5 советов по безопасности после запуска для магазинов WooCommerce

Опубликовано: 2016-04-12

Как мы рассмотрели в этом введении в безопасность WooCommerce, создание основы для безопасного, хорошо защищенного магазина занимает всего несколько шагов. Но большинство советов, которые мы предлагаем, относятся к тому, что вы должны сделать до запуска своего магазина или, возможно, сразу после него.

Безопасность — это не то, о чем можно подумать раз и навсегда. Если вы не обновляете свой магазин, не обращаете внимания на тенденции в области безопасности или не укрепляете свою защиту по мере роста и масштабирования, вы можете поставить себя в очень уязвимое положение… а также подвергнуть риску своих клиентов.

Давайте рассмотрим еще несколько способов, которыми вы можете защитить свой магазин после запуска.

1. Скройте номер версии WordPress

«Хорошо, — можете сказать вы, — что? Как это обеспечивает мою безопасность?»

Ну — нет, не напрямую. Но если вы иногда немного медлите с обновлением WordPress, беглый взгляд на ваш исходный код может легко сказать потенциальному злоумышленнику, что вы потенциально более уязвимы для других атак .

Текущую версию WordPress можно найти в трех местах:

  1. Метатег генератора в вашем заголовке
  2. Метатег генератора в вашей RSS-ленте
  3. Строки запроса

Так что, если вы один из тех благонамеренных людей, которые хотят протестировать свои обновления в течение дня или двух и должны скрыть номер версии по уважительной причине, вы можете использовать код Фрэнки Джарретта, чтобы скрыть номер версии от всех. три таких пятна. Перейдите к его сообщению, чтобы подобрать его, а затем вставьте в свой файл functions.php .

Краткий обзор кода, любезно предоставленный Фрэнки Джарреттом.
Краткий обзор кода, любезно предоставленный Фрэнки Джарреттом.

Опять же, скрытие версии само по себе не защитит вас — вы должны обязательно обновлять WordPress, WooCommerce и все ваши плагины и расширения . Но мы также понимаем, что между тестированием и реализацией часто существует разрыв, поэтому это может помочь вам обезопасить себя на время.

2. Принудительно используйте SSL на страницах оформления заказа

Безопасность начинается с безопасного соединения. Следуя этому совету, вы можете быть абсолютно уверены, что защищаете своих клиентов от слежки, когда они вводят конфиденциальную информацию о платежах и доставке при оформлении заказа.

Если в WooCommerce включен параметр «Принудительная безопасная проверка», все страницы, связанные с вашим процессом оформления заказа, будут принудительно использовать HTTPS (то есть безопасное соединение) при каждой загрузке.

Поскольку только браузер клиента и ваш магазин могут расшифровать информацию, отправляемую через HTTPS-соединение, установка этого флажка гарантирует, что ваша проверка безопасна, и что никто со злым умыслом не сможет просмотреть номера кредитных карт или другую конфиденциальную информацию, поступающую в систему. и из вашего магазина.

Подпись
Принудительная безопасная проверка обеспечивает безопасность как вас, так и ваших клиентов. Единственным обязательным условием является SSL-сертификат.

Этот параметр можно включать и выключать в WooCommerce, выбрав WooCommerce > Checkout и установив или выключив второй флажок.

Обратите внимание, что для правильной работы этого параметра в вашем магазине требуется действующий сертификат SSL . Если вы еще не приобрели SSL-сертификат, прочтите это руководство, чтобы узнать больше о том, почему они важны и как получить его практически бесплатно.

Вы можете узнать больше об этом параметре в WooCommerce, прочитав эту страницу в нашей документации.

3. Делайте резервные копии и проверки безопасности ежедневными.

В нашем первом посте о безопасности мы рекомендовали использовать надежное программное обеспечение для сканирования вашего сайта на наличие потенциальных уязвимостей, атак методом грубой силы или вредоносных программ. Теперь, когда вы запустили, пришло время перейти на следующий уровень.

Когда ваш магазин запущен и работает, резервное копирование и проверка безопасности должны выполняться ежедневно . Резервные копии имеют решающее значение, потому что они дают вам возможность вернуться в случае потери данных, в то время как сканирование безопасности предотвращает такую ​​потерю (или заражение) в первую очередь.

Вы можете установить частоту сканирования, резервного копирования и уведомлений по своему усмотрению, но мы рекомендуем как минимум ежедневное резервное копирование и ежедневное сканирование . Некоторые решения предлагают резервное копирование в режиме реального времени и более частое сканирование — защита входа в систему Jetpack от грубой силы также работает в режиме реального времени — но вы можете увеличивать или уменьшать частоту по своему усмотрению.

Если вы все еще ищете надежное и эффективное решение для резервного копирования и обеспечения безопасности, планы Jetpack Premium поставляются вместе с резервными копиями — и клиенты WooCommerce могут мгновенно сэкономить 15 % . Получите Jetpack для душевного спокойствия с первого дня.

4. Измените префикс по умолчанию, используемый в ваших базах данных WordPress.

Как ни странно, есть некоторые неприятные люди, которые устраивают атаки на веб-сайты для собственного развлечения. Хотя вы можете подумать, что ваш магазин на 100% безопасен, есть несколько незначительных уязвимостей, которые эти спамеры и хакеры найдут и воспользуются, если представится такая возможность.

Одна известная потенциальная уязвимость связана с использованием настроек таблицы базы данных по умолчанию во время установки и установки WordPress. Изменение этих параметров может помочь предотвратить внедрение вредоносного кода на ваш сервер.

Префикс по умолчанию для таблиц базы данных, используемых для хранения информации WordPress, — wp_. Поскольку большинство владельцев магазинов не меняют этот префикс во время установки (или даже не имеют возможности сделать это, в зависимости от их хоста/процедуры установки), использование значения по умолчанию может подвергнуть их риску атаки путем внедрения SQL-кода (среди прочего ) , а все потому, что хакеры прекрасно знают, как называются эти таблицы по умолчанию.

К настоящему моменту вы, вероятно, уже настроили WordPress и WooCommerce. Но еще не поздно изменить эти настройки. Один или два SQL-запроса, запущенные в phpMyAdmin, помогут вам в кратчайшие сроки.

С помощью хорошо размещенного SQL вы можете переименовать префиксы таблиц и добавить еще один уровень безопасности к вашей установке WordPress. (Изображение предоставлено: Копание в WP)
С помощью хорошо размещенного SQL вы можете переименовать префиксы таблиц и добавить еще один уровень безопасности к вашей установке WordPress. (Изображение предоставлено: Копание в WP)

Взгляните на это подробное и невероятно полезное пошаговое руководство от Digging Into WP, чтобы узнать, как изменить префиксы таблиц вашей базы данных на что-то гораздо более сложное и гораздо, гораздо более безопасное.

SQL-запросы вам не по душе? Есть несколько бесплатных плагинов, которые сделают то же самое, но будьте осторожны — предоставление неограниченного доступа к вашей базе данных SQL может быть опасным . По крайней мере, удалите такой плагин, как только вы закончите с ним, чтобы исключить вероятность непреднамеренного переименования в будущем.

5. Избавьтесь от своей учетной записи администратора

Этот последний совет может показаться раздражающим для некоторых из вас или, возможно, даже общим знанием для других. Но это очень важно, поэтому мы хотели выделить время, чтобы подчеркнуть это здесь.

Использование учетной записи администратора по умолчанию, встроенной в WordPress, не рекомендуется при работе с интернет-магазином . Как и в случае с префиксами таблиц в базе данных, хакеры знают, что эта учетная запись (весьма вероятно) существует по умолчанию, что дает им больше возможностей для взлома.

Даже похожие по звучанию учетные записи , такие как «testadmin», «administrator» или «owner», подвергают риску ваш магазин — их так же легко угадать. Как объясняется на странице Attacking WordPress на HackerTarget.com (не волнуйтесь, это ресурс для советов, а не практических советов по взлому), как только хакер узнает о существовании учетной записи, он может быстро использовать инструмент для подбора вашего пароля :

[…]. 500 паролей были протестированы против учетной записи «testadmin» (которая была обнаружена при переборе пользователей). Эти 500 паролей были протестированы за 1 минуту и ​​16 секунд! Пока тест выполнялся, сайт все еще отвечал; администратор веб-сервера понятия не имел бы, что атака имела место без какой-либо системы мониторинга журнала безопасности.

Они могли ошибиться в пароле, но теперь они знают кое-что еще: эта учетная запись существует. (Изображение предоставлено: HackerTarget.com)
Они могли ошибиться в пароле, но теперь они знают кое-что еще: эта учетная запись существует. (Изображение предоставлено: HackerTarget.com)

Мораль этой истории: ваша учетная запись администратора должна иметь уникальное имя, которое вряд ли кто-то угадает со злым умыслом . Используйте уникальный псевдоним, полное имя с несколькими инициалами между ними или что-то еще, что сложно угадать (например, ваше имя и фамилию или название вашего магазина).

И не забывайте использовать безопасные пароли , поэтому даже если кто -то угадает имя вашей учетной записи, он все равно не сможет войти в систему. Если вам нужно напомнить, что безопасно, а что нет, см. раздел № 2 в этом посте.

Серьезно отнеситесь к безопасности, когда ваш магазин появится в сети

Хотя есть много вещей, которые вы можете сделать, чтобы обезопасить магазин перед запуском, безопасность должна быть постоянной заботой владельцев магазинов, а не делом «одно и готово» . Следуя этим советам и регулярно обновляя свой магазин и WordPress, вы сможете сохранить своих клиентов и свою команду в целости и сохранности.

У вас есть вопросы о советах по безопасности, рекомендованных в этом посте? Или, что еще лучше, поделитесь своими продвинутыми советами? Мы приветствуем ваши отзывы и мысли в комментариях ниже.