Безпека онлайн-магазину: як захистити бізнес від кіберзагроз

Більшість власників невеликих інтернет-магазинів думають приблизно так: «Я маленький, хто мене зламуватиме?» Але саме ця думка і робить малий бізнес легкою ціллю. Автоматизовані боти не обирають жертву за розміром — вони сканують тисячі сайтів на вразливості й атакують тих, хто не захищений.

Ця стаття — для тих, хто веде інтернет-магазин в Україні: через власний сайт, Prom, Rozetka чи будь-яку іншу платформу. Розберемо, які загрози реальні, що можна зробити сьогодні безкоштовно, а де варто витратити кілька сотень гривень на рік.

Що реально трапляється з малим e-commerce

Перш ніж говорити про захист, варто зрозуміти, від чого захищатися. Ось найпоширеніші сценарії, які зустрічаються в українських підприємців:

Злом адмін-панелі. Хтось підбирає пароль до вашого сайту на WordPress або OpenCart, встановлює шкідливий код і починає перенаправляти покупців на сторонні сайти. Ви дізнаєтесь про це, коли клієнти почнуть скаржитись або Google позначить сайт як небезпечний.

Крадіжка даних клієнтів. Якщо ви зберігаєте імена, телефони, адреси Нової Пошти — це вже цінна інформація. Бази контактів продають на тіньових форумах від $20-100 за тисячу записів.

Фішингові листи від імені вашого магазину. Шахраї створюють підроблений сайт або email-розсилку від вашого бренду й «доповідають» клієнтам про виграш або акцію, збираючи дані карток.

DDoS-атаки. Конкурент або просто зловмисник «кладе» ваш сайт напередодні Чорної п’ятниці чи розпродажу. Для дрібного магазину кілька годин простою — це реальні втрати.

Злом особистого акаунту на маркетплейсі. Доступ до вашого кабінету на Rozetka або Prom може означати виведення коштів, зміну реквізитів або знищення репутації через фіктивні замовлення.

Основи, без яких усе інше не має сенсу

Паролі та двофакторна автентифікація

Звучить банально, але 80% зломів відбуваються через слабкі або повторно використані паролі. Конкретні правила:

Пароль до адмін-панелі сайту, кабінету на маркетплейсі, поштового акаунту та банкінгу — різні для кожного сервісу.
Мінімальна довжина — 12 символів, із великими та малими літерами, цифрами та спецсимволами.
Використовуйте менеджер паролів: Bitwarden (безкоштовний, з відкритим кодом) або 1Password (платний, ~$3/місяць). Не зберігайте паролі в браузері на робочому комп’ютері, до якого мають доступ інші.

Двофакторна автентифікація (2FA) — обов’язкова для всіх критичних акаунтів: пошта, банкінг, маркетплейси, хостинг. Навіть якщо хтось дізнається ваш пароль, без другого фактора (код із SMS або застосунку) увійти не зможе.

Додаток Google Authenticator або Authy — безкоштовні та надійні. SMS-коди менш безпечні (їх можна перехопити через підміну SIM-карти), але все одно краще, ніж нічого.

SSL-сертифікат

Якщо адреса вашого сайту починається з http:// — це проблема. Браузери позначають такі сайти як «небезпечні», а Google знижує їх у пошуковій видачі.

SSL-сертифікат шифрує дані між браузером покупця та вашим сайтом. Базовий варіант від Let’s Encrypt — безкоштовний і встановлюється через більшість хостинг-провайдерів (Ukraine.com.ua, Mirohost, Hostpro) буквально в кілька кліків у панелі керування.

Захист сайту залежно від платформи

Якщо у вас WordPress + WooCommerce

WordPress — найпопулярніша CMS, а тому й найчастіша ціль атак. Базовий захист:

Плагін безпеки. Встановіть Wordfence Security (є безкоштовна версія). Він сканує сайт на шкідливий код, блокує підозрілі IP-адреси та захищає форму входу від брутфорс-атак.

Обмежте кількість спроб входу. За замовчуванням WordPress дозволяє необмежену кількість спроб введення пароля. Wordfence або плагін Limit Login Attempts Reloaded виправить це.

Змініть стандартний логін. Більшість ботів починають злом із логіном admin. Якщо у вас саме такий — змініть його негайно.

Регулярні оновлення. WordPress, теми та плагіни оновлюйте одразу після виходу нових версій. Більшість оновлень — це саме патчі безпеки. Увімкніть автоматичні оновлення для ядра WordPress.

Резервні копії. Плагін UpdraftPlus автоматично створює бекапи і зберігає їх на Google Drive або Dropbox. Налаштуйте щоденне резервне копіювання. Якщо сайт зламають — відновитесь за 20 хвилин.

Якщо ви працюєте через Prom або Хорошоп

Платформи самі відповідають за базову безпеку інфраструктури. Але ваші облікові дані — ваша відповідальність. Увімкніть 2FA в налаштуваннях акаунту та слідкуйте за тим, кому видаєте доступ до кабінету (менеджерам, помічникам).

На Prom будьте уважні до фішингових листів від «служби підтримки». Реальний Prom ніколи не просить ввести пароль або дані картки через email.

Якщо у вас кастомний сайт

Регулярний аудит безпеки від розробника — не розкіш, а необхідність. Раз на 6-12 місяців варто перевіряти сайт на вразливості. Інструменти на кшталт Sucuri SiteCheck (безкоштовне сканування онлайн) покажуть очевидні проблеми.

Захист платежів

Якщо ви приймаєте оплату онлайн, обирайте перевірені платіжні шлюзи: LiqPay, Wayforpay, Fondy. Вони сертифіковані за стандартом PCI DSS — це означає, що дані карток клієнтів проходять через захищену інфраструктуру провайдера, а не зберігаються на вашому сайті. Ніколи не створюйте власну форму введення даних картки — це і незаконно, і небезпечно.

Підключіть сповіщення про всі транзакції на email або в Telegram. Підозрілі операції (наприклад, кілька замовлень на одну адресу з різних карток) помітите одразу.

Людський фактор: ваша команда і ви самі

Технічний захист безглуздий, якщо ви або ваш менеджер відкриває підозрілі листи.

Фішинг — головна загроза. Шахрайські листи стають дедалі переконливішими. Ознаки підозрілого листа:

Незнайомий відправник із схожою на відому адресою (наприклад, [email protected] замість novaposhta.ua)
Терміновість: «ваш акаунт заблокують через 24 години»
Посилання, яке веде не туди, де ви очікуєте (перевірте, навівши курсор, але не клікаючи)
Прохання підтвердити пароль або дані картки

Робочий комп’ютер — не для всього. Якщо ви керуєте магазином із ноутбука, на якому ще й дивитесь піратські фільми та завантажуєте все підряд — ризик компрометації дуже високий. Мінімум: встановіть антивірус (Windows Defender у Windows 10/11 — вже непоганий варіант) і не ігноруйте його попередження.

Обмежте доступи. Якщо у вас є помічник або SMM-менеджер — давайте доступ лише до того, що потрібно для роботи. Не передавайте головний пароль від адмінки. У WordPress, наприклад, можна створити акаунт із роллю «редактор» без прав на зміну налаштувань сайту.

Що робити, якщо вас вже зламали

Паніка не допоможе. Покроковий план:

Зміните всі паролі — починаючи з хостингу та закінчуючи поштою.
Повідомте хостинг-провайдера — вони часто можуть допомогти з відновленням і мають власні інструменти виявлення загроз.
Відновіть сайт із резервної копії (ось чому бекапи — це не опція).
Проскануйте сайт через Wordfence або Sucuri, щоб знайти і видалити шкідливий код.
Повідомте клієнтів, якщо є ризик витоку їхніх даних. Так, це неприємно, але це ваш обов’язок і питання репутації. Приховування ситуації завжди виходить боком.
Зверніться до CERT-UA (cert.gov.ua) — якщо атака серйозна, вони можуть надати консультацію.

Практичний чеклист: мінімум для старту

Пройдіться цим списком і відзначте, що вже зроблено:

Головне, що варто запам’ятати

Кібербезпека — це не разова задача «зробив і забув». Це звичка: оновлюватись вчасно, не ігнорувати попередження, перевіряти, хто і до чого має доступ. Більшість успішних атак на малий бізнес — це наслідок базової недбалості, а не складних хакерських технологій.

Почніть із найпростішого: увімкніть 2FA всюди, де це можливо. Це займе 15 хвилин і закриє половину типових ризиків.

Якщо ви хочете витрачати менше часу на рутину і більше — на розвиток бізнесу, зайдіть на gazdinya.com. Газдиня допомагає з описами товарів, комунікацією з клієнтами та іншими щоденними завданнями e-commerce — щоб у вас залишався час на те, що дійсно важливо.

Безпека онлайн-магазину: захист від кіберзагроз