Контрольный список из 9 пунктов для безопасного магазина WooCommerce

Опубликовано: 2022-06-02

WooCommerce — популярный плагин для электронной коммерции для WordPress, которым пользуются более 28% всех интернет-магазинов. Как общедоступное программное обеспечение, WordPress можно настроить и изменить для создания уникального веб-сайта WooCommerce. С другой стороны, как и все веб-сайты в Интернете, веб-сайты WordPress также уязвимы для хакеров. И это на самом деле не связано с основным веб-сайтом WordPress, а скорее из-за проблем с безопасностью, которых можно избежать.

В этом посте мы познакомим вас с основными советами по безопасности WooCommerce, чтобы предотвратить компрометацию вашего магазина электронной коммерции злоумышленниками. Вы можете планировать и реализовывать их по-разному, но есть простое и эффективное решение для оптимизации безопасности вашего сайта, которое мы также обсудим здесь.

Контрольный список из 9 пунктов для укрепления вашей безопасности WooCommerce

Вот посмотрите, как вы можете повысить безопасность WooCommerce. Некоторые из этих мер безопасности вы можете легко реализовать самостоятельно, другие потребуют вмешательства экспертов WordPress.

1. Обновляйте свои плагины

Обновление ваших плагинов и тем очень важно, и вот почему:

  • Хакеры могут использовать уязвимости в плагинах и темах и атаковать ваш сайт через эти плагины/темы. Они могут получить доступ к бизнес-данным и данным клиентов для продажи в даркнете, перевода средств или совершения мошенничества, среди прочих незаконных действий.
  • Устаревшие плагины являются причиной 91% нарушений безопасности, что требует обновлений. Более того, ежедневно взламываются тысячи веб-сайтов. Если хакеры проникнут в ваш магазин, они могут передать вредоносный код ничего не подозревающим пользователям на ваш сайт. Или они могут запустить DDoS-атаку, чтобы замедлить или закрыть ваш веб-сайт, что приведет к простою, стоимость которого составляет в среднем 5600 долларов в минуту.
  • Обновления плагинов и тем содержат исправления ошибок и улучшения производительности. Последние версии устраняют проблемы, обнаруженные в предыдущих версиях программного обеспечения, и могут даже добавлять новые функции. Поддерживая плагины/темы, вы сохраняете их работоспособность и безопасность.

Чтобы обновить темы или плагины WordPress, перейдите на вкладку «Обновления» в панели администратора WordPress. Мы рекомендуем вам сначала обновить темы/плагины на промежуточном сайте — клоне вашего работающего веб-сайта — чтобы протестировать изменения, прежде чем применять их к вашему рабочему сайту. Это связано с тем, что обновление плагина может иногда вызывать «фатальные ошибки» из-за несовместимости кода плагина с кодом, используемым в основных файлах WP.

Если у вас есть техническое образование, вам будет проще настроить тестовый сайт. Если нет, профессионал может настроить его для вас, помогая гарантировать, что обновления будут в порядке. Вы можете позаботиться о своей безопасности WooCommerce, а также избежать любых последствий, связанных с проблемами обновления.

2. Выберите выделенного хостинг-провайдера WooCommerce.

Вам нужен специальный хостинг для WooCommerce? Что ж, учитывая, что средний сайт WooCommerce интенсивно использует базу данных и должен выдерживать высокий трафик, выделенная хостинговая компания WooCommerce подходит лучше, чем обычная служба хостинга. С точки зрения безопасности WooCommerce можно ожидать, что такой провайдер предоставит специализированную поддержку, охватывающую все необходимые области вашего сайта.

Вот некоторые функции безопасности, на которые стоит обратить внимание при поиске хостинг-провайдера:

  • SSL-сертификаты для обеспечения зашифрованного соединения и блокирования доступа хакеров к именам, адресам, паролям, номерам кредитных карт и другим конфиденциальным данным.
  • Автоматическое резервное копирование для восстановления работоспособности вашего сайта в случае атаки.
  • Мониторинг атак для обнаружения и смягчения атак в режиме реального времени.
  • Круглосуточная поддержка от опытных экспертов по хостингу WooCommerce по вызову, чтобы помочь вам с проблемами безопасности.
  • Встроенная промежуточная среда для безопасного тестирования плагинов и изменений в вашем магазине перед их запуском.

Что касается производительности, вы можете сосредоточиться на гарантии безотказной работы, обещанной провайдером. Если у вас есть большой сайт WooCommerce со многими продуктами и вы ежедневно привлекаете значительный трафик, гарантия безотказной работы 99,9 % вам подойдет.

3. Настройте брандмауэр с помощью плагина безопасности WordPress.

Установите брандмауэр

Даже если ваш хостинг-провайдер предоставляет вам брандмауэр, его установка на уровне веб-сайта добавит еще один уровень безопасности, предотвращая несанкционированный доступ к вашей компьютерной сети. Вы можете использовать плагин для настройки брандмауэра и добавить дополнительные настройки, если у вас есть передовые технические знания. WordFence — это надежный брандмауэр для WordPress. Это полный плагин безопасности WordPress, предлагающий набор функций, таких как:

  • Брандмауэр веб-приложений (WAF), который идентифицирует и блокирует вредоносный трафик.
  • Защита от атак грубой силы, которые блокируют пользователей после определенного количества неправильных попыток входа в систему.
  • Сканирование вредоносных программ для выявления вредоносных программ, которые хакеры могли установить на ваш сайт.
  • Обеспечивает безопасность входа в систему, например reCAPTCHA и двухфакторную аутентификацию.

Многие из наиболее важных функций WordFence доступны в бесплатной версии. Обновление до премиум-версии стоит 99 долларов в год и включает расширенные функции, такие как блокировка IP-адресов в режиме реального времени и правила брандмауэра, которые защищают сайты от новых угроз и вредоносных программ, как только команда WordFence их обнаруживает.

Можно вручную реализовать функции, которые предлагают универсальные плагины безопасности, такие как WordFence. Некоторые довольно легко сделать, но имеют особые требования. Например, если вы хотите настроить собственный брандмауэр, вам нужен полный доступ к вашему серверу, что невозможно, если вы не используете выделенный сервер. Кроме того, вам нужно будет работать в интерфейсе командной строки, который прост и удобен, только если у вас есть навыки веб-разработки.

4. Сделайте свою страницу входа более безопасной

Административная область вашего сайта находится под угрозой перебора, когда пытаются получить доступ к вашему WP-админу, пробуя различные комбинации имен пользователей и паролей. Атаки методом грубой силы или использование украденных учетных данных составляют более 80% нарушений при взломе. Есть несколько действий по обеспечению безопасности WooCommerce, которые вы можете предпринять, чтобы повысить безопасность страницы входа администратора в ваш магазин:

Измените свое имя пользователя с «admin» на что-то другое

Обычный трюк для хакеров — использовать имя пользователя администратора WordPress по умолчанию, которое является «admin», чтобы попытаться войти в вашу учетную запись. В ранних версиях WordPress по умолчанию использовалось имя пользователя «admin», поэтому вполне возможно, что владельцы магазинов привыкли его использовать. Изменение «admin» на другое имя необходимо для снижения риска атак Wp-admin, и в этом нет ничего сложного! Вот шаги:

  1. Перейти > добавить нового пользователя
  2. Создайте нового пользователя с желаемым именем пользователя и назначьте ему роль «администратор».
  3. Выйдите из предыдущей учетной записи «admin» и войдите в новую учетную запись
  4. Вернитесь к списку пользователей и удалите старую учетную запись «admin».

Включить двухфакторную аутентификацию (2FA)

Двухфакторная аутентификация требует двух методов подтверждения вашей личности. Он действует как вторая линия защиты для ограничения доступа к вашей учетной записи администратора WordPress. Вы можете включить его с помощью приложения для аутентификации, которое добавляет 2FA к учетным записям, которые вы хотите защитить.

Приложения для аутентификации генерируют одноразовый код, который вы можете использовать для подтверждения того, что именно вы входите в свою учетную запись администратора WP. Сначала вам нужно настроить устройство аутентификации на смартфоне или планшете. Во время этого процесса приложение сгенерирует секретный ключ, который вы сохраните на своем телефоне, отсканировав QR-код или введя код вручную, если на вашем телефоне нет камеры. При этом сервер приложения и ваш телефон имеют копию секретного ключа. После этого каждый раз, когда вы вводите свое имя пользователя и пароль для входа в систему, приложение отправляет код доступа — обычно шестизначное число — который вы вводите для входа в свою учетную запись администратора.

Вот пример того, как настроить 2FA с помощью WordFence:

  1. Загрузите приложение для проверки подлинности, например Google Authenticator, на свой смартфон или планшет.
  2. Установите и активируйте WordFence.
  3. Перейдите на страницу «Безопасность входа» в WordFence.
  4. Откройте приложение для проверки подлинности и отсканируйте QR-код, который отображается в WordFence.
  5. Нажмите «Загрузить» в разделе кода восстановления — это даст вам набор кодов, которые вы можете использовать в случае, если вы потеряете доступ к своему приложению-аутентификатору.
  6. Введите 6-значный код из приложения для проверки подлинности.
  7. Нажмите «активировать»

5. Требуйте надежных паролей для учетных записей магазина

Создавайте надежные пароли

WooCommerce предлагает вам возможность создать магазин, соответствующий вашей бизнес-модели. Это включает в себя предоставление различных уровней доступа внутри команд. Защита учетных записей магазина всех членов вашей команды — это простой способ повысить безопасность WooCommerce.

Хотя сотрудники понимают, что их пароли должны быть надежными, они по-прежнему склонны использовать слабые пароли, которые можно взломать менее чем за секунду. Политика надежных паролей может повторить необходимость создания сложных паролей. Вместо того, чтобы только некоторые роли, такие как менеджер магазина или администратор, создавали безопасные пароли, применение политики сложности паролей для всех пользователей является более безопасным вариантом.

Один из способов добиться этого — использовать плагин iThemes Security, чтобы заставить учетные записи магазина устанавливать для себя надежные пароли. Вот как вы можете это сделать:

  1. Установите и активируйте плагин
  2. На странице настройки выберите «Электронная коммерция» в качестве типа веб-сайта.
  3. Выберите «Я» в качестве пользователя
  4. Когда плагин спросит: «Хотите ли вы защитить свои учетные записи пользователей с помощью политики паролей?», установите переключатель в положение «Да».

6. Создавайте уникальные пароли для всех сторонних платформ электронной коммерции.

Часто упускаемым из виду аспектом безопасности WooCommerce является уязвимость различных учетных записей, которые вы используете для служб, подключенных к вашему магазину WooCommerce, для взлома паролей. Использование одного и того же пароля для всех сервисов, подключенных к вашему магазину WooCommerce, упрощает работу хакера. Вот что вам следует сделать вместо этого:

  • Установите разные пароли для всех ваших платежных шлюзов, таких как Stripe и PayPal, вашего хостинга и любых других сторонних сервисов, которые вы используете для своего магазина WooCommerce. Даже если один из ваших паролей будет раскрыт, другие ваши учетные записи будут в безопасности.
  • Убедитесь, что пароли достаточно отличаются друг от друга. Повторное использование паролей путем простого изменения или добавления цифры или символа неэффективно.

7. Поддерживайте регулярное резервное копирование вашего магазина

Хотя резервные копии не защитят ваш сайт от хакеров, они гарантируют, что у вас будет доступ к вашим ценным данным, если ваш сайт будет взломан. Наличие резервных копий ваших данных может помочь восстановить доступ к вашему сайту после кибератаки или других событий, таких как аппаратный сбой или сбой из-за скачка трафика. Ежедневное резервное копирование гарантирует, что информация о ваших клиентах, заказах и продуктах может быть восстановлена ​​в случае возникновения непредвиденных событий, а также что поддерживается непрерывность бизнеса, чтобы избежать потери клиентов и доходов.

Удобным решением является использование плагина резервного копирования WordPress в режиме реального времени, такого как BlogVault. Резервное копирование в реальном времени дает возможность восстанавливать данные на любой момент времени и особенно полезно, если у вас есть большая база данных, которая сталкивается с постоянной угрозой проблем, связанных с безопасностью.

8. Защитите свою базу данных

Ваша база данных WordPress хранит всю информацию о вашем веб-сайте, что делает его привлекательной целью. WordPress использует MySQL в качестве системы управления базами данных. Код PHP на вашем сайте WordPress содержит команды SQL для связи с базой данных. Одним из способов взлома SQL является использование хакером фрагмента кода SQL для управления базой данных и получения доступа к ценной информации. Этот тип атаки представляет собой SQL-инъекцию и распространен среди веб-сайтов, управляемых базами данных.

К счастью, есть способы защитить вашу базу данных WordPress — вот два, которые помогут вам начать работу:

Изменить префикс таблицы по умолчанию

Префикс таблицы по умолчанию для магазинов WooCommerce — wp_ . Если оставить этот параметр по умолчанию, ваш магазин откроется для SQL-инъекций. Вы можете изменить этот параметр в PhpMyAdmin при настройке магазина или использовать плагин, например DB Prefix. Обязательно сделайте резервную копию базы данных WP, прежде чем вносить какие-либо изменения в префиксы таблиц. И если у вас запланировано довольно много обновлений безопасности и обслуживания WordPress, вы можете направить посетителей веб-сайта на страницу обслуживания или временную страницу.

Защитите свой файл wp-config

Файл wp-config.php — самый важный файл в вашем магазине WooCommerce, поскольку он содержит всю информацию о базе данных вашего магазина, включая пароли администратора. При перемещении этого файла из его положения по умолчанию в корневом подкаталоге в подкаталог более высокого уровня потенциальным хакерам становится труднее найти его.

Примечание. Codeable не связан ни с одной из рекомендаций (плагинов), упомянутых в сообщении.

9. Наймите проверенного специалиста по безопасности WordPress

Самое эффективное действие номер один, которое вы можете предпринять для обеспечения безопасности своего магазина WooCommerce, — это нанять специалиста по безопасности WordPress. От установки базового SSL-сертификата до реализации брандмауэров для защиты от атак грубой силы на более крупные сайты электронной коммерции, найм специалиста по безопасности освобождает вас, чтобы вы могли сосредоточиться на других частях вашего магазина, таких как управление заказами и отслеживание запасов.

Как найти эксперта по безопасности WooCommerce

У вас есть много вариантов, включая DIY, найм агентства или поиск фрилансера на многочисленных торговых площадках в Интернете. Агентства, которые предоставляют экспертов по безопасности WordPress, обычно объединяют различные услуги в пакет, поэтому, если вы выберете этот вариант, следите за любыми услугами, которые вам могут не понадобиться.

На торговых площадках фрилансеров вы можете доплатить за выбор проверенных разработчиков WP или вам придется оценивать их самостоятельно. На этих сайтах вы выбираете лучшие ставки, и нет никакой гарантии, что фрилансер сделает ставку на проекты, в которых он чувствует себя компетентным, просто потому, что сайт не делает это требование явным.

Лучший вариант — найти эксперта по безопасности на Codeable:

  • Codeable — это платформа для фрилансеров, специализирующаяся на WordPress.
  • Он сопоставляет ваш проект с проверенными профессионалами WordPress/WooCommerce, которые работали над проектами безопасности, подобными вашему. Это избавляет от догадок и помогает убедиться, что у вас есть правильный человек для работы.
  • Что отличает Codeable от обычных торговых площадок для фрилансеров, так это то, что вы будете работать только с экспертами, которые могут успешно выполнить ваш проект. Вы можете быть спокойны, зная, что у вас есть доступ к специалистам по безопасности WooCommerce, которые согласились на проект после тщательного обдумывания.
  • Codeable — отличный вариант для небольших проектов или разовых задач, таких как аудит безопасности. Это выходит дешевле, чем наем агентства, и значительно экономит ваше время на стратегических мероприятиях.
  • Процесс найма прост, и вы не обязаны нанимать, если передумаете о своих планах безопасности и обслуживания WooCommerce.

Защитите свой магазин WooCommerce от новых угроз

Кодируемый

Наличие плана безопасности Woocommerce позволяет эффективно реагировать на существующие и новые угрозы кибербезопасности. Упреждающее управление проблемами безопасности, связанными с WordPress и электронной коммерцией, необходимо для бесперебойной работы бизнеса, предотвращения финансовых потерь из-за взлома и сохранения доверия клиентов.

Эксперты по безопасности WordPress из Codeable могут помочь вам управлять рисками безопасности.

Отправьте свой проект и быстро устраните проблемы с безопасностью. Codeable экономичен и предлагает гарантию возврата денег, поэтому вы можете протестировать его, выполнив небольшое задание, а затем решить, хотите ли вы использовать его для более крупного проекта по обеспечению безопасности.