Lista de verificação de 9 pontos para uma loja WooCommerce segura

WooCommerce é um plugin de e-commerce popular para WordPress, alimentando mais de 28% de todas as lojas online. Como um software acessível ao público, o WordPress pode ser personalizado e modificado para criar um site WooCommerce exclusivo. Por outro lado, assim como todos os sites na internet, os sites WordPress também são vulneráveis ​​a hackers. E isso realmente não tem a ver com o site principal do WordPress, em vez disso, devido a problemas de segurança evitáveis.

Neste post, mostramos as principais dicas de segurança do WooCommerce para evitar que sua loja de comércio eletrônico seja comprometida por usuários mal-intencionados. Você pode planejar e implementá-los de diferentes maneiras, mas há uma solução fácil e eficaz para otimizar a segurança do seu site, que também discutimos aqui.

Lista de verificação de 9 pontos para fortalecer sua segurança WooCommerce

Aqui está uma olhada nas maneiras pelas quais você pode aumentar sua segurança do WooCommerce. Algumas dessas medidas de segurança você pode implementar facilmente por conta própria, outras exigirão a intervenção de especialistas do WordPress.

1. Mantenha seus plugins atualizados

Atualizar seus plugins e temas é essencial – eis o porquê:

• Os hackers podem explorar vulnerabilidades em plugins e temas e começar a atacar seu site por meio desses plugins/temas. Eles podem ter sucesso no acesso a dados comerciais e de clientes para vender na dark web, transferir fundos ou cometer fraudes, entre outros atos ilegais.

• Plugins desatualizados são responsáveis ​​por 91% das violações de segurança, tornando as atualizações necessárias. Além disso, milhares de sites são invadidos diariamente. Se os hackers conseguirem lidar com sua loja, eles podem passar códigos maliciosos para usuários desavisados ​​em seu site. Ou eles podem lançar um ataque DDoS para desacelerar ou encerrar seu site, causando tempo de inatividade, que foi enviado a um custo médio de US$ 5.600 por minuto.

• As atualizações de plugins e temas vêm com correções de bugs e melhorias de desempenho. As versões mais recentes corrigem problemas identificados em versões de software anteriores e podem até adicionar novos recursos. A manutenção de plugins/temas os mantém utilizáveis ​​e seguros.

Para atualizar temas ou plugins do WordPress, visite a guia 'Atualizações' no seu administrador do WordPress. Recomendamos que você primeiro atualize os temas/plugins em um site de teste – um clone do seu site ativo – para testar as alterações antes de aplicá-las ao site ativo. Isso ocorre porque a atualização de um plug-in às vezes pode causar 'erros fatais' devido ao código do plug-in ser incompatível com o código usado nos arquivos principais do WP.

Se você tiver experiência técnica, poderá configurar seu site de teste com mais facilidade. Caso contrário, um profissional pode configurá-lo para você, ajudando a garantir que as atualizações sejam bem instaladas. Você pode cuidar da segurança do seu WooCommerce e também evitar quaisquer consequências decorrentes de problemas de atualização.

2. Escolha um provedor de hospedagem WooCommerce dedicado

Você precisa de hospedagem especial para WooCommerce? Bem, dado que o site WooCommerce médio é intensivo em banco de dados e precisa acomodar alto tráfego, uma empresa de hospedagem WooCommerce dedicada é mais adequada do que um serviço de hospedagem regular. Do ponto de vista da segurança do WooCommerce, pode-se esperar que tal provedor forneça suporte especializado cobrindo todas as áreas necessárias em seu site.

Aqui estão alguns dos recursos de segurança a serem revisados ​​quando você estiver procurando por um provedor de hospedagem:

• Certificados SSL para habilitar uma conexão criptografada e impedir que hackers vejam nomes, endereços, senhas, números de cartão de crédito e outros dados confidenciais.

• Backups automatizados para que seu site volte a funcionar em caso de ataque.

• Monitoramento de ataques para detectar e mitigar ataques em tempo real.

• Suporte 24 horas por dia, 7 dias por semana, de especialistas em hospedagem WooCommerce de plantão para ajudá-lo com questões de segurança.

• Um ambiente de teste integrado para testar plug-ins e alterações com segurança em sua loja antes de enviá-los ao vivo.

No desempenho, você pode querer se concentrar na garantia de tempo de atividade prometida pelo provedor. Se você tiver um grande site WooCommerce com muitos produtos e atrair tráfego substancial diariamente, nada menos do que uma garantia de tempo de atividade de 99,9%.

3. Configure um firewall usando um plug-in de segurança do WordPress

Mesmo que seu provedor de hospedagem forneça um firewall, configurar um no nível do site adicionará outra camada de segurança, impedindo o acesso não autorizado à sua rede de computadores. Você pode usar um plug-in para configurar um firewall e adicionar mais personalização se tiver conhecimento técnico avançado. WordFence é um firewall confiável para WordPress. É um plugin de segurança WordPress completo, oferecendo um conjunto de funções, como:

• Um firewall de aplicativo da Web (WAF) que identifica e bloqueia tráfego malicioso

• Proteção contra ataques de força bruta que bloqueiam usuários após uma quantidade definida de tentativas de login incorretas

• Verificação de malware para identificar software malicioso que hackers podem ter instalado em seu site

• Habilita a segurança de login, como reCAPTCHA e autenticação de dois fatores

Muitos dos recursos mais importantes do WordFence estão disponíveis com a versão gratuita. A atualização para a versão premium custa US $ 99 por ano e vem com recursos avançados, como bloqueio de IP em tempo real e regras de firewall que protegem sites de novas ameaças e malware assim que a equipe do WordFence os detecta.

É possível implementar manualmente os recursos que os plug-ins de segurança all-in-one, como o WordFence, oferecem. Alguns são bastante fáceis de fazer, mas têm requisitos especiais. Por exemplo, se você deseja configurar seu próprio firewall, você precisa de acesso total ao seu servidor, o que não é possível a menos que você use um servidor dedicado. Além disso, você precisará trabalhar na interface de linha de comando, que é simples e agradável apenas se você tiver habilidades de desenvolvimento web.

4. Torne sua página de login mais segura

A área de administração do seu site está sob ameaça de ataques de força bruta, que tentam obter acesso ao seu WP-admin tentando várias combinações de nomes de usuário e senhas. Ataques de força bruta ou o uso de credenciais roubadas são responsáveis ​​por mais de 80% das violações de hackers. Existem algumas ações de segurança do WooCommerce que você pode realizar para aumentar a segurança da página de login do administrador da sua loja:

Altere seu nome de usuário de 'admin' para outro

Um truque comum para hackers é explorar o nome de usuário de administrador padrão do WordPress, que é 'admin', para tentar fazer login em sua conta. As primeiras versões do WordPress tinham como padrão o nome de usuário 'admin', então é possível que os donos de lojas tenham o hábito de usá-lo. Alterar 'admin' para outro nome é necessário para reduzir o risco de ataques Wp-admin, e não há nada para isso! Aqui estão os passos:

1. Vá para > adicionar novo usuário
2. Crie um novo usuário com o nome de usuário desejado e dê a ele a função de 'administrador'
3. Saia da conta 'admin' anterior e faça login na nova conta
4. Volte para a lista de usuários e exclua a antiga conta 'admin'

Habilite a autenticação de dois fatores (2FA)

A autenticação de dois fatores requer dois métodos para verificar sua identidade. Ele atua como a segunda linha de defesa para restringir o acesso à sua conta de administrador do WordPress. Você pode habilitá-lo com um aplicativo autenticador, que adiciona 2FA às contas que você deseja proteger.

Os aplicativos autenticadores geram um código único que você pode usar para confirmar que é você quem está fazendo login na sua conta de administrador do WP. Primeiro, você precisará configurar um dispositivo autenticador em seu smartphone ou tablet. Durante esse processo, o aplicativo gerará uma chave secreta que você salvará em seu telefone digitalizando um código QR ou digitando manualmente o código se o telefone não tiver uma câmera. Com isso, o servidor do aplicativo e seu telefone têm uma cópia da chave secreta. Depois disso, toda vez que você digita seu nome de usuário e senha para fazer login, o aplicativo envia um código de acesso – geralmente um número de seis dígitos – que você digita para entrar em sua conta de administrador.

Aqui está um exemplo de como configurar o 2FA usando o WordFence:

1. Baixe um aplicativo autenticador como o Google Authenticator para seu smartphone ou tablet
2. Instale e ative o WordFence
3. Vá para a página 'segurança de login' no WordFence
4. Abra seu aplicativo autenticador e digitalize o código QR que aparece no WordFence
5. Clique em 'baixar' na seção de código de recuperação - isso fornece um conjunto de códigos que você pode usar no caso de perder o acesso ao seu aplicativo autenticador
6. Digite o código de 6 dígitos do seu aplicativo autenticador
7. Clique em 'ativar'

5. Exija senhas fortes para contas de loja

O WooCommerce oferece a flexibilidade de criar uma loja adequada ao seu modelo de negócios. Isso inclui fornecer diferentes níveis de acesso dentro das equipes. Proteger as contas da loja de todos os membros da sua equipe é uma maneira simples de fortalecer a segurança do WooCommerce.

Embora os funcionários entendam que suas senhas devem ser fortes, eles ainda tendem a usar senhas fracas que podem ser hackeadas em menos de um segundo. Uma política de senha forte pode reiterar a necessidade de criar senhas complexas. Em vez de apenas algumas funções, como gerente de loja ou administrador, criarem senhas seguras, impor uma política de complexidade de senha para todos os usuários é a opção mais segura.

Uma maneira de conseguir isso é usar o plug-in iThemes Security para forçar as contas da loja a definir senhas fortes para si mesmas. Veja como você pode fazer isso:

1. Instale e ative o plug-in
2. Na página de configuração, escolha 'eCommerce' como o tipo de site
3. Selecione 'Próprio' como o usuário
4. Quando o plug-in perguntar 'você deseja proteger suas contas de usuário com uma política de senha?', defina a alternância para 'sim'

6. Crie senhas exclusivas para todas as plataformas de comércio eletrônico de terceiros

Um aspecto muitas vezes esquecido da segurança do WooCommerce é a vulnerabilidade das diferentes contas que você usa para serviços conectados à sua loja WooCommerce para hacks de senha. Usar a mesma senha para todos os serviços que você conectou à sua loja WooCommerce facilita o trabalho de um hacker. Aqui está o que você deve considerar fazer em vez disso:

• Defina senhas distintas em todos os seus gateways de pagamento, como Stripe e PayPal, sua hospedagem e quaisquer outros serviços de terceiros que você usa para sua loja WooCommerce. Mesmo que uma de suas senhas seja exposta, suas outras contas estarão seguras.

• Certifique-se de que as senhas sejam suficientemente distintas umas das outras. A reutilização de senhas simplesmente alterando ou adicionando um dígito ou caractere é ineficaz.

7. Mantenha backups regulares de sua loja

Embora os backups não protejam seu site contra hackers, eles garantem que você tenha acesso a seus dados valiosos caso seu site seja comprometido. Ter cópias de backup de seus dados pode ajudar a colocar seu site online novamente após um ataque cibernético ou outros eventos, como uma falha de hardware ou travamento devido a um pico de tráfego. Os backups diários garantem que as informações de seus clientes, pedidos e produtos possam ser restauradas quando ocorrerem eventos imprevistos e que a continuidade dos negócios seja mantida para evitar a perda de clientes e receita.

Uma solução útil é usar um plugin de backup WordPress em tempo real como o BlogVault. O backup em tempo real oferece a capacidade de restaurar dados a qualquer momento e é especialmente útil se você tiver um banco de dados grande que enfrenta a ameaça constante de problemas relacionados à segurança.

8. Proteja seu banco de dados

Seu banco de dados WordPress armazena todas as informações em seu site, tornando-o um alvo atraente. WordPress usa MySQL como seu sistema de gerenciamento de banco de dados. O código PHP em seu site WordPress contém comandos SQL para se comunicar com o banco de dados. Uma das maneiras pelas quais o SQL pode ser hackeado é quando o hacker usa um pedaço de código SQL para manipular um banco de dados e obter acesso a informações valiosas. Esse tipo de ataque é uma injeção de SQL e comum entre sites baseados em banco de dados.

Felizmente, existem maneiras de proteger seu banco de dados WordPress – aqui estão duas para ajudá-lo a começar:

Alterar o prefixo da tabela padrão

O prefixo de tabela padrão para lojas WooCommerce é wp_ . Deixar essa configuração no padrão abre sua loja para injeções de SQL. Você pode alterar essa configuração no PhpMyAdmin ao configurar sua loja ou usar um plug-in como o DB Prefix. Certifique-se de fazer backup de seu banco de dados WP antes de fazer qualquer alteração nos prefixos de tabela. E se você tiver um pouco de manutenção do WordPress e atualizações de segurança planejadas, poderá direcionar os visitantes do site para uma página de manutenção ou uma página temporária.

Proteja seu arquivo wp-config

O arquivo wp-config.php é o arquivo mais importante em sua loja WooCommerce, pois contém todas as informações do banco de dados da sua loja – incluindo senhas de administrador. Ao mover esse arquivo de sua posição padrão no subdiretório raiz para um subdiretório mais alto, fica mais difícil para possíveis hackers localizá-lo.

Nota: Codeable não é afiliado a nenhuma das recomendações (plugins) mencionadas no post.

9. Contrate um profissional de segurança do WordPress aprovado

A ação número um mais eficaz que você pode tomar para manter sua loja WooCommerce segura é contratar um profissional de segurança do WordPress. Desde a instalação de um certificado SSL básico até a implementação de firewalls para proteção contra ataques de força bruta em sites de comércio eletrônico maiores, a contratação de um profissional de segurança libera você para se concentrar em outras partes da sua loja, como gerenciar pedidos e acompanhar o estoque.

Como encontrar um especialista em segurança WooCommerce

Você tem muitas opções, incluindo DIY, contratar uma agência ou encontrar um freelancer nos inúmeros marketplaces da web. As agências que fornecem especialistas em segurança do WordPress geralmente agrupam diferentes serviços em um pacote, portanto, se você escolher essa opção, fique atento a quaisquer serviços que talvez não sejam necessários.

Nos mercados de freelancer, você pode pagar mais para ter uma seleção de desenvolvedores WP aprovados ou terá que avaliá-los você mesmo. Nesses sites, você escolhe os melhores lances, e não há garantia de que um freelancer fará lances em projetos nos quais se sente competente, simplesmente porque o site não explicita esse requisito.

A melhor opção é encontrar um especialista em segurança no Codeable:

• Codeable é uma plataforma freelancer especializada em WordPress.
• Ele combina seu projeto com profissionais aprovados do WordPress/WooCommerce que trabalharam em projetos de segurança semelhantes aos seus. Isso elimina as suposições e ajuda a garantir que você tenha a pessoa certa para o trabalho.
• O que diferencia o Codeable dos mercados freelance genéricos é que você só trabalhará com especialistas capazes de executar seu projeto com sucesso. Você pode ficar tranquilo sabendo que tem acesso a profissionais de segurança do WooCommerce que consentiram com o projeto depois de pensar cuidadosamente sobre ele.
• Codificável é uma ótima opção para projetos menores ou tarefas pontuais, como auditorias de segurança. É mais barato do que contratar uma agência e economiza um tempo significativo para atividades estratégicas.
• O processo de contratação é fácil e não há obrigação de contratar se você mudar de ideia sobre seus planos de segurança e manutenção do WooCommerce.

Proteja sua loja WooCommerce contra ameaças emergentes

Ter um plano de segurança Woocommerce em vigor permite que você responda efetivamente a ameaças de segurança cibernética existentes e novas. Gerenciar problemas de segurança específicos do WordPress e comércio eletrônico de forma proativa é imperativo para realizar negócios sem interrupções, evitar perdas financeiras devido a hackers e manter a confiança dos clientes.

Os especialistas em segurança do WordPress da Codeable podem ajudá-lo a gerenciar seu risco de segurança.

Envie seu projeto e reduza suas preocupações de segurança imediatamente. Codeable é econômico e oferece uma garantia de devolução do dinheiro, para que você possa testá-lo com uma pequena tarefa e determinar se deseja usá-lo para um projeto de segurança maior.