Lista di controllo in 9 punti per un negozio WooCommerce sicuro
Pubblicato: 2022-06-02WooCommerce è un popolare plugin di eCommerce per WordPress, che alimenta oltre il 28% di tutti i negozi online. In quanto software accessibile pubblicamente, WordPress può essere personalizzato e modificato per creare un sito Web WooCommerce unico. D'altra parte, proprio come tutti i siti Web su Internet, anche i siti Web WordPress sono vulnerabili agli hacker. E non ha davvero a che fare con il sito Web principale di WordPress, piuttosto, a causa di problemi di sicurezza evitabili.
In questo post, ti guideremo attraverso i migliori suggerimenti per la sicurezza di WooCommerce per evitare che il tuo negozio eCommerce venga compromesso da utenti malintenzionati. Puoi pianificare e implementarli in diversi modi, ma esiste una soluzione semplice ed efficace per ottimizzare la sicurezza del tuo sito, di cui parleremo anche qui.
Lista di controllo in 9 punti per rafforzare la tua sicurezza WooCommerce
Ecco uno sguardo ai modi in cui puoi aumentare la sicurezza di WooCommerce. Alcune di queste misure di sicurezza possono essere facilmente implementate da soli, altre richiedono l'intervento di esperti di WordPress.
1. Mantieni aggiornati i tuoi plugin
L'aggiornamento di plugin e temi è essenziale, ecco perché:
- Gli hacker possono sfruttare le vulnerabilità nei plugin e nei temi e iniziare ad attaccare il tuo sito web attraverso quei plugin/temi. Possono riuscire ad accedere ai dati aziendali e dei clienti per vendere sul dark web, trasferire fondi o perpetrare frodi, tra gli altri atti illegali.
- I plug-in obsoleti sono responsabili del 91% delle violazioni della sicurezza, rendendo necessari gli aggiornamenti. Inoltre, migliaia di siti Web vengono violati ogni giorno. Se gli hacker si fanno strada con il tuo negozio, potrebbero trasmettere codice dannoso a utenti ignari sul tuo sito. Oppure possono lanciare un attacco DDoS per rallentare o chiudere il tuo sito Web, causando tempi di inattività, che sono stati inviati a costare in media $ 5.600 al minuto.
- Gli aggiornamenti di plugin e temi includono correzioni di bug e miglioramenti delle prestazioni. Le ultime versioni risolvono i problemi identificati nelle versioni software precedenti e possono persino aggiungere nuove funzionalità. Il mantenimento di plugin/temi li mantiene utilizzabili e sicuri.
Per aggiornare temi o plugin di WordPress, visita la scheda "Aggiornamenti" nel tuo pannello di amministrazione di WordPress. Ti consigliamo di aggiornare prima i temi/plugin su un sito di staging – un clone del tuo sito web live – per testare le modifiche prima di applicarle al tuo sito live. Questo perché l'aggiornamento di un plug-in a volte può causare "errori irreversibili" poiché il codice del plug-in è incompatibile con il codice utilizzato nei file WP principali.
Se hai un background tecnico, puoi configurare più facilmente il tuo sito di staging. In caso contrario, un professionista può configurarlo per te, aiutandoti a garantire che gli aggiornamenti siano corretti da installare. Puoi prenderti cura della tua sicurezza WooCommerce ed anche evitare qualsiasi conseguenza derivante da problemi di aggiornamento.
2. Scegli un provider di hosting WooCommerce dedicato
Hai bisogno di un hosting speciale per WooCommerce? Bene, dato che il sito WooCommerce medio è ad alta intensità di database e deve ospitare un traffico elevato, una società di hosting WooCommerce dedicata è più adatta di un normale servizio di hosting. Dal punto di vista della sicurezza di WooCommerce, ci si può aspettare che un tale fornitore fornisca supporto specializzato che copre tutte le aree necessarie del tuo sito.
Ecco alcune delle funzionalità di sicurezza da esaminare quando cerchi un provider di hosting:
- Certificati SSL per abilitare una connessione crittografata e impedire agli hacker di vedere nomi, indirizzi, password, numeri di carte di credito e altri dati sensibili.
- Backup automatici per ripristinare l'operatività del tuo sito in caso di attacco.
- Monitoraggio degli attacchi per rilevare e mitigare gli attacchi in tempo reale.
- Supporto 24 ore su 24, 7 giorni su 7 da parte di esperti esperti di hosting WooCommerce disponibili per aiutarti con problemi di sicurezza.
- Un ambiente di gestione temporanea integrato per testare in sicurezza plug-in e modifiche al tuo negozio prima di pubblicarli.
Per quanto riguarda le prestazioni, potresti voler concentrarti sulla garanzia di uptime promessa dal provider. Se hai un sito WooCommerce di grandi dimensioni con molti prodotti e attiri un traffico considerevole ogni giorno, niente meno che una garanzia di uptime del 99,9% andrà bene.
3. Configura un firewall utilizzando un plug-in di sicurezza di WordPress
Anche se il tuo provider di hosting ti fornisce un firewall, impostarne uno a livello di sito Web aggiungerà un altro livello di sicurezza, impedendo l'accesso non autorizzato alla rete del tuo computer. Puoi utilizzare un plug-in per configurare un firewall e aggiungere ulteriori personalizzazioni se hai conoscenze tecniche avanzate. WordFence è un firewall affidabile per WordPress. È un plug-in di sicurezza WordPress completo, che offre una suite di funzioni, come:
- Un Web Application Firewall (WAF) che identifica e blocca il traffico dannoso
- Protezione dagli attacchi di forza bruta che bloccano gli utenti dopo un numero definito di tentativi di accesso errati
- Scansione del malware per identificare il software dannoso che gli hacker potrebbero aver installato sul tuo sito
- Abilita la sicurezza dell'accesso come reCAPTCHA e l'autenticazione a due fattori
Molte delle funzionalità più importanti di WordFence sono disponibili con la versione gratuita. L'aggiornamento alla versione premium costa $ 99 all'anno e include funzionalità avanzate come il blocco IP in tempo reale e le regole del firewall che proteggono i siti da nuove minacce e malware non appena il team di WordFence li rileva.
È possibile implementare manualmente le funzionalità offerte dai plug-in di sicurezza all-in-one come WordFence. Alcuni sono abbastanza facili da fare ma hanno requisiti speciali. Ad esempio, se si desidera configurare il proprio firewall, è necessario l'accesso completo al server, il che non è possibile a meno che non si utilizzi un server dedicato. Inoltre, dovrai lavorare nell'interfaccia a riga di comando, che è semplice e piacevole solo se hai competenze di sviluppo web.
4. Rendi più sicura la tua pagina di accesso
L'area di amministrazione del tuo sito Web è minacciata da attacchi di forza bruta, che tentano di accedere al tuo amministratore di WP provando varie combinazioni di nomi utente e password. Gli attacchi di forza bruta o l'uso di credenziali rubate rappresentano oltre l'80% delle violazioni all'interno dell'hacking. Ci sono alcune azioni di sicurezza di WooCommerce che puoi intraprendere per aumentare la sicurezza della pagina di accesso dell'amministratore per il tuo negozio:
Cambia il tuo nome utente da "admin" a qualcos'altro
Un trucco comune per gli hacker è sfruttare il nome utente amministratore di WordPress predefinito, che è "admin", per provare ad accedere al tuo account. Le prime versioni di WordPress impostavano per impostazione predefinita il nome utente "admin", quindi è possibile che i proprietari dei negozi abbiano l'abitudine di usarlo. Cambiare "admin" con un altro nome è necessario per ridurre il rischio di attacchi Wp-admin e non c'è niente da fare! Ecco i passaggi:
- Vai a > aggiungi nuovo utente
- Crea un nuovo utente con il nome utente desiderato e assegnagli il ruolo di "amministratore".
- Esci dal precedente account "amministratore" e accedi al nuovo account
- Torna all'elenco degli utenti ed elimina il vecchio account "amministratore".
Abilita l'autenticazione a due fattori (2FA)
L'autenticazione a due fattori richiede due metodi per verificare la tua identità. Funge da seconda linea di difesa per limitare l'accesso al tuo account amministratore di WordPress. Puoi abilitarlo con un'app di autenticazione, che aggiunge 2FA agli account che desideri proteggere.
Le app di autenticazione generano un codice monouso che puoi utilizzare per confermare che sei tu ad accedere al tuo account amministratore WP. Dovrai prima configurare un dispositivo di autenticazione sul tuo smartphone o tablet. Durante questo processo, l'app genererà una chiave segreta che salvi sul telefono scansionando un codice QR o digitando manualmente il codice se il telefono non dispone di una fotocamera. Con questo, il server dell'app e il tuo telefono hanno una copia della chiave segreta. Successivamente, ogni volta che inserisci nome utente e password per accedere, l'app invia un codice di accesso, di solito un numero a sei cifre, che digiti per accedere al tuo account amministratore.
Ecco un esempio di come impostare 2FA usando WordFence:
- Scarica un'app di autenticazione come Google Authenticator sul tuo smartphone o tablet
- Installa e attiva WordFence
- Vai alla pagina "sicurezza dell'accesso" in WordFence
- Apri la tua app di autenticazione e scansiona il codice QR mostrato in WordFence
- Fai clic su "scarica" nella sezione del codice di ripristino: questo ti offre una serie di codici che puoi utilizzare nel caso in cui perdessi l'accesso alla tua app di autenticazione
- Inserisci il codice a 6 cifre dall'app di autenticazione
- Fai clic su "attiva"
5. Richiedi password complesse per gli account negozio
WooCommerce ti offre la flessibilità di creare un negozio adatto al tuo modello di business. Ciò include la fornitura di diversi livelli di accesso all'interno dei team. Proteggere gli account del negozio di tutti i membri del tuo team è un modo semplice per rafforzare la sicurezza di WooCommerce.
Sebbene i dipendenti comprendano che le loro password dovrebbero essere complesse, tendono comunque a utilizzare password deboli che possono essere violate in meno di un secondo. Una policy password forte può ribadire la necessità di creare password complesse. Piuttosto che avere solo alcuni ruoli come il gestore del negozio o l'amministratore che creano password sicure, l'applicazione di una politica di complessità delle password per tutti gli utenti è l'opzione più sicura.
Un modo per raggiungere questo obiettivo è utilizzare il plug-in iThemes Security per forzare gli account del negozio a impostare password complesse per se stessi. Ecco come puoi procedere:
- Installa e attiva il plugin
- Nella pagina di configurazione, scegli "eCommerce" come tipo di sito web
- Seleziona 'Sé' come utente
- Quando il plug-in chiede "vuoi proteggere i tuoi account utente con una politica di password?", imposta l'interruttore su "sì"
6. Crea password univoche per tutte le piattaforme di eCommerce di terze parti
Un aspetto spesso trascurato della sicurezza di WooCommerce è la vulnerabilità dei diversi account che utilizzi per i servizi collegati al tuo negozio WooCommerce agli hack delle password. Usare la stessa password per tutti i servizi che hai collegato al tuo negozio WooCommerce semplifica il lavoro di un hacker. Ecco cosa dovresti considerare di fare invece:
- Imposta password distinte su tutti i tuoi gateway di pagamento come Stripe e PayPal, il tuo hosting e qualsiasi altro servizio di terze parti che utilizzi per il tuo negozio WooCommerce. Anche se una delle tue password è esposta, gli altri tuoi account saranno al sicuro.
- Assicurarsi che le password siano sufficientemente distinte l'una dall'altra. Riutilizzare le password semplicemente modificando o aggiungendo una cifra o un carattere è inefficace.
7. Mantieni backup regolari del tuo negozio
Sebbene i backup non proteggano il tuo sito dagli hacker, ti assicurano l'accesso ai tuoi dati preziosi se il tuo sito viene compromesso. Avere copie di backup dei tuoi dati può aiutare a riportare il tuo sito online dopo un attacco informatico o altri eventi, come un guasto hardware o un arresto anomalo a causa di un picco di traffico. I backup giornalieri assicurano che le informazioni su clienti, ordini e prodotti possano essere ripristinate in caso di eventi imprevisti e che venga mantenuta la continuità aziendale per evitare di perdere clienti e ricavi.
Una soluzione pratica è utilizzare un plug-in di backup di WordPress in tempo reale come BlogVault. Il backup in tempo reale offre la possibilità di ripristinare i dati in qualsiasi momento ed è particolarmente utile se si dispone di un database di grandi dimensioni che deve affrontare la minaccia costante di problemi relativi alla sicurezza.
8. Proteggi il tuo database
Il tuo database WordPress memorizza tutte le informazioni sul tuo sito Web, rendendolo un target attraente. WordPress utilizza MySQL come sistema di gestione del database. Il codice PHP nel tuo sito WordPress contiene comandi SQL per comunicare con il database. Uno dei modi in cui SQL può essere violato è quando l'hacker utilizza un pezzo di codice SQL per manipolare un database e ottenere l'accesso a informazioni preziose. Questo tipo di attacco è un'iniezione SQL ed è comune tra i siti Web basati su database.
Fortunatamente, ci sono modi per proteggere il tuo database WordPress: eccone due per aiutarti a iniziare:
Modifica il prefisso della tabella predefinito
Il prefisso della tabella predefinito per i negozi WooCommerce è wp_ . Lasciando questa impostazione predefinita si apre il tuo negozio alle iniezioni SQL. Puoi modificare questa impostazione in PhpMyAdmin quando configuri il tuo negozio o utilizzare un plug-in come DB Prefix. Assicurati di eseguire il backup del database WP prima di apportare modifiche ai prefissi delle tabelle. E se hai pianificato un bel po' di aggiornamenti di sicurezza e manutenzione di WordPress, potresti indirizzare i visitatori del sito Web a una pagina di manutenzione o a una pagina temporanea.
Proteggi il tuo file wp-config
Il file wp-config.php è il file più importante nel tuo negozio WooCommerce in quanto contiene tutte le informazioni del database del tuo negozio, comprese le password di amministratore. Spostando questo file dalla sua posizione predefinita nella sottodirectory root a una sottodirectory superiore, diventa più difficile per i potenziali hacker individuarlo.
Nota: Codeable non è affiliato con nessuna delle raccomandazioni (plugin) menzionate nel post.
9. Assumi un professionista della sicurezza WordPress controllato
L'azione numero uno più efficace che puoi intraprendere per mantenere sicuro il tuo negozio WooCommerce è assumere un professionista della sicurezza di WordPress. Dall'installazione di un certificato SSL di base fino all'implementazione di firewall per la protezione dagli attacchi di forza bruta su siti di eCommerce più grandi, l'assunzione di un professionista della sicurezza ti consente di concentrarti su altre parti del tuo negozio, come la gestione degli ordini e il monitoraggio dell'inventario.
Come trovare un esperto di sicurezza WooCommerce
Hai molte opzioni, tra cui fai da te, assumere un'agenzia o trovare un libero professionista sui numerosi mercati del web. Le agenzie che forniscono esperti di sicurezza di WordPress generalmente racchiudono servizi diversi in un pacchetto, quindi se scegli questa opzione fai attenzione a tutti i servizi di cui potresti non aver bisogno.
Sui mercati dei freelance, puoi pagare un extra per avere una selezione di sviluppatori WP controllati o dovrai valutarli tu stesso. Su questi siti, scegli le offerte migliori e non vi è alcuna garanzia che un libero professionista farà offerte per progetti in cui si sente competente, semplicemente perché il sito non rende esplicito questo requisito.
L'opzione migliore è trovare un esperto di sicurezza su Codeable:
- Codeable è una piattaforma per freelance specializzata in WordPress.
- Abbina il tuo progetto a professionisti WordPress/WooCommerce controllati che hanno lavorato su progetti di sicurezza simili al tuo. Ciò elimina le congetture e aiuta a garantire di avere la persona giusta per il lavoro.
- Ciò che distingue Codeable dai generici mercati freelance è che lavorerai solo con esperti in grado di eseguire il tuo progetto con successo. Puoi stare tranquillo sapendo di avere accesso ai professionisti della sicurezza di WooCommerce che hanno acconsentito al progetto dopo averci pensato attentamente.
- Codeable è un'ottima opzione per progetti più piccoli o attività una tantum come gli audit di sicurezza. Risulta più economico rispetto all'assunzione di un'agenzia e ti fa risparmiare molto tempo per le attività strategiche.
- Il processo di assunzione è semplice e non vi è alcun obbligo per te di assumere se cambi idea sui tuoi piani di sicurezza e manutenzione di WooCommerce.
Proteggi il tuo negozio WooCommerce dalle minacce emergenti
Avere un piano di sicurezza Woocommerce in atto ti consente di rispondere in modo efficace alle minacce alla sicurezza informatica esistenti e nuove. La gestione proattiva dei problemi di sicurezza specifici di WordPress ed eCommerce è fondamentale per svolgere attività senza interruzioni, evitare perdite finanziarie dovute all'hacking e mantenere la fiducia dei clienti.
Gli esperti di sicurezza di WordPress di Codeable possono aiutarti a gestire i tuoi rischi per la sicurezza.
Invia il tuo progetto e mitiga prontamente i tuoi problemi di sicurezza. Codeable è conveniente e offre una garanzia di rimborso, quindi puoi testarlo con una piccola attività e quindi determinare se desideri utilizzarlo per un progetto di sicurezza più grande.