Загрози безпеці для інтернет-магазинів в 2015 році :: Shopolog.ru
- Google і Яндекс все ще повільно визначають небезпечні сайти
- У 40% випадках зараження багаторазове
- Безпека сайту все менше залежить від типу використовуваної CMS
- Власникам інтернет-магазинів як і раніше не вистачає обізнаності
- Рекомендації власникам інтернет-магазинів
Опубліковані в цій статті результати дослідження допоможуть вибрати правильний курс для подальшого розвитку інтернет-магазину. Більшість маркетологів і власників інтернет-магазинів, співпрацюючи з дизайнерами і програмістами, створюють адаптивний, оптимізований і привабливий сайт. Але важливо врахувати, що зусилля і витрати будуть виправдані тільки в тому випадку, якщо розроблений сайт знаходиться в безпеці. Виявляється, що прибутковість магазину і будь-якого онлайн-бізнесу залежить від грамотного підходу до забезпечення його захисту. Чому в 2015 році на це варто звернути особливу увагу?
За даними компанії Microsoft, в 2014 році Росія увійшла в Топ-3 країн в світі за кількістю виявлених вірусів, а також в Топ країн по числу зламаних або заражених вірусами сайтів. При цьому Росія стала №1 за поширеністю загроз, пов'язаних з веб-сайтами. А між тим, 52% власників сайтів не знають про те, що ця проблема вже торкнулася і їх сайту. По крайней мере, до тих пір, поки не відчують на собі наслідки у вигляді серйозного (до 40%) падіння трафіку або блокування пошуковою системою і антивірусними програмами.
Кількість інтернет-магазинів збільшується, саме тому в цій «зоні» тепер знаходяться інтереси зломщиків, хакерів і хуліганів. Власникам магазинів і користувачам слід звернути увагу на те, що в нашій країні ймовірність того, що якийсь сайт зламаний або використовується для шахрайства, одна з найвищих в світі.
На початку цього року в 3-й раз SiteSecure за підтримки партнерів Ruward і iTrack провели комплексний аналіз комерційних сайтів Рунета. В основні завдання дослідження входило:
- визначити найбільш серйозні проблеми, які безпосередньо призводять до блокування сайту пошуковими системами, істотної втрати трафіку, нанесення шкоди відвідувачам і втрати репутації інтернет-магазину або онлайн-бізнесу;
- зрозуміти роль пошукових систем в питанні безпеки сайтів та особливості включення сайтів в їх чорні списки.
Ключові результати дослідження
Протягом 3-х місяців спостерігалися 320.000 сайтів в зоні .ru. Вибірка сайтів включила, в тому числі 36.000 інтернет-магазинів, топ 10.000 сайтів з рейтингу LiveInternet і російські сайти з топ 1 мільйона Alexa.
- 80.000 сайтів (включаючи сайти інтернет-магазинів) протягом всього кварталу спостерігалися в динаміці
- 240.000 сайтів просканувати один раз
Більшість цих сайтів зареєстровані на юридичні особи та використовуються з метою ведення бізнесу. Статичний і динамічний (протягом 3-х місяців) аналіз дозволив побачити наступне:
Google і Яндекс все ще повільно визначають небезпечні сайти
В цьому є одночасно погана і хороша новина. Погана новина для користувачів в тому, що вони можуть потрапити на небезпечні або заражені вірусами сайти, не отримавши вчасно звичного попередження від пошукової системи «Цей сайт небезпечний». Гарна новина для власників інтернет-магазинів - вони можуть встигнути відреагувати і усунути проблему швидше, ніж сайт потрапить в чорний список пошукової системи, але за однієї умови - якщо самостійно виявлять наявність проблеми і своєчасно її усунуть.
243 інтернет-магазину мали звичайний редирект на заражений сайт - більше половини з них Google або Яндекс не порахували небезпечними, хоча насправді несуть загрозу як власнику сайту так і відвідувачам.
372 сайта мали динамічні посилання на заражені сайти - на момент проведеного нами сканування, Google не встиг помітити 75% таких сайтів, Яндекс - 60%.
Висновок: недостатньо використовувати лише кошти для веб-майстрів від Google і Яндекс, тому що для запобігання втрат їх потрібно випереджати.
Усунення виявлених проблем вимагає значного часу - в середньому сайт знаходиться в чорному списку тиждень, що еквівалентно втраті чверті місячної виручки для інтернет-магазину.
Середній час реакції власника сайту або веб-майстра на виявлену пошуковими системами проблему і виведення сайту з чорного списку - 7 днів. Тобто інтернет-магазин відчуває тиждень простою, а його власник позбавляється до чверті місячної виручки. І це без урахування втрат коштів, вкладених в рекламу. За результатами дослідження в минулому році, підтвердженим і в цей раз, близько 50% власників продовжують вкладати кошти в просування сайту, який блокується пошуковими системами через проблеми з безпекою.
Висновок: коли від Google або Яндекс надходить повідомлення про проблему, це означає, що сайт інтернет-магазину заражений і знаходиться в чорному списку. Отже, лічильник втрат для його власника вже включився.
У 40% випадках зараження багаторазове
Під багаторазовим зараженням ми в даному випадку розуміємо різне за способом виконання впровадження небезпечного об'єкта на сайт (наприклад, статична посилання і мобільний редирект, динамічна посилання і статична посилання - різні способи). Зараження не тільки складно виявити, а й в даному випадку складно усунути:
- мобільний редирект самостійно змогли виявити і усунути менше 10% власників сайтів;
- динамічні посилання на заражені сайти самостійно виявляли й усували тільки 20-30% сайтів;
- впоратися з проблемою статичних посилань змогли 40% - 50% всіх сайтів.
При цьому близько 247 магазинів за час дослідження потрапляли в чорні списки пошукових систем, а 68 з них перебували в них на протязі всього ходу дослідження.
Висновок: необхідно використовувати сучасні надійні системи для моніторингу та захисту інтернет-магазинів, залучати експертів - фахівців до усунення проблем після того як вони виникли.
Безпека сайту все менше залежить від типу використовуваної CMS
У дослідженні минулого року, коли ми аналізували випадково вибрані сайти, була помітна явна залежність - сайти на безкоштовних CMS заражалися вірусами в чотири рази частіше сайтів на платних CMS.
В цьому році, залишивши в вибірці тільки сайти комерційної спрямованості, ми виявили, що в чорних списках частка сайтів на основі комерційних CMS всього лише в два рази менше частки сайтів на безкоштовних CMS. Роком раніше розрив між платними і безкоштовними CMS становив 4 рази.
Висновок: комерційні CMS надійніше, але не варто покладатися лише на невразливість CMS. Розробки нових вірусів і хакерських прийомів ведуться безперервно, а до проблем нерідко призводять і не пов'язані з CMS чинники - використання небезпечних паролів, протоколів доступу, уразливості в сторонніх модулях і розширеннях, недотримання заходів безпеки при роботі з фрілансерами і зовнішніми підрядниками.
Власникам інтернет-магазинів як і раніше не вистачає обізнаності
Хоча для дослідження було відібрано тільки комерційні сайти, орієнтовані на залучення нових клієнтів і покупців, ми виявили понад 300 інцидентів, які не були усунені протягом усього періоду спостереження (3 місяці). Велика частина з них - мобільні редіректи, які можуть призводити до втрат від 25% до 40% трафіку в залежності від поширеності мобільного доступу до сайтів в конкретному регіоні Росії. Вчасно не усунена проблема призводить в 10% випадків до переробки сайту, а в 15% бізнесів в результаті цього закривається.
Висновок: власник інтернет-магазину може не здогадуватися про своїх майбутніх або вже трапилися фінансові втрати. Для контролю за безпекою сайту свого магазину і запобігання втрат необхідно використовувати засоби моніторингу та захисту.
Також, за підсумками роботи вдалося з'ясувати, що більше 50% інтернет-магазинів не використовують SSL-сертифікат, хоча цей захід безпеки дозволяє усунути безліч поширених загроз одночасно.
Рекомендації власникам інтернет-магазинів
Відповідно до проведеного SiteSecure за підтримки Ruward опитуванням серед студій і веб-розробників, в більшості випадків на сайтах не використовуються спеціальні засоби виявлення, моніторингу та захисту, а також немає відповідального персоналу та / або обізнаності про безпеку сайту. Основне навантаження за стеженням сайту покладено на веб-майстри (який, треба зауважити працює не цілодобово і сам, буває, доступний не завжди). Але навіть у разі оперативного реагування веб-майстра на повідомлення пошукової системи - від занесення в чорний список до виведення з нього сайту, наприклад, інтернет-магазину - проходить в середньому 1 тиждень. За цей період бізнес встигає зазнати суттєвих втрат: пропадає ¼ місячного прибутку, втрачається трафік і рейтинг сайту, а також вкладені в просування кошти.
Уникнути втрат і простою інтернет-магазину можливо. По-перше, не забувайте про дотримання базових заходів безпеки при розробці та підтримці сайту: оновлювати CMS, регулярно міняти паролі, налаштовувати сервер, відмовитися від використання протоколів типу FTP на користь SSH, встановити і правильно налаштувати SSL-сертифікат, більш обережно ставиться до співпраці з фрілансерами.
У тих випадках, коли за розробку та супровід сайту відповідає зовнішній підрядник (веб-студія або digital-агентство), письмово обговорюйте питання безпеки і відповідальність за втрати в разі інцидентів.
Використовуйте засоби проактивного діагностики і профілактики сайтів для своєчасного виявлення і усунення проблеми. Це дозволить запобігти значним втратам, захищаючи сайт від проникнення вірусів і зловмисників. На якому б етапі не знаходився ваш інтернет-магазин - розробляється або вже активно використовується протягом декількох років - радимо регулярно перевіряти його на наявність проникнень і проломів в системі безпеки. Це можна зробити за допомогою різних онлайн-сканерів безпеки, наприклад онлайн-сканером SiteSecure .
Докладні статистичні дані про це дослідження опубліковані на сайті дослідження .
Чому в 2015 році на це варто звернути особливу увагу?