Верите ли вы в эти распространенные мифы о безопасности WooCommerce?

Опубликовано: 2019-10-15
common woocommerce security myths

Последнее обновление — 8 июля 2021 г.

У WooCommerce сотни тысяч пользователей, потому что это самый простой способ создать магазин электронной коммерции с помощью WordPress, CMS, с которой знакомы миллионы людей. В любом сообществе такого размера существует широкий спектр знаний и опыта, не говоря уже о множестве мифов и недоразумений.

В этой статье я собираюсь рассмотреть несколько мифов, связанных с безопасностью, с которыми я столкнулся в ходе обсуждений с розничными продавцами WooCommerce.

Ваш хостинг-провайдер отвечает за безопасность WooCommerce

В этом мифе есть доля правды: провайдеры хостинга WooCommerce должны заботиться о безопасности центра обработки данных, сети и сервера. Они должны обновить серверное программное обеспечение, включая операционную систему. Они должны убедиться, что на их серверах не установлено уязвимое программное обеспечение. Однако существует ограничение на то, что хостинг-провайдер может сделать для обеспечения безопасности магазина WooCommerce.

Хостинг-провайдер ничего не может сделать, если владелец магазина WooCommerce устанавливает плагин или тему, содержащую вредоносное ПО; забывает обновлять WordPress, WooCommerce и другие плагины и темы; или использует легко угадываемый пароль с учетной записью администратора по умолчанию.

Хостинг-провайдер и владелец магазина несут общую ответственность за безопасность WooCommerce. Магазин может стать уязвимым из-за упущений любой из сторон хостингового партнерства.

Ваш магазин недостаточно важен для взлома

Ложное предположение, лежащее в основе этого мифа, состоит в том, что преступники нацеливаются только на магазины с десятками тысяч покупателей. Это кажется правдоподобным, потому что крупные магазины являются более ценными целями: у них больше ресурсов, больше личных данных для использования, больше посетителей, которых можно заразить вредоносным ПО, и больше номеров кредитных карт, которые можно украсть.

Но на самом деле преступникам пригодится даже небольшой магазин. Стоимость компрометации уязвимого магазина WooCommerce — или любого веб-приложения — ничтожно мала. Большинство магазинов скомпрометированы автоматическими ботами, использующими известные уязвимости и очевидные слабости. Боты сканируют тысячи магазинов, и им все равно, посещает ли магазин десять или десять тысяч человек в день — и то, и другое будет скомпрометировано и использовано, если они не будут должным образом защищены.

Крупные магазины более ценны для преступников, и они могут уделять им больше внимания, чем небольшим магазинам, но веб-приложение с уязвимостью в системе безопасности в конечном итоге будет скомпрометировано, независимо от его размера.

Можно делиться паролями WordPress

распространенные мифы о безопасности woocommerce

Продавцам может потребоваться время от времени предоставлять разработчикам, дизайнерам или другим сотрудникам административный доступ к своему магазину WooCommerce. Есть два способа сделать это:

  1. Дайте им имя пользователя и пароль существующей учетной записи администратора, которая используется владельцем магазина или другим доверенным лицом.
  2. Создайте новую учетную запись администратора, которую будет использовать только профессионал.

Первый из них более удобен в краткосрочной перспективе, но имеет серьезные последствия для безопасности сайта. В какой-то момент будет необходимо отозвать предоставленный доступ, что будет сложнее, если несколько пользователей используют один и тот же пароль. На самом деле общие учетные записи редко удаляются, а общие пароли редко меняются. Недовольные бывшие сотрудники часто взламывают предприятия, используя старые пароли, которые никогда не менялись.

Когда у каждого пользователя — будь то администратор или нет — есть собственная учетная запись, каждому может быть предоставлен только тот доступ, который ему нужен, и его можно позже отозвать без неудобств.

Темы WordPress не представляют угрозы безопасности

распространенные мифы о безопасности woocommerce

Темы WordPress меняют внешний вид магазина WordPress, но их влияние выходит за рамки поверхностных изменений дизайна. Тема WordPress — это часть программного обеспечения не в меньшей степени, чем плагин; небезопасная тема так же опасна, как и небезопасный плагин. По большей части темы, загруженные из официальных репозиториев и веб-сайтов разработчиков тем, безопасны, если они поддерживаются в актуальном состоянии. Темы, полученные из других источников, представляют больший риск.

Этот миф особенно сильно кусается для розничных продавцов WooCommerce, которые устанавливают обнуленные (пиратские) премиальные темы. Внедрение вредоносного ПО в обнуленные темы — излюбленная тактика преступников. Когда ничего не подозревающие владельцы магазинов WooCommerce устанавливают тему, они также устанавливают бэкдор, который дает злоумышленникам полный доступ к сайту.

Брандмауэр защитит ваш магазин WooCommerce

Существует несколько различных типов брандмауэров, и они работают для отражения различных категорий атак. Брандмауэр, предоставляемый хостинг-провайдером WooCommerce, работает на сетевом уровне (также называемом уровнем 3). Он может остановить трафик, направленный на определенные порты или с определенных IP-адресов. Он не может остановить вредоносные атаки, направленные на использование недостатков в самом веб-приложении; для брандмауэра уровня 3 они выглядят как законные веб-запросы для порта 80.

Брандмауэр уровня 7 (уровень приложений) необходим для обнаружения таких атак, как атаки с внедрением SQL, атаки с использованием межсайтовых сценариев и атаки, направленные на использование программных недостатков в WordPress, WooCommerce или плагинах. Также известные как брандмауэры веб-приложений (WAF), они представляют собой бесценный уровень защиты.

Лучшие хостинг-провайдеры WooCommerce предлагают встроенную функциональность WAF, но розничные продавцы WooCommerce могут установить WAF через плагины Sucuri или WordFence .

распространенные мифы о безопасности woocommerce

Обновление плагинов достаточно для обеспечения безопасности вашего сайта

Можно ли взломать магазин WooCommerce из-за уязвимости плагина, если все его плагины обновлены? Да, оно может. В плагинах могут быть уязвимости нулевого дня; то есть уязвимости, которые не были исправлены, потому что разработчик не знает о них. Владелец магазина WooCommerce мало что может с этим поделать. Но есть еще один источник риска для современных магазинов.

Было бы ошибкой предполагать, что если вы усердно обновляете плагины, то же самое относится и к разработчикам плагинов. Владелец магазина WooCommerce может неукоснительно обновлять свои плагины, но что, если разработчик прекратил выпускать обновления 18 месяцев назад? Может быть уязвимость, которая никогда не будет исправлена ​​разработчиком, и владелец магазина, который сосредоточен исключительно на уведомлениях об обновлениях, не будет мудрым.

Помимо обновления плагинов, розничные продавцы WooCommerce должны проверять, как недавно разработчики плагинов выпустили обновление. Плагин, который не обновлялся месяцами, не обязательно небезопасен, но вызывает подозрения.

Это хорошая идея, чтобы убедиться, что плагин не был заброшен и что разработчик планирует выпустить обновленную версию в какой-то момент. Если вы не можете проверить, привлекает ли плагин внимание его разработчика, рассмотрите возможность поиска альтернативы.

Важно обеспечить безопасность вашего магазина WooCommerce

WooCommerce — это мощное и простое в использовании решение для электронной коммерции, и оно так же безопасно, как и любая другая CMS или приложение для электронной коммерции. Но чтобы обеспечить его безопасность, розничные продавцы должны понимать хотя бы основы безопасности веб-приложений. Надеемся, что эта статья развеяла некоторые заблуждения о безопасности WooCommerce и поможет ритейлерам обеспечить безопасность своего магазина и своих клиентов.