W ciągu ostatnich 12 miesięcy pomogliśmy trzem klientom wyjść z włamania na sklep. W każdym przypadku można było go uniknąć prostymi działaniami. Oto lista kontrolna, którą warto przejść niezależnie od tego, na jakiej platformie stoi Twój sklep.
1. Aktualizacje
Najstarsza zasada bezpieczeństwa. Atakujący skanują internet w poszukiwaniu znanych luk - jeśli używasz starej wersji PrestaShop, WooCommerce czy jakiegokolwiek innego systemu, jesteś łatwym celem.
Sprawdź wersję swojej platformy i zainstalowanych modułów. Jeśli nie aktualizowałeś ich od ponad roku - zacznij od tego.
2. Silne hasła i 2FA
Hasło do panelu admina: minimum 16 znaków, losowa mieszanka liter i cyfr. Nie "Admin2024!". Nie nazwa firmy z cyfrą.
Dodaj uwierzytelnienie dwuskładnikowe (2FA) do panelu - większość platform e-commerce ma to wbudowane lub jako moduł.
3. Zmień domyślny URL admina
PrestaShop domyślnie umieszcza panel pod /admin. Zmień to na inną ścieżkę. Brzmi jak mała rzecz, ale eliminuje automatyczne skanowanie.
4. SSL wszędzie
Cały sklep powinien działać przez HTTPS - nie tylko strony płatności. Sprawdź, czy nie ma mieszanych zasobów (HTTP na stronie HTTPS) - blokują je przeglądarki i psują wygląd.
5. Kopie zapasowe
Backup nie jest elementem bezpieczeństwa - jest elementem odtwarzania po incydencie. Ale bez backupu, incydent bezpieczeństwa staje się katastrofą.
Sprawdź trzy rzeczy: czy backup jest robiony, jak dawno temu ostatnio go przywróciłeś testowo, i czy backup jest przechowywany poza serwerem sklepu.
6. Uprawnienia plików
Na serwerze pliki konfiguracyjne (np. config/settings.inc.php w PrestaShop) nie powinny mieć uprawnień do zapisu dla www-data. Sprawdź, czy nie masz katalogów z uprawnieniami 777.
7. Monitorowanie logów
Logi serwera i aplikacji powiedzą Ci o próbach włamania zanim do niego dojdzie. Warto ustawić alertowanie na nieudane próby logowania do panelu.
8. Skaner złośliwego kodu
Warto raz na kilka miesięcy przeskanować pliki sklepu narzędziem takim jak Maldet albo skorzystać z usługi Security Scan w Cloudflare. Atakujący często wsadzają backdoory, które siedzą cicho przez tygodnie.
9. Bezpieczne płatności
Jeśli integrujesz płatności - używaj sprawdzonych bramek płatności (PayU, Przelewy24, Stripe) i nie trzymaj danych kart na własnym serwerze. PCI DSS compliance to temat rzeka - jeśli nie jesteś pewien, czy spełniasz wymogi, porozmawiaj z dostawcą bramki.
10. Polityka haseł dla pracowników
Jeśli kilka osób ma dostęp do panelu sklepu - każda powinna mieć osobne konto z odpowiednimi uprawnieniami. Nie jeden wspólny login admina dla całego zespołu. Gdy ktoś odchodzi z firmy - dezaktywujesz jego konto, nie zmieniasz hasła współdzielonego.