Seguridad en tiendas virtuales
En el siguiente documento vamos a detallar una pequeña primera Guia de Seguridad para tiendas online, que básicamente se podría portar a casi cualquier aplicación PHP.
Principales archivos a modificar:
php.ini (Configuración general del PHP, si phpsuexec activado, tendremos que editarlo en la carpeta de la aplicación que vayamos a programar)
httpd.conf (configuración del apache)
.htaccess (sobreescribir las directivas del php.ini si nos lo permiten y no está activado phpsuexec)
Para tener una primera vision de la configuración general, y valorar si tenemos puntos comprometidos, deberemos crear un archivo php con el siguiente código y visitarlo con nuestro navegador:
<?php phpinfo() ?>
Pasos a seguir:
1) No mostrar errores a nuestros intrusos, para ello definiremos en el .htaccess
php_flag display_errors Off php_flag log_errors On php_value error_log “Ruta completa al fichero de log”
– Que no se muestren los errores en pantalla, y cambiarlo a que se guarden en la maquina en un fichero local solo accesible para el webmaster.
2) El famoso Register globals que por defecto ahora viene desactivado. En las tiendas oscommerce a partir de la RC1 ya no hace falta tenerla activada (en MS2 y anteriores si), por lo que ya no tendremos ese problema de configuración. Tenerlo activo no es un problema de seguridad en sí, si el código está bien implementado, pero si por defecto ya viene desactivado, estamos obligados a no jugar con “fuego” al poder pasar parámetros por GET y POST dentro de las variables globales de nuestra aplicación. Para desactivar esta directiva:
php_flag register_globals Off
3) Usar SAFE_MODE o no… en mi opinión solo és útil para servidores compartidos, donde hay varios usuarios, y así evitar que unos accedan o incluyan los ficheros de los otros. El único y gran problema es que al tenerlo activo, tendremos incompatibilidades con otros módulos y funcionalidades. Habría que valorar si es realmente necesario tenerlo activo en nuestro servidor.
4) Doble protección de nuestros ficheros de administración. Por ejemplo… toda la carpeta administrador o backend de la aplicación implementar protección mediante formulario de login, y además añadir protección mediante apache desde nuestro panel de control de hosting o a mano.
5) Denegar el acceso a nuestros directorios y ficheros de configuración o “sensibles” con la siguiente instrucción en el .htaccess (dentro del directorio donde se encuentran los archivos a proteger)
Proteger ficheros php:
Order Deny,Allow Deny from all
Proteger todos los ficheros del directorio que se especifique:
Order Allow,Deny
6) Sistemas de pago. El más sensible sin duda es la tarjeta de crédito. Los más seguros son los que usan webservices, y sin salir de la web, pero a día de hoy solo es viable con BBVA y algún otro banco. Mi recomendación es usar el sistema TPV de servired, que podremos encontrar en casi todas las cajas y caixas (La caixa, Caixa catalunya, Caja madrid, etc) que através de una firma Sha1 completa ampliada y una clave personal se transmite la información de forma “segura” entre la página del banco (quien se encargará por nosotros de recoger los datos de la tarjeta y comprobar su veracidad) y nuestra tienda, que será la que reciba la confirmación y autorización del pago.
Autor
¿Buscas trabajo de programador?
8 respuestas a “Seguridad en tiendas virtuales”
Deja una respuesta
Gracias por tu publicación 😉
Según nuestra propia experiencia (somos diseñadores de tiendas online y desarrollamos pasarelas de pago para prestashop), podemos afirmar que el comercio electrónico es cada vez más seguro, mucho más que hace un par de años atrás, y apenas conocemos casos de fraude virtual…
Lo más importante para conservar nuestra seguridad es cumplir unos requisitos mínimos de seguridad como no conectarse a nuestro banco desde un ciber-café ó conectarse desde un locutorio, lugares en los que se conectan diariamente cientos de usuarios diferentes que pueden infectar el PC con troyanos.
A parte de esto, la seguridad en la red va en aumento.
Un saludo desde Barcelona ! !
Hello from UK. I do not use superglobals at all in my scripts.
Utterly composed content , appreciate it for entropy.
Real nice style and good written content, nothing at all else we need :D.
It’s in point of fact a great and useful piece of information. I’m glad that you just shared this helpful information with us. Please keep us up to date like this. Thank you for sharing.
When someone writes an post he/she keeps the thought of a user in his/her mind that how a user can be aware of it. So that’s why this piece of writing is amazing. Thanks!
What i do not understood is in fact how you’re now not really a lot more neatly-appreciated than you might be right now. You’re so intelligent. You already know thus significantly on the subject of this matter, produced me for my part consider it from so many varied angles. Its like women and men don’t seem to be involved unless it is something to do with Lady gaga! Your individual stuffs excellent. Always handle it up!
Yeah bookmaking this wasn’t a speculative determination great post!