поскольку современные компьютеры и телефоны могут надёжно хранить пароли любой сложности, на самом деле нет оправдания тому, чтобы не использовать эти меры предосторожности.
7. Обучите своих сотрудников правилам безопасности
Иногда сотрудники компаний, сами того не желая, становятся основной причиной нарушений кибербезопасности. Использование слабых паролей, переход по ссылкам в заражённых электронных письмах и отправка ценной информации на поддельные адреса email, которые якобы принадлежат руководству, — всё это распространённые схемы, используемые злоумышленниками.
Одно из самых простых решений — обучить ваших сотрудников, чтобы они знали, в чём заключаются возможные угрозы и как себя обезопасить.
8. Используйте только проверенные плагины и темы
Существуют десятки тысяч тем и плагинов, доступных для различных платформ CMS. Их можно найти на множестве онлайн-источников. Однако не все из них гарантированно безопасны. Преступной организации не потребуется много времени, чтобы разработать тему или плагин со встроенным вирусом или шпионским ПО и сделать его доступным на стороннем веб-сайте под видом законного программного обеспечения. Действительно, такая тема или плагин могут отлично работать, даже если вы не подозреваете, что они несут в себе угрозы.
Чтобы защитить себя, всегда используйте программное обеспечение только из надёжных источников и от проверенного разработчика. Самое безопасное место — это веб-сайт самой CMS, например, установка темы прямо из репозитория WordPress. Это не значит, что не существует сторонних разработчиков с хорошей репутацией. Просто нужно быть осторожным.
9. Отслеживайте активность сайта на предмет угроз
Мониторинг веб-сайта может выявить потенциальные угрозы и помочь вам предотвратить атаки. Он может, например, сказать вам, если кто-то делает слишком много неудачных попыток входа в систему, что является одним из главных признаков начала кибератаки. Кроме того, заподозрить неладное стоит в случае, если вы видите, что люди пытаются войти в систему из стран, которых вы не ожидаете, или используют подозрительные логины (например, Admin.) Мониторинг также может обнаружить первые признаки DDoS-атаки и остановить её прежде, чем ваш сайт будет отключён.
10. Не игнорируйте важные обновления ПО
Киберпреступники намеренно ищут в интернете сайты электронной коммерции, на которых установлено уязвимое программное обеспечение. К счастью, большинство разработчиков выпускают обновления или патчи, чтобы исправить уязвимости сразу, как только они обнаружены. Любой сайт, который использует автоматические обновления или обновляется вручную, сразу же улучшает свои функции безопасности после установки новой версии ПО. Именно те ресурсы, которые откладывают обновление, становятся главными мишенями для атак. По сути, это ничем не отличается от того, чтобы оставить магазин незапертым на ночь, когда вы знаете, что в этом районе работает грабитель.
11. Используйте удалённое резервное копирование
60% компаний, подвергшихся кибератакам, разоряются в течение 6 месяцев. Для многих причина гибели в том, что восстановление занимает слишком много времени. Потеря файлов, контента, данных о клиентах и заказах на сайте означает, что на то, чтобы снова подключиться к сети, потребуются месяцы работы. Увы, к этому моменту компания часто больше не является жизнеспособной.
Проще говоря, если делать регулярные актуальные резервные копии и хранить их удалённо, таких катастроф не должно происходить. Даже если ваш сайт из строя в результате кибератаки или по любой другой причине, его можно будет очень быстро восстановить, и ваш бизнес сможет вернуться к работе в кратчайшие сроки.
