網購平台資安漏洞頻傳?斷尾求生為上策!

【本文作者:連仲賢,正弦創新數網 SDI 創辨人暨 CEO】

小小經驗看法,參考參考。

我以前弄跨境金物流服務時,網站是自建的, 被植木馬、駭進後台、被利用詐騙都碰到過,下圖是我們處理過的程序截圖。 在做企業管理/工廠管理時,通常有個矯正預防措施報告(8D),做一些簡化。 通常確認問題是最重要的,而最容易被忽略。

防資安就像是家裡的防盜鎖,就算鎖了 100道,都不能說是無法入侵的。

而做了很多的防護,就像回家要開 100道鎖一樣不便,造成 UX、操作上的不便,如同信用卡3D驗證,也是資安防護,但造成轉換率下降,這就要自已去判斷風險承擔管控的問題了。

對於 Open Source CMS 開發的網站,好處是架構強,彈性大,套件多,但求方便便宜用別人的套件,就可能有被植後門的風險。而越多人用的 CMS 系統,也就越多人去破解,當然這些系統組織都會去更新防護,所以經常會提示要更新。

…如果有一天有新的更好用的 CMS出來,大家開始轉用,則原本的CMS就開始不再更新,風險就會增加。我在 10年前用過 XOOPS架站,現在沒人用了。另外,CMS 架構完整,但如果有一些 bug 或要修改套件…比較麻煩。

一般常用的電商 open source 系統有:Opencart、Prestashop、Magento、Ecshop、Oscommerceea與強國人的 http://ecshop.kuaizhanbao.com/

一般常用的 CMS 有:WordPress、Joomla、Drupal

另外台灣很多人用開店平台,如 Shop123、Meetshop、 QDM、Shopline…,我都沒用過,但邏輯上與 Open Source一樣,越多人用,也用多人會去破解,一個漏洞被找到,所有用同一套的站都可能被鑽。

而加上越多人用,程式也越久,防護也越糟,通常這種平台開發文件不會太完善,而技術人員來來去去,程度不一,很多在防護上、解蟲、新功能的開發是很不好的,而且後面的工程師不會考慮架構,只會考慮前端應用,整套程式會一層一層的堆疊,最後…一個小 bug 要解 1個月,因為可能要挖到不知哪一層。

對於最近災情慘重、哀鴻遍野的狀況,我個人不負責的建議不二過原則,發生 1 次就要開始找代替,第 2 次馬上要斷尾換了,先找個新的系統、便宜的換進去用,隨便都可以,新的客戶少服務好一點,程式新漏洞比較少

不用考慮老半天,評估幾個月,評估完再慢慢搬…

通常問題解決、矯正預防措施是分短期與長期對策的

如果是我,我會這樣:
1.便宜的系統新站上新品 (短期)
2.舊站不動,新品外連 (短期)
3.舊商品、會員、訂單慢慢轉移,能匯出就匯出
4.慢慢評估長期使用的系統(不要弄完1~3就不再想了)

也許搬來搬去很麻煩,的確是的,但計畫內的搬比計畫外的搬要好千倍,算算你可能會流失的風險(實質、品牌),應該不難判斷吧!

原文出自作者個人臉書專頁,感謝作者授權轉載

作者簡介:連仲賢 (Brian),正弦創新數網 SDI 創辨人暨 CEO,點買台灣發展籌備處負責人,曾於 MMdc 關鍵數位行銷擔任電商營運總監,及飛易電商總經理。專長為:BD、管理、分析、電子商務、創意、行銷、品牌