Guida per la protezione dei siti Web WooCommerce

Pubblicato: 2021-04-13

protezione del sito web woocommerce
WooCommerce è una delle soluzioni di e-commerce più popolari, gratuite e flessibili per creare negozi online. Con oltre 48 milioni di download, alimenta oltre il 28% di tutti i siti di e-commerce.

Questa vasta popolarità ha anche reso WooCommerce uno degli obiettivi principali di hacker e altri cyber-truffatori. Se stai gestendo un negozio WooCommerce o stai pianificando di crearne uno, potresti voler conoscere le cose che puoi fare nel tuo negozio per tenerlo al sicuro.

Sebbene WooCommerce e WordPress siano dotati di funzionalità di sicurezza integrate, la pratica di alcune misure di sicurezza di base aggiungerebbe un ulteriore livello di sicurezza al tuo negozio WooCommerce.

Questo articolo elenca alcuni dei suggerimenti di sicurezza più importanti ed efficaci che puoi applicare sul tuo sito Web per fornire ai tuoi clienti WooCommerce un ambiente di acquisto sicuro e protetto nel tuo negozio.

Scopriamo cosa sono e come funzionano.

Scegli un provider di hosting affidabile
Scegliere un provider di hosting affidabile e sicuro è il primo passo per garantire la sicurezza del tuo negozio WooCommerce. La sicurezza dovrebbe essere una delle cose importanti che dovresti cercare nel tuo provider di hosting.

Puoi utilizzare la lista di controllo qui sotto per capire come il tuo potenziale host gestisce la sicurezza dei siti web da esso ospitati.

Monitoraggio della rete: grazie al monitoraggio costante, sarà in grado di tenere d'occhio il traffico o gli incidenti sospetti e prevenire l'attacco in anticipo.
Scansione antivirus e antimalware
FTP sicuro: assicurati che il tuo provider di hosting supporti SFTP, la versione sicura di FTP.
Usa password complesse

Gli account con password deboli sono spesso vittime di attacchi di forza bruta. Ciò rende importante scegliere una password sicura per tutti gli account associati al tuo negozio WooCommerce.

Le password più efficaci sono una combinazione di lettere maiuscole, minuscole, numeri e simboli. Password così complesse e lunghe renderanno difficile per gli hacker decifrarle.

Se non desideri perdere tempo a creare password sicure, WordPress ha una funzione integrata "Password migliori" che genera una password complessa per i suoi utenti. Puoi anche utilizzare il generatore di password sicure di Chrome per creare e gestire le tue password per te.

Evita di usare "Admin" come nome utente
La maggior parte dei siti Web segue la combinazione di nome utente e password per accedere ai siti Web. E molti proprietari di WooCommerce utilizzano Admin o il nome del negozio come nome utente per il proprio account. Ciò rende il tuo sito Web vulnerabile agli attacchi poiché prendono di mira gli account amministratore che hanno autorità completa sul tuo sito.

Quindi, è meglio non usare "admin" come nome utente amministratore. Puoi modificare il nome dell'amministratore di WordPress accedendo a Utente > Aggiungi nuovo nella dashboard di WordPress.
Aggiungi utente
Inserisci tutti i dettagli richiesti e scegli un nome utente univoco. Ora crea un nuovo account e seleziona " Amministratore " dai ruoli utente di WordPress disponibili.
scegli un nuovo ruolo utente
Fare clic sul pulsante Aggiungi nuovo utente .

Ora devi uscire dal tuo wp-admin e accedere con l'account appena creato. Puoi eliminare il precedente account utente "admin".

Abilita autenticazione a due fattori (2FA)
L'implementazione dell'autenticazione a due fattori è un altro grande passo avanti verso la protezione del tuo negozio WooCommerce.
Una volta abilitata questa funzione nel tuo negozio WooCommerce, chiunque tenti di accedere alla dashboard di WordPress dovrà fornire le proprie credenziali e una password sicura generata in tempo reale. Potrebbe trattarsi di una password monouso inviata a un numero di cellulare o a un ID e-mail.

Questo meccanismo impedisce a persone non autorizzate di accedere al tuo sito Web anche se dispongono della password. L'unico lato negativo di questa procedura è che ci vuole più tempo per accedere al tuo negozio.

Aggiungi certificato SSL (Secure Socket Layer)
La maggior parte degli URL dei siti Web contiene HTTPS come prefisso. Ma ci sono alcuni URL di siti Web che hanno HTTP come prefisso o non vengono visualizzati come sicuri nella barra degli indirizzi, cosa implica?
Immagine dello schermo
Questi siti Web sono considerati non sicuri in quanto non dispongono di un certificato SSL installato. Quando aggiungi SSL al tuo sito web, il suo prefisso URL cambia da HTTP a HTTPS, ad esempio; la versione sicura.

SSL è importante per garantire la trasmissione sicura dei dati tra il browser dell'utente e il tuo negozio WooCommerce. La maggior parte degli host offre un SSL gratuito con il loro pacchetto oppure puoi acquistarne uno e aggiungerlo al tuo sito Web utilizzando un plug-in di WordPress.

L'esecuzione del tuo negozio WooCommerce senza un certificato SSL potrebbe influire sulla tua attività in diversi modi. Prima di tutto, le persone non si fiderebbero del tuo sito Web con le loro informazioni di pagamento per effettuare transazioni e Google non classificherà il tuo sito Web per i migliori risultati, entrambi i quali influenzeranno pesantemente il tuo traffico e in definitiva le vendite.

Limita i tentativi di accesso
Questo è un importante meccanismo di prevenzione contro gli attacchi di forza bruta, che è uno dei metodi più comuni utilizzati dagli hacker per entrare nel tuo sito web.

Questo tipo di attacco avrà un'enorme possibilità di successo se eseguito da bot poiché i bot sono in grado di provare migliaia di combinazioni in appena un secondo. Anche quelle password complesse che hai creato potrebbero non sopportare tali attacchi.

Quindi il modo migliore per evitare tali attacchi è limitare i tentativi di accesso falliti sulla pagina di accesso del tuo sito web. Poiché l'impostazione predefinita di WordPress consente ai suoi utenti di accedere tutte le volte che vogliono, dovrai cercare altri modi per abilitarlo per il tuo negozio WooCommerce.

Puoi utilizzare un firewall per applicazioni web o un plug-in di WordPress per configurare tentativi di accesso limitati per il tuo sito web.

Mantieni aggiornato il tuo sito
WordPress e WooCommerce implementano aggiornamenti frequenti per risolvere i problemi di sicurezza nelle versioni precedenti e per aggiungere nuove funzionalità. Poiché WooCommerce è basato su WordPress, un determinato sito WooCommerce è nel complesso esattamente sicuro quanto l'installazione stessa di WordPress. Ciò indica la necessità di aggiornare la versione di WordPress quando viene rilasciato un nuovo aggiornamento.

Se stai attualmente utilizzando WordPress 4.3.x e la versione 4.4 è disponibile, non è obbligatorio eseguire l'aggiornamento alla nuova versione. Considerando che se viene rilasciata una 4.4.2, è necessario aggiornare a questa versione al più presto poiché l'ultima cifra "2" indica che si tratta di un aggiornamento di sicurezza.

Prima di iniziare con il processo di aggiornamento, si consiglia di creare un backup dei dati del tuo sito web, se qualcosa dovesse andare storto con l'aggiornamento. È inoltre consigliabile testare prima gli aggiornamenti principali su un sito di staging.

Quindi, tutto sommato, mantenere il tuo negozio WooCommerce correttamente aggiornato ti aiuterà molto a mantenerlo sicuro.

Esegui backup regolari di WooCommerce
A differenza dei normali siti Web, la perdita dei dati del tuo negozio WooCommerce può avere effetti disastrosi poiché contiene i dati dei tuoi clienti, i dati degli ordini, ecc., Che hanno un enorme impatto sulle entrate del tuo sito web.

Quindi è necessario mantenere un backup del tuo negozio per evitare il rischio di perdere tutti i tuoi preziosi dati WooCommerce. Puoi creare backup di siti Web in 3 modi diversi; backup manuale, backup automatico tramite plug-in e backup dal tuo host.

Puoi scegliere il modo in cui ti senti a tuo agio per creare i backup. Se prevedi di utilizzare un plug-in, UpdraftPlus sarebbe un'ottima scelta in quanto offre diverse posizioni di archiviazione e consente backup pianificati con la sua stessa versione gratuita.

Abilita il firewall dell'applicazione Web
L'esecuzione di un Web Application Firewall aiuta a proteggere il tuo sito da qualsiasi traffico dannoso prima ancora che raggiunga il tuo sito web. Esistono due tipi di firewall; Firewall per siti Web a livello DNS e firewall a livello di applicazione. Puoi aggiungere un firewall al tuo sito web utilizzando uno dei plugin di WordPress.

Il plug-in Wordfence è un'ottima opzione per aggiungere un firewall al tuo sito web. Una recente campagna di attacco volta a raccogliere le credenziali del database da 1,3 milioni di siti scaricando i loro file di configurazione è stata effettivamente bloccata da siti Web in esecuzione su versioni gratuite o premium di Wordfence.

Un firewall è un must per il tuo sito web se desideri proteggere il tuo negozio WooCommerce da qualsiasi tipo di attacco mirato ad esso.

Scegli i tuoi plugin e temi con saggezza
Le vulnerabilità non rilevate di plug-in e temi potrebbero aprire la strada agli aggressori per irrompere nel tuo sito Web e causare danni. Quindi dovresti fare in modo di scegliere solo i plugin e i temi che vengono aggiornati regolarmente. Poiché le versioni gratuite potrebbero non essere aggiornate con la stessa frequenza delle versioni premium, è meglio optare per le versioni premium per garantire aggiornamenti e supporto.

Tuttavia, se ciò non è possibile, assicurati che tutti i plug-in e i temi sui tuoi siti Web vengano aggiornati frequentemente e di disattivare ed eliminare tutti i plug-in che sono stati rimossi dal repository dei plug-in di WordPress il prima possibile.

Usa una password sicura del database e cambia il prefisso del database
Come accennato in precedenza, stanno aumentando anche gli attacchi mirati al database del tuo sito Web, il che indica la necessità di proteggere la password e il nome utente del database MySQL. Se pensi che il database del tuo sito web abbia una password debole, sostituiscila con una più forte.

Anche il prefisso del database deve essere modificato poiché WordPress utilizza wp_ come prefisso per tutte le tabelle nel database di WordPress per impostazione predefinita, il che lo rende vulnerabile agli attacchi (poiché è più facile per gli hacker indovinare il nome della tabella).

Usa un plugin di sicurezza
Se non sei in grado di gestire manualmente tutti i requisiti di sicurezza del tuo negozio, puoi aggiungere un plug-in di sicurezza al tuo sito e lasciare che gestisca tutte le attività di protezione del tuo sito. La maggior parte dei plug-in di sicurezza include alcune delle funzionalità importanti come firewall per applicazioni Web, scanner di malware, controllo dell'attività di sicurezza del sito, tentativi di accesso limitati e monitoraggio della lista nera, ecc.

Ecco alcuni dei plugin di sicurezza più popolari per il tuo sito Web WordPress-WooCommerce.

recinto di parole
Sucuri
Tutto in una sicurezza WP
iThemes Sicurezza

Tutti questi plugin sono disponibili sia in versione gratuita che premium. In base alle tue esigenze e alle funzionalità del plug-in, puoi scegliere la versione gratuita o premium.

Metti in pratica il principio del minimo privilegio
Il principio del privilegio minimo è l'idea che ogni utente dovrebbe avere solo i privilegi minimi necessari per svolgere la sua funzione. Ciò elimina l'uso improprio dei privilegi dell'utente e riduce i danni in caso di attacco.

È anche una buona pratica disconnettersi da un sistema se non è necessario utilizzarlo e impedirsi di fare clic sui collegamenti nelle e-mail, nelle chat, ecc., mentre si è connessi al proprio account associato al proprio negozio.

Disattiva Pingback e Trackback
Pingback e trackback sono metodi per avvisare i blog che hai collegato a loro. Ma è meglio disabilitarli nei tuoi negozi WooCommerce in quanto potrebbe far sì che il tuo sito web riceva un'enorme quantità di spam.

Puoi facilmente disabilitarlo nel tuo sito web deselezionando la funzione andando su Impostazioni > Discussioni dalla dashboard di WordPress.

Usa gateway di pagamento sicuro
I gateway di pagamento sono parte integrante dei negozi WooCommerce. È molto importante aggiungere i gateway di pagamento più sicuri nel tuo negozio per garantire la sicurezza dei dati tuoi e dei tuoi clienti. Stripe, PayPal, Authorize.net, ecc. sono ottime opzioni per gateway di pagamento sicuri.

Riepilogo
L'articolo ha elencato 15 modi importanti e più efficaci che puoi provare nel tuo negozio WooCommerce per tenerlo al sicuro. Ecco una rapida occhiata a ciascuno di essi.

  • Scegli un provider di hosting affidabile
  • Usa password complesse
  • Evita di usare admin come nome utente
  • Abilita l'autenticazione a due fattori
  • Aggiungi certificato SSL (Secure Socket Layer)
  • Limita i tentativi di accesso
  • Tieni aggiornato il tuo sito web
  • Eseguire backup regolari
  • Abilita il firewall dell'applicazione web
  • Scegli plugin e temi con saggezza
  • Usa una password sicura del database e cambia il prefisso del database
  • Usa plugin di sicurezza
  • Pratica Principio del Minimo Privilegio
  • Disattiva Pingback e Trackback
  • Usa gateway di pagamento sicuro

Se hai suggerimenti migliori per proteggere i negozi WooCommerce, condividili nella sezione commenti e aiuta a garantire una maggiore sicurezza per tutti i negozi WooCommerce.