Acesso rápido

Minha loja virtual foi invadida, e agora?

por Eduardo Macedo Quarta-feira, 16 de março de 2016

Segurança é algo fundamental em uma loja virtual e isso é sustentando por números. Uma pesquisa conduzida pelo Mercado Pago sobre segurança aponta que 66,7% dos entrevistados verificam se estão navegando em um ambiente seguro.

Imagine-se na posição do cliente, que entra na loja mas não encontra elementos que atestem que ela investe em segurança, como selos e certificado digital. Você se sentiria seguro ao inserir suas informações em um local que não aparenta oferecer condições mínimas de proteção de dados?

Agora imagine outra situação: Um site invadido.

Além de perder a credibilidade com o cliente, você corre o risco de expor informações sensíveis, como dados de cartão de crédito e histórico de compras. Se isso acontecer, você precisa correr para reduzir o impacto que isso poderá causar a sua marca.

Há alguns passos que precisam ser seguidos para desfazer qualquer invasão ou danos causados por uma pessoa mal intencionada, que explorou uma vulnerabilidade de sua loja virtual.

Substituição do servidor e aplicação
O primeiro passo é substituir servidor e aplicação. Não sabe como fazer? Te explicamos:

1. Instale o sistema operacional em um novo servidor – sim será preciso um novo servidor para não expor o site novamente.

2. Aplique todos os patchs de correção do sistema operacional – sistemas desatualizados têm maiores chances de serem invadidos, mantenha-os sempre atualizados.

3. Faça o Hardening do servidor e dos serviços que serão utilizados – Hardening trata-se de um processo onde são mapeados e identificados todos os riscos e ameaças, e claro, tomadas ações para correções e preparação do servidor para potenciais novos ataques.

4. Instale o sistema de e-commerce com todos os patchs e configurações de segurança.

5. Altere as senhas que fornecem acesso a área administrativa (backoffice) – Se seu site já foi invadido, existe o risco de alguém ter acesso as suas senhas, até mesmo as de admin ou webmaster. Saiba como montar uma senha segura, clique aqui. Também será necessário modificar todos os acessos ao banco de dados – que podem ter sido expostos.

6. Aproveite e crie novos tokens e senhas para utilização na integração com os meios de pagamento.

7. Realize uma análise de vulnerabilidades para tentar identificar possíveis falhas que ainda existam – para tanto será preciso a contratação de uma empresa especializada.

8. Bloqueie o acesso a Área Administrativa da loja apenas para o seu IP.

9. Realize o bloqueio de todas as portas no servidor, com exceção dos serviços necessários.

10. Instale uma proteção WAF (Web Application Firewall).

Corrija o banco de dados
O banco de dados é uma das áreas mais sensíveis, portanto precisa ser analisado com cuidado. Depois do procedimento citado acima, disponibilize tempo para a verificação dos bancos de dados.

● Siga as recomendações de substituição do servidor
● Aplique todos os patchs de segurança – atualizados – de seu banco de dados
● Altere as senhas de acesso

Além disso, será preciso:
1. Se a aplicação hospeda códigos HTML/Scripts no banco de dados, verificar as entradas recentes com o objetivo de identificar scripts maliciosos e, consequentemente, eliminá-los.

2. Verificar e alterar a senha de todos os usuários com privilégios administrativos e com acesso ao backoffice

3. Retorne um backup com dados seguros – apenas se possível

4. Permitir que somente o servidor da aplicação tenha acesso ao banco de dados

Segurança interna
Muitas vezes o site pode não apresentar vulnerabilidades, mas se os colaboradores do e-commerce não se atentarem e tiverem cuidado, principalmente com Phishing*, corre-se o risco de pessoas mal intencionadas acessarem suas aplicações por meios “tradicionais” com usuário e senha roubadas. Por isso, não deixe de rever suas politicas de acesso interno, além de conscientizar toda a empresa sobre a necessidade de cuidados com a segurança.

*São mecanismo utilizados por pessoas mal intencionadas para terem acesso a dados diversos, como logins e senhas. Geralmente fazem isso simulando páginas falsas, para ludibriar o usuário.

1. Verificar a segurança dos computadores que acessam o backoffice;

2. Passar, pelo menos, 2 softwares antivírus diferentes nas máquinas para tentar identificar possíveis arquivos maliciosos;

3. Alterar senhas de e-mails corporativos e pessoais – Não existe um tempo correto para trocar a senha, mas tudo isso depende da força dela. Alguns servidores de e-mail, de forma automática, recomendam a alteração em um período entre 30 e 45 dias.

Faça um pente fino em suas aplicações
Após realizar os procedimentos anteriores, realize um scan completo da loja virtual, tanto da aplicação como do servidor. Isso irá permitir identificar possíveis brechas que ficaram para trás. Esse scan é realizado por empresas especialistas em segurança.

Se você ainda não passou por essa situação, lembre-se de verificar como anda a segurança de sua loja virtual. O ideal é sempre se prevenir e ter mecanismos que permitam identificar brechas e corrigí-las, como a Blindagem de Sites, por exemplo.

Esse tipo de cuidado deve fazer parte de todo plano de negócio de lojas virtuais, já que a internet concentra uma enorme quantidade de dados sensíveis, que precisam ser preservados. Isso vai evitar uma série de transtornos e ainda pode funcionar como uma forma de impulsionar suas vendas.

Quando todo o mercado se preocupa com segurança, todos ganham, afinal, mais consumidores se sentirão seguros para realizar compras online.

Você recomendaria esse artigo para um amigo?

Nunca

 

Com certeza

 

Deixe seu comentário

1 comentário

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentando como Anônimo

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Assine nossa Newsletter

Fique por dentro de todas as novidades, eventos, cursos, conteúdos exclusivos e muito mais.

Obrigado!

Você está inscrito em nossa Newsletter. Enviaremos, periodicamente, novidades e conteúdos relevantes para o seu negócio.

Não se preocupe, também detestamos spam.