Как защитить интернет-магазин.

Как защитить интернет-магазин.

Конфиденциальность и безопасность бизнеса.

Применение сертификатов SSL для защиты и идентификации веб-сайтов является общепринятой мировой практикой. Совершая покупки в интернет-магазине покупатель должен быть уверен, что его соединение и конфиденциальность надежно защищены.

Какой сертификат SSL выбрать.

Поскольку SSL-сертификат, выданный интернет-магазину, будет устанавливаться на серверной части веб-хостинга сотрудниками технической службы, то логичнее всего выбрать необходимый сертификат из того списка, который нам предлагает наш сервис-провайдер.

Компания ЗАО «Хостинговые Телесистемы» предлагает SSL-сертификаты компании GeoTrust Inc, которая является вторым по величине производителем цифровых сертификатов мире. Сертификаты от GeoTrust отлично подходят для небольших компаний, которые желают обеспечить максимальную безопасность онлайн-транзакций.

На данный момент владелец интернет-магазина может выбрать один из следующих видов сертификата, которые отличаются стоимостью, типом проверки организации, сроком предоставления сертификата, размером страховой выплаты, а также наличием или отсутствием защиты субдоменов.

RapidSSL® , стоимость 800 руб в год;

QuickSSL®, стоимость 3500 руб. в год;

True BusinessID, стоимость 4750 руб. в год;

True BusinessID Wildcard, стоимость 18000 руб. в год.

Все вышеперечисленные SSL-сертификаты обеспечивают создание защищенного канала и 256-битное шифрование информации, поэтому для нашего интернет-магазина подойдет самый недорогой, а именно сертификат RapidSSL®, подписанный уполномоченным Центром Сертификации RapidSSL. com, который является дочерней компанией GeoTrust Inc.

Отличительные особенности сертификата RapidSSL® сертификат подтверждает доверенность домена; для получения сертификата необходимо располагать доступом к адресу электронной почты admin@вашдомен. ru; активация сертификата занимает несколько часов; страховая сумма выплаты $10,000 от компании RapidSSL; техническая поддержка по телефону, email; после регистрации получаете непосредственно сертификат и возможность установить на сайт подтверждающую графическую печать; графическая печать.

Установка сертификата SSL.

Для того, чтобы установить сертификат на свой сайт, необходимо оформить заявку в Панели Управления своим сайтом и оплатить данную услугу, в размере 800 рублей. Затем следует написать письмо в службу технической поддержки провайдера, сотрудник которой вышлет вам форму, в которой необходимо заполнить следующие данные латинскими буквами:

First Name (ваше имя)

Last Name (ваше фамилия)

Email (адрес электронной почты, на который будет выслан сертификат)

Organization (здесь можно указать фамилию и инициалы)

Your Title/Role (обращение, например, Mr)

Address (строка адреса)

City (город)

Postal/Zip Code (почтовый индекс)

Country (страна)

Province (район, можно указать город)

Telephone (телефон контакта)

Fax (можно не указывать)

Country Name (2 letter code) [AU]: RU

State or Province Name (full name) [Some-State]: (район или область)

Locality Name (eg, city) []: (город)

Organization Name (eg, company) [Internet Widgits Pty Ltd]: (наименование организации, можно указать название интернет-магазина)

Organizational Unit Name (eg, section) []: (подразделение организации, можно не указывать)

Common Name (eg, YOUR name) []: (адрес интернет-магазина, как он будет показываться в данных сертификата)

После рассмотрения и принятия вашей, заявки авторизованный центр отправит на адрес электронной почты вашего домена (например, admin@вашсайт. ru) письмо, в котором необходимо будет перейти по ссылке для подтверждения права владения данным сайтом. Если у вашего домена нет почтового ящика admin@ , то его надо создать. ВАЖНО! Сертификат должен быть установлен на сайт с выделенным ip-адресом, стоимость которого составляет 50 руб в месяц.

После получения подтверждения права владения данным доменом, вам на почту будет отправлено письмо с сертификатом, который представляет из себя текстовую строку. Данное письмо необходимо переслать в техническую службу поддержки вашего провайдера, для установки полученного сертификата на сервер. После перезагрузки веб-сервера сертификат будет установлен, о чем вам сообщит служба поддержки. На этом установка сертификата завершена.

Как защитить интернет магазин.

Теперь осталось установить на главной странице сайта интернет-магазина графический знак, подтверждающий наличие сертификата RapidSSL® .

Проверка работоспособности установленного сертификата.

Для того чтобы проверить работоспособность установленного сертификата, необходимо в строке подключения к сайту выбрать защищенное подключение, набрав перед адресом интернет магазина https://. В административных настройках интернет-магазина OpenCart необходимо включить возможность доступа по защищенного каналу https, так же нужно будет подредактировать две строки в файле config. php, если у кого возникнут проблемы с этим, то с удовольствием расскажу что поменять и где.

В браузере Google Chrome слева от адресной строки должно появиться изображение замка зеленого цвета, который означает, что сайт использует SSL и браузер определил сертификат данного сайта, как доверенный, установив безопасное соединение. В браузере Internet Explorer подобный знак замка располагается справа от адресной строки.

Если же вместо значка зеленого цвета присутствует любой другой знак, значит безопасное соединение не установлено, не найден сертификат доверенного узла, либо браузер определил содержание сайта, как не безопасное.

SSL-аудит сайта интернет-магазина.

Что же делать, если браузер определяет содержимое вашего сайта, как небезопасное и выводит предупреждающую табличку при каждом обновлении страницы? С помощью консоли, доступной в Google Chrome из меню Инструменты — Консоль JavaScript, можно определить заблокированные браузером строки в коде странице, которые необходимо исправить или закомментировать.

Для начала мне пришлось убрать все рекламные блоки Google AdSense и виджет сообщества ВКонтакте, поскольку оба браузера определили их содержимое, как несоответствующие безопасному соединению Как защитить интернет магазин. По этой же причине с модулем Magic Footer, который выводил рекламный блок и виджет, пришлось проститься на время. Следующей жертвой SSL-аудита стал скрипт виджета онлайн-звонка «Звонок с сайта», который был расположен в шапке сайта в виде кнопки, с ним тоже пришлось, к сожалению, расстаться.

Любая ссылка в формате «http://», расположенная на странице сайта, является потенциальной угрозой, и ее необходимо изменить. Если это внешняя ссылка, то можно попробовать изменить ее на https://, если сайт, на который она ссылается поддерживает безопасное соединение. Если это внутренняя ссылка, то необходимо изменить ее формат с абсолютной адресации, на относительную, например, «/image/test. jpg».

Следующим был изменен вызов кнопок социальных сетей, расположенных на странице продаваемого товара, к счастью, компания addthis. com поддерживает защищенное соединение со своим сайтом.

В результате тестирования всех страниц сайта на предмет небезопасного содержимого страниц двумя самыми распространенными браузерами, были исправлены все «небезопасные ссылки» и исключены все скрипты и виджеты, не поддерживающие безопасного соединения и обмена данными. Сайт интернет-магазина по сути приобрел первоначальный вид, в котором он распространяется разработчиками Как защитить интернет магазин.

Настройка редиректа.

После установки SSL-сертификата, сайт нашего интернет-магазина стал доступен пользователю, как через незащищенное соединение http, так и через защищенный канал https. Для того, чтобы пользователь автоматически заходил через защищенный канал на сайт, необходимо настроить автоматическую переадресацию с http на https. Для этого необходимо добавить в файл. htaccess, который расположен в корневой папке интернет-магазина, следующие строки:

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Как всегда, в конце статьи выводы и обобщения: сертификаты RapidSSL по причине своей невысокой стоимости и надежной степени шифрования, являются идеальным решением для обеспечения начального уровня конфиденциальности и безопасности веб-сайтов электронной торговли. Расходы на запуск нашего интернет-магазина увеличились на 800 рублей в год, что составила стоимость сертификата, и на 50 рублей в месяц для приобретения выделенного ip-адреса для интернет-магазина.


Карта сайта


Информационный сайт Webavtocat.ru