Krako, siento mucho esta Pu* pero por el volumen y criticidad de los fallos, era cuestión de tiempo, podría ser para extorsionar como así a sido, para incluir un exploit y usar tu web para infectar equipos de tus clientes con troyanos, o para extorsionarlos conociendo sus datos personales y contraseñas, o simplemente como plataforma intermedia para otros ataques, veo que los estas tomado desde el punto de vista positivo y esa es la postura, aprovecha para montar una tienda aún mejor, más segura y adecuada a los nuevos tiempos.
Ahora estarás planteando cambiar de plataforma, desarrolladores, etc etc, te paso unas pistas interesantes para saber que hacer y a quien no contratar :
1: Rechaza el software a medida, a día de hoy con proyectos libres como Prestashop (existe módulo BTC de bitapay), magento (existe módulo BTC de bitapay), wordpress, drupal o jomla es inventar la rueda y ser menos competitivo no aprovechando miles de horas de desarrollo y depuración de grandes aplicaciones. no digo que no adecues o uses módulos para adaptarlo a tus necesidades pero todos desarrollo a medida es un riesgo.
2: Si montas una tienda física buscas a un experto o te informas en seguridad para montar cámaras, proceso de retirada de efectivo, verjas, pilares anti alunizaje, etc. con la seguridad informática haz lo mismo, asesórate o aprende a usar contraseñas robustas, a no usar aplicaciones de procedencia dudosa, a desisitilar todo lo innecesario, a usar sistemas de autenticación fuerte, actualizar tus servidores y equipos, a diferenciar entre equipos de trabajo y personales, etc.
3: si contratas a un desarrollador, pregúntale por el proyecto OWASP (
https://www.owasp.org), y los 10 fallos de seguridad más comunes y como protegerlos (
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project), es fácil, pero hay que estudiar un poco, si no te responde de manera rápida y adecuada, cambia de desarrollador sin dudarlo.
4: asume siempre que van a entrar y intentar aplicar tanto técnicas de visibilidad como de doble protección (defensa en profundidad se llama exactamente): integridad de archivos, detectores de intrusiones de HOST, activar las auditorías de los servidores, analizadores de logs , haseado de contraseñas, uso de usuarios no priviligiados, y déjate algún caramelo para saber que tienes un turista, por ejemplo un wallet.dat con la auditoría del sistema activada, si entra alguien va a acceder al archivo y tu sabrás que haya alguien más (vamos como dejar un biellete de 20€ en el cajón de la cocina para la chica de la limpieza)
5:Asume que alguien va a meter la pata y gástate unos cuartos en una auditoría de seguridad, no hace falta que contrates aun hacking ético de decenas de miles de Euros, basta con que un profesional le dedique entre una tarde y 2 días para cerrar las puertas más comunes, pero sobre todo que NO TENGA NADA QUE VER CON EL INSTALADOR/DESARROLLADOR. Los fallos de tu web se detectan en pocos minutos por alguien con experiencia y un entorno de trabajo adecuado y esto no debería costarte más de 2 BTC para una revisión rápida.
Finalmente ánimo y bienvenido al mundo de la paranoia de la seguridad informática.
