La seguridad de un sitio web siempre es una de las tareas más importantes de un Administrador Web y muchas veces no se le presta la debida atención a este aspecto, y más concretamente, las páginas dedicadas al comercio electrónico suelen encontrarse entre las más atacadas de Internet, ya que muchos usuarios optan por montar su tienda online utilizando aplicaciones gratuitas de código abierto, que por esta condición, ya tienen un alto porcentaje de vulnerabilidades y «huecos» de sobras conocidos por aquellos que aprovechan estas vulnerabilidades para llevar a cabo sus actividades delictivas o ilícitas. Por ello, la mejor forma de combatir los ataques, es conocer las vulnerabilidades más comunes que pueden tener esta clase de sitios web, que son las siguientes… .
.
1) Inyecciones SQL: muchos portales de e-commerce usan bases de datos para guardar información importante, y un ataque a una base de datos puede ser simplemente desastroso. La inyección de SQL puede derivar en errores menores o bien puede garantizarle acceso completo al atacante a ciertas áreas importantes del servidor.
2) Manipulación de precios: muchos sitios de e-commerce están completamente automatizados desde la visita inicial hasta que se realiza el pago. Algunos software pueden tener vulnerabilidades que permitan a un atacante fijar un precio menor para un artículo y esencialmente llevarse algo por un precio mucho menor al que en realidad cuesta.
3) Autenticación insegura: normalmente un sitio e-commerce requiere que el usuario use algún tipo de autenticación, que normalmente suele ser registrar una cuenta de membresía en el portal. Obviamente esta encriptación debe pasar por debajo de un certificado SSL, o de lo contrario un atacante podría hacerse con información importante del usuario.
4) Ataques XSS: este tipo de ataques, también conocidos como cross-site scripting, es un tipo de ataque bastante usado, al igual que sucede con las inyecciones SQL. Mediante un XSS, el atacante puede establecer un sistema de phishing en el portal y robar información crítica como lo es el número de una tarjeta de crédito o de cuenta bancaria.
5) Ejecución de comandos remotos: scripts de PERL y PHP de baja seguridad suelen ser los puntos de entrada de un atacante, el cual insertará metacaracteres de shell en una URL de compra para ejecutar comandos usandos las credenciales del servidor. Esto puede llegar a ser fatal para un sitio de e-commerce.
.
.
¿Cómo prevenir estas vulnerabilidades?
- Recuerda escanear tu sitio web y tu ordenador personal con frecuencia utilizando distintos servicios de escaneo y detección de virus, malware o accesos no autorizados a tu sistema.
- Asimismo, recuerda mantener siempre actualizado todo el software que utilices, tanto a nivel de tu sitio web cómo a nivel de tu ordenador personal. (Muchas veces, los accesos no autorizados o los ataques a un sitio web, comienzan en el ordenador o sistema informático del administrador o webmaster del sitio web).
- Utiliza siempre un certificado SSL en tu sitio web para garantizar la confidencialidad de los datos intercambiados entre tu sitio web y los usuarios que visiten tus páginas.
- Mantén todas tus contraseñas y datos de acceso en un lugar seguro. Y si es posible, mejor que estén guardados en un armario cerrado con llave que en tu ordenador personal o el servidor de tu empresa.
- Aloja tu sitio web en un proveedor de Web Hosting que te ofrezca un servicio de alojamiento con las mayores garantías y medidas de seguridad que sea posible con el fin de proteger aún más tu sitio web.
.
.