Sicurezza WooCommerce: le otto cose che dovresti fare per prime
Pubblicato: 2021-03-26Sebbene le misure di sicurezza siano integrate in WordPress e WooCommerce, ci sono alcune cose di base che i nuovi proprietari di negozi dovrebbero fare per mantenere i propri clienti, team e dati al sicuro in caso di scenari peggiori.
Ecco otto cose che tutti i nuovi proprietari di negozi WooCommerce dovrebbero fare.
1. Scegli un host affidabile
Il tuo provider di hosting archivia i file e il database del tuo sito Web, che consente loro di essere visualizzati da persone di tutto il mondo. Il tuo host dovrebbe disporre di misure per proteggere quei file da hacker e malware: scegliere l'host sbagliato potrebbe mettere a rischio te e i tuoi clienti.
Idealmente, dovresti trovare un host che capisca bene WordPress e dichiari chiaramente cosa fanno per dare priorità alla tua sicurezza. Cerca funzionalità come:
- Certificati SSL, che proteggono i dati dei clienti come indirizzi e numeri di telefono.
- Backup , in modo che se qualcosa va storto, puoi ripristinare completamente il tuo sito.
- Monitoraggio e prevenzione degli attacchi, in modo da sapere immediatamente se nei file o nel database viene rilevato malware.
- Un firewall del server, che impedisce agli hacker di accedere ai tuoi file.
- Accesso al supporto 24 ore su 24, 7 giorni su 7, nel caso ne avessi bisogno.
- Software server aggiornato , come PHP e MySQL.
La possibilità di isolare i file dannosi, in modo che un virus o un malware non possa spostarsi su altri siti o cartelle sullo stesso server.
Gli host che valuti dovrebbero avere una pagina sulla sicurezza sul loro sito, quindi dovresti essere in grado di confermare se il tuo host offre o meno queste funzionalità. Se devi scavare più a fondo o inviare e-mail per ottenere risposte, potrebbe essere un segno per stare alla larga. Questo elenco di provider di hosting è un ottimo punto di partenza.
2. Crea (e archivia in modo sicuro) password complesse
Anche se la sicurezza potrebbe iniziare con il tuo host, sta a te seguire fino in fondo. Scegli password sicure per tutti gli account associati al tuo negozio.
Questo significa:
- Utilizzo di password univoche per ciascuno dei tuoi account.
- Creazione di una password con una combinazione di lettere maiuscole, lettere minuscole, numeri e simboli.
- Evitando parole, anniversari, compleanni o altre frasi che potrebbero essere facilmente indovinate.
- Dare priorità alla lunghezza: più lunga e complessa è la password, più difficile sarà decifrarla.
Sei preoccupato se le tue password sono veramente sicure? Non temere: WordPress ha un generatore di password sicuro integrato che semplifica la generazione di combinazioni complesse e difficili da indovinare.
Ma ricordare password difficili può essere complicato. Un'ottima soluzione è un gestore di password come LastPass o 1Password (il nostro preferito qui su Woo). Memorizzano in modo sicuro le tue password e le compilano automaticamente in modo sicuro sui tuoi siti preferiti.
3. Abilita l'autenticazione a due fattori (2FA)
Se qualcuno accede alla tua e-mail o a un altro account, potrebbe essere in grado di raccogliere informazioni sufficienti per reimpostare la password e accedere.
L'autenticazione a due fattori, più comunemente abbreviata come 2FA, è un modo fantastico per salvaguardare i tuoi account online da intrusi indesiderati . 2FA si basa su un secondo passaggio, in genere lo smartphone, per convalidare gli accessi e verificare che tu sia il proprietario.
Idealmente dovresti abilitare 2FA su tutti i tuoi account. In circostanze normali, una persona che riesce ad accedere al tuo account e-mail potrebbe potenzialmente trovare le informazioni di accesso per il tuo negozio e altri account. Ma con 2FA, non avranno la possibilità di convalidare fisicamente gli accessi tramite il tuo dispositivo mobile.
È vero che l'aggiunta di questo secondo passaggio aggiunge anche un po' più di tempo al processo di accesso. Ma vale assolutamente la pena stare tranquilli sapendo che i tuoi dati sensibili sono al sicuro.
Puoi implementare gratuitamente l'autenticazione a due fattori con Jetpack.
4. Prevenire gli attacchi di forza bruta
Gli attacchi di forza bruta si verificano quando gli hacker utilizzano i bot per indovinare migliaia di combinazioni di nome utente/password fino a quando non trovano quella giusta. Questo non solo può consentire agli hacker di accedere al tuo sito, ma può anche influire negativamente sul tempo di caricamento a causa dell'aumento del traffico del negozio.
La funzione di protezione dagli attacchi di forza bruta gratuita di Jetpack è un ottimo modo per fermarli sui loro passi. Blocca automaticamente gli indirizzi IP dannosi prima ancora che raggiungano il tuo sito, quindi non devi preoccuparti di loro.
5. Aggiungi un ulteriore livello di protezione del sito
Abbiamo già discusso alcuni modi per proteggere il tuo sito, ma per fare il possibile, considera l'implementazione di più strumenti di sicurezza di Jetpack. Oltre all'autenticazione a due fattori e alla protezione dagli attacchi di forza bruta, offre:
- Scansione malware (a pagamento): ricevi un avviso istantaneo se viene rilevato malware sul tuo sito in modo da poter risolvere e risolvere la maggior parte delle minacce note con un clic. È come avere qualcuno che custodisce il tuo sito 24 ore su 24, 7 giorni su 7.
- Prevenzione dello spam (a pagamento): elimina automaticamente lo spam di commenti e moduli di contatto che può farti sembrare poco professionale e inviare clienti a siti dannosi di terze parti.
- Un registro delle attività (gratuito): tieni d'occhio tutto ciò che accade sul tuo sito, dalle pagine aggiornate e dai nuovi prodotti agli accessi degli utenti, insieme a chi ha eseguito ogni azione e quando.
- Monitoraggio dei tempi di inattività (gratuito): scopri immediatamente se il tuo sito non funziona, un'indicazione comune di un hack, in modo da poterlo ripristinare e funzionare rapidamente.
- Aggiornamenti automatici dei plug-in (gratuiti): aggiorna automaticamente i plug-in per mantenere il tuo sito funzionante e protetto dagli hacker.
Scopri di più su come Jetpack protegge il tuo sito WordPress.
6. Controlla e regola le tue impostazioni FTP
FTP (protocollo di trasferimento file) viene utilizzato per trasferire file tra due dispositivi. Attraverso il tuo provider di hosting, puoi creare account FTP, che ti consentono di connetterti dal tuo computer al server del tuo sito web. Se un attore malintenzionato accede a tali account, sarebbe in grado di apportare un numero qualsiasi di modifiche al tuo sito.
Ma limitare le autorizzazioni su questi account può ridurre o addirittura eliminare completamente il potenziale danno. Assicurati che solo il tuo account FTP possa accedere alle seguenti cartelle:
- La directory principale
- wp-admin
- wp-include
- contenuto wp
Per maggiori dettagli sul blocco del tuo FTP, dai un'occhiata a questa sezione del Codice di WordPress. Il tuo host dovrebbe anche essere in grado di aiutarti a prendere queste precauzioni.
7. Aggiorna sempre il tuo sito
Il processo di aggiornamento di WordPress, WooCommerce e dei tuoi plugin o estensioni è assolutamente critico. Gli aggiornamenti vengono rilasciati per un motivo e spesso rendono il tuo sito più sicuro. Ignorandoli, potresti mettere a rischio te stesso e i tuoi clienti.
Il modo migliore per affrontare questo? Dedica un tempo regolare per rivedere i tuoi aggiornamenti, fare un backup e distribuire tali aggiornamenti al tuo sito. Se non vuoi preoccuparti di questo, puoi anche attivare la funzione di aggiornamento automatico all'interno di WordPress.
8. Esegui regolarmente il backup del tuo negozio
Se il tuo sito viene mai violato, un backup è il modo migliore e più veloce per ripristinare e ripristinare una versione pulita.
Scegli un plug-in di backup WooCommerce che se ne occupi automaticamente — ti consigliamo Jetpack Backup:
- Scegli tra backup giornalieri, che si verificano ogni 24 ore, e backup in tempo reale, che si verificano ogni volta che si verifica un'azione (prodotto acquistato, pagina aggiornata, ecc.) sul tuo sito.
- Non preoccuparti mai di perdere le informazioni sull'ordine. Sia che ripristini un backup di cinque minuti fa o cinque giorni fa, tutte le informazioni sull'ordine vengono salvate fino al minuto.
- Ripristina con un solo clic. Non preoccuparti di un processo di ripristino difficile e dispendioso in termini di tempo. Trova semplicemente la data e l'ora in cui desideri ripristinare e fai clic su un pulsante.
Quando avvii il tuo negozio, rendi la sicurezza una priorità
È facile perdere di vista la sicurezza in tutto il trambusto del lancio del tuo negozio, ma non è qualcosa da prendere alla leggera. Tenere al sicuro i dati dei tuoi clienti dovrebbe essere una priorità assoluta sin dall'inizio.
Seguendo questi semplici passaggi, creerai le basi per un negozio sicuro e affidabile, ben protetto nel raro caso di un attacco.
Hai qualche suggerimento per i nuovi proprietari di negozi che stanno appena iniziando a pensare all'argomento della sicurezza di WordPress e WooCommerce? Ci piacerebbe sentirti nei commenti.