5 dicas de segurança pós-lançamento para lojas WooCommerce

Publicados: 2016-04-12

Como abordamos nesta introdução à segurança do WooCommerce, criar as bases para uma loja segura e bem protegida leva apenas alguns passos. Mas a maioria das dicas que oferecemos são coisas que você faria antes de lançar sua loja, ou talvez imediatamente depois.

Segurança não é algo que você pode pensar uma vez e nunca mais. Se você não mantiver sua loja atualizada, prestar atenção às tendências de segurança ou fortalecer suas defesas à medida que cresce e escala, pode estar se colocando em uma posição muito vulnerável... e também colocando seus clientes em risco.

Vamos explorar mais algumas maneiras de proteger sua loja após o lançamento.

1. Oculte o número da versão do WordPress

“Ok”, você pode estar dizendo, “o quê? Como isso me mantém seguro?”

Bem, não, não diretamente. Mas se você é um pouco lento para atualizar o WordPress às ​​vezes, uma olhada rápida no seu código-fonte pode facilmente dizer a um invasor em potencial que você é potencialmente mais vulnerável a outros ataques .

A versão atual do WordPress pode ser encontrada em três pontos:

  1. A metatag do gerador em seu cabeçalho
  2. A metatag do gerador em seu feed RSS
  3. Strings de consulta

Portanto, se você é um daqueles indivíduos bem-intencionados que deseja testar suas atualizações por um dia ou dois e precisa ocultar o número da versão por um bom motivo, você pode usar o código de Frankie Jarrett para ocultar o número da versão de todos três desses pontos. Vá até o post dele para pegá-lo e cole-o em seu arquivo functions.php .

Um breve vislumbre do código, cortesia de Frankie Jarrett.
Um breve vislumbre do código, cortesia de Frankie Jarrett.

Novamente, ocultar a versão por si só não o protegerá – você deve absolutamente manter o WordPress, WooCommerce e todos os seus plugins e extensões atualizados . Mas também entendemos que muitas vezes há uma lacuna entre o teste e a implementação, então isso pode ajudar a mantê-lo seguro nesse ínterim.

2. Force o SSL em suas páginas de checkout

A segurança começa com uma conexão segura. Ao seguir esta dica, você pode ter certeza absoluta de que está protegendo seus clientes de olhares espiões enquanto eles inserem informações confidenciais de cobrança e envio no checkout.

Com a configuração “Forçar checkout seguro” habilitada no WooCommerce, todas as páginas associadas ao seu processo de checkout serão forçadas a usar HTTPS (ou seja, uma conexão segura) toda vez que carregarem.

Como apenas o navegador de um cliente e sua loja podem descriptografar as informações enviadas por uma conexão HTTPS, marcar essa caixa garante que seu checkout seja seguro e que ninguém mal-intencionado possa dar uma olhada nos números de cartão de crédito ou outras informações confidenciais que chegam e fora de sua loja.

Rubrica
Forçar o checkout seguro mantém você e seus clientes seguros. O único pré-requisito é um certificado SSL.

Essa configuração pode ser ativada e desativada no WooCommerce acessando WooCommerce > Checkout e ativando ou desativando a segunda caixa de seleção.

Observe que é necessário um certificado SSL válido para que essa configuração funcione corretamente em sua loja. Se você ainda não adquiriu um certificado SSL, leia este guia para saber mais sobre por que eles são importantes e como obter um por pouco ou nenhum custo.

Você pode aprender mais sobre essa configuração no WooCommerce lendo esta página em nossos documentos.

3. Faça backups e verificações de segurança um evento diário

Em nossa primeira postagem sobre segurança, recomendamos o uso de software confiável para verificar seu site em busca de possíveis vulnerabilidades, ataques de força bruta ou malware. Agora que você lançou, é hora de levar as coisas para o próximo nível.

Com sua loja funcionando, backups e verificações de segurança devem ocorrer diariamente . Os backups são cruciais porque fornecem algo para você recorrer em caso de perda de dados, enquanto as verificações de segurança evitam que essa perda (ou infecção) ocorra em primeiro lugar.

Você pode definir a frequência de verificações, backups e notificações conforme desejar, mas recomendamos um backup diário e uma verificação diária no mínimo . Algumas soluções oferecem backups em tempo real e verificações mais frequentes — a proteção de login de força bruta do Jetpack também é em tempo real — mas você pode aumentar ou diminuir a frequência conforme preferir.

Se você ainda procura uma solução de segurança e backup confiável e eficaz, os planos Jetpack Premium vêm com backups — e os clientes WooCommerce podem economizar 15% instantaneamente . Obtenha o Jetpack para ficar tranquilo desde o primeiro dia.

4. Altere o prefixo padrão usado em seus bancos de dados WordPress

Por mais estranho que pareça, existem algumas pessoas desagradáveis ​​por aí que encenam ataques a sites para sua própria diversão. Embora você possa pensar que sua loja é 100% segura, existem algumas vulnerabilidades menores que esses spammers e hackers encontrarão e explorarão, se tiverem a chance.

Uma vulnerabilidade potencial conhecida vem do uso de configurações de tabela de banco de dados padrão durante a configuração e instalação do WordPress. Alterar essas configurações pode ajudar a impedir que código malicioso seja injetado em seu servidor.

O prefixo padrão para as tabelas de banco de dados usadas para armazenar informações do WordPress é wp_. Como a maioria dos proprietários de lojas não altera esse prefixo durante a configuração (ou nem tem a opção de fazê-lo, dependendo do procedimento de host/instalação), usar o padrão pode colocá-los em risco de um ataque de injeção de SQL (entre outros ) , tudo porque os hackers sabem muito bem como essas tabelas padrão são nomeadas.

Até agora, é claro, você provavelmente já configurou o WordPress e o WooCommerce. Mas não é tarde demais para alterar essas configurações. Uma ou duas consultas SQL executadas no phpMyAdmin irão definir você direto em nenhum momento.

Com algum SQL bem colocado, você pode renomear seus prefixos de tabela e adicionar outra camada de segurança à sua instalação do WordPress. (Crédito da imagem: Digging In WP)
Com algum SQL bem colocado, você pode renomear seus prefixos de tabela e adicionar outra camada de segurança à sua instalação do WordPress. (Crédito da imagem: Digging In WP)

Dê uma olhada neste tutorial passo a passo detalhado e incrivelmente útil do Digging Into WP para aprender como alterar seus prefixos de tabela de banco de dados para algo muito mais complexo - e muito, muito mais seguro.

Consultas SQL não são sua praia? Existem alguns plugins gratuitos que farão a mesma coisa, mas tenha cuidado - permitir acesso irrestrito ao seu banco de dados SQL pode ser perigoso . No mínimo, desinstale um plug-in como este assim que terminar, para que não haja potencial para futuras renomeações não intencionais.

5. Livre-se da sua conta “admin”

Este último conselho pode parecer irritante para alguns de vocês, ou talvez até mesmo como conhecimento geral para outros. Mas é crucial, por isso queríamos dedicar um tempo para enfatizá-lo aqui.

Usar a conta de administrador padrão incorporada ao WordPress não é recomendado quando você está executando uma loja online . Assim como os prefixos da tabela de banco de dados, os hackers sabem que essa conta (muito provavelmente) existe por padrão, o que oferece uma oportunidade melhor para eles entrarem com força bruta.

Mesmo contas com sons semelhantes , como “testadmin”, “administrador” ou “proprietário”, colocam sua loja em risco – elas são facilmente adivinhadas. Como explica a página Attacking WordPress no HackerTarget.com (não se preocupe, é um recurso para aconselhamento, não um tutorial para hackear), uma vez que um hacker sabe que uma conta existe, ele pode usar rapidamente uma ferramenta para adivinhar sua senha :

[…]. 500 senhas foram testadas na conta “testadmin” (que foi descoberta durante a enumeração do usuário). Essas 500 senhas foram testadas em 1 minuto e 16 segundos! Enquanto o teste estava sendo executado, o site ainda estava respondendo; um administrador de servidor web não teria ideia de que o ataque ocorreu sem algum tipo de sistema de monitoramento de log de segurança instalado.

Eles podem ter errado a senha, mas agora sabem outra coisa: essa conta existe. (Crédito da imagem: HackerTarget.com)
Eles podem ter errado a senha, mas agora sabem outra coisa: essa conta existe. (Crédito da imagem: HackerTarget.com)

A moral da história: sua(s) conta(s) de administrador deve(m) ter um nome único e improvável de ser adivinhado por alguém com intenção maliciosa . Use um apelido exclusivo, um nome completo com várias iniciais no meio ou outra coisa que não possa ser facilmente adivinhada (por exemplo, seu nome e sobrenome ou o nome da sua loja).

E lembre-se de usar senhas seguras , portanto, mesmo que alguém adivinhe o nome da sua conta, ainda não conseguirá fazer login. Se você precisar de uma atualização sobre o que é seguro e o que não é, consulte a seção 2 deste post.

Leve a segurança a sério quando sua loja estiver online

Embora haja muitas coisas que você pode fazer para tornar uma loja segura antes do lançamento, a segurança deve ser uma preocupação constante para os donos de lojas – não uma coisa “única e pronta” . Seguindo essas dicas e mantendo sua loja e WordPress atualizados, você estará em uma ótima posição para manter seus clientes – e sua equipe – sãos e salvos.

Tem alguma dúvida sobre as dicas de segurança recomendadas neste post? Ou melhor ainda, alguma dica avançada para compartilhar? Congratulamo-nos com seus comentários e pensamentos nos comentários abaixo.