Aumento do comércio eletrônico e a segurança de dados online

As lojas de comércio eletrônico explodiram em 2020. Com o mundo exterior ficando subitamente fora dos limites, muitas empresas deram saltos rápidos para o espaço de varejo online.

No final do ano, as vendas online cresceu 61,4%em relação ao mês de dezembro anterior.

No entanto, esses rápidos desenvolvimentos vieram em grande risco para a segurança.

De senhas vazadas a cartões de crédito roubados, os clientes estão cada vez mais arcando com o peso dos erros de segurança das empresas. Seus sites sem código podem ter dados da empresa em risco; uma firewall de aplicação web pode ajudar a defender e proteger.

Os sites do sistema de gerenciamento de conteúdo podem ter simplificado a criação de sites – mas eles sacrificaram a segurança por conveniência?

A revolução sem código

Desenvolver, manter e hospedar até mesmo um site HTML básico costumava ser um sistema complexo de desenvolvedores e webmasters. Cada decisão de UX e opção de servidor envolveria várias opiniões de especialistas.

Agora, no entanto, criar seu próprio site é tão fácil quanto criar uma conta shopify e juntar alguns elementos de página prontos.

Até mesmo a compra de domínio e a hospedagem de servidores agora são funcionalidades integradas para alguns sites CMS. Dado o enorme aumento no comércio eletrônico na última década, as soluções de código baixo ou sem código ajudaram a reduzir drasticamente a barreira de entrada.

As soluções CMS vendem-se pela facilidade de uso; em vez de escrever linha sobre linha de JavaScript, você só precisa montar vários elementos essenciais. Isso é ativado por plugins. Os plug-ins se tornaram pilares da arquitetura sem código, pois as funcionalidades pré-codificadas podem ser simplesmente arrastadas e soltas na sua página.

Os sites criados por cada plataforma CMS são bonitos, escaláveis e adaptáveis a dispositivos. No backend, no entanto, esses sites são colchas de retalhos de plugins e widgets. A grande variedade de plugins de terceiros abre cada site para uma verdadeira seleção de vulnerabilidades: aqui estão alguns exemplos recentes.

Problemas do WordPress

Se você está familiarizado com o WordPress, pode ter encontrado o plugin WP Shopify. O WP Shopify sincroniza os dois sites de comércio eletrônico de baixo código, permitindo que os clientes adicionem itens à sua cesta do WordPress e passem pelo processo de checkout.

Infelizmente, as versões 2.0.4 e anteriores do plugin WP Shopify abriram sérias vulnerabilidades nos sites da empresa. Um perigo em particular é que o WP Shopify permite ataques de script entre sites (XSS). O XSS transforma este plugin em um vetor para injeção de código.

Isso ocorre porque o WP Shopify não limpa os dados de entrada provenientes do usuário. Isso permite que um invasor insira um URL em qualquer campo.

Essa URL pode dar acesso às próprias configurações do plug-in, instruindo o plug-in a baixar um pequeno pedaço de javascript do servidor de um invasor para a página. Isso abre ainda mais as comportas para o roubo de autenticação baseada em cookies. O XSS é tão poderoso que um invasor nem precisa estar logado.

WooCommerce Woopsies

Outro plugin do WordPress, WooCommerce, é uma ferramenta fantástica para pequenas e médias empresas. O pagamento seguro gratuito e as opções de envio configuráveis são implementadas em poucos minutos – tudo de graça.

No entanto, uma reclamação do cliente apareceu em 2020. Pouco depois de fazer uma compra no site de uma pequena empresa, eles notaram uma transação fraudulenta no cartão. Depois de sinalizar isso com a empresa, era hora de aprofundar o plugin culpado.

Foi – sem surpresa – outro caso de injeção de código. Aqui, no entanto, os invasores conseguiram alterar os próprios arquivos PHP, em vez de executar comandos externos em Javascript. Essas instruções maliciosas enviariam detalhes de login e cartão para um servidor russo anônimo.

Este swiper de cartão foi instalado nos últimos três meses e meio, afetando potencialmente centenas de clientes.

O ponto cego da acessibilidade

Há uma regra com vulnerabilidades de plugins: as bem-sucedidas se escondem. Para algumas empresas, as soluções de segurança são tão medíocres quanto uma rápida revisão manual do código de back-end.

É aqui que a ofuscação se torna uma forma poderosa de resiliência a malware. Uma solução popular é o uso do comando strrev(). Strrev – literalmente ‘string reverse’ – troca a ordem de cada letra em uma string.

Isso significa que pode haver um simples ‘exe.erawlam nur’ ensanduichado no meio de um pedaço de código. Enquanto um olho humano absolutamente encobriria isso, a função strrev leria ‘executar malware.exe’.

Outro método comum de ocultar código malicioso é através da função javascript atob(). Isso simplesmente decodifica uma string que foi codificada anteriormente; mais uma vez escondendo o código malicioso fora de vista.

Infelizmente, a separação do código e do desenvolvedor da Web deu aos agentes mal-intencionados uma lacuna na qual eles se aninharam confortavelmente. Muitas vulnerabilidades levam alguns meses para serem encontradas e, a essa altura, já causaram danos consideráveis à sua reputação.

Protegendo-se

A tentativa de detectar manualmente as vulnerabilidades em cada plug-in do CMS levaria qualquer pessoa à loucura. Em vez disso, seu foco deve ser manter todos os seus plugins corrigidos. Esta é uma estratégia de longo prazo básica, mas poderosa, para minimizar o risco associado a uma plataforma sem código.

No entanto, às vezes os patches demoram várias semanas – e, uma vez lançados, podem até falhar em corrigir completamente uma vulnerabilidade. Nesse caso, você precisa de uma solução de última hora para preencher as lacunas.

Um Web Application Firewall (WAF) é uma solução pequena, mas poderosa, que analisa e intercepta o tráfego da Web que flui de e para seu site. Depois de definir uma lista negra, uma lista branca ou uma configuração híbrida das duas, ela poderá interceptar ataques em trânsito. Isso impede que atores maliciosos acessem até mesmo plugins vulneráveis.

Os WAFs são poderosos graças à sua flexibilidade. Em primeiro lugar, eles só precisam ser implementados em alguns locais-chave. Isso os torna altamente escaláveis, em comparação com outros patches que devem ser instalados em cada host.

Há também uma chance menor de introduzir conflitos em um site CMS. Enquanto mexer com o próprio código pode até quebrar seu site de comércio eletrônico, os WAFs fornecem proteção enquanto ficam fora das linhas de código de suporte e bibliotecas.

Por fim, a proteção contínua em segundo plano que os WAFs oferecem permite que os sistemas de missão crítica permaneçam on-line o tempo todo.

A total adaptabilidade e a ampla proteção que um WAF pode oferecer devem torná-lo um elemento básico de qualquer empresa voltada para a segurança. No domínio dos sites CMS de patchwork de baixo código, os WAFs são peças críticas da arquitetura do site.

Saiba maisa

Peça online

3172177

Receba as Novidades

Receba as novidades para encontrar as melhores oportunidades de crescimento do seu negócio.

Inteligência em web, design e marketing. 
Brasil – Portugal –  Europa


© 2024 mktize.com | Agência digital