Kompletna lista kontrolna bezpieczeństwa WooCommerce (przewodnik 2022)

Opublikowany: 2021-03-23

Bezpieczeństwo jest głównym problemem w każdym sklepie eCommerce. W końcu musisz nie tylko chronić swoje treści, ale także chronić informacje o klientach i dane dotyczące zamówień.

Jeśli więc zastanawiasz się nad założeniem sklepu internetowego lub jeśli stanowi on już część Twoich dochodów, nadszedł czas, aby upewnić się, że w pełni zabezpieczyłeś swój biznes.

Dlaczego sklepy internetowe wymagają większego bezpieczeństwa

Sprzedając online, masz do czynienia z wieloma poufnymi informacjami: nazwiskami, numerami kart kredytowych, adresami i nie tylko. Aktywny sklep cały czas gromadzi nowe informacje, dzięki czemu masz stale rosnący zestaw danych, za które jesteś odpowiedzialny.

Upewnienie się, że Twoja witryna jest zabezpieczona na najwyższym poziomie, pozwoli Ci:

  • Chroń dane osobowe swoich klientów przed hakerami i atakującymi, umożliwiając klientom bezpieczne zakupy;
  • Chroń swój strumień dochodów przed przerwami i utratą sprzedaży;
  • Zachowaj wszystkie dane dotyczące sprzedaży z minuty na minutę do celów podatkowych i prawnych;
  • Utrzymuj swoją markę i reputację jako firmy, której można zaufać; oraz
  • Unikaj kosztów związanych z odbudową firmy po włamaniu, takich jak utrata sprzedaży z powodu przestojów, zwroty kosztów spowodowane niezrealizowanymi zamówieniami i koszty naprawy witryny

Jak rozpoznać włamanie?

Hakowanie może przybierać różne formy i możesz nawet nie zdawać sobie sprawy, że Twoja witryna została naruszona od razu.

Aby zidentyfikować włamanie, poszukaj:

  • Nowe konta administracyjne, których nie utworzyłeś.
  • Spam zawiera linki do złośliwego oprogramowania w komentarzach, opisach produktów lub recenzjach.
  • Nietypowe pola alertów lub łącza przekierowujące do witryn stron trzecich.
  • Alerty Google, że Twój sklep został oznaczony.
  • Dziwne, nieoczekiwane lub brakujące e-maile klientów.
  • Bardzo wolne czasy ładowania lub błędy przekroczenia limitu czasu.

Jednak większość właścicieli firm jest zbyt zajęta pracą nad zapasami, marketingiem lub realizacją zamówień, aby stale monitorować problemy lub hacki. Dlatego pierwszą rzeczą, którą powinieneś dodać, jest monitorowanie przestojów, które automatycznie sprawdza, czy Twoja witryna jest uruchomiona i ostrzega, jeśli tak nie jest. Pozwala to na natychmiastowe podjęcie działań w celu naprawy i przywrócenia sklepu internetowego.

Możesz również skorzystać z Jetpack Scan, najlepszej wtyczki do skanowania złośliwego oprogramowania, która automatycznie sprawdza Twój sklep pod kątem włamań, więc nie musisz się martwić! Otrzymasz alert, jeśli wykryje coś złego, a nawet jednym kliknięciem możesz naprawić większość znanych zagrożeń.

Pulpit nawigacyjny Jetpack Scan pokazujący aktualny postęp skanowania w poszukiwaniu złośliwego oprogramowania

Pełna lista kontrolna bezpieczeństwa dla WooCommerce (14 kroków)

Zawsze najlepiej jest zatrzymać hacki, zanim się pojawią. Jeśli możesz odpowiedzieć „tak” na poniższe pytania, to jest to doskonały początek!

1. Czy prowadzisz hosting u bezpiecznego, renomowanego dostawcy?

Twój gospodarz jest pierwszą linią obrony przed atakami. Jeśli nie mają odpowiednich środków bezpieczeństwa, Twoje pliki i baza danych mogą być podatne na ataki, nawet jeśli wszystko inne zrobisz dobrze.

Wybierając hosta, szukaj takiego z:

  • Wbudowana zapora . Zapora kontroluje, kto może uzyskać dostęp do Twojego serwera, a kto nie, trzymając hakerów i boty z dala od plików Twojej witryny.
  • Skany bezpieczeństwa . Wielu hostów regularnie skanuje wszystkie witryny na swoich serwerach i informuje Cię, jeśli zauważy coś podejrzanego, na przykład złośliwe oprogramowanie. Niektórzy dostawcy nawet naprawiają te problemy za Ciebie, często za dodatkową opłatą.
  • Kopie zapasowe . Chociaż chcesz również tworzyć własne kopie zapasowe (więcej o tym później), dobrym pomysłem jest posiadanie wielu kopii witryny. Wiele firm hostingowych uwzględnia w swoich planach kopie zapasowe, podczas gdy inne oferują je jako płatne uaktualnienie.
  • Znakomity zespół wsparcia . Jeśli napotkasz problem, potrzebujesz ekspertów, którzy pomogą Ci w opracowaniu kolejnych kroków. Upewnij się, że Twój gospodarz ma świetny zespół wsparcia, do którego można dotrzeć w najwygodniejszy dla Ciebie sposób (czat na żywo, telefon itp.)
  • Dobra reputacja . Sprawdź opinie prawdziwych klientów i poznaj ich doświadczenia. To najdokładniejszy sposób poznania dostawcy usług hostingowych.

Nie wiesz, od czego zacząć? WooCommerce stworzył listę rekomendowanych firm hostingowych, które zostały dokładnie sprawdzone.

2. Czy posiadasz certyfikat SSL?

Certyfikat SSL (Secure Socket Layer) szyfruje informacje wysyłane od klientów do Twojej witryny i uwierzytelnia tożsamość Twojej witryny. Służy to jako krytyczna ochrona informacji, takich jak dane kart kredytowych i adresy. Google bierze to również pod uwagę przy ustalaniu rankingów wyszukiwarek.

Większość hostów oferuje certyfikaty SSL za darmo, choć niektórzy pobierają stosunkowo niewielką opłatę.

3. Czy korzystasz z bezpiecznych, bezpiecznych wersji motywów i wtyczek?

Zerowane wtyczki i motywy to pirackie wersje wtyczek i motywów premium, które są oferowane bezpłatnie lub za niską cenę. Nie tylko nie są obsługiwane, ale także nie są aktualizowane, więc mogą powodować konflikty z WordPress lub innymi wtyczkami. Co więcej, zazwyczaj są one pełne złośliwego oprogramowania, które może zagrozić Twojej witrynie i danym klientów.

Zawsze pobieraj wtyczki i motywy z zaufanych źródeł, takich jak repozytorium WordPress lub rynek WooCommerce.

w WooCommerce Marketplace polecane kolekcje rozszerzeń
Polecane kolekcje rozszerzeń w WooCommerce Marketplace

4. Czy wszystko jest zaktualizowane w Twojej witrynie WordPress?

Aktualizacje WordPress, motywów i wtyczek nie zawsze zawierają tylko nowe funkcje; często naprawiają błędy i luki, z których mogą skorzystać hakerzy. Zawsze wykonuj aktualizacje, gdy są one dostępne, aby zapewnić bezpieczeństwo witryny i uniknąć konfliktów.

Nie chcesz śledzić aktualizacji? Jetpack ma możliwość zautomatyzowania tego procesu.

5. Czy używasz najnowszej wersji PHP?

Większość rdzenia WordPressa jest napisana w PHP, języku programowania. Powinieneś zaktualizować wersję PHP, której używa Twoja witryna, z tego samego powodu, dla którego powinieneś aktualizować motywy i wtyczki: w celu ochrony przed błędami i lukami w zabezpieczeniach.

Możesz zaktualizować swoją wersję PHP w ustawieniach hosta lub poprosić dostawcę usług hostingowych, aby zajął się tym za Ciebie. Zobacz najnowsze wymagania WordPressa.

6. Czy sprawdziłeś swoje uprawnienia użytkownika?

Każdy użytkownik WordPressa ma przypisaną rolę, która obejmuje zestaw możliwości, które pozwalają mu wykonywać określone zadania w Twojej witrynie. Administratorzy mają pełny dostęp do wszystkiego i mogą wprowadzać dowolne zmiany; jako właściciel sklepu powinna to być Twoja rola. Klienci nie mają jednak dostępu do zaplecza Twojej witryny, ale mogą edytować informacje o swoim koncie oraz przeglądać bieżące i poprzednie zamówienia. Zobacz pełną listę ról i uprawnień użytkowników.

Od czasu do czasu przeglądaj i czyść swoje konta użytkowników. Każdy użytkownik powinien mieć tylko minimalne niezbędne uprawnienia do wykonywania swojej pracy, a jeśli już z kimś nie pracujesz, usuń jego konto. Na przykład, jeśli współpracowałeś z agencją zajmującą się tworzeniem stron internetowych, aby zbudować swoją witrynę, a projekt jest ukończony, prawdopodobnie chcesz usunąć jej konto, chyba że konsekwentne aktualizacje będą konieczne w przyszłości.

7. Czy używasz bezpiecznej nazwy użytkownika i hasła?

Hakerzy często używają botów, aby wypróbować tysiące różnych kombinacji nazw użytkownika i haseł, dopóki nie znajdą właściwej (nazywa się to atakiem brute force). Im łatwiejsze jest odgadnięcie hasła, tym większe prawdopodobieństwo, że haker może uzyskać dostęp do Twojego sklepu.

Dobre hasło składa się z dużej litery, małej litery, cyfry oraz symbolu i ma co najmniej 20 znaków. Upewnij się, że przynajmniej każdy administrator wdraża ten typ hasła.

Jeśli chodzi o nazwy użytkowników, unikaj popularnych tytułów, takich jak „Administrator” lub „Administrator”. Zamiast tego utwórz określoną nazwę użytkownika dla każdej osoby.

8. Czy rozważałeś zmianę adresu URL logowania?

Domyślnie każda strona logowania WordPress jest dostępna pod adresem URL /wp-admin. Jeśli chcesz zastosować dodatkowe środki bezpieczeństwa, możesz zmienić adres URL, aby utrudnić atakującym odgadnięcie tego adresu URL. Możesz to zrobić, edytując plik .htaccess lub, jeśli nie czujesz się komfortowo, zmieniając kod, użyj wtyczki, takiej jak WP Hide Login.

9. Czy włączono uwierzytelnianie dwuskładnikowe dla administratorów?

Uwierzytelnianie dwuskładnikowe dodaje dodatkową warstwę bezpieczeństwa do Twojej strony logowania. Aby się zalogować, musisz nie tylko coś wiedzieć (nazwę użytkownika i hasło), ale także coś fizycznie posiadać (urządzenie mobilne). To znacznie zmniejsza prawdopodobieństwo, że haker dostanie się do Twojego sklepu.

Jetpack ułatwia uwierzytelnianie dwuskładnikowe. Gdy zalogujesz się do swojej witryny, otrzymasz na telefon specjalny, jednorazowy kod, który musisz wprowadzić, aby zakończyć proces logowania. Możesz nawet wymagać od wszystkich użytkowników, aby to skonfigurowali. Dowiedz się więcej o uwierzytelnianiu dwuskładnikowym.

10. Czy blokujesz ataki brute force?

Jak wspomnieliśmy wcześniej, ataki typu brute force mają miejsce, gdy hakerzy używają botów do ciągłego testowania kombinacji nazw użytkowników i haseł, dopóki nie znajdą właściwego. Nie tylko naraża to Twój sklep i dane klientów, ale może również spowolnić działanie Twojej witryny.

moduł pokazujący całkowitą liczbę złośliwych ataków zablokowanych na stronie

Ale Jetpack automatycznie blokuje te ataki, zanim dotrą do Twojej witryny, więc nie musisz się martwić.

11. Czy skanujesz swoją witrynę w poszukiwaniu złośliwego oprogramowania?

Co się stanie, jeśli ktoś uzyska dostęp do Twojej witryny i wstrzyknie złośliwe oprogramowanie? Chcesz wiedzieć od razu, aby usunąć to złośliwe oprogramowanie i jak najszybciej rozwiązać problem. Ale hakerzy są podstępni — nie zawsze jest od razu oczywiste, że się do nich wdarli.

Jetpack Scan natychmiast ostrzega o wszelkich podejrzanych działaniach, a ponieważ skanowanie odbywa się na serwerach Jetpack, możesz uzyskać dostęp do swojej witryny, nawet jeśli ulegnie awarii. Oferuje również poprawki jednym kliknięciem dla większości znanych zagrożeń.

12. Czy masz skonfigurowany filtr spamu?

Komentarze będące spamem są nie tylko irytujące; sprawiają również, że wyglądasz nieprofesjonalnie i mogą zawierać linki, które kierują klientów do witryn wypełnionych złośliwym oprogramowaniem. Ale przeglądanie setek komentarzy tygodniowo jest czasochłonne i frustrujące.

wykres pokazujący zablokowany spam w witrynie WordPress

I tu pojawia się Jetpack Anti-Spam! Automatycznie usuwa spam z komentarzy i formularzy, więc nigdy nie musisz go oglądać. Zaoszczędzisz czas, ochronisz swoją witrynę i zapewnisz lepsze wrażenia użytkowników jednocześnie.

13. Czy monitorujesz swoją witrynę pod kątem przestojów?

Jeśli witryna ulegnie awarii, może to oznaczać włamanie. A im dłużej spada, tym więcej tracisz na sprzedaży. Chcesz jak najszybciej przywrócić go i ponownie uruchomić!

Jetpack oferuje bezpłatne monitorowanie przestojów, które co pięć minut sprawdza Twoją witrynę z lokalizacji na całym świecie. Jeśli Twoja witryna nie działa, otrzymasz natychmiastowe powiadomienie, dzięki czemu możesz od razu rozwiązać problem.

14. Czy masz skonfigurowane regularne kopie zapasowe poza siedzibą firmy?

Jeśli coś stanie się z Twoją witryną, najlepszą ochroną, jaką możesz mieć, jest pełna kopia zapasowa, którą możesz szybko i łatwo przywrócić. Nawet jeśli Twój host oferuje kopie zapasowe, ważne jest, abyś również stworzył własne. Czemu? Ponieważ jeśli Twój serwer zostanie naruszony, wszelkie przechowywane tam kopie zapasowe również mogą zostać naruszone.

tworzenie kopii zapasowej w toku w sklepie WooCommerce

Jetpack Backup to doskonałe rozwiązanie. Istnieją dwie opcje planu:

  1. Codzienne kopie zapasowe, które raz dziennie zapisują kopię Twojej witryny.
  2. Kopie zapasowe w czasie rzeczywistym , które zapisują kopię Twojej witryny za każdym razem, gdy aktualizujesz stronę, publikujesz nowy post lub dokonujesz sprzedaży. Są one szczególnie przydatne w sklepach internetowych, ponieważ nigdy nie musisz się martwić o utratę informacji o zamówieniu.

Jetpack przechowuje pliki kopii zapasowych w wielu lokalizacjach, całkowicie oddzielonych od Twojej witryny. Oznacza to, że jeśli Twój serwer zostanie naruszony, Twoje kopie zapasowe nie. W większości przypadków możesz nawet przywrócić kopię zapasową, jeśli Twoja witryna jest całkowicie niedostępna!

Jak odzyskać siły w najgorszym przypadku?

Jeśli Twój sklep internetowy ma złośliwe oprogramowanie i masz Jetpack Security, otrzymasz powiadomienie, dzięki czemu możesz natychmiast zająć się problemem. Pierwszym krokiem powinno być sprawdzenie dziennika aktywności, w którym możesz zobaczyć pełną listę wszystkiego, co wydarzyło się na Twojej stronie. Możesz użyć tych informacji, aby określić, kiedy doszło do włamania, sprawdzając podejrzaną aktywność, taką jak nieznane loginy i edytowane strony.

dziennik aktywności pokazujący wszystko, co wydarzyło się w witrynie WordPress

Następnie najszybszym sposobem na odzyskanie jest Jetpack Backup. Wystarczy kilka kliknięć, aby Twoja witryna mogła być ponownie uruchomiona przy minimalnym przestoju. Wszystko, co musisz zrobić, to wybrać kopię zapasową sprzed włamania i poczekać, aż zostanie przywrócona. Tak, to jest to!

Po uruchomieniu czystej wersji sklepu użyj Jetpack Scan, aby upewnić się, że w witrynie nie ma żadnego złośliwego oprogramowania. Jetpack rozwiązuje większość znanych zagrożeń za Ciebie, więc jeśli coś zostanie znalezione, najprawdopodobniej nie będziesz musiał się martwić o rozwiązywanie problemów.

Na koniec poświęć trochę czasu na zabezpieczenie swojej witryny, zmieniając wszystkie hasła i sprawdzając, czy motywy, wtyczki i podstawowe pliki są aktualne.

Potrzebujesz pomocy? Jetpack Security obejmuje priorytetowe wsparcie ze strony doświadczonego zespołu technicznego, który może wskazać Ci właściwy kierunek.

Dbaj o bezpieczeństwo swojego sklepu WooCommerce

Poświęcenie czasu na pełne zabezpieczenie sklepu WooCommerce zapewni, że Twoi klienci będą mogli robić zakupy bez obaw, a Ty nie będziesz musiał martwić się o swoje dane lub reputację.

A jednym z najlepszych sposobów na to jest połączenie Jetpack Security i WooCommerce — to po prostu ma sens! Są to dwie uznane, szanowane wtyczki WordPress, które działają synchronicznie, aby chronić Twoją witrynę i dodawać funkcje. Razem oznaczają mniej ruchomych części, mniej zewnętrznych wtyczek i większy spokój dla właściciela firmy.

Często Zadawane Pytania

Czy można zhakować witrynę WooCommerce?

Tak, jak każda witryna, sklep WooCommerce może zostać zhakowany. Jednak WordPress i WooCommerce zawierają funkcje, które pomogą chronić Twoje treści i dane klientów. A kiedy zastosujesz kilka podstawowych środków bezpieczeństwa — takich jak wybór dobrego hosta, aktualizowanie rzeczy i instalowanie najlepszej wtyczki zabezpieczającej — możesz spać spokojnie, wiedząc, że Twoja witryna jest w dobrych rękach.

Czy potrzebujesz SSL dla strony WooCommerce?

Certyfikat SSL szyfruje informacje (takie jak dane karty kredytowej i adresy) przesyłane do Twojej witryny, chroniąc ją przed złymi stronami. Dostęp do tych informacji przez hakera może narazić Twoją firmę na ryzyko prawne i zaszkodzić Twojej reputacji. Certyfikat SSL nie tylko chroni Ciebie i Twoich klientów, ale jest również ważny dla rankingów w wyszukiwarkach.

Chociaż certyfikat SSL jest zalecany dla każdej strony internetowej, jest jeszcze ważniejszy dla sklepów internetowych ze względu na rodzaj danych, które zbierają w celu przetwarzania transakcji.

Który certyfikat SSL jest najlepszy dla witryn WooCommerce?

Większość głównych dostawców usług hostingowych zawiera w swoich planach certyfikat SSL, podczas gdy inni udostępniają je za dodatkową opłatą. Zazwyczaj są one łatwe do zainstalowania za pomocą zaledwie kilku kliknięć.

Jeśli jednak Twój host tego nie oferuje, zalecamy Let's Encrypt. Jest to zaufana usługa, oferująca bezpłatne certyfikaty SSL, które zapewniają bezpieczniejszą sieć. Uwaga: wiele certyfikatów SSL zawartych w planach hostingowych pochodzi z Let's Encrypt.

Dowiedz się więcej o instalowaniu certyfikatu SSL w swoim sklepie WooCommerce.

Jak wymusić HTTPS na stronie WooCommerce?

Gdy pomyślnie dodasz certyfikat SSL do swojego sklepu, zmieni on Twój adres URL z http://example.com na https://example.com. Litera „s” w „https” oznacza SSL.

Kiedy wymusisz HTTPS w swoim sklepie, odwiedzający, który wpisze wersję „http” Twojej witryny zostanie automatycznie przekierowany do wersji „https”. Gwarantuje to, że wszystko jest poprawnie zaszyfrowane dla każdego pojedynczego kupującego.

Możesz wymusić HTTPS, dodając kilka wierszy kodu do pliku .htaccess lub używając wtyczki WordPress. Kinsta zapewnia świetny przewodnik, jak to zrobić.

Czy WooCommerce jest bezpieczniejszy niż Shopify?

Shopify to hostowana platforma, która zapewnia bezpieczeństwo. Chociaż ma to swoje zalety — nie musisz się martwić o wdrażanie środków bezpieczeństwa — oznacza to również, że praktycznie nie masz kontroli nad własną ochroną.

Nie oznacza to również, że Shopify jest bezpieczniejszy. Hakerzy i boty w końcu nie dyskryminują. Po prostu próbują witrynę po witrynie, aż znajdą taką, do której mogą się dostać. Jeśli więc zastosujesz odpowiednie środki bezpieczeństwa, Twój sklep będzie tak samo bezpieczny – a w wielu przypadkach bezpieczniejszy – niż inne na dowolnej platformie.

Należy również zauważyć, że zarówno WordPress, jak i WooCommerce są wspierane przez zespół, który z pasją pomaga Ci odnieść sukces. Nieustannie pracują nad bezpieczeństwem platformy, dlatego tak ważne jest regularne aktualizowanie oprogramowania.

Ten przewodnik od WooCommerce zawiera więcej szczegółów na temat porównania z Shopify.