Na rozdíl od magazínů anebo diskuzních fór jsou na eshopy kladeny daleko vyšší bezpečnostní nároky. Mnoho začínajících provozovatelů, kteří už mají nějaké ty zkušenosti například s redakčními systémy a zkusí si rozjet eshop, staví na svých předchozích návycích. Ačkoliv třeba WordPress může být jak blog tak i eshop, v momentě kdy se na něm rozhodnete cokoliv prodávat je nutné změnit kompletně myšlení.
Bezpečnost musí být na prvním místě. Hacknutý blog většinou znamená jen otravné nahrávání záloh a doplnění chybějících údajů. U eshopu je však problém daleko větší. Spravujete osobní údaje a mnohé z nich mohou být zneužity. Pokud se tak stane můžete z toho mít značné potíže.
Finanční transakce a informace o kreditních kartách nechte raději třetí straně
Pokud nemáte zkušené programátory, profesionální serverové administrátory s bezpečnostním odborníkem, tak je vždy lepší přenechat platby a zvláště tak citlivé informace jako čísla kreditních karet třetím stranám, které jsou na tom bezpečnostně a procesně lépe. To platí i o serveru jako takovém. Ať si zákazník zaplatí přes platební bránu a vy dostanete jen informace o zaplacení. Využijte služeb jako GoPay, PayPal popřípadě platební bránu některé z bank. Uchovávat čísla kreditních karet je velké bezpečnostní riziko.
SSL kdekoliv to jde
Investice do certifikátu není jen o tom mít hezký zelené adresní řádek. Vaši zákazníci se připojují k internetu v kavárnách, na letištích a klidně i u souseda. Všechna komunikace s eshopem musí probíhat šifrovaně a to kompletně. Ať už se jedná o přihození položky do nákupního košíku, platbu, administraci anebo odhlášení příjímání nabídek emailem.
Každý zaměstnanec musí mít svůj vlastní účet
Přístupy do administrace se nikdy nesdílí. Každý zaměstnanec musí mít vlastní. Často je nutné udělat nějakou změnu, kde nemá zaměstnanec patřičná oprávnění a tak dostane „zapůjčený“ administrátorský účet. Problém je pak na spadnutí. V případě takto porušených pravidel je třeba změnit vždy hesla.
Služby a produkty třetích stran je nutné důkladně prověřit
U redakčních systémů jsme si zvykli stahovat rozšíření, kdykoliv je potřebujeme. U eshopů je postup náročnější. Každý doplněk, šablona anebo služba, která bude vyžadovat vložení API musí projít auditem programátora, který má u vás na starosti bezpečnost. To platí i o všech aktualizacích. Neexistuje výjimka. Vašeho programátora čeká procházení řádek po řádku a hledání čehokoliv nebezpečného, co by mohl případný útočník zneužít jako backdoor. I to je jeden z důvodů proč některé společnosti volí vlastní řešení na míru.
