Как повысить безопасность проекта на CS-Cart или CS-Cart Multi-Vendor¶

Как хостинг-провайдер, ориентированный на eCommerce, мы стремимся создать стабильную и безопасную среду для роста каждого проекта. Безопасность клиентов — наш главный приоритет. Мы постоянно анализируем лучшие отраслевые практики, исследуем новые угрозы и тестируем инфраструктуру, чтобы обеспечить максимальную защиту данных.

По нашему опыту, высокий уровень безопасности достигается при тесном сотрудничестве хостинг-провайдера и владельца проекта. Поэтому мы подготовили список из основных уязвимостей, которые могут быть использованы хакерами для нанесения вреда вашему бизнесу. Внимание со стороны владельцев бизнеса к этим пунктам значительно снизит вероятность взлома вашего интернет-магазина и кражи личных или финансовых данных.

• Разработка в рабочих (“production”) средах
• Раскрытие конфиденциальной информации
• Устаревшее ПО
• Открытые порты по умолчанию

Разработка на рабочем (“production”) сайте¶

DEV-сервер предназначен для сырых версий продукта, где ПО может содержать ошибки и уязвимости. Если на “dev”-проекте возникает проблема, это влияет на рабочий сайт, при условии, что они оба находятся на одном сервере. Кроме того, в процессе разработки часто остаются открытыми множество точек воздействия и конфиденциальных файлов.

• Недостаточное логирование и мониторинг в сочетании с отсутствующей или неэффективной интеграцией с реагированием на инциденты позволяют злоумышленникам продолжать атаки на системы, сохранять устойчивость, переходить к другим системам, а также изменять, извлекать или уничтожать данные. A10:2017-Insufficient Logging&Monitoring
• Ограничения на действия, разрешенные аутентифицированным пользователям, часто не соблюдаются должным образом. Злоумышленники могут использовать эти недостатки для доступа к несанкционированным функциям и/или данным, таким как доступ к учетным записям других пользователей, просмотр конфиденциальных файлов (например, sph-файлов), изменение данных других пользователей, прав доступа и т.д. A2:2017-Broken Authentication, A5:2017-Broken Access Control

A6:2017-Security Misconfiguration. Небезопасные конфигурации — самая распространенная проблема. Обычно это результат неполных или случайных настроек, открытого облачного хранилища, неправильно настроенных HTTP-заголовков и подробных сообщений об ошибках, содержащих конфиденциальную информацию. Необходимо не только безопасно настроить все ОС, фреймворки, библиотеки и приложения, но и своевременно обновлять их.

>> phpinfo.php, info.php, test.php, log.txt, error_log, etc.
>> config.local.php.{save,bck,log,lol,old}, backup.zip, old_store/, new_store, etc.
>> sph{1,2,3,4,l,lite}.php, admin.php, adminer.php, etc.

Вместо скрипта adminer мы рекомендуем использовать безопасную установку PHPMyAdmin.

Устаревшее ПО¶

Самые последние версии ПО всегда работают быстрее, безопаснее и стабильнее предыдущих. Обновите магазин или дополнения, чтобы защитить личные данные, повысить позиции в поиске и сократить количество потенциальных проблем. A9-Using Components with Known Vulnerabilities.

Открытые порты по умолчанию¶

Открытые порты могут раскрывать хакерам множество «полезной» информации. Также они могут быть использованы «авто-хакерами» (скрипт-кидди).

• FTP (21). FTP-серверы имеют множество уязвимостей, таких как передача учетных данных в открытом виде, обход каталогов и межсайтовый скриптинг, что делает порт 21 идеальной мишенью. Также поддерживается анонимная аутентификация.
• MySQL (3306). Удаленное подключение к базе данных — небезопасная функция.
• Redis (6379). Может использоваться для DDoS-атак.