5 sfaturi de securitate post-lansare pentru magazinele WooCommerce

Publicat: 2016-04-12

După cum am abordat în această introducere a securității WooCommerce, crearea bazei pentru un magazin sigur și bine protejat durează doar câțiva pași. Dar cele mai multe dintre sfaturile pe care le-am oferit sunt lucruri pe care le-ai face înainte de a-ți lansa magazinul, sau poate imediat după.

Securitatea nu este ceva la care te poți gândi o dată și niciodată. Dacă nu vă mențineți magazinul la zi, nu acordați atenție tendințelor de securitate sau nu vă întăriți apărarea pe măsură ce creșteți și creșteți, vă puteți pune într-o poziție foarte vulnerabilă... și, de asemenea, vă puneți clienții în pericol.

Haideți să explorăm alte câteva moduri prin care vă puteți asigura magazinul după lansare.

1. Ascundeți numărul versiunii WordPress

„Bine”, ați putea spune, „ce? Cum mă ține asta în siguranță?”

Ei bine, nu o face, nu direct. Dar dacă întârziați să actualizați WordPress uneori, o privire rapidă la codul sursă ar putea spune cu ușurință unui potențial atacator că sunteți potențial mai vulnerabil la alte atacuri .

Versiunea actuală de WordPress poate fi găsită în trei locuri:

  1. Metaeticheta generatorului din antetul dvs
  2. Metaeticheta generatorului din fluxul RSS
  3. Șiruri de interogare

Deci, dacă sunteți una dintre acele persoane bine intenționate care doresc să testeze actualizările pentru o zi sau două și trebuie să ascundă numărul versiunii dintr-un motiv întemeiat, puteți utiliza codul lui Frankie Jarrett pentru a ascunde numărul versiunii de toți. trei dintre aceste pete. Mergeți la postarea lui pentru a-l ridica, apoi lipiți-l în fișierul functions.php .

O scurtă privire asupra codului, prin amabilitatea lui Frankie Jarrett.
O scurtă privire asupra codului, prin amabilitatea lui Frankie Jarrett.

Din nou, ascunderea versiunii de la sine nu vă va proteja - ar trebui să păstrați cu siguranță WordPress, WooCommerce și toate pluginurile și extensiile dvs. actualizate . Dar înțelegem și că există adesea un decalaj între testare și implementare, așa că acest lucru vă poate ajuta să vă mențineți în siguranță între timp.

2. Forțați SSL pe paginile dvs. de plată

Securitatea începe cu o conexiune sigură. Urmând acest sfat, puteți fi absolut sigur că vă protejați clienții de ochii spionaj în timp ce aceștia introduc informații sensibile de facturare și expediere la finalizare.

Cu setarea „Forțare finalizare securizată” activată în WooCommerce, toate paginile asociate cu procesul de plată vor fi forțate să utilizeze HTTPS (adică o conexiune sigură) de fiecare dată când se încarcă.

Deoarece doar browserul unui client și magazinul dvs. pot decripta informațiile trimise printr-o conexiune HTTPS, bifarea acestei casete vă asigură că finalizarea dvs. de plată este în siguranță și că nimeni cu intenții rău intenționate nu poate arunca o privire la numerele cardurilor de credit sau la alte informații sensibile care circulă. și din magazinul tău.

Legendă
Forțarea plății securizate vă asigură atât dvs., cât și clienții dvs. Singura condiție prealabilă este un certificat SSL.

Această setare poate fi activată și dezactivată în WooCommerce accesând WooCommerce > Checkout și activând sau dezactivând a doua casetă de selectare.

Rețineți că este necesar un certificat SSL valid pentru ca această setare să funcționeze corect în magazinul dvs. Dacă nu ați achiziționat încă un certificat SSL, citiți acest ghid pentru a afla mai multe despre de ce contează și despre cum să obțineți unul pentru un cost redus sau gratuit.

Puteți afla mai multe despre această setare în WooCommerce citind această pagină din documentele noastre.

3. Faceți backup-urile și scanările de securitate un eveniment zilnic

În prima noastră postare despre securitate, ți-am recomandat să folosiți software de încredere pentru a vă scana site-ul pentru eventuale vulnerabilități, atacuri de forță brută sau malware. Acum că ați lansat, este timpul să duceți lucrurile la următorul nivel.

Cu magazinul dvs. în funcțiune, atât backup-urile, cât și scanările de securitate ar trebui să aibă loc zilnic . Backup-urile sunt esențiale, deoarece vă oferă ceva la care să recurgeți în cazul pierderii datelor, în timp ce scanările de securitate împiedică în primul rând să apară o astfel de pierdere (sau infecție).

Puteți seta frecvența scanărilor, a copiilor de rezervă și a notificărilor după cum doriți, dar vă recomandăm cel puțin o copie de rezervă zilnică și o scanare zilnică . Unele soluții oferă backup în timp real și scanări mai frecvente - protecția de conectare în forță brută a Jetpack este și în timp real - dar puteți crește sau reduce frecvența după cum doriți.

Dacă sunteți încă în căutarea unei soluții de siguranță și de siguranță fiabile, eficiente, planurile Jetpack Premium vin la pachet cu copii de siguranță, iar clienții WooCommerce pot economisi 15% instantaneu . Obțineți Jetpack pentru liniște sufletească din prima zi.

4. Schimbați prefixul implicit folosit în bazele de date WordPress

Oricât de ciudat ar părea, există niște oameni urâți care organizează atacuri pe site-uri web pentru propriul amuzament. Deși ați putea crede că magazinul dvs. este 100% sigur, există câteva vulnerabilități minore pe care acești spammeri și hackeri le vor găsi și le vor exploata, dacă au ocazia.

O posibilă vulnerabilitate cunoscută vine prin utilizarea setărilor implicite ale tabelului bazei de date în timpul configurării și instalării WordPress. Modificarea acestor setări ar putea ajuta la prevenirea injectării de cod rău intenționat în serverul dvs.

Prefixul implicit pentru tabelele bazei de date utilizate pentru stocarea informațiilor WordPress este wp_. Deoarece majoritatea proprietarilor de magazine nu schimbă acest prefix în timpul instalării (sau nici măcar nu au opțiunea de a face acest lucru, în funcție de procedura lor de gazdă/instalare), utilizarea implicită i-ar putea pune în pericol pentru un atac de injecție SQL (printre altele ) , totul pentru că hackerii știu foarte bine cum sunt numite aceste tabele implicite.

Până acum, desigur, probabil că ați configurat deja WordPress și WooCommerce. Dar nu este prea târziu pentru a schimba aceste setări. O interogare SQL sau două rulate în phpMyAdmin vă vor stabili în cel mai scurt timp.

Cu niște SQL bine plasate, puteți redenumi prefixele de tabel și puteți adăuga un alt nivel de securitate instalării WordPress. (Credit imagine: Digging Into WP)
Cu niște SQL bine plasate, puteți redenumi prefixele de tabel și puteți adăuga un alt nivel de securitate instalării WordPress. (Credit imagine: Digging Into WP)

Aruncă o privire la acest tutorial pas cu pas detaliat și incredibil de util de la Digging Into WP pentru a afla cum să schimbi prefixele tabelelor bazei de date cu ceva mult mai complex - și mult, mult mai sigur.

Interogările SQL nu sunt treaba ta? Există câteva plugin-uri gratuite care vor realiza același lucru, dar aveți grijă - permiterea accesului nerestricționat la baza dvs. de date SQL poate fi periculoasă . Cel puțin, dezinstalați un plugin ca acesta odată ce ați terminat cu el, astfel încât să nu existe potențiale pentru viitoare redenumiri neintenționate.

5. Scăpați de contul dvs. de „admin”.

Acest sfat final ar putea părea enervant pentru unii dintre voi, sau poate chiar ca cunoștințe generale pentru alții. Dar este esențial, așa că am vrut să facem timp pentru a-l sublinia aici.

Utilizarea contului de administrator implicit încorporat în WordPress nu este recomandată atunci când rulați un magazin online . La fel ca prefixele tabelelor bazei de date, hackerii știu că acest cont (foarte probabil) există în mod implicit, ceea ce le oferă o oportunitate mai bună de a intra cu forța brută.

Chiar și conturile care sună similar , cum ar fi „testadmin”, „administrator” sau „proprietar” vă pun magazinul în pericol - sunt la fel de ușor de ghicit. După cum explică pagina Attacking WordPress de pe HackerTarget.com (nu vă faceți griji, este o resursă pentru sfaturi, nu o instrucțiune pentru hacking), odată ce un hacker știe că există un cont, poate folosi rapid un instrument pentru a vă ghici parola :

[…]. 500 de parole au fost testate împotriva contului „testadmin” (care a fost descoperit în timpul enumerarii utilizatorilor). Acele 500 de parole au fost testate în 1 minut și 16 secunde! În timp ce testul rula, site-ul încă răspundea; un administrator de server web habar n-ar avea idee că atacul a avut loc fără un fel de sistem de monitorizare a jurnalelor de securitate.

Poate că au greșit parola, dar acum știu altceva: acest cont există. (Credit imagine: HackerTarget.com)
Poate că au greșit parola, dar acum știu altceva: acest cont există. (Credit imagine: HackerTarget.com)

Morala poveștii: conturile dvs. de administrator ar trebui să fie numite ceva unic și puțin probabil să fie ghicit de cineva cu intenții rău intenționate . Folosiți o poreclă unică, un nume complet cu mai multe inițiale între ele sau altceva care nu poate fi ușor de ghicit (de exemplu, numele și prenumele dvs. sau numele magazinului dvs.).

Și nu uitați să utilizați parole securizate , astfel încât, chiar dacă cineva ghiceste numele contului dvs., se va vedea în continuare în imposibilitatea de a se conecta. Dacă aveți nevoie de o informare cu privire la ceea ce este sigur și ce nu, consultați secțiunea #2 din această postare.

Luați în serios securitatea odată ce magazinul dvs. este online

Deși există o mulțime de lucruri pe care le puteți face pentru a securiza un magazin înainte de lansare, securitatea ar trebui să fie o preocupare continuă pentru proprietarii de magazine – nu un lucru „unic și gata” . Urmând aceste sfaturi și menținând magazinul și WordPress actualizat, veți fi într-o poziție excelentă pentru a vă menține clienții – și echipa – în siguranță.

Aveți întrebări despre sfaturile de securitate recomandate în această postare? Sau mai bine zis, vreun sfat avansat pe care să-l împărtășești? Așteptăm feedback-ul și gândurile dvs. în comentariile de mai jos.