あるAnonymous Coward 曰く、

先日、以下の報道があった。
聖教新聞社のサイトが改ざん、偽決済画面で2481人分のカード番号窃取
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02980/

手法としては、Webサイトを改ざんして偽決済画面を仕込み、ユーザーにカード情報を入力させ、入力後は「エラー」と表示してから本物の決済画面に遷移し、以降は本物の手続きが行われるために、ユーザーが不正に気が付きにくい、というもの。

これについて、セキュリティ専門家の徳丸氏が、以下のエントリをアップした。
ECサイトからクレジットカード情報を盗み出す新たな手口
https://blog.tokumaru.org/2018/10/ec.html

徳丸氏は、この手口は今年6月に施行された改正割賦販売法への対応による、クレジットカード情報の「非保持化」では対策できない、と指摘し、Webサイト改ざんに対する施策を行うことが望ましいとしている。
その中で、ファイルなどを書き込み禁止とした上で、オーナーのユーザーとWebアプリケーションが動作するユーザーを異なるものとし、ファイルの書き込み権限の変更もできないようにすることを推奨しているが、レンタルサーバーを利用したECサイトではそのような設定が行えない場合が一般的であることも指摘し、WAFの利用を推奨している。