Un dels objectius principals dels hackers són els e-commerce, alguna cosa que es pot apreciar pel gran augment d’atacs a aquest tipus de negocis online durant els últims anys. Una botiga virtual que rebi atac tindrà moltes conseqüències negatives, com la interrupció del servei que impedirà moltes vendes i una pèrdua de prestigi i confiança per part dels usuaris i clients.
La seguretat d’una botiga online ha de ser un dels factors més importants a tenir en compte a l’hora de la seva creació i manteniment, per a així poder assegurar la continuïtat del seu servei i protegir la integritat i privacitat de les dades emmagatzemades dels seus clients.
Per què és important la seguretat de la teva botiga online
Una de les característiques que més es té en compte a l’hora de triar un hosting per a un e-commerce és la seva alta disponibilitat. Un negoci online ha d’estar disponible durant tot el temps per a facilitar que els clients puguin comprar en qualsevol moment del dia. Un atac extern que impedeixi el servei, alenteixi la velocitat de càrrega o produeixi errors de navegació a la botiga online farà que no es produeixin moltes vendes i per tant produirà una disminució d’ingressos i una pèrdua de clients.
En què consisteix el hacking i la injecció de codi
El hacking web consisteix a aprofitar les vulnerabilitats del sistema o burlar les barreres de seguretat del hosting amb la finalitat de fer caure un sistema, robar dades sensibles (dades bancàries, per exemple) o fins i tot realitzar xantatges.
La denegació de serveis és un ciberatac que rep el servidor o hosting d’un lloc web pel qual se satura de peticions d’accés fent que el lloc web s’alenteixi o que deixi d’estar disponible. Els atacs DDoS són molt temuts, perquè poden fer que un e-commerce no pugui oferir els seus serveis en bloquejar o tirar els servidors on s’allotja.
Un altre dels atacs més comuns que sofreixen els llocs web, i especialment els e-commerce, són les denominades injeccions de codi. Consisteixen a modificar valors o fitxers que conformen l’e-commerce i la seva estructura web amb la finalitat de denegar l’accés al lloc o robar, modificar o eliminar informació.
Les dues principals tècniques de hacking per injecció de codi són:
SQL Injection
L’atac per injecció de codi SQL consisteix a manipular consultes SQL en la base de dades de la botiga online. Aquest tipus d’injeccions té com a fi accedir al sistema com a usuari (atac d’accés) o obtenir informació rellevant de la base de dades (atac d’obtenció d’informació). Els atacs d’injecció de codi SQL aprofiten fallades en la programació web on es troba la base de dades, permetent executar ordres en la mateixa sense tenir dades d’accés.
Cross-Site scripting
Coneguda com XXS, és una tècnica que utilitza scripts amb codi maliciós que s’interposa entre el client i el servidor per a robar dades d’accés o identitats. Aquest atac es realitza contra usuaris que accedeixen a l’e-commerce amb l’objectiu de robar la contrasenya o qualsevol altra informació sensible.
Quines mesures de protecció prendre
Un dels aspectes fonamentals per a evitar atacs maliciosos o reduir les conseqüències dels mateixos és construir l’e-commerce de manera sòlida, tenint en compte que serà objecte d’intents d’incursió per part de tercers. Una programació web robusta i professional és necessària per a la ciberseguretat d’un lloc web o botiga virtual.
Alguna de les mesures de protecció que es poden prendre per a protegir un e-commerce dels hackers són:
Actualitzar la plataforma de l’e-commerce
El CSM amb el qual es desenvolupi la botiga online (PrestaShop, WooCommerce o altres plataformes) ha d’estar sempre actualitzat a l’última versió disponible. A pesar que actualitzar un CSM a una nova versió pot implicar problemes de compatibilitat amb temes o complements, és important realitzar l’actualització immediatament, perquè sempre s’inclouen millores en seguretat en aquestes actualitzacions (eliminació de vulnerabilitats conegudes i implementació de codi segur entre altres).
Implementar proteccions contra injecció de codi i denegació de serveis
Com ja comentem anteriorment, els atacs d’injecció de codi són habituals a les botigues online a la recerca d’accés a la base de dades o per a robar dades bancàries i personals dels clients.
Dues mesures eficients contra aquesta mena d’atacs són:
- Web App Firewall (WAF). Es tracta d’un sistema que controla l’accés del trànsit web a l’e-commerce. És un tallafoc que gestiona les transaccions del servidor i que impedeix els atacs per injecció de codi o els atacs de Denial of service (denegació de serveis, com DDoS).
- Content Delivery Network (CDN). Consisteix a utilitzar una xarxa de servidors en l’àmbit mundial per a accelerar l’accés i balancejar les càrregues d’un lloc web. Aquest sistema és molt útil per a impedir que es produeixin atacs contra els servidors que puguin fer que l’e-commerce no estigui disponible (com els atacs DDoS). Alguns exemples de solucions CDN són Cloudflare, Akamai, Fastly i Amazon Cloudfront (Cloudflare és una solució ràpida i intel·ligent enfront de sofisticats atacs DDoS).
Sistemes de còpia de seguretat
La majoria de proveïdors d’infraestructura no inclouen en els seus serveis còpia de seguretat, ni d’arxius, ni de VM (màquina virtual), a l’hora de contractar la seva infraestructura. És important tenir en compte aquesta variable en la presa de decisió del nostre proveïdor d’infraestructura, ja que és una variable bàsica per a la continuïtat del negoci. La implementació d’una solució de backup no és trivial i és important definir-la de manera correcta i que la validi un professional de les IT.
Una manera de garantir que un atac a una botiga virtual tingui una incidència mínima és disposar de sistemes de còpies de seguretat que permetin aixecar el servei i tenir la web disponible en el menor temps possible. L’ideal és disposar de sistemes de còpia de seguretat de les màquines i dels arxius.
- Backups de màquina. Una còpia de seguretat de les màquines virtuals permetrà iniciar-se de manera ràpida i efectiva si es veuen afectades per un atac externs. Existeixen sistemes com Disaster Recovery i Alta Disponibilitat que permeten assegurar la continuïtat d’un lloc web o e-commerce.
- Backups d’arxius. Disposar de còpies de seguretat de les dades actualitzades, minimitza les possibles pèrdues d’informació i ajuda a recuperar un lloc web després de produir-se un hackeo o ciberatac.
El hacking web és un dels grans reptes dels e-commerce en convertir-se aquestes plataformes en un dels objectius favorits dels ciberdelinqüents (sobretot per l’ús de dades bancàries a l’hora de realitzar compres).
Les conseqüències negatives que ocasiona un ciberatac a una botiga online poden ser greus, afectant directament els ingressos, a la disminució del prestigi de la marca i a la confiança dels clients, que no veuran amb bons ulls comprar en l’e-commerce, i buscaran una alternativa en la competència.
La majoria de proveïdors d’infraestructura inclouen en la quota d’aquesta, serveis de HelpDesk de primer nivell. Aquest servei cobreix una part de les necessitats bàsiques d’un negoci online, però és necessari disposar d’un equip de segon o tercer nivell per a poder reaccionar i respondre davant de situacions complexes, com el hacking o la injecció de codi. Així és com treballem en Ilimit des de fa més de 25 anys com a proveïdor de serveis gestionats (MSP).