Eksiksiz WooCommerce Güvenlik Kontrol Listesi (2022 Kılavuzu)

Yayınlanan: 2021-03-23

Güvenlik, herhangi bir e-ticaret mağazası için en büyük endişe kaynağıdır. Sonuçta, yalnızca içeriğinizi güvende tutmanız gerekmiyor, aynı zamanda müşteri bilgilerini ve sipariş verilerini de korumanız gerekiyor.

Bu nedenle, bir çevrimiçi mağaza açmayı düşünüyorsanız veya zaten gelirinizin bir bölümünü oluşturuyorsa, işinizi tam olarak güvence altına aldığınızdan emin olmanın zamanı geldi.

Çevrimiçi mağazalar neden daha fazla güvenlik gerektirir?

Çevrimiçi satış yaparken birçok hassas bilgiyle uğraşıyorsunuz: kişisel adlar, kredi kartı numaraları, adresler ve daha fazlası. Aktif bir mağaza her zaman yeni bilgiler toplar, bu nedenle sorumlu olduğunuz sürekli büyüyen bir veri setine sahip olursunuz.

Sitenizin birinci sınıf güvenliğe sahip olduğundan emin olmak, şunları yapmanızı sağlar:

  • Müşterilerinizin kişisel bilgilerini bilgisayar korsanlarından ve saldırganlardan koruyarak müşterilerin güvenle alışveriş yapmalarını sağlayın;
  • Gelir akışınızı kesintilerden ve satış kayıplarından koruyun;
  • Vergi ve yasal amaçlar için tüm dakika dakika satış verilerini koruyun;
  • Güvenilir bir işletme olarak markanızı ve itibarınızı koruyun; ve
  • Kesinti nedeniyle satış kaybı, yerine getirilmeyen siparişlerin neden olduğu geri ödemeler ve web sitesi onarım maliyetleri gibi bir saldırıdan sonra işletmenizi yeniden inşa etmeyle ilgili maliyetlerden kaçının

Bir hack nasıl belirlenir

Bir saldırı birçok şekilde olabilir ve sitenizin güvenliğinin ihlal edildiğini hemen fark etmeyebilirsiniz.

Bir saldırıyı tanımlamak için şunları arayın:

  • Oluşturmadığınız yeni yönetici hesapları.
  • Yorumlarda, ürün açıklamalarında veya incelemelerde kötü amaçlı yazılımlara spam bağlantıları.
  • Sıra dışı uyarı kutuları veya üçüncü taraf sitelere yönlendiren bağlantılar.
  • Google'dan mağazanızın işaretlendiğine dair uyarılar.
  • Tuhaf, beklenmedik veya eksik müşteri e-postaları.
  • Çok yavaş yükleme süreleri veya zaman aşımı hataları.

Ancak çoğu işletme sahibi, envanter, pazarlama veya siparişlerin yerine getirilmesi üzerinde çalışmakla, sorunları veya hack'leri sürekli olarak izleyemeyecek kadar meşgul. Bu nedenle eklemeniz gereken ilk şey, sitenizin çalışıp çalışmadığını otomatik olarak kontrol eden ve çalışmıyorsa sizi uyaran kesinti izlemedir. Bu, çevrimiçi mağazanızı onarmak ve geri yüklemek için hemen harekete geçmenizi sağlar.

En iyi kötü amaçlı yazılım tarama eklentisi olan Jetpack Scan'den de yararlanabilirsiniz, bu sayede endişelenmenize gerek kalmaz! Yanlış bir şey bulursa bir uyarı alırsınız ve bilinen tehditlerin çoğunu tek bir tıklamayla bile düzeltebilirsiniz.

Mevcut kötü amaçlı yazılım taraması ilerlemesini gösteren Jetpack Scan panosu

WooCommerce için eksiksiz güvenlik kontrol listesi (14 adım)

Saldırıları gerçekleşmeden önce durdurmak her zaman en iyisidir. Aşağıdaki sorulara “evet” yanıtı verebiliyorsanız, mükemmel bir başlangıç ​​yaptınız!

1. Güvenli, saygın bir sağlayıcıyla mı ev sahipliği yapıyorsunuz?

Ev sahibiniz saldırılara karşı ilk savunma hattınızdır. Uygun güvenlik önlemlerine sahip değillerse, her şeyi doğru yapsanız bile dosyalarınız ve veritabanınız savunmasız kalabilir.

Bir ana bilgisayar seçerken, şunlara sahip birini arayın:

  • Yerleşik bir güvenlik duvarı . Bir güvenlik duvarı, sunucunuza kimlerin erişebileceğini ve kimlerin erişemeyeceğini kontrol ederek bilgisayar korsanlarını ve botları web sitesi dosyalarınızdan uzak tutar.
  • Güvenlik taramaları . Çoğu sunucu, sunucularındaki tüm siteleri düzenli olarak tarar ve kötü amaçlı yazılım gibi şüpheli bir şey fark ederse size bildirir. Hatta bazı sağlayıcılar, genellikle ek bir ücret karşılığında bu sorunları sizin için düzeltir.
  • Yedeklemeler Kendi yedeklerinizi de (daha sonra anlatacağız) yapmak isteseniz de, sitenizin birden çok kopyasına sahip olmak iyi bir fikirdir. Birçok barındırma şirketi, planlarına yedekleri dahil ederken, diğerleri bunları ücretli bir yükseltme olarak sunar.
  • Mükemmel bir destek ekibi . Bir sorunla karşılaşırsanız, sonraki adımları anlamanıza yardımcı olacak uzmanların hazır olmasını istersiniz. Ev sahibinizin sizin için en uygun yöntemle (canlı sohbet, telefon vb.) ulaşabileceğiniz harika bir destek ekibine sahip olduğundan emin olun.
  • İyi bir itibar . Gerçek müşterilerden gelen yorumları kontrol edin ve deneyimlerini öğrenin. Bu, bir barındırma sağlayıcısı hakkında bilgi edinmenin en doğru yoludur.

Nereden başlayacağınızdan emin değil misiniz? WooCommerce, tümü iyice incelenmiş, önerilen barındırma şirketlerinin bir listesini bir araya getirdi.

2. SSL sertifikanız var mı?

SSL (Güvenli Yuva Katmanı) sertifikası, müşterilerinizden web sitenize gönderilen bilgileri şifreler ve sitenizin kimliğini doğrular. Bu, kredi kartı verileri ve adresleri gibi bilgiler için kritik koruma görevi görür. Google ayrıca arama motoru sıralamalarını belirlerken bunu dikkate alır.

Çoğu ev sahibi, SSL sertifikalarını ücretsiz olarak sunar, ancak bazıları nispeten düşük bir ücret alır.

3. Temaların ve eklentilerin güvenli, güvenli sürümlerini mi kullanıyorsunuz?

Nulled eklentiler ve temalar, premium eklentilerin ve temaların korsan sürümleridir ve ücretsiz veya düşük bir fiyata sunulur. Yalnızca desteklenmemekle kalmazlar, aynı zamanda güncellenmezler, bu nedenle WordPress veya diğer eklentilerle çakışabilirler. Daha da önemlisi, genellikle sitenizi ve müşteri verilerinizi tehlikeye atabilecek kötü amaçlı yazılımlarla doludurlar.

Eklentileri ve temaları her zaman WordPress deposu veya WooCommerce pazarı gibi güvenilir kaynaklardan indirin.

WooCommerce Marketplace özellikli uzantı koleksiyonları
WooCommerce Marketplace'te öne çıkan uzantı koleksiyonları

4. WordPress sitenizdeki her şey güncel mi?

WordPress, tema ve eklenti güncellemeleri her zaman sadece yeni özellikler içermez; genellikle bilgisayar korsanlarının yararlanabileceği hataları ve güvenlik açıklarını düzeltirler. Sitenizi güvende tutmak ve çakışmaları önlemek için güncellemeleri her zaman uygun olduklarında gerçekleştirin.

Güncellemeleri takip etmek istemiyor musunuz? Jetpack'in bu işlemi otomatikleştirme seçeneği vardır.

5. PHP'nin en son sürümünü mü kullanıyorsunuz?

WordPress çekirdeğinin büyük kısmı bir programlama dili olan PHP ile yazılmıştır. Sitenizin kullandığı PHP sürümünü güncellemelisiniz, aynı nedenle temaları ve eklentileri güncellemelisiniz: hatalardan ve güvenlik açıklarından korunmak için.

PHP sürümünüzü ana bilgisayar ayarlarınızda güncelleyebilir veya barındırma sağlayıcınızdan bunu sizin için halletmesini isteyebilirsiniz. En son WordPress gereksinimlerini görüntüleyin.

6. Kullanıcı izinlerinizi gözden geçirdiniz mi?

Her WordPress kullanıcısına, web sitenizde belirli görevleri gerçekleştirmelerine izin veren bir dizi yetenek içeren bir rol atanır. Yöneticiler her şeye tam erişime sahiptir ve istedikleri değişiklikleri yapabilirler; dükkan sahibi olarak, bu sizin göreviniz olmalıdır. Ancak müşterilerin sitenizin arka ucuna erişimi yoktur, ancak kendi hesap bilgilerini düzenleyebilir ve mevcut ve önceki siparişleri görüntüleyebilir. Kullanıcı rollerinin ve izinlerinin tam listesine bakın.

Zaman zaman kullanıcı hesaplarınızı gözden geçirin ve temizleyin. Her kullanıcı, işini yapmak için yalnızca gerekli minimum izinlere sahip olmalıdır ve artık biriyle çalışmıyorsanız, hesabını kaldırdığınızdan emin olun. Örneğin, sitenizi oluşturmak için bir web geliştirme ajansıyla çalıştıysanız ve proje tamamlandıysa, gelecekte tutarlı güncellemeler gerekmedikçe muhtemelen hesabını silmek istersiniz.

7. Güvenli bir kullanıcı adı ve şifre mi kullanıyorsunuz?

Bilgisayar korsanları, doğru olanı bulana kadar binlerce farklı kullanıcı adı ve şifre kombinasyonunu denemek için genellikle bot kullanır (buna kaba kuvvet saldırısı denir). Parolanızın tahmin edilmesi ne kadar kolaysa, bir bilgisayar korsanının mağazanıza erişme olasılığı o kadar yüksektir.

İyi bir parolada büyük harf, küçük harf, sayı ve sembol bulunur ve en az 20 karakter uzunluğundadır. En azından her yönetici kullanıcının bu tür bir parola uyguladığından emin olun.

Kullanıcı adları söz konusu olduğunda, "Yönetici" veya "Yönetici" gibi yaygın başlıklardan kaçının. Bunun yerine, her kişi için belirli bir kullanıcı adı oluşturun.

8. Giriş URL'nizi değiştirmeyi düşündünüz mü?

Varsayılan olarak, her WordPress giriş sayfasına /wp-admin URL'nizden erişilebilir. Ekstra güvenlik önlemleri almak istiyorsanız, saldırganların bu URL'yi tahmin etmesini zorlaştırmak için URL'yi değiştirmek isteyebilirsiniz. Bunu .htaccess dosyanızı düzenleyerek veya kodu değiştirmekten çekiniyorsanız WP Hide Login gibi bir eklenti kullanarak yapabilirsiniz.

9. Yöneticiler için iki faktörlü kimlik doğrulamayı etkinleştirdiniz mi?

İki faktörlü kimlik doğrulama, oturum açma sayfanıza ek bir güvenlik katmanı ekler. Giriş yapmak için sadece bir şeyi (bir kullanıcı adı ve şifreyi) bilmeniz değil, aynı zamanda fiziksel olarak bir şeye (mobil cihazınız) sahip olmanız gerekir. Bu, bir bilgisayar korsanının mağazanıza girme olasılığını önemli ölçüde azaltır.

Jetpack, iki faktörlü kimlik doğrulamayı kolaylaştırır. Sitenize giriş yaptığınızda, telefonunuza, giriş işlemini tamamlamak için girmeniz gereken, tek seferlik özel bir kod alacaksınız. Hatta tüm kullanıcıların bunu ayarlamasını isteyebilirsiniz. İki faktörlü kimlik doğrulama hakkında daha fazla bilgi edinin.

10. Kaba kuvvet saldırılarını engelliyor musunuz?

Daha önce tartıştığımız gibi, kaba kuvvet saldırıları, bilgisayar korsanları, doğru olanı bulana kadar kullanıcı adları ve parola kombinasyonlarını tekrar tekrar test etmek için botları kullandıklarında meydana gelir. Bu yalnızca mağazanızı ve müşteri verilerinizi riske atmakla kalmaz, aynı zamanda web sitenizi de yavaşlatabilir.

bir sitede engellenen toplam kötü niyetli saldırı sayısını gösteren modül

Ancak Jetpack, bu saldırıları sitenize ulaşmadan önce otomatik olarak engeller, böylece endişelenmenize gerek kalmaz.

11. Sitenizi kötü amaçlı yazılımlara karşı mı tarıyorsunuz?

Ya birisi sitenize erişir ve kötü amaçlı yazılım enjekte ederse? Bu kötü amaçlı yazılımı kaldırabilmeniz ve sorunu olabildiğince çabuk çözebilmeniz için hemen bilmek istersiniz. Ancak bilgisayar korsanları sinsi - içeri girdikleri her zaman hemen belli olmuyor.

Jetpack Scan, herhangi bir şüpheli faaliyette sizi anında uyarır ve tarama Jetpack'in sunucularında gerçekleştiği için sitenize çökse bile erişebilirsiniz. Ayrıca bilinen tehditlerin çoğu için tek tıklamayla düzeltmeler sunar.

12. Bir spam filtresi kurdunuz mu?

Spam yorumlar sadece can sıkıcı değildir; ayrıca sizi profesyonellikten uzak gösterirler ve müşterilerinizi kötü amaçlı yazılımlarla dolu sitelere yönlendiren bağlantılar içerebilirler. Ancak haftada yüzlerce yorumu sıralamak zaman alıcı ve sinir bozucu.

WordPress sitesinde engellenen spam'i gösteren grafik

Jetpack Anti-spam burada devreye giriyor! Yorumlardan ve formlardan gelen istenmeyen e-postalardan otomatik olarak kurtulur, böylece onu asla görmek zorunda kalmazsınız. Tek seferde zaman kazanacak, sitenizi koruyacak ve daha iyi bir kullanıcı deneyimi sunacaksınız.

13. Sitenizi kapalı kalma süresi için izliyor musunuz?

Siteniz çökerse, bu bir hack belirtisi olabilir. Ve ne kadar uzun süre düşerse, o kadar çok satış kaybedersiniz. Mümkün olan en kısa sürede tekrar çalışır duruma getirmek istiyorsunuz!

Jetpack, sitenizi dünyanın her yerinden beş dakikada bir kontrol eden ücretsiz kesinti izleme sunar. Siteniz kapalıysa, sorunu hemen çözebilmeniz için anında bir bildirim alırsınız.

14. Düzenli, site dışı yedeklemeleriniz var mı?

Sitenize bir şey olursa, sahip olabileceğiniz en iyi koruma, hızlı ve kolay bir şekilde geri yükleyebileceğiniz tam bir yedeklemedir. Barındırıcınız yedeklemeler sunsa bile, sizin de kendi yedeklemenizi yapmanız önemlidir. Niye ya? Çünkü sunucunuzun güvenliği ihlal edilirse, orada depolanan tüm yedeklemeler de tehlikeye girebilir.

bir WooCommerce mağazasında devam eden yedekleme

Jetpack Backup mükemmel bir çözümdür. İki plan seçeneği vardır:

  1. Sitenizin bir kopyasını günde bir kez kaydeden günlük yedeklemeler .
  2. Bir sayfayı her güncellediğinizde, yeni bir gönderi yayınladığınızda veya satış yaptığınızda sitenizin bir kopyasını kaydeden gerçek zamanlı yedeklemeler . Bunlar özellikle çevrimiçi mağazalar için kullanışlıdır çünkü sipariş bilgilerini kaybetme konusunda asla endişelenmenize gerek kalmaz.

Jetpack, yedekleme dosyalarını sitenizden tamamen ayrı birden fazla konumda depolar. Bu, sunucunuzun güvenliği ihlal edilirse yedeklemelerinizin olmayacağı anlamına gelir. Ve çoğu durumda, siteniz tamamen kapalıysa bile bir yedeği geri yükleyebilirsiniz!

En kötü senaryoda nasıl kurtarılır

Çevrimiçi mağazanızda kötü amaçlı yazılım varsa ve Jetpack Güvenliğiniz varsa, sorunu hemen çözebilmeniz için bir bildirim alırsınız. İlk adımınız, sitenizde meydana gelen her şeyin tam listesini görebileceğiniz etkinlik günlüğünüzü kontrol etmek olmalıdır. Bu bilgileri, bilinmeyen girişler ve düzenlenmiş sayfalar gibi şüpheli etkinlikleri kontrol ederek saldırının ne zaman gerçekleştiğini belirlemek için kullanabilirsiniz.

bir WordPress sitesinde olan her şeyi gösteren etkinlik günlüğü

Ardından, kurtarmanın en hızlı yolu Jetpack Backup'tır. Yalnızca birkaç tıklamayla, siteniz minimum kesinti süresiyle tekrar çalışır durumda olabilir. Tek yapmanız gereken, saldırıdan önce bir yedekleme seçmek ve geri yüklenmesini beklemek. Evet, bu kadar!

Mağazanızın temiz bir sürümü çalışmaya başladığında, sitenizde kötü amaçlı yazılım kalmadığından emin olmak için Jetpack Scan'i kullanın. Jetpack, bilinen tehditlerin çoğunu sizin için çözer, bu nedenle herhangi bir şey bulunursa, büyük olasılıkla sorun giderme konusunda endişelenmenize gerek kalmaz.

Son olarak, tüm şifreleri değiştirerek ve temalarınızın, eklentilerinizin ve çekirdek dosyalarınızın güncel olup olmadığını kontrol ederek sitenizin güvenliğini sağlamak için zaman ayırın.

Herhangi bir yardım lazım mı? Jetpack Security, sizi doğru yöne yönlendirebilecek deneyimli bir teknik ekipten öncelikli destek içerir.

WooCommerce mağazanızı güvende tutun

WooCommerce mağazanızı tamamen güvence altına almak için zaman ayırmanız, müşterilerinizin güvenle alışveriş yapabilmesini ve verileriniz veya itibarınız için endişelenmenize gerek kalmamasını sağlayacaktır.

Bunu yapmanın en iyi yollarından biri de Jetpack Security ve WooCommerce'i bir araya getirmektir - bu çok mantıklı! Web sitenizi korumak ve özellikler eklemek için senkronize çalışan iki yerleşik, saygın WordPress eklentisidir. Birlikte, bir işletme sahibi olarak sizin için daha az hareketli parça, daha az harici eklenti ve daha fazla gönül rahatlığı anlamına gelir.

Sıkça Sorulan Sorular

Bir WooCommerce web sitesi saldırıya uğrayabilir mi?

Evet, herhangi bir site gibi, bir WooCommerce mağazası da saldırıya uğrayabilir. Ancak WordPress ve WooCommerce, içeriğinizi ve müşteri verilerinizi korumaya yardımcı olacak özellikler içerir. Ve birkaç temel güvenlik önlemi aldığınızda - örneğin iyi bir ana bilgisayar seçmek, işleri güncel tutmak ve en iyi güvenlik eklentisini kurmak gibi - sitenizin emin ellerde olduğunu bilerek içiniz rahat olabilir.

WooCommerce web sitesi için SSL'ye ihtiyacınız var mı?

Bir SSL sertifikası, sitenize gönderilen bilgileri (kredi kartı verileri ve adresler gibi) şifreleyerek sitenizi kötü taraflardan korur. Bu bilgilere bir bilgisayar korsanı tarafından erişilirse, işinizi yasal riske atabilir ve itibarınıza zarar verebilir. Ve bir SSL sertifikası sadece sizi ve müşterilerinizi korumakla kalmaz, aynı zamanda arama motoru sıralamalarınız için de önemlidir.

Herhangi bir web sitesi için bir SSL sertifikası önerilirken, işlemleri işlemek için topladıkları veri türü nedeniyle çevrimiçi mağazalar için daha da önemlidir.

WooCommerce web siteleri için en iyi SSL sertifikası hangisidir?

Çoğu büyük barındırma sağlayıcısı, planlarında bir SSL sertifikası içerirken, diğerleri bunları ek bir ücret karşılığında sunar. Tipik olarak, bunların sadece birkaç tıklamayla kurulumu kolaydır.

Ancak sunucunuz bunu sunmuyorsa Let's Encrypt'i öneririz. Daha güvenli bir web'i desteklemek için ücretsiz SSL sertifikaları sunan güvenilir bir hizmettir. Not: Barındırma planlarına dahil olan SSL sertifikalarının çoğu Let's Encrypt'ten gelir.

WooCommerce mağazanıza bir SSL sertifikası yükleme hakkında daha fazla bilgi edinin.

Bir WooCommerce web sitesinde HTTPS'yi nasıl zorlarım?

Mağazanıza başarıyla bir SSL sertifikası eklediğinizde, URL'nizi http://example.com'dan https://example.com'a değiştirir. "https"deki "s", SSL anlamına gelir.

Mağazanızda HTTPS'yi zorladığınızda, sitenizin “http” versiyonunu yazan bir ziyaretçi otomatik olarak “https” versiyonuna yönlendirilecektir. Bu, her bir müşteri için her şeyin düzgün bir şekilde şifrelenmesini sağlar.

.htaccess dosyanıza birkaç satır kod ekleyerek veya bir WordPress eklentisi kullanarak HTTPS'yi zorlayabilirsiniz. Kinsta, bunu yapmak için harika bir rehber sağlar.

WooCommerce Shopify'dan daha mı güvenli?

Shopify, güvenliği sizin için yöneten barındırılan bir platformdur. Bunun faydaları olsa da – güvenlik önlemleri uygulama konusunda endişelenmenize gerek yok – bu aynı zamanda kendi korumanız üzerinde neredeyse hiçbir kontrolünüz olmadığı anlamına gelir.

Ayrıca bu, Shopify'ın daha güvenli olduğu anlamına da gelmez. Ne de olsa bilgisayar korsanları ve botlar ayrımcılık yapmaz. İçeri girebilecekleri bir yer bulana kadar siteden sonra siteyi denerler. Bu nedenle, uygun güvenlik önlemlerini uygularsanız, mağazanız herhangi bir platformdaki diğerlerinden daha güvenli ve çoğu durumda daha güvenli olacaktır.

Hem WordPress hem de WooCommerce'in başarılı olmanıza yardımcı olmaya tutkulu bir ekip tarafından desteklendiğini de unutmamak gerekir. Platformun güvenliğini sağlamak için sürekli çalışırlar, bu nedenle yazılımınızı düzenli olarak güncellemek çok önemlidir.

WooCommerce'in bu kılavuzu, Shopify ile karşılaştırması hakkında daha fazla ayrıntı sağlar.