5 porad dotyczących bezpieczeństwa po uruchomieniu dla sklepów WooCommerce

Opublikowany: 2016-04-12

Jak omówiliśmy we wstępie do bezpieczeństwa WooCommerce, stworzenie podstaw dla bezpiecznego, dobrze chronionego sklepu zajmuje tylko kilka kroków. Ale większość oferowanych przez nas wskazówek to rzeczy, które robisz przed uruchomieniem sklepu, a może zaraz po.

Bezpieczeństwo nie jest czymś, o czym można pomyśleć raz i nigdy więcej. Jeśli nie będziesz aktualizować swojego sklepu, zwracać uwagę na trendy w zakresie bezpieczeństwa lub wzmacniać zabezpieczenia w miarę rozwoju i skalowania, możesz narazić się na bardzo słabą pozycję… a także narazić swoich klientów na ryzyko.

Przyjrzyjmy się jeszcze kilku sposobom zabezpieczenia sklepu po uruchomieniu.

1. Ukryj numer wersji WordPressa

„Dobrze”, możesz powiedzieć, „co? Jak to zapewnia mi bezpieczeństwo?”

Cóż — nie, nie bezpośrednio. Jeśli jednak czasami aktualizujesz WordPressa trochę wolno, szybki rzut oka na kod źródłowy może łatwo powiedzieć potencjalnemu napastnikowi, że jesteś potencjalnie bardziej podatny na inne ataki .

Aktualną wersję WordPressa można znaleźć w trzech miejscach:

  1. Metatag generatora w nagłówku
  2. Metatag generatora w Twoim kanale RSS
  3. Ciągi zapytań

Tak więc, jeśli jesteś jedną z tych osób, które mają dobre intencje, które chcą przetestować swoje aktualizacje przez dzień lub dwa i muszą ukryć numer wersji z ważnego powodu, możesz użyć kodu Frankiego Jarretta, aby ukryć numer wersji przed wszystkimi trzy z tych miejsc. Udaj się do jego posta, aby go odebrać, a następnie wklej go do pliku functions.php .

Krótkie spojrzenie na kod, dzięki uprzejmości Frankie Jarrett.
Krótkie spojrzenie na kod, dzięki uprzejmości Frankie Jarrett.

Ponownie, samo ukrywanie wersji nie ochroni Cię — powinieneś bezwzględnie aktualizować WordPress, WooCommerce i wszystkie swoje wtyczki i rozszerzenia . Rozumiemy jednak również, że często istnieje luka między testowaniem a wdrażaniem, więc może to pomóc w zapewnieniu bezpieczeństwa w międzyczasie.

2. Wymuś SSL na stronach kasy

Bezpieczeństwo zaczyna się od bezpiecznego połączenia. Postępując zgodnie z tą wskazówką, możesz mieć absolutną pewność, że chronisz swoich klientów przed szpiegowaniem podczas wprowadzania przez nich wrażliwych informacji o rozliczeniach i wysyłce przy kasie.

Po włączeniu ustawienia „Wymuś bezpieczną płatność” w WooCommerce wszystkie strony powiązane z procesem płatności będą zmuszone do korzystania z protokołu HTTPS (czyli bezpiecznego połączenia) za każdym razem, gdy się ładują.

Ponieważ tylko przeglądarka klienta i Twój sklep mogą odszyfrować informacje przesyłane przez połączenie HTTPS, zaznaczenie tego pola gwarantuje, że transakcja jest bezpieczna i że nikt ze złymi zamiarami nie może zerknąć na numery kart kredytowych lub inne poufne informacje napływające i poza swoim sklepem.

Podpis
Wymuszenie bezpiecznej realizacji transakcji zapewnia bezpieczeństwo zarówno Tobie, jak i Twoim klientom. Jedynym warunkiem jest posiadanie certyfikatu SSL.

To ustawienie można włączać i wyłączać w WooCommerce, przechodząc do WooCommerce> Kasa i włączając lub wyłączając drugie pole wyboru.

Pamiętaj, że do prawidłowego działania tego ustawienia w Twoim sklepie wymagany jest ważny certyfikat SSL . Jeśli nie masz jeszcze certyfikatu SSL, przeczytaj ten przewodnik, aby dowiedzieć się więcej o tym, dlaczego są one ważne i jak je zdobyć za niewielką lub darmową opłatą.

Możesz dowiedzieć się więcej o tym ustawieniu w WooCommerce, czytając tę ​​stronę w naszych dokumentach.

3. Twórz kopie zapasowe i skany bezpieczeństwa codziennie

W naszym pierwszym poście na temat bezpieczeństwa zalecamy używanie zaufanego oprogramowania do skanowania witryny pod kątem potencjalnych luk w zabezpieczeniach, ataków typu brute force lub złośliwego oprogramowania. Teraz, po uruchomieniu, nadszedł czas, aby przenieść sprawy na wyższy poziom.

Po uruchomieniu sklepu zarówno kopie zapasowe, jak i skanowanie bezpieczeństwa powinny być wykonywane codziennie . Kopie zapasowe są kluczowe, ponieważ dają coś, na czym można się oprzeć w przypadku utraty danych, podczas gdy skanowanie bezpieczeństwa przede wszystkim zapobiega takiej utracie (lub infekcji).

Możesz ustawić częstotliwość skanowania, kopii zapasowych i powiadomień według własnego uznania, ale zalecamy codzienną kopię zapasową i co najmniej codzienne skanowanie . Niektóre rozwiązania oferują kopie zapasowe w czasie rzeczywistym i częstsze skanowanie — ochrona logowania brute-force również działa w czasie rzeczywistym — ale możesz zwiększać lub zmniejszać częstotliwość zgodnie z preferencjami.

Jeśli nadal szukasz niezawodnego, skutecznego rozwiązania do tworzenia kopii zapasowych i zabezpieczeń, plany Jetpack Premium są dostarczane w pakiecie z kopiami zapasowymi — a klienci WooCommerce mogą natychmiast zaoszczędzić 15% . Kup Jetpack dla spokoju od pierwszego dnia.

4. Zmień domyślny prefiks używany w bazach danych WordPress

Może się to wydawać dziwne, ale istnieją nieprzyjemni ludzie, którzy przeprowadzają ataki na strony internetowe dla własnej rozrywki. Chociaż możesz sądzić, że Twój sklep jest w 100% bezpieczny, istnieje kilka drobnych luk, które ci spamerzy i hakerzy znajdą i wykorzystają, jeśli tylko nadarzy się taka okazja.

Jedna ze znanych potencjalnych luk w zabezpieczeniach wynika z użycia domyślnych ustawień tabeli bazy danych podczas konfiguracji i instalacji WordPressa. Zmiana tych ustawień może pomóc w zapobieganiu wstrzykiwaniu złośliwego kodu na serwer.

Domyślny prefiks tabel bazy danych używanych do przechowywania informacji WordPress to wp_. Ponieważ większość właścicieli sklepów nie zmienia tego prefiksu podczas instalacji (lub nawet nie ma takiej możliwości, w zależności od ich hosta/procedury instalacji), użycie domyślnego może narazić ich na ryzyko ataku SQL injection (m.in. ) , wszystko dlatego, że hakerzy doskonale wiedzą, jak nazywają się te domyślne tabele.

Do tej pory, oczywiście, prawdopodobnie już skonfigurowałeś WordPress i WooCommerce. Ale nie jest za późno na zmianę tych ustawień. Zapytanie SQL lub dwa uruchomione w phpMyAdmin wyprostują Cię w mgnieniu oka.

Dzięki dobrze umieszczonemu SQL możesz zmienić nazwy prefiksów tabeli i dodać kolejną warstwę bezpieczeństwa do instalacji WordPressa. (Źródło zdjęcia: Kopanie w WP)
Dzięki dobrze umieszczonemu SQL możesz zmienić nazwy prefiksów tabeli i dodać kolejną warstwę bezpieczeństwa do instalacji WordPressa. (Źródło zdjęcia: Kopanie w WP)

Zapoznaj się z tym szczegółowym i niezwykle pomocnym samouczkiem krok po kroku od Digging Into WP, aby dowiedzieć się, jak zmienić prefiksy tabeli bazy danych na coś znacznie bardziej złożonego i znacznie bezpieczniejszego.

Zapytania SQL to nie twoja sprawa? Istnieje kilka darmowych wtyczek, które osiągną to samo, ale zachowaj ostrożność — umożliwienie nieograniczonego dostępu do bazy danych SQL może być niebezpieczne . Przynajmniej odinstaluj taką wtyczkę, gdy już z nią skończysz, aby nie było możliwości przyszłych niezamierzonych zmian nazw.

5. Pozbądź się swojego konta „admin”

Ta ostatnia rada może niektórym z Was wydawać się irytująca, a innym może nawet przypominać ogólną wiedzę. Ale to jest kluczowe, więc chcieliśmy poświęcić trochę czasu na podkreślenie tego tutaj.

Korzystanie z domyślnego konta administratora wbudowanego w WordPress nie jest zalecane, gdy prowadzisz sklep internetowy . Podobnie jak przedrostki w tabelach bazy danych, hakerzy wiedzą, że to konto (najprawdopodobniej) istnieje domyślnie, co zapewnia im lepszą okazję do włamania się do systemu.

Nawet podobnie brzmiące konta , takie jak „testadmin”, „administrator” czy „właściciel”, narażają Twój sklep na ryzyko — można je równie łatwo odgadnąć. Jak wyjaśnia strona Attacking WordPress na HackerTarget.com (nie martw się, jest to źródło porad, a nie instrukcje dotyczące hakowania), gdy haker wie, że istnieje konto, może szybko użyć narzędzia do odgadnięcia hasła :

[…]. 500 haseł zostało przetestowanych z kontem „testadmin” (które zostało wykryte podczas wyliczania użytkowników). Te 500 haseł zostało przetestowanych w 1 minutę i 16 sekund! Podczas trwania testu witryna nadal odpowiadała; administrator serwera WWW nie miałby pojęcia, że ​​atak miał miejsce bez jakiegoś systemu monitorowania dzienników bezpieczeństwa.

Być może pomylili hasło, ale teraz wiedzą coś jeszcze: to konto istnieje. (Źródło zdjęcia: HackerTarget.com)
Być może pomylili hasło, ale teraz wiedzą coś jeszcze: to konto istnieje. (Źródło zdjęcia: HackerTarget.com)

Morał z tej historii: Twoje konta administratora powinny mieć nazwę unikalną i mało prawdopodobne, aby ktoś mógł ją odgadnąć . Użyj unikalnego pseudonimu, pełnego imienia i nazwiska z wieloma inicjałami pomiędzy nimi lub czegoś innego, czego nie można łatwo odgadnąć (na przykład imienia i nazwiska lub nazwy sklepu).

I pamiętaj, aby używać bezpiecznych haseł , więc nawet jeśli ktoś odgadnie nazwę Twojego konta, nadal nie będzie mógł się zalogować. Jeśli potrzebujesz odświeżenia, co jest bezpieczne, a co nie, zobacz sekcję 2 w tym poście.

Potraktuj bezpieczeństwo poważnie, gdy Twój sklep jest już online

Chociaż istnieje wiele rzeczy, które możesz zrobić, aby zabezpieczyć sklep przed uruchomieniem, bezpieczeństwo powinno być stałym problemem dla właścicieli sklepów — a nie czymś „jedno i zrobione” . Postępując zgodnie z tymi wskazówkami i aktualizując swój sklep i WordPress, będziesz w doskonałej pozycji, aby zapewnić bezpieczeństwo swoim klientom i zespołowi.

Masz pytania dotyczące wskazówek dotyczących bezpieczeństwa zalecanych w tym poście? Albo jeszcze lepiej, jakieś zaawansowane wskazówki, którymi możesz się podzielić? Czekamy na Wasze opinie i przemyślenia w komentarzach poniżej.