La seguridad de un sitio web siempre es un de las tareas más importantes del administrador web, pero ciertos tipos de sitios web suelen ser más inseguros que otros. Debido a la naturaleza de su contenido, las páginas de e-commerce suelen encontrarse entre las más atacadas de la web. La mejor forma de combatir los ataques es conocer las vulnerabilidades más comunes que pueden tener esta clase de sitios, que son las siguientes:
1) Inyecciones SQL: muchos portales de e-commerce usan bases de datos para guardar información importante, y un ataque a una base de datos puede ser simplemente desastroso. La inyección de SQL puede derivar en errores menores o bien puede garantizarle acceso completo al atacante a ciertas áreas importantes del servidor.
2) Manipulación de precios: muchos sitios de e-commerce están completamente automatizados desde la visita inicial hasta que se realiza el pago. Algunos software pueden tener vulnerabilidades que permitan a un atacante fijar un precio menor para un artículo y esencialmente llevarse algo por un precio mucho menor al que en realidad cuesta.
3) Autenticación insegura: normalmente un sitio e-commerce requiere que el usuario use algún tipo de autenticación, que normalmente suele ser registrar una cuenta de membresía en el portal. Obviamente esta autenticación debe pasar por debajo de un certificado SSL, o de lo contrario un atacante podría hacerse con información importante del usuario.
4) Ataques XSS: este tipo de ataques, también conocidos como cross-site scripting, es un tipo de ataque bastante usado, al igual que sucede con las inyecciones SQL. Mediante un XSS, el atacante puede establecer un sistema de phishing en el portal y robar información crítica como lo es el número de una tarjeta de crédito o de cuenta bancaria.
5) Ejecución de comandos remotos: scripts de PERL y PHP de baja seguridad suelen ser los puntos de entrada de un atacante, el cual insertará metacaracteres de shell en una URL de compra para ejecutar comandos usandos las credenciales del servidor. Esto puede llegar a ser fatal para un sitio de e-commerce.
¿Cómo prevenir estas vulnerabilidades?
Recuerda escanear tu web y tu equipo con frecuencia y con distintos servicios de escaneo. Mantén el software que uses actualizado, tanto a nivel del sitio como a nivel de tu PC local (muchas veces las infiltraciones a una web comienzan en la computadora del administrador). Usa siempre certificados SSL, mantén las contraseñas en lugares seguros y en lo posible usa una aplicación de Firewall.