最初のeStoreのセキュリティに関する考慮事項

CWE/SANS Top 25 Most Dangerous Programming Errors に目を通し、ファイルシステムへの不正アクセスによって引き起こされる可能性のある脅威を検討します（つまり、攻撃者が悪意のあるJavascriptをページに追加するとどうなりますか？）-共有ホストのセキュリティ慣行はプロバイダー間で大きく異なります。したがって、懸念の原因があると感じた場合は、ホストの提供内容と慣行を確認することをお勧めします。

絶対的ですが、製品の種類に依存する可能性は低いです。

デジタル製品/デジタルダウンロードについて話している場合、それはまったく別の側面であり、セキュリティの問題です。

Paypalトランザクションを確認してから、注文の完了/発送などの操作を手動で行う場合は問題ありません。ただし、確認ページに何らかのスクリプトが含まれている場合は、注文が完了したことを「ふり」することができます。等.

支払いに関係するものをホストしていないので、ターゲットを絞ったとしても、回復する（定期的なバックアップをとる）際のあらゆる種類の「問題」はダウンタイムに限定されますが、かなり安全である必要があります。

Danlefreeリンク先リストは、オンラインおよびオフラインのアプリケーションで最も一般的なセキュリティ問題の大まかな要約です（おそらくほとんどのプロジェクトで実行するのに適したチェックリスト）が、これらの一般的な懸念は別として、それほど多くのeコマース固有のPaypal標準のようなオフサイト支払い処理を使用している場合に心配する問題。

つまり、ユーザーがMITM（Man-in-the-Middle）攻撃のターゲットである場合、支払いが攻撃者のPaypalアカウントに流用される可能性があります（またはPaypal資格情報が盗まれます）が、これは本当にありそうもないシナリオIMO。ただし、安全にしたい場合は、SSL証明書を取得してサイト全体で使用する価値があるかもしれません。しかし、電子商取引に関連する主要なセキュリティ上の懸念は、PII（個人を特定できる情報）やその他の機密情報をオンサイトで処理し始めたときに初めて発生します。その場合は、TLS暗号化の使用を開始し、安全なWebホストを使用し、セキュリティのベストプラクティス（ソルトパスワードハッシュのみを保存する、PCI-DSSに準拠するなど）を順守する必要があります。

これが初めてのeコマースサイトである場合は、オフサイト支払い処理を使用し、統合ガイド（Paypal標準統合ガイドのWebサイト支払いの保護に関するセクションなど）に注意を払うことをお勧めします。私が考えることができる唯一の他のことは、注文を管理するために電子メールを使用することを避けることです。その理由は、悪意のあるユーザーが実際に注文することなく、注文通知メールを偽装する可能性があるためです。そのため、常にPaypalダッシュボードをチェックして、注文を管理/確認してください。