L'elenco di controllo completo per la sicurezza di WooCommerce (Guida 2022)

La sicurezza è una delle principali preoccupazioni per qualsiasi negozio di eCommerce. Dopotutto, non devi solo proteggere i tuoi contenuti, devi anche proteggere le informazioni sui clienti e i dati degli ordini.

Quindi, se stai pensando di avviare un negozio online, o se fa già parte delle tue entrate, allora è il momento di assicurarti di aver completamente protetto la tua attività.

Perché i negozi online richiedono maggiore sicurezza

Quando vendi online, hai a che fare con molte informazioni sensibili: nomi personali, numeri di carte di credito, indirizzi e altro ancora. Un negozio attivo raccoglie continuamente nuove informazioni, quindi hai un insieme sempre crescente di dati di cui sei responsabile.

Assicurarsi che il tuo sito abbia la massima sicurezza ti consentirà di:

• Proteggi le informazioni personali dei tuoi clienti da hacker e aggressori, consentendo ai clienti di acquistare con fiducia;
• Proteggi il tuo flusso di reddito da interruzioni e vendite perse;
• Conserva tutti i dati di vendita minuto per minuto a fini fiscali e legali;
• Mantieni il tuo marchio e la tua reputazione come azienda di cui ci si può fidare; e
• Evita i costi relativi alla ricostruzione della tua attività dopo un hack, come vendite perse dovute a tempi di inattività, rimborsi causati da ordini non evasi e costi di riparazione del sito web

Come identificare un hack

Un hack può assumere molte forme e potresti anche non renderti conto che il tuo sito è stato subito compromesso.

Per identificare un hack, cerca:

• Nuovi account amministratore che non hai creato.
• Spam si collega a malware nei commenti, nelle descrizioni dei prodotti o nelle recensioni.
• Caselle di avviso o collegamenti insoliti che reindirizzano a siti di terze parti.
• Avvisi da Google che il tuo negozio è stato segnalato.
• Email dei clienti dispari, impreviste o mancanti.
• Tempi di caricamento molto lenti o errori di timeout.

Ma la maggior parte degli imprenditori è troppo occupata a lavorare sull'inventario, sul marketing o sull'evasione degli ordini per monitorare costantemente eventuali problemi o hack. Ecco perché la prima cosa che dovresti aggiungere è il monitoraggio dei tempi di inattività, che controlla automaticamente che il tuo sito sia attivo e funzionante e ti avvisa in caso contrario. Ciò ti consente di intervenire immediatamente per riparare e ripristinare il tuo negozio online.

Puoi anche trarre vantaggio da Jetpack Scan, che è un plug-in per la scansione di malware di punta che controlla automaticamente il tuo negozio per gli hack, quindi non devi preoccuparti! Riceverai un avviso se rileva qualcosa di sbagliato e puoi persino correggere la maggior parte delle minacce note con un solo clic.

La checklist di sicurezza completa per WooCommerce (14 passaggi)

È sempre meglio fermare gli hack prima che accadano. Se puoi rispondere "sì" alle seguenti domande, allora sei partito alla grande!

1. Stai ospitando con un provider affidabile e sicuro?

Il tuo host è la prima linea di difesa contro gli attacchi. Se non dispongono di adeguate misure di sicurezza, i tuoi file e il tuo database potrebbero essere vulnerabili, anche se fai tutto il resto correttamente.

Quando scegli un host, cercane uno con:

• Un firewall integrato . Un firewall controlla chi può accedere al tuo server e chi no, tenendo gli hacker e i bot lontani dai file del tuo sito web.
• Scansioni di sicurezza . Molti host scansionano regolarmente tutti i siti sul loro server e ti avviseranno se notano qualcosa di sospetto, come il malware. Alcuni fornitori risolvono anche questi problemi per te, spesso a un costo aggiuntivo.
• Backup . Sebbene tu voglia anche creare i tuoi backup (ne parleremo più avanti), è una buona idea avere più copie del tuo sito. Molte società di hosting includono backup nei loro piani, mentre altri li offrono come aggiornamento a pagamento.
• Un eccellente team di supporto . Se riscontri un problema, desideri che gli esperti siano disponibili per aiutarti a capire i passaggi successivi. Assicurati che il tuo host abbia un ottimo team di supporto che può essere raggiunto attraverso il metodo più conveniente per te (chat dal vivo, telefono, ecc.)
• Una buona reputazione . Controlla le recensioni di clienti reali e scopri le loro esperienze. Questo è il modo più accurato per conoscere un provider di hosting.

Non sai da dove iniziare? WooCommerce ha messo insieme un elenco di società di hosting consigliate che sono state tutte accuratamente controllate.

2. Hai un certificato SSL?

Un certificato SSL (Secure Socket Layer) crittografa le informazioni inviate dai tuoi clienti al tuo sito web e autentica l'identità del tuo sito. Questo serve come protezione fondamentale per informazioni come i dati e gli indirizzi delle carte di credito. Google lo considera anche quando determina le classifiche dei motori di ricerca.

La maggior parte degli host offre certificati SSL gratuitamente, anche se alcuni addebitano una tariffa relativamente minima.

3. Stai utilizzando versioni sicure e sicure di temi e plug-in?

I plugin e i temi annullati sono versioni piratate di plugin e temi premium e sono offerti gratuitamente o a basso prezzo. Non solo non sono supportati, ma non sono nemmeno aggiornati, quindi possono entrare in conflitto con WordPress o altri plugin. E, cosa ancora più preoccupante, sono in genere pieni di malware che possono compromettere il tuo sito e i dati dei clienti.

Scarica sempre plugin e temi da fonti attendibili, come il repository di WordPress o il mercato WooCommerce.

4. È tutto aggiornato sul tuo sito WordPress?

Gli aggiornamenti di WordPress, temi e plug-in non includono sempre solo nuove funzionalità; spesso risolvono bug e vulnerabilità di cui gli hacker possono trarre vantaggio. Esegui sempre gli aggiornamenti quando sono disponibili per proteggere il tuo sito ed evitare conflitti.

Non vuoi tenere traccia degli aggiornamenti? Jetpack ha un'opzione per automatizzare questo processo.

5. Stai utilizzando l'ultima versione di PHP?

La maggior parte del core di WordPress è scritta in PHP, un linguaggio di programmazione. Dovresti aggiornare la versione di PHP utilizzata dal tuo sito per lo stesso motivo per cui dovresti aggiornare temi e plugin: per proteggerti da bug e vulnerabilità.

Puoi aggiornare la tua versione di PHP nelle impostazioni dell'host o chiedere al tuo provider di hosting di occuparsene per te. Visualizza gli ultimi requisiti di WordPress.

6. Hai controllato le tue autorizzazioni utente?

A ogni utente di WordPress viene assegnato un ruolo, che include una serie di funzionalità che consentono loro di eseguire determinate attività sul tuo sito web. Gli amministratori hanno pieno accesso a tutto e possono apportare le modifiche che desiderano; come proprietario di un negozio, questo dovrebbe essere il tuo ruolo. I clienti, tuttavia, non hanno accesso al back-end del tuo sito, ma possono modificare le informazioni del proprio account e visualizzare gli ordini correnti e precedenti. Visualizza un elenco completo di ruoli utente e autorizzazioni.

Di tanto in tanto, rivedi e ripulisci i tuoi account utente. Ogni utente dovrebbe avere solo le autorizzazioni minime necessarie per svolgere il proprio lavoro e, se non lavori più con qualcuno, assicurati di rimuovere il suo account. Ad esempio, se hai collaborato con un'agenzia di sviluppo web per creare il tuo sito e il progetto è completo, probabilmente vorrai eliminare il suo account a meno che non saranno necessari aggiornamenti coerenti in futuro.

7. Stai utilizzando un nome utente e una password sicuri?

Gli hacker spesso usano i bot per provare migliaia di diverse combinazioni di nome utente e password finché non trovano quella giusta (questo è chiamato attacco di forza bruta). Più è facile indovinare la tua password, più è probabile che un hacker possa accedere al tuo negozio.

Una buona password ha una lettera maiuscola, una lettera minuscola, un numero e un simbolo ed è lunga almeno 20 caratteri. Assicurati che, come minimo, ogni utente amministratore stia implementando questo tipo di password.

Quando si tratta di nomi utente, evita titoli comuni come "Amministratore" o "Amministratore". Invece, crea un nome utente specifico per ogni persona.

8. Hai pensato di cambiare l'URL di accesso?

Per impostazione predefinita, è possibile accedere a ogni pagina di accesso di WordPress al tuo URL /wp-admin. Se vuoi mettere in atto misure di sicurezza aggiuntive, potresti voler cambiare l'URL per rendere più difficile per gli aggressori indovinare questo URL. Puoi farlo modificando il tuo file .htaccess o, se non ti senti a tuo agio nel cambiare il codice, usa un plugin come WP Hide Login.

9. Hai abilitato l'autenticazione a due fattori per gli amministratori?

L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza alla tua pagina di accesso. Per accedere, non solo devi sapere qualcosa (un nome utente e una password), devi anche possedere qualcosa fisicamente (il tuo dispositivo mobile). Ciò rende significativamente meno probabile che un hacker possa entrare nel tuo negozio.

Jetpack semplifica l'autenticazione a due fattori. Quando accedi al tuo sito, riceverai sul tuo telefono un codice speciale, una tantum, che dovrai inserire per completare la procedura di accesso. Puoi anche richiedere a tutti gli utenti di configurarlo. Ulteriori informazioni sull'autenticazione a due fattori.

10. Stai bloccando gli attacchi di forza bruta?

Come discusso in precedenza, gli attacchi di forza bruta si verificano quando gli hacker utilizzano i bot per testare combinazioni di nomi utente e password più e più volte finché non trovano quella giusta. Questo non solo mette a rischio i dati del tuo negozio e dei clienti, ma può anche rallentare il tuo sito web.

Ma Jetpack blocca automaticamente questi attacchi prima che raggiungano il tuo sito, quindi non devi preoccuparti.

11. Stai scansionando il tuo sito alla ricerca di malware?

Cosa succede se qualcuno accede al tuo sito e inietta malware? Vorresti saperlo subito in modo da poter rimuovere quel malware e risolvere il problema il più rapidamente possibile. Ma gli hacker sono subdoli: non è sempre immediatamente ovvio che siano entrati.

Jetpack Scan ti avvisa immediatamente di qualsiasi attività sospetta e, poiché la scansione avviene sui server di Jetpack, puoi accedere al tuo sito anche se non funziona. Offre inoltre correzioni con un clic per la maggior parte delle minacce note.

12. Hai impostato un filtro antispam?

I commenti spam non sono solo fastidiosi; ti fanno anche sembrare poco professionale e possono contenere collegamenti che indirizzano i tuoi clienti a siti pieni di malware. Ma l'ordinamento di centinaia di commenti alla settimana richiede tempo e frustrante.

È qui che entra in gioco Jetpack Anti-spam! Elimina automaticamente lo spam da commenti e moduli, quindi non devi nemmeno vederlo. Risparmierai tempo, proteggerai il tuo sito e fornirai una migliore esperienza utente tutto in una volta.

13. Stai monitorando il tuo sito per i tempi di inattività?

Se il tuo sito non funziona, potrebbe essere un'indicazione di un hack. E, più a lungo è in calo, più vendite perdi. Vuoi rimetterlo in funzione il prima possibile!

Jetpack offre un monitoraggio gratuito dei tempi di inattività che controlla il tuo sito da località di tutto il mondo ogni cinque minuti. Se il tuo sito non funziona, riceverai una notifica istantanea in modo da poter risolvere immediatamente il problema.

14. Sono stati impostati backup regolari fuori sede?

Se succede qualcosa al tuo sito, la migliore protezione che puoi avere è un backup completo che puoi ripristinare rapidamente e facilmente. Anche se il tuo host offre backup, è importante che tu ne crei anche uno. Come mai? Perché se il tuo server è compromesso, anche tutti i backup archiviati potrebbero essere compromessi.

Jetpack Backup è un'ottima soluzione. Sono disponibili due opzioni di piano:

1. Backup giornalieri, che salvano una copia del tuo sito una volta al giorno.
2. Backup in tempo reale , che salvano una copia del tuo sito ogni volta che aggiorni una pagina, pubblichi un nuovo post o effettui una vendita. Questi sono particolarmente utili per i negozi online, perché non devi mai preoccuparti di perdere le informazioni sull'ordine.

Jetpack archivia i file di backup in più posizioni, completamente separate dal tuo sito. Ciò significa che se il tuo server è compromesso, i tuoi backup non lo saranno. E nella maggior parte dei casi, puoi persino ripristinare un backup se il tuo sito è completamente inattivo!

Come recuperare nello scenario peggiore

Se il tuo negozio online contiene malware e disponi di Jetpack Security, riceverai una notifica in modo da poter risolvere immediatamente il problema. Il tuo primo passo dovrebbe essere controllare il registro delle attività, dove puoi vedere un elenco completo di tutto ciò che è accaduto sul tuo sito. Puoi utilizzare queste informazioni per determinare quando si è verificato l'hacking controllando attività sospette come accessi sconosciuti e pagine modificate.

Quindi, il modo più veloce per recuperare è con Jetpack Backup. In pochi clic, il tuo sito può essere di nuovo operativo con tempi di inattività minimi. Tutto quello che devi fare è selezionare un backup prima dell'hacking e attendere che venga ripristinato. Sì, è tutto!

Una volta che una versione pulita del tuo negozio è attiva e funzionante, usa Jetpack Scan per assicurarti che non ci siano malware rimanenti sul tuo sito. Jetpack risolve per te la maggior parte delle minacce conosciute, quindi se viene trovato qualcosa, molto probabilmente non dovrai preoccuparti della risoluzione dei problemi.

Infine, prenditi del tempo per proteggere il tuo sito modificando tutte le password e controllando che i tuoi temi, plugin e file principali siano aggiornati.

Bisogno di qualche aiuto? Jetpack Security include il supporto prioritario da parte di un team tecnico esperto che può indirizzarti nella giusta direzione.

Mantieni sicuro il tuo negozio WooCommerce

Prendersi il tempo necessario per proteggere completamente il tuo negozio WooCommerce assicurerà che i tuoi clienti possano acquistare con sicurezza e che non dovrai preoccuparti dei tuoi dati o della tua reputazione.

E uno dei modi migliori per farlo è combinare Jetpack Security e WooCommerce: ha senso! Sono due plugin WordPress affermati e rispettati che funzionano in sincronia per proteggere il tuo sito Web e aggiungere funzionalità. Insieme, significano meno parti mobili, meno plug-in esterni e maggiore tranquillità per te come imprenditore.

Domande frequenti

Un sito WooCommerce può essere violato?

Sì, come qualsiasi sito, un negozio WooCommerce può essere violato. Tuttavia, WordPress e WooCommerce includono funzionalità che ti aiuteranno a proteggere i tuoi contenuti e i dati dei clienti. E, quando metti in atto alcune misure di sicurezza di base, come scegliere un buon host, mantenere le cose aggiornate e installare il miglior plug-in di sicurezza, puoi stare tranquillo, sapendo che il tuo sito è in buone mani.

Hai bisogno di SSL per un sito WooCommerce?

Un certificato SSL crittografa le informazioni (come i dati della carta di credito e gli indirizzi) che vengono inviate sul tuo sito, proteggendolo da malintenzionati. L'accesso a tali informazioni da parte di un hacker potrebbe mettere la tua azienda a rischio legale e danneggiare la tua reputazione. Inoltre, un certificato SSL non solo protegge te e i tuoi clienti, ma è anche importante per il posizionamento sui motori di ricerca.

Sebbene un certificato SSL sia consigliato per qualsiasi sito Web, è ancora più importante per i negozi online a causa del tipo di dati che raccolgono per elaborare le transazioni.

Quale certificato SSL è il migliore per i siti Web WooCommerce?

La maggior parte dei principali provider di hosting include un certificato SSL nei propri piani, mentre altri li rendono disponibili a un costo aggiuntivo. In genere, questi sono facili da installare in pochi clic.

Tuttavia, se il tuo host non lo offre, ti consigliamo Let's Encrypt. È un servizio affidabile, che offre certificati SSL gratuiti per supportare un Web più sicuro. Nota: molti dei certificati SSL inclusi nei piani di hosting provengono da Let's Encrypt.

Scopri di più sull'installazione di un certificato SSL nel tuo negozio WooCommerce.

Come posso forzare HTTPS su un sito Web WooCommerce?

Quando aggiungi correttamente un certificato SSL al tuo negozio, il tuo URL cambia da http://example.com a https://example.com. La "s" in "https" sta per SSL.

Quando forzi HTTPS sul tuo negozio, un visitatore che digita la versione "http" del tuo sito verrà automaticamente reindirizzato alla versione "https". Ciò garantisce che tutto sia crittografato correttamente per ogni singolo acquirente.

Puoi forzare HTTPS aggiungendo alcune righe di codice al tuo file .htaccess o usando un plugin per WordPress. Kinsta fornisce un'ottima guida per farlo.

WooCommerce è più sicuro di Shopify?

Shopify è una piattaforma in hosting che gestisce la sicurezza per te. Anche se questo ha i suoi vantaggi - non devi preoccuparti di implementare misure di sicurezza - significa anche che non hai praticamente alcun controllo sulla tua protezione.

E inoltre non significa che Shopify sia più sicuro. Dopotutto, hacker e bot non fanno discriminazioni. Provano solo un sito dopo l'altro finché non ne trovano uno in cui possono entrare. Quindi, se metti in atto misure di sicurezza adeguate, il tuo negozio sarà altrettanto sicuro - e, in molti casi, più sicuro - di altri su qualsiasi piattaforma.

È anche importante notare che sia WordPress che WooCommerce sono supportati da un team appassionato di aiutarti ad avere successo. Lavorano costantemente per mantenere la piattaforma sicura, motivo per cui l'aggiornamento regolare del software è così importante.

Questa guida di WooCommerce fornisce maggiori dettagli su come si confronta con Shopify.