1) Nepoužívat všude stejná hesla
Pokud máte například jedno univerzální heslo, které používáte u všech služeb, není to ideální, pokud by někde došlo k narušení bezpečnosti a někdo odhalil Vaše heslo, mohl by to samé heslo zkoušet i na ostatních službách. Je tedy vhodné mít pro každou službu jiné heslo.
Možná si říkáte, jak si to máte vše pamatovat…
Jsou 3 možnosti:
A) používat autocomplete v prohlížeči a tam mít hesla uložena (na to se názory různí)
B) používat nějaký program třetí strany pro ukládání hesel
C) mít univerzální heslo a to vždy jen přizpůsobit příslušné službě.
Příklad: máme naše univerzální heslo Ahoj123
Pokud budeme například v PrestaShopu, můžeme si heslo upravit jako Ahoj123PS
Pokud budeme například v seznam emailu, můžeme si heslo upravit jako Ahoj123Seznam
Pokud budeme například na eshopu XYZ, můžeme si heslo upravit jako Ahoj123XYZ
Apod 🙂
Dle tohoto klíče nikdy nebudete mít problém s hesly a vždy budete vědět, jaké heslo tam máte.
Jistě najdete i vlastní způsob, ale jedno stejné heslo není ideální, pokud nechcete nic řešit, používejte alespoň více univerzálních hesel, která budete různě střídat.
Možností je určitě víc, najděte si tu svou vlastní, která Vám bude plně vyhovovat.
2) Používat HTTPS/SSL
O tomto bylo napsáno již mnoho témat, každý web/eshop by měl již mít https/ssl, pro šifrování dat, aby necestovalo Vaše heslo internetem nešifrováno.
HTTPS/SSL samozřejmě neznamená, že jste v bezpečí, ale minimálně to rizika snižuje, určitě by dnes každý e-shop/web měl běžet na HTTPS, už jen kvůli SEO!
O tomto není třeba se dále rozepisovat, toto je „must have“, bez https/ssl to dnes už nelze.. Pokud ještě https certifikát nemáte, nechte si ho zřídit.
3) Sdělovat FTP hesla pouze důvěryhodným osobám
Toto platí zejména v případě zahraničních subjektů, v rámci CZ/SK to není tak rizikové jako předání přístupů zahraničním vývojářům.
Spousta PrestaShopařů si shání programátora/správce v zahraničí (jmenovat nebudu, každý jistě ví o jaké země se jedná) ve vidině ušetření peněz levnou pracovní silou.
Nicméně, toto levné dobrodružství Vám může vyjít ve výsledku velmi draho.
Z historie známe naštěstí jen dva případy (ale v praxi jich bude jistě víc o kterých nevíme), kdy jsme řešili, že programátor z cizí, blíže neurčené země, upřednostnil zájem svůj nad zájmem majitele e-shopu a prodal údaje celého e-shopu jinému subjektu.
Pointa není hanit zahraniční vývojáře, valná většina je jistě OK, ale doporučujeme se vždy obrátit na domácí vývojáře, kteří zde jsou již dlouho, jsou prověřeni, mají historii a jste schopni o nich něco zjistit.
Samotné uvedení FTP přístupů vývojářům modulů pro řešení případných problémů je běžná praxe, toto většinou bývá spíše problém spojený s nějakou „správou“. U prodejců modulů neevidujeme ani jeden případ, kdy by došlo k nějaké negativní akci vlivem sdělení těchto přístupů.
4) Používat databázové nástroje Vašeho hostingu
Nejpoužívanější databázové nástroje jsou Adminer a phpMyAdmin (my preferujeme Adminer). Prakticky každý hosting je nabízí pro své zákazníky přímo na hostingu a je vhodné tyto nástroje používat zejména ze dvou důvodů:
– nástroje bývají vždy plně aktualizované
– limity a další operace pro hostingové nástroje jsou často vyšší, než limity Vašeho hostingu.
Pokud tedy máte údaje k DB nástrojům Vašeho hostingu, používejte tyto.
Pokud si chcete nahrát vlastní DB nástroj přímo na Vaše FTP, učinit tak můžete, ale nezapomeňte nástroj pravidelně aktualizovat.
5) Aktuální PrestaShop i veškeré moduly/pluginy ve Vašem PrestaShopu
Nejčastější dírou v PrestaShopu jsou moduly nebo bugy PrestaShopu jako takového.
Je tedy velmi žádoucí pravidelně odborně PrestaShop aktualizovat. Zejména pokud máte verzi nižší jak PS 1.7.8.7, je nutno updatovat PS, jelikož zde byla objevena kritická zranitelnost, kterou řeší modul „Bezpečnostní MySQL Cache FIX (červenec 2022)“ a nebo aktualizace PrestaShopu na verzi 1.7.8.7 a vyšší.
Nikdo neříká, že PS musíte aktualizovat každý měsíc, ale jednou za 1-2 roky je to více než vhodné. Kromě bezpečnosti přináší update více dalších benefitů jako opravy chyb, zrychlení běhu a další. Základem je vyvíjet e-shop tak, aby update byl možný, tzn, bez zásahů do jádra.
6) Staré / nepoužívané / zapomenuté moduly
Toto je poměrně častý problém o kterém se nikde moc nemluví/nepíše, přesto z našich statistik útoky na e-shop probíhají až z 20% právě přes takovéto moduly.
Pokud přestanete používat nějaký modul a víte, že ho již nikdy nebudete používat, vypnutí/odinstalování modulu není dostatečné, jelikož plugin stále na e-shopu zůstane a do budoucna může být nalezena v modulu chyba a i když ho na e-shopu nebudete mít na instalovaný, na FTP bude existovat, takže skrze něj je možno útočit na Váš e-shop, pokud bude obsahovat modul nějakou historickou zranitelnost.
Pokud tedy nějaký modul opravdu již nebudete používat, zvolte volbu „Smazat/Odstranit“, odinstalace/vypnutí není dostatečné!
Toto je poměrně častá věc, kdy něco zapomenete smazat a X let tam leží něco starého, neaktualizovaného a přes tyto moduly poté mohou procházet útoky na Váš e-shop. Příkladů bylo v historii PS již mnoho, např. sendtoafriend, blockwishlist, explorerpro, sampledatainstall a mnoho dalšího…
Pokud modul nesmažete rovnou, zapomenete na to a pak těžko zpětně to budete uživatelsky dohledávat.
Pokud si nejste jisti, jak na tom jste, využijte náš nový modul „Odhalení nepoužívaných modulů z důvodu bezpečnosti„.
7) Zabezpečit přihlášení do PS administrace dle IP adresy
Toto je velmi ideální bezpečnostní prvek proti útokům na administraci PrestaShopu. Pokud omezíte přístup pouze pro Vaše domácí IP adresy, nemá nikdo šanci se do administrace tímto způsobem dostat.
Toto řeší modul „Zabezpečení administrace PrestaShopu“