Os ataques cibernéticos estão ficando cada vez mais frequentes; dia sim, dia não vemos reportagens de ataques em massa que acontecem em vários sites, e o e-commerce não sai limpo desta. Uma das principais vítimas, os donos de e-commerce e programadores tem que, muitas vezes, agir contra o tempo para manter seus métodos de pagamento funcionando e seus clientes reais comprando. Neste texto, vamos discutir as principais maneiras de manter a segurança no seu site, como já implementamos em alguns clientes.
1 — Bloqueio por método de pagamento.
Os pedidos de fraude podem se caracterizar pelo uso do mesmo cadastro e cartões diferentes, então um módulo que ofereça bloqueio a cada X compras de Y método de pagamento, pode auxiliar neste caso.
2 — Form key habilitado
O form key é uma validação para garantir que os dados de um website não sejam enviados a outro durante a sessão. É uma alteração que pode ser feita por um desenvolvedor nos campos de seu site e é extremamente importante, mesmo quando sua loja não está sob ataque.
3 — Captcha e reCaptcha
Esta é uma feature que tem seus fãs e seus críticos, mas que traz muitos resultados. O Captcha nato do Magento é um pouco confuso, sendo um dos menos utilizados, porém o reCaptcha, do Google, tem atraído muitos olhares por seu botão “Não sou um robô.” e sua seleção de placas de rua, fachadas de loja e etc. Levando em conta a experiência do usuário, o reCaptcha chama mais atenção por ser mais intuitivo e não gerar tanto retrabalho quanto o Captcha normal ao ser inserido incorretamente.
O Captcha nato do Magento pode ser ativado no Painel Administrativo, porém dependendo do tema da sua loja, podem ser necessários alguns ajustes no frontend;
Já o reCaptcha, pode ser instalado em sua loja através do módulo reCaptcha para M1 ou reCaptcha para M2, e ajustes no frontend deverão ser feitos.
4 — Bloqueio de I.P.
Todas as opções acima podem demandar algum tempo de instalação e/ou configuração, mas sua loja pode estar tendo um ataque nesse exato momento, então o que fazer? Caso o invasor esteja utilizando o mesmo IP em suas compras, você pode contatar seu suporte de Infraestrutura para bloquear este IP de sua loja.
É uma solução não tão eficaz por longos períodos de tempo, pois quando o invasor perceber que é um bloqueio de IP, ele irá utilizar outra máscara e reiniciar os ataques, então o suporte deverá ser contatado novamente, e o ciclo continuará assim por algum tempo, se nenhuma medida for tomada.
5 — Patches de Segurança
Os patches de segurança são liberados quando os desenvolvedores e usuários do Magento descobrem bugs que causam perda na segurança da loja. Para realizar a correção destes bugs é criado um Patch de Segurança, que devem ser instalados para evitar ataques ao site.
Você pode ver os patches instalados (ou não) em sua loja no site Mage Report.
6 — Redirecionamento no checkout
Ao fazer uma compra teste em sua loja com um cartão falso, o site apresenta (ou deveria) apresentar uma mensagem de erro, de compra cancelada pelo cartão ter sido recusado, por exemplo. Até ai tudo bem, mas ao mostrar essa mensagem de erro, o cliente continua no checkout? Ai está o problema. Ao localizarem um site que acontece isso, os fraudadores começam a testar seus cartões falsos (que não são poucos) no checkout.
Para corrigir isso, basta inserir uma página de transação negada, ou redirecionar o cliente ao carrinho após uma transação negada.
7 — Link do Painel Administrativo
Os fraudadores podem tentar inserir scripts maliciosos no seu site, e o melhor jeito é pelo Painel Administrativo. Seu admin é acessável por um link seusite.com/admin ou /painel?
Então está na hora de trocar seu link. Links facilmente acessíveis, podem colocar seu site em risco de receber um ataque de “força bruta”, que é quando a pessoa faz várias tentativas de acesso com um usuário bem comum (“admin” ou “ana”, por exemplo), e tenta inserir várias senhas diferentes.
A troca do link unida a usuários com nome e sobrenome, por exemplo, são aliados para evitar os ataques no admin.
