Как защитить свой сайт интернет магазина

DmitriyVetrov · 03.12.2019

Всем добра! Открываю интернет магазин интересных товаров. Регистрация на сайте и обратная связь через почту. Вопрос в следующем: может ли хацкер каким то образом, взломать сайт и получить доступ к базе данных покупателей, а именно к связке почта>логин >пароль, так как в личном кабинете есть физический адрес доставки.?
Если это возможно, подскажите стратегию действий, хочу сам себя проверить.

Andhacker · 03.12.2019

DmitriyVetrov сказал(а):
Всем добра! Открываю интернет магазин интересных товаров. Регистрация на сайте и обратная связь через почту. Вопрос в следующем: может ли хацкер каким то образом, взломать сайт и получить доступ к базе данных покупателей, а именно к связке почта>логин >пароль, так как в личном кабинете есть физический адрес доставки.?
Если это возможно, подскажите стратегию действий, хочу сам себя проверить.

Зависит от уязвимости движка интернет магазина (cms). Если в конкретной версии появится уязвимость, то она же будет и на вашем сайте. Злоумышленник может воспользоваться этим и получить доступ к почте и логину.

DmitriyVetrov · 03.12.2019

Спасибо, а как самостоятельно проверить есть ли уязвимость? Какие инструменты есть?

Andhacker · 03.12.2019

DmitriyVetrov сказал(а):
Спасибо, а как самостоятельно проверить есть ли уязвимость? Какие инструменты есть?

Используются сканеры уязвимлстей

Самое простое открыть 2ip и узнать версию cms сайта

DmitriyVetrov · 03.12.2019

Понял, спасибо огромное.

alfabuster · 03.12.2019

DmitriyVetrov сказал(а):
Спасибо, а как самостоятельно проверить есть ли уязвимость? Какие инструменты есть?

Есть онлайн инструменты, причем бесплатные 12 сайтов, где можно использовать сканер вирусов онлайн | #Информационные технологии глазами гика

На тех же сайтах есть рекомендации по защите. Самое простое, что можно сделать уже сейчас это прописать HTTP заголовки в корне вашего сайта файла .htaccess пропишите основные:

Код:

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header always append X-Frame-Options SAMEORIGIN
Header set X-Permitted-Cross-Domain-Policies "none"
Header set Referrer-Policy "no-referrer"
Header always set Feature-Policy "fullscreen 'none' "
Header set Expect-CT 'enforce, max-age=43200, report-uri="https://ваш урл/report"'
</IfModule>

А остальные уже добавляйте либо убирайте, тут как говорится на вкус и цвет...

alfabuster · 03.12.2019

Andhacker сказал(а):
Злоумышленник может воспользоваться этим и получить доступ к почте и логину.

Доступ к почте злоумышленник получит в том случае если пароль от админки и от почты одинаковый.

Если почта защищена двухфакторной аутентификацией (причем второй фактор не СМС код на телефон, а код с приложения E-Num или Google Autentificator), то злоумышленник получит болт, а не доступ.

К тому же сейчас есть возможно прикрутить 2fa практически на любой сайт. Так что ТС пользуйтесь двухфакторной аутентификацией. Да иногда геморойно вводить все эти коды, но это действенный метод захиты, а безопасность превышего всего...

Pulsera · 03.12.2019

DmitriyVetrov сказал(а):
Спасибо, а как самостоятельно проверить есть ли уязвимость? Какие инструменты есть?

А какая у тебя CMS используется?)

DmitriyVetrov · 05.12.2019

alfabuster сказал(а):
Доступ к почте злоумышленник получит в том случае если пароль от админки и от почты одинаковый.

Если почта защищена двухфакторной аутентификацией (причем второй фактор не СМС код на телефон, а код с приложения E-Num или Google Autentificator), то злоумышленник получит болт, а не доступ.

К тому же сейчас есть возможно прикрутить 2fa практически на любой сайт. Так что ТС пользуйтесь двухфакторной аутентификацией. Да иногда геморойно вводить все эти коды, но это действенный метод захиты, а безопасность превышего всего...

Спасибо за советы, обязательно так и сделаю!
Я наверное немного некорректно задал вопрос, а он был в следующем. Сможет ли злоумышленник заполучить базу данных клиентов (тх логины и пароли), если взломает сайт?

Pulsera · 05.12.2019

DmitriyVetrov сказал(а):
Спасибо за советы, обязательно так и сделаю!
Я наверное немного некорректно задал вопрос, а он был в следующем. Сможет ли злоумышленник заполучить базу данных клиентов (тх логины и пароли), если взломает сайт?

Ну если они хранятся в базе данных, то конечно сможет). А если на сайте еще стоит хеш-функции, то пароли будут просто зашифрованы и их придется злоумышленнику расшифровывать подбором.

alfabuster · 05.12.2019

Pulsera сказал(а):
Ну если они хранятся в базе данных, то конечно сможет). А если на сайте еще стоит хеш-функции, то пароли будут просто зашифрованы и их придется злоумышленнику расшифровывать подбором.

Как правило, если базу слили, то ее все ровно расшифруют, хоть там даже будет bcrypt, это все упирается во время, а чтобы его сократить, прибегнут к мощной вычислительной технике...

Поиск

Поиск

Как защитить свой сайт интернет магазина

DmitriyVetrov

Newbie

Andhacker

DmitriyVetrov

Newbie

Andhacker

DmitriyVetrov

Newbie

alfabuster

alfabuster

Pulsera

DmitriyVetrov

Newbie

Pulsera

alfabuster

Похожие темы

Популярный контент

HackerLab

Экосистема Codeby

HackerLab

Forum Codeby

Codeby Academy