5 najczęstszych luk bezpieczeństwa w sklepach e-commerce w 2026 roku
Ataki na sklepy internetowe w ostatnich miesiącach wyraźnie przyspieszyły. Napastnicy coraz rzadziej szukają spektakularnych exploitów. Zamiast tego polują na te same, banalne błędy, które administratorzy popełniają od lat. Poniżej pięć najczęstszych wektorów, z którymi spotykam się w praktyce podczas reagowania na incydenty.
1. Webshelle w katalogach uploadów
Klasyk, który nie odchodzi do lamusa. Napastnik wykorzystuje źle zabezpieczony endpoint REST API lub formularz uploadu, wrzuca plik PHP do pub/media albo wp-content/uploads, a następnie używa go jako furtki. Rozwiązanie jest proste: blokada wykonywania PHP w katalogach uploadów poprzez konfigurację serwera WWW (Nginx/Apache) oraz walidacja typu i zawartości plików na poziomie aplikacji.
2. Nieaktualne wtyczki i moduły
Szczególnie bolesne w ekosystemie WordPress/WooCommerce. Jedna zapomniana wtyczka sprzed trzech lat potrafi otworzyć drzwi do całej instalacji. Regularny audyt wtyczek, usuwanie nieużywanych oraz automatyczne aktualizacje to minimum, które powinno być standardem.
3. Ekspozycja REST API bez rate limitingu
Magento 2 i WooCommerce domyślnie udostępniają REST API, które przy złej konfiguracji staje się wektorem ataku. Brak ograniczeń liczby zapytań pozwala na brute-force na endpointy logowania lub masowy upload plików. Varnish VCL z normalizacją żądań plus fail2ban to rozwiązanie, które zajmuje godzinę, a ratuje dni pracy.
4. Słabe hasła panelu administracyjnego
Brzmi oczywiście, ale wciąż widzę w produkcji konta admin z hasłem admin123. Wymuszenie MFA dla kont administracyjnych oraz whitelista IP dla ścieżki /admin eliminują tę klasę ataków niemal całkowicie.
5. Brak monitoringu integralności plików
Większość infekcji pozostaje niezauważona tygodniami, bo nikt nie sprawdza, czy w katalogu z modułami nie pojawił się nowy plik. Narzędzia typu AIDE, Tripwire albo nawet prosty skrypt cron porównujący checksummy katalogów potrafią wykryć backdoor w kilka godzin od jego wrzucenia.