Crezi aceste mituri comune de securitate WooCommerce?

Ultima actualizare - 8 iulie 2021

WooCommerce are sute de mii de utilizatori, deoarece este cel mai simplu mod de a construi un magazin de comerț electronic cu WordPress, un CMS cu care milioane de oameni sunt familiarizați. În orice comunitate de această dimensiune, există o gamă largă de expertiză și experiență, ca să nu mai vorbim de multe mituri și neînțelegeri.

În acest articol, voi arunca o privire la câteva dintre miturile legate de securitate pe care le-am întâlnit în discuțiile cu retailerii WooCommerce.

Furnizorul dvs. de găzduire web este responsabil pentru securitatea WooCommerce

Există un nucleu de adevăr în acest mit: furnizorii de găzduire WooCommerce ar trebui să aibă grijă de securitatea centrului de date, a rețelei și a serverului. Ar trebui să actualizeze software-ul serverului, inclusiv sistemul de operare. Ar trebui să se asigure că serverele lor nu rulează software vulnerabil. Cu toate acestea, există o limită a ceea ce poate face un furnizor de găzduire pentru a menține un magazin WooCommerce în siguranță.

Nu există nimic pe care un furnizor de găzduire poate face dacă proprietarul unui magazin WooCommerce instalează un plugin sau o temă care conține malware; uită să actualizeze WordPress, WooCommerce și alte plugin-uri și teme; sau folosește o parolă ușor de ghicit cu contul de administrator implicit.

Furnizorul de găzduire și proprietarul magazinului împărtășesc responsabilitatea pentru securitatea WooCommerce. Un magazin poate deveni vulnerabil prin lipsuri de ambele părți ale parteneriatului de găzduire.

Magazinul tău nu este suficient de important pentru a fi piratat

Presupunerea falsă care stă la baza acestui mit este că infractorii vizează doar magazinele cu zeci de mii de clienți. Pare plauzibil pentru că marile magazine sunt ținte mai valoroase: au mai multe resurse, mai multe date personale de exploatat, mai mulți vizitatori de infectat cu malware și mai multe numere de card de credit de furat.

Dar, în realitate, chiar și un mic magazin este util infractorilor. Costul compromiterii unui magazin WooCommerce vulnerabil – sau a oricărei aplicații web – este mic. Majoritatea magazinelor sunt compromise de roboții automatizați folosind vulnerabilități cunoscute și slăbiciuni evidente. Boții scanează mii de magazine și nu le pasă dacă un magazin are zece sau zece mii de vizitatori într-o zi – ambii vor fi compromisi și exploatate dacă nu sunt securizate corespunzător.

Magazinele mari valorează mai mult pentru criminali și le pot acorda atenție pe care nu o acordă magazinelor mai mici, dar o aplicație web cu o vulnerabilitate de securitate va fi compromisă în cele din urmă, indiferent de dimensiunea acesteia.

Este în regulă să partajați parolele WordPress

Comercianții cu amănuntul ar putea avea nevoie să ofere dezvoltatorilor, designerilor sau altor angajați acces de administrator la magazinul lor WooCommerce din când în când. Există două moduri de a face acest lucru:

1. Dați-le numele de utilizator și parola unui cont de administrator existent, unul care este folosit de proprietarul magazinului sau de o altă persoană de încredere.
2. Creați un nou cont de administrator pentru a fi utilizat numai de către profesioniști.

Prima dintre acestea este mai convenabilă pe termen scurt, dar are implicații semnificative pentru securitatea site-ului. La un moment dat, va fi necesar să retrageți accesul care a fost acordat, ceea ce este mai dificil dacă mai mulți utilizatori împărtășesc aceeași parolă. În realitate, conturile partajate sunt rar șterse, iar parolele partajate sunt rareori schimbate. Nu este neobișnuit ca întreprinderile să fie piratate de foști angajați nemulțumiți, folosind parole vechi care nu au fost niciodată schimbate.

Atunci când fiecare utilizator – indiferent dacă este administrator sau nu – are propriul cont, fiecăruia i se poate acorda doar accesul de care are nevoie și acesta poate fi ulterior retras fără inconveniente.

Temele WordPress nu sunt un risc de securitate

Temele WordPress schimbă aspectul unui magazin WordPress, dar influența lor merge mai profund decât modificările superficiale de design. O temă WordPress nu este mai puțin o piesă de software decât un plugin; o temă nesigură este la fel de riscantă ca un plugin nesigur. În cea mai mare parte, temele descărcate din depozitele oficiale și site-urile web pentru dezvoltatori de teme sunt sigure dacă sunt actualizate. Temele provenite din altă parte sunt mai mult un risc.

Acest mit mușcă deosebit de greu pentru comercianții cu amănuntul WooCommerce care instalează teme premium null (pirate). Este o tactică preferată a criminalilor de a injecta malware în teme anulate. Când proprietarii nebănuiți de magazine WooCommerce instalează o temă, ei instalează și o ușă din spate care oferă criminalului acces total la site.

Un firewall vă va păstra magazinul WooCommerce în siguranță

Există mai multe tipuri diferite de firewall-uri și funcționează pentru a respinge categorii distincte de atac. Firewall-ul oferit de un furnizor de găzduire WooCommerce funcționează la nivelul rețelei (numit și Layer 3). Poate opri traficul direcționat către anumite porturi sau de la anumite adrese IP. Nu poate opri atacurile rău intenționate care urmăresc să exploateze defecte în aplicația web în sine; la un firewall de nivel 3, acestea arată ca solicitări web legitime pentru portul 80.

Un firewall Layer 7 (stratul de aplicație) este necesar pentru a captura atacuri precum atacurile de injecție SQL, atacurile de scripting între site-uri și atacurile care urmăresc să exploateze defecte software în WordPress, WooCommerce sau plugin-uri. Cunoscuți și sub numele de firewall-uri pentru aplicații web (WAF), acestea reprezintă un strat de apărare neprețuit.

Cei mai buni furnizori de găzduire WooCommerce oferă funcționalitate WAF încorporată, dar comercianții WooCommerce pot instala un WAF prin pluginurile Sucuri sau WordFence .

Actualizarea pluginurilor este suficientă pentru a vă menține site-ul în siguranță

Un magazin WooCommerce poate fi spart din cauza unei vulnerabilități a pluginurilor atunci când toate pluginurile sale sunt actualizate? Da, se poate. Pot exista vulnerabilități zero-day în pluginuri; adică vulnerabilități care nu au fost corectate pentru că dezvoltatorul nu știe despre ele. Nu există multe lucruri pe care un proprietar de magazin WooCommerce poate face în acest sens. Dar există o altă sursă de risc pentru magazinele de ultimă oră.

Este o greșeală să presupunem că, deoarece sunteți diligent în actualizarea pluginurilor, același lucru este valabil și pentru dezvoltatorii de pluginuri. Un proprietar de magazin WooCommerce își poate actualiza în mod religios pluginurile, dar ce se întâmplă dacă dezvoltatorul a încetat să mai lanseze actualizări în urmă cu 18 luni? Poate exista o vulnerabilitate care nu va fi remediată niciodată de dezvoltator, iar proprietarul magazinului care se concentrează exclusiv pe notificările de actualizare nu va fi nici unul mai înțelept.

Pe lângă actualizarea pluginurilor, comercianții cu amănuntul WooCommerce ar trebui să verifice cât de recent au lansat o actualizare dezvoltatorii de pluginuri. Un plugin care nu a fost actualizat de luni de zile nu este neapărat nesigur, dar justifică un anumit grad de suspiciune.

Este o idee bună să vă asigurați că pluginul nu a fost abandonat și că dezvoltatorul intenționează să lanseze o versiune actualizată la un moment dat. Dacă nu puteți verifica dacă un plugin atrage atenția dezvoltatorului său, luați în considerare căutarea unei alternative.

Este important să vă păstrați magazinul WooCommerce în siguranță

WooCommerce este o soluție de comerț electronic puternică și ușor de utilizat și este la fel de sigură ca orice altă aplicație CMS sau de comerț electronic. Dar, pentru a-l menține în siguranță, comercianții trebuie să înțeleagă cel puțin elementele de bază ale securității aplicațiilor web. Sperăm că acest articol a răsturnat unele concepții greșite despre securitatea WooCommerce și va ajuta comercianții cu amănuntul să-și păstreze magazinul și clienții în siguranță.