Безопасность магазина на Shop-Script: чеклист администратора

Безопасность магазина — это та область, где всё хорошо ровно до первого инцидента. Взломанная админка, утёкшая база клиентов, подмена реквизитов оплаты, зашифрованные вымогателями файлы — каждая из этих историй начиналась со слов «да кому мы нужны». Нужны: интернет-магазин — это деньги, персональные данные и платёжные потоки, то есть привлекательная цель.

Хорошая новость в том, что 90% взломов — это не гениальные хакеры, а простые незакрытые двери: слабый пароль, общий логин, забытое обновление. Закрыть их — посильная задача администратора. Этой статьёй мы завершаем серию «Настольная книга администратора»: считайте её чеклистом, который стоит пройти от начала до конца.

1. Пароли и доступы — самое слабое звено

Большинство взломов — это не «пробили защиту», а «подобрали пароль» или «нашли его в утёкшей базе».

• Сложные уникальные пароли. Длинный пароль, который нигде больше не используется. Один и тот же пароль на почте, хостинге и в админке — это одна дверь ко всему.
• Менеджер паролей вместо стикеров на мониторе и файлика пароли.txt.
• Двухфакторная аутентификация там, где она доступна (в аккаунте Webasyst ID, в панели хостинга, на почте). Даже зная пароль, злоумышленник не войдёт без второго фактора.
• Никаких общих логинов. У каждого сотрудника — своя учётная запись. Это и безопасность, и возможность понять, кто что сделал.

2. Права доступа сотрудников

Чем больше людей имеют полный доступ, тем выше риск — и от злого умысла, и от случайной ошибки. Принцип простой: каждому ровно столько прав, сколько нужно для работы, и ни галочкой больше.

Менеджеру не нужны настройки оплаты, контент-редактору — доступ к заказам и клиентской базе. Webasyst позволяет настроить это детально по разделам магазина. Как именно — мы подробно разобрали в отдельной статье серии про права доступа сотрудников; если ещё не настроили роли — самое время.

И отдельно: увольнение сотрудника = немедленная деактивация его аккаунта. Уволенный сотрудник с действующим доступом — классический источник проблем.

3. Обновления — это и есть защита

Старые версии движка, тем и плагинов содержат известные уязвимости, для которых давно есть готовые инструменты взлома. Обновление — это не про новые функции, это в первую очередь про закрытие дыр.

• Регулярно обновляйте движок, приложения и плагины до актуальных версий.
• Перед каждым обновлением делайте резервную копию (как — в отдельной статье серии про бэкапы). Тогда неудачное обновление откатывается за полчаса, а не превращается в катастрофу.
• Удаляйте плагины и темы, которыми не пользуетесь: неиспользуемый, но установленный код — это лишняя поверхность атаки.

4. HTTPS и SSL — обязательны

Магазин без HTTPS сегодня — это не вариант. Без шифрования пароли и данные карт передаются открытым текстом, браузеры помечают сайт как «небезопасный», а поисковики понижают его.

• Убедитесь, что у магазина установлен и актуален SSL-сертификат (бесплатный Let's Encrypt подходит большинству).
• Проверьте, что сертификат автоматически продлевается — просроченный SSL отпугивает покупателей не хуже взлома.
• Весь трафик должен идти по https://, а http:// — перенаправляться на него.

5. Защита самой админки

• Смените стандартный адрес входа. По умолчанию бэкенд Webasyst открывается по адресу /webasyst/. Его можно изменить в конфигурации (wa-config/config.php, параметр backend_url) на свой — боты, которые перебирают пароли по стандартным адресам, просто не найдут вход. Адрес можно сделать даже динамическим, зависящим от даты.
• Усильте хранение паролей. Webasyst позволяет задать собственную функцию хеширования с «солью» (в wa-config/SystemConfig.class.php) — это делает украденные хеши паролей куда более устойчивыми к подбору. Шаг для технического специалиста, но знать о нём администратору полезно.
• Ограничьте доступ по необходимости. Если в админку ходит ограниченный круг лиц — обсудите с хостингом ограничение доступа по IP или дополнительную защиту входа.

6. Резервные копии — страховка от всего

Даже идеальная защита не даёт стопроцентной гарантии. Бэкап — это то, что превращает любой инцидент (взлом, шифровальщик, сбой) из конца света в неприятную, но решаемую ситуацию. Ежедневные автоматические копии базы и файлов плюс одна копия за пределами хостинга — must have. Подробно — в статье серии про резервное копирование.

7. Гигиена вокруг магазина

Магазин не существует в вакууме — его безопасность не выше безопасности окружения:

• Компьютер администратора должен быть чистым: антивирус, обновления ОС, отсутствие пиратского софта. Троян на вашем ноутбуке = украденные пароли от админки.
• Почта, на которую завязано восстановление паролей, должна быть максимально защищена (сложный пароль + 2FA). Получив доступ к вашей почте, злоумышленник сбросит пароли ко всему остальному.
• Хостинг-аккаунт — та же история: это ключи от всего сервера.

Подводные камни

• «Да кому мы нужны». Большинство атак автоматические и неизбирательные: боты сканируют всё подряд. Цель — не вы лично, а любая незакрытая дверь.
• Один пароль на всё. Утечка в одном месте открывает всё разом. Уникальные пароли — не паранойя, а гигиена.
• Обновления «потом». Именно известные и незакрытые уязвимости старых версий взламывают чаще всего.
• Бэкап «когда-нибудь настрою». В день взлома или шифровальщика копия — единственное, что вернёт магазин. Настраивать её надо до инцидента, а не после.
• Доступ уволенным. Действующий логин ушедшего сотрудника — частый и недооценённый канал утечек.

Частые вопросы

С чего начать, если на безопасность не было времени вообще? С трёх вещей: уникальные сложные пароли + 2FA, актуальный SSL и настроенные резервные копии. Это закрывает большую часть рисков.

Нужен ли антивирус на сам сайт? Полезен мониторинг целостности файлов и регулярные проверки, но фундамент — это обновления, пароли и бэкапы. Без них любой «антивирус для сайта» — косметика.

Стоит ли менять стандартный адрес админки? Да, это простой и эффективный способ отсечь автоматический перебор паролей. Сам по себе он не заменяет сильные пароли, но хорошо дополняет их.

Как понять, что магазин уже взломан? Тревожные признаки: незнакомые администраторы в списке сотрудников, подменённые тексты или реквизиты, неизвестные файлы, жалобы на спам с вашего домена, предупреждения браузера. При подозрении — меняйте все пароли и разворачивайте чистую копию из бэкапа.

Итог

Безопасность магазина — это не разовый проект, а набор привычек: уникальные пароли и 2FA, минимальные права у сотрудников, регулярные обновления с бэкапом перед ними, актуальный SSL, защищённый вход в админку и здоровая гигиена вокруг (почта, хостинг, рабочий компьютер). Ни один из пунктов не требует быть программистом — но вместе они закрывают подавляющее большинство реальных угроз.

Пройдите этот чеклист сверху вниз один раз — и вы окажетесь защищены лучше, чем большинство магазинов в рунете. А на этом серия «Настольная книга администратора» завершается: права доступа, резервное копирование, скорость и безопасность — четыре опоры, на которых стоит спокойная работа магазина.

Хотите, чтобы магазин проверил специалист? Мы проведём аудит безопасности, закроем найденные дыры и настроим регламент защиты под ваш проект. Напишите нам в поддержку или оставьте заявку на консультацию.