9-punktowa lista kontrolna dla bezpiecznego sklepu WooCommerce

Opublikowany: 2022-06-02

WooCommerce to popularna wtyczka eCommerce do WordPressa, obsługująca ponad 28% wszystkich sklepów internetowych. Jako oprogramowanie dostępne publicznie, WordPress można dostosowywać i modyfikować, aby zbudować unikalną witrynę WooCommerce. Z drugiej strony, podobnie jak wszystkie witryny w Internecie, witryny WordPress są również podatne na ataki hakerów. I tak naprawdę nie ma to nic wspólnego z główną witryną WordPress, a raczej ze względu na możliwe do uniknięcia problemy z bezpieczeństwem.

W tym poście przeprowadzimy Cię przez najważniejsze wskazówki dotyczące bezpieczeństwa WooCommerce, aby zapobiec naruszeniu Twojego sklepu eCommerce przez złośliwych użytkowników. Możesz je planować i wdrażać na różne sposoby, ale istnieje proste i skuteczne rozwiązanie optymalizujące bezpieczeństwo Twojej witryny, które również omawiamy tutaj.

9-punktowa lista kontrolna zwiększająca bezpieczeństwo WooCommerce

Oto spojrzenie na sposoby, w jakie możesz zwiększyć bezpieczeństwo WooCommerce. Niektóre z tych środków bezpieczeństwa można łatwo wdrożyć samodzielnie, inne będą wymagały interwencji ekspertów WordPress.

1. Aktualizuj swoje wtyczki

Aktualizacja wtyczek i motywów jest niezbędna — oto dlaczego:

  • Hakerzy mogą wykorzystywać luki we wtyczkach i motywach oraz rozpocząć atakowanie Twojej witryny za pomocą tych wtyczek/motywów. Mogą z powodzeniem uzyskiwać dostęp do danych biznesowych i klientów, aby sprzedawać w ciemnej sieci, przekazywać środki lub dopuszczać się oszustw, a także innych nielegalnych działań.
  • Nieaktualne wtyczki są odpowiedzialne za 91% naruszeń bezpieczeństwa, co powoduje konieczność aktualizacji. Co więcej, tysiące stron internetowych jest codziennie hakowanych. Jeśli hakerzy natkną się na Twój sklep, mogą przekazać złośliwy kod niczego niepodejrzewającym użytkownikom Twojej witryny. Mogą też uruchomić atak DDoS, aby spowolnić lub zamknąć witrynę, powodując przestój, który został wysłany, aby kosztować średnio 5600 USD za minutę.
  • Aktualizacje wtyczek i motywów zawierają poprawki błędów i ulepszenia wydajności. Najnowsze wersje naprawiają problemy zidentyfikowane w poprzednich wersjach oprogramowania, a nawet mogą dodawać nowe funkcje. Utrzymanie wtyczek/motywów zapewnia ich użyteczność i bezpieczeństwo.

Aby zaktualizować motywy lub wtyczki WordPress, odwiedź kartę „Aktualizacje” w panelu administracyjnym WordPress. Zalecamy, aby najpierw zaktualizować motywy/wtyczki w witrynie testowej — klonie Twojej aktywnej witryny — w celu przetestowania zmian przed zastosowaniem ich w aktywnej witrynie. Dzieje się tak, ponieważ aktualizacja wtyczki może czasami powodować „błędy krytyczne”, ponieważ kod wtyczki jest niezgodny z kodem używanym w podstawowych plikach WP.

Jeśli masz zaplecze techniczne, możesz łatwiej skonfigurować swoją witrynę testową. Jeśli nie, profesjonalista może to dla Ciebie skonfigurować, pomagając upewnić się, że aktualizacje są w porządku do zainstalowania. Możesz zadbać o bezpieczeństwo WooCommerce, a także uniknąć wszelkich konsekwencji wynikających z problemów z aktualizacją.

2. Wybierz dedykowanego dostawcę hostingu WooCommerce

Potrzebujesz specjalnego hostingu dla WooCommerce? Cóż, biorąc pod uwagę, jak przeciętna witryna WooCommerce intensywnie wykorzystuje bazę danych i musi obsługiwać duży ruch, dedykowana firma hostingowa WooCommerce jest lepszym rozwiązaniem niż zwykła usługa hostingowa. Z punktu widzenia bezpieczeństwa WooCommerce od takiego dostawcy można oczekiwać specjalistycznego wsparcia obejmującego wszystkie niezbędne obszary na Twojej stronie.

Oto niektóre funkcje zabezpieczeń, które należy sprawdzić, gdy szukasz dostawcy usług hostingowych:

  • Certyfikaty SSL umożliwiające szyfrowane połączenie i blokujące hakerom dostęp do nazwisk, adresów, haseł, numerów kart kredytowych i innych poufnych danych.
  • Zautomatyzowane kopie zapasowe, aby przywrócić i uruchomić witrynę w przypadku ataku.
  • Monitorowanie ataków w celu wykrywania i łagodzenia ataków w czasie rzeczywistym.
  • Całodobowe wsparcie od doświadczonych ekspertów hostingu WooCommerce na telefon, aby pomóc Ci w kwestiach bezpieczeństwa.
  • Wbudowane środowisko pomostowe do bezpiecznego testowania wtyczek i zmian w Twoim sklepie przed ich opublikowaniem.

Jeśli chodzi o wydajność, możesz skoncentrować się na gwarancji bezawaryjnej pracy obiecanej przez dostawcę. Jeśli masz dużą witrynę WooCommerce z wieloma produktami i codziennie przyciągasz znaczny ruch, wystarczy gwarancja dostępności na poziomie 99,9%.

3. Skonfiguruj zaporę sieciową za pomocą wtyczki zabezpieczającej WordPress

Zainstaluj zaporę sieciową

Nawet jeśli dostawca usług hostingowych zapewnia zaporę sieciową, skonfigurowanie jej na poziomie witryny internetowej doda kolejną warstwę zabezpieczeń, zapobiegając nieautoryzowanemu dostępowi do sieci komputerowej. Możesz użyć wtyczki, aby skonfigurować zaporę i dodać więcej dostosowań, jeśli masz zaawansowaną wiedzę techniczną. WordFence to zaufana zapora sieciowa WordPress. Jest to kompletna wtyczka bezpieczeństwa WordPress, oferująca zestaw funkcji, takich jak:

  • Zapora aplikacji internetowej (WAF), która identyfikuje i blokuje złośliwy ruch
  • Ochrona przed atakami typu brute force, które blokują użytkowników po określonej liczbie błędnych prób logowania
  • Skanowanie złośliwego oprogramowania w celu wykrycia złośliwego oprogramowania, które hakerzy mogli zainstalować w Twojej witrynie
  • Umożliwia bezpieczeństwo logowania, takie jak reCAPTCHA i uwierzytelnianie dwuskładnikowe

Wiele z najważniejszych funkcji WordFence jest dostępnych w darmowej wersji. Aktualizacja do wersji premium kosztuje 99 USD rocznie i zawiera zaawansowane funkcje, takie jak blokowanie adresów IP w czasie rzeczywistym i reguły zapory, które chronią witryny przed nowymi zagrożeniami i złośliwym oprogramowaniem, gdy tylko zespół WordFence je wykryje.

Możliwe jest ręczne zaimplementowanie funkcji oferowanych przez uniwersalne wtyczki zabezpieczające, takie jak WordFence. Niektóre są dość łatwe do wykonania, ale mają specjalne wymagania. Na przykład, jeśli chcesz skonfigurować własną zaporę sieciową, potrzebujesz pełnego dostępu do swojego serwera, co nie jest możliwe, chyba że korzystasz z serwera dedykowanego. Ponadto będziesz musiał pracować w interfejsie wiersza poleceń, który jest prosty i przyjemny tylko wtedy, gdy masz umiejętności tworzenia stron internetowych.

4. Zwiększ bezpieczeństwo swojej strony logowania

Obszar administracyjny Twojej witryny jest zagrożony atakami typu brute force, które próbują uzyskać dostęp do Twojego administratora WP, próbując różnych kombinacji nazw użytkowników i haseł. Ataki brute force lub użycie skradzionych danych uwierzytelniających stanowią ponad 80% naruszeń w ramach hakowania. Istnieje kilka działań zabezpieczających WooCommerce, które możesz podjąć, aby zwiększyć bezpieczeństwo strony logowania administratora do Twojego sklepu:

Zmień swoją nazwę użytkownika z „admin” na coś innego

Częstą sztuczką hakerów jest wykorzystanie domyślnej nazwy użytkownika administratora WordPress, którą jest „admin”, aby spróbować zalogować się na swoje konto. Wczesne wersje WordPressa domyślnie używały nazwy użytkownika „admin”, więc możliwe, że właściciele sklepów mają zwyczaj jej używać. Zmiana nazwy „admin” na inną jest konieczna, aby zmniejszyć ryzyko ataków Wp-admin, a to nic! Oto kroki:

  1. Idź do > dodaj nowego użytkownika
  2. Utwórz nowego użytkownika z wybraną nazwą użytkownika i nadaj mu rolę administratora
  3. Wyloguj się z poprzedniego konta „admin” i zaloguj się na nowe konto
  4. Wróć do listy użytkowników i usuń stare konto „admin”

Włącz uwierzytelnianie dwuskładnikowe (2FA)

Uwierzytelnianie dwuskładnikowe wymaga dwóch metod weryfikacji tożsamości. Działa jako druga linia obrony w celu ograniczenia dostępu do konta administratora WordPress. Możesz go włączyć za pomocą aplikacji uwierzytelniającej, która dodaje 2FA do kont, które chcesz chronić.

Aplikacje Authenticator generują jednorazowy kod, którego możesz użyć, aby potwierdzić, że to Ty logujesz się na swoje konto administratora WP. Najpierw musisz skonfigurować urządzenie uwierzytelniające na smartfonie lub tablecie. Podczas tego procesu aplikacja wygeneruje tajny klucz, który zapisujesz w telefonie, skanując kod QR lub ręcznie wpisując kod, jeśli telefon nie ma aparatu. Dzięki temu serwer aplikacji i Twój telefon mają kopię tajnego klucza. Następnie za każdym razem, gdy wpisujesz swoją nazwę użytkownika i hasło, aby się zalogować, aplikacja wysyła kod dostępu – zwykle sześciocyfrowy numer – który wpisujesz, aby zalogować się na swoje konto administratora.

Oto przykład, jak skonfigurować 2FA za pomocą WordFence:

  1. Pobierz aplikację uwierzytelniającą, taką jak Google Authenticator, na swój smartfon lub tablet
  2. Zainstaluj i aktywuj WordFence
  3. Przejdź do strony „Bezpieczeństwo logowania” w WordFence
  4. Otwórz aplikację uwierzytelniającą i zeskanuj kod QR wyświetlany w WordFence
  5. Kliknij „pobierz” w sekcji kodu odzyskiwania – daje to zestaw kodów, których możesz użyć w przypadku utraty dostępu do aplikacji uwierzytelniającej
  6. Wprowadź 6-cyfrowy kod z aplikacji uwierzytelniającej
  7. Kliknij „aktywuj”

5. Wymagaj silnych haseł do kont w sklepie

Twórz silne hasła

WooCommerce oferuje elastyczność w tworzeniu sklepu pasującego do Twojego modelu biznesowego. Obejmuje to zapewnienie różnych poziomów dostępu w zespołach. Zabezpieczenie kont sklepowych wszystkich członków Twojego zespołu to prosty sposób na wzmocnienie bezpieczeństwa WooCommerce.

Chociaż pracownicy rozumieją, że ich hasła powinny być silne, nadal używają słabych haseł, które można zhakować w mniej niż sekundę. Silna polityka haseł może powtórzyć konieczność tworzenia złożonych haseł. Zamiast mieć tylko niektóre role, takie jak menedżer sklepu lub administrator, tworzą bezpieczne hasła, bezpieczniejszą opcją jest egzekwowanie polityki złożoności haseł dla wszystkich użytkowników.

Jednym ze sposobów na osiągnięcie tego jest użycie wtyczki iThemes Security, aby zmusić konta sklepu do ustawiania silnych haseł dla siebie. Oto jak możesz się do tego zabrać:

  1. Zainstaluj i aktywuj wtyczkę
  2. Na stronie konfiguracji wybierz „eCommerce” jako typ strony internetowej
  3. Wybierz „Własny” jako użytkownik
  4. Gdy wtyczka zapyta „czy chcesz zabezpieczyć swoje konta użytkowników polityką haseł?”, ustaw przełącznik na „tak”

6. Twórz unikalne hasła dla wszystkich zewnętrznych platform eCommerce

Często pomijanym aspektem bezpieczeństwa WooCommerce jest podatność różnych kont używanych w usługach połączonych ze sklepem WooCommerce na włamania do haseł. Używanie tego samego hasła do wszystkich usług, które połączyłeś ze swoim sklepem WooCommerce, ułatwia pracę hakera. Oto, co powinieneś zrobić w zamian:

  • Ustaw odrębne hasła we wszystkich bramkach płatniczych, takich jak Stripe i PayPal, w hostingu i innych usługach stron trzecich, z których korzystasz w swoim sklepie WooCommerce. Nawet jeśli jedno z Twoich haseł zostanie ujawnione, Twoje inne konta będą bezpieczne.
  • Upewnij się, że hasła wystarczająco różnią się od siebie. Ponowne używanie haseł przez zwykłą zmianę lub dodanie cyfry lub znaku jest nieskuteczne.

7. Utrzymuj regularne kopie zapasowe swojego sklepu

Chociaż kopie zapasowe nie chronią Twojej witryny przed hakerami, zapewniają dostęp do cennych danych w przypadku włamania na Twoją witrynę. Posiadanie kopii zapasowych danych może pomóc przywrócić witrynę do trybu online po cyberataku lub innych zdarzeniach, takich jak awaria sprzętu lub awaria spowodowana wzrostem ruchu. Codzienne kopie zapasowe zapewniają, że informacje o klientach, zamówieniach i produktach mogą zostać przywrócone w przypadku wystąpienia nieprzewidzianych zdarzeń, a ciągłość biznesowa jest zachowana, aby uniknąć utraty klientów i przychodów.

Przydatnym rozwiązaniem jest użycie wtyczki do tworzenia kopii zapasowych WordPress w czasie rzeczywistym, takiej jak BlogVault. Kopia zapasowa w czasie rzeczywistym umożliwia przywracanie danych do dowolnego punktu w czasie i jest szczególnie przydatna w przypadku dużej bazy danych, która stale mierzy się z problemami związanymi z bezpieczeństwem.

8. Zabezpiecz swoją bazę danych

Twoja baza danych WordPress przechowuje wszystkie informacje w Twojej witrynie, dzięki czemu jest atrakcyjnym celem. WordPress używa MySQL jako swojego systemu zarządzania bazą danych. Kod PHP w Twojej witrynie WordPress zawiera polecenia SQL do komunikacji z bazą danych. Jednym ze sposobów na zhakowanie SQL jest użycie fragmentu kodu SQL do manipulowania bazą danych i uzyskania dostępu do cennych informacji. Ten rodzaj ataku jest wstrzyknięciem SQL i jest powszechny wśród witryn internetowych opartych na bazach danych.

Na szczęście istnieją sposoby na zabezpieczenie bazy danych WordPress – oto dwa, które pomogą Ci zacząć:

Zmień domyślny prefiks tabeli

Domyślny prefiks tabeli dla sklepów WooCommerce to wp_ . Pozostawienie tego ustawienia jako domyślnego otwiera Twój sklep na iniekcje SQL. Możesz zmienić to ustawienie w PhpMyAdmin podczas konfigurowania sklepu lub użyć wtyczki takiej jak DB Prefix. Pamiętaj, aby wykonać kopię zapasową bazy danych WP przed wprowadzeniem jakichkolwiek zmian w prefiksach tabel. A jeśli planujesz sporo konserwacji WordPress i aktualizacji zabezpieczeń, możesz skierować odwiedzających witrynę na stronę konserwacji lub stronę tymczasową.

Zabezpiecz swój plik wp-config

Plik wp-config.php jest najważniejszym plikiem w Twoim sklepie WooCommerce, ponieważ zawiera wszystkie informacje o bazie danych Twojego sklepu – w tym hasła administratora. Przenosząc ten plik w górę z domyślnej pozycji w podkatalogu głównym do wyższego podkatalogu, potencjalnym hakerom trudniej będzie go zlokalizować.

Uwaga: Codeable nie jest powiązany z żadną z rekomendacji (wtyczek) wymienionych w poście.

9. Zatrudnij sprawdzonego specjalistę ds. bezpieczeństwa WordPress

Najskuteczniejszym działaniem numer jeden, jakie możesz podjąć, aby zabezpieczyć swój sklep WooCommerce, jest zatrudnienie specjalisty ds. bezpieczeństwa WordPress. Od zainstalowania podstawowego certyfikatu SSL aż po wdrożenie zapór sieciowych w celu ochrony przed atakami typu brute force na większe witryny handlu elektronicznego, zatrudnienie specjalisty ds. bezpieczeństwa pozwala skupić się na innych częściach sklepu, takich jak zarządzanie zamówieniami i śledzenie zapasów.

Jak znaleźć eksperta ds. bezpieczeństwa WooCommerce

Masz wiele możliwości, w tym majsterkowanie, wynajęcie agencji lub znalezienie freelancera na licznych portalach internetowych. Agencje, które dostarczają ekspertów ds. bezpieczeństwa WordPress, zazwyczaj pakują różne usługi w pakiet, więc jeśli wybierzesz tę opcję, uważaj na wszelkie usługi, których możesz nie potrzebować.

Na rynkach freelancerów możesz zapłacić dodatkowo, aby mieć wybór sprawdzonych programistów WP lub będziesz musiał sam je ocenić. W tych witrynach wybierasz najlepsze oferty i nie ma pewności, że freelancer będzie licytował projekty, w których czuje się kompetentny, po prostu dlatego, że witryna nie precyzuje tego wymagania.

Lepszą opcją jest znalezienie eksperta ds. bezpieczeństwa na Codeable:

  • Codeable to platforma freelancerska specjalizująca się w WordPress.
  • Dopasowuje Twój projekt do sprawdzonych specjalistów WordPress/WooCommerce, którzy pracowali nad projektami bezpieczeństwa podobnymi do Twojego. Usuwa to zgadywanie i pomaga upewnić się, że masz odpowiednią osobę do pracy.
  • To, co odróżnia Codeable od ogólnych rynków freelancerów, to fakt, że będziesz pracować tylko z ekspertami, którzy są w stanie pomyślnie zrealizować Twój projekt. Możesz cieszyć się spokojem, wiedząc, że masz dostęp do specjalistów ds. bezpieczeństwa WooCommerce, którzy wyrazili zgodę na projekt po dokładnym zastanowieniu się nad nim.
  • Codeable to świetna opcja dla mniejszych projektów lub jednorazowych zadań, takich jak audyty bezpieczeństwa. Jest to tańsze niż wynajęcie agencji i pozwala zaoszczędzić sporo czasu na strategiczne działania.
  • Proces zatrudniania jest łatwy i nie ma obowiązku zatrudniania, jeśli zmienisz zdanie na temat swoich planów bezpieczeństwa i konserwacji WooCommerce.

Zabezpiecz swój sklep WooCommerce przed pojawiającymi się zagrożeniami

Kodowalny

Posiadanie planu bezpieczeństwa Woocommerce umożliwia skuteczne reagowanie na istniejące i nowe zagrożenia cyberbezpieczeństwa. Proaktywne zarządzanie problemami bezpieczeństwa związanymi z WordPressem i handlem elektronicznym jest konieczne, aby prowadzić działalność bez zakłóceń, uniknąć strat finansowych z powodu włamań i utrzymać zaufanie klientów.

Eksperci ds. bezpieczeństwa WordPress z Codeable mogą pomóc w zarządzaniu ryzykiem bezpieczeństwa.

Prześlij swój projekt i szybko rozwiej wątpliwości dotyczące bezpieczeństwa. Codeable jest niedrogi i oferuje gwarancję zwrotu pieniędzy, więc możesz go przetestować za pomocą małego zadania, a następnie zdecydować, czy chcesz go użyć do większego projektu bezpieczeństwa.