WooCommerce Mağazaları İçin Lansman Sonrası 5 Güvenlik İpuçları

Yayınlanan: 2016-04-12

WooCommerce güvenliğine bu girişte ele aldığımız gibi, güvenli, iyi korunmuş bir mağazanın temelini oluşturmak yalnızca birkaç adım sürer. Ancak sunduğumuz ipuçlarının çoğu, mağazanızı açmadan önce veya belki hemen sonrasında yapacağınız şeylerdir.

Güvenlik, bir kez ve bir daha asla düşünebileceğiniz bir şey değildir. Mağazanızı güncel tutmazsanız, güvenlik trendlerine dikkat etmezseniz veya büyüdükçe ve ölçeklendikçe savunmanızı sağlamlaştırmazsanız, kendinizi çok savunmasız bir konuma sokabilir ve ayrıca müşterilerinizi riske atabilirsiniz.

Mağazanızın lansmanından sonra güvenliğini sağlamanın birkaç yolunu daha keşfedelim.

1. WordPress sürüm numarasını gizleyin

“Tamam,” diyor olabilirsiniz, “ne? Bu beni nasıl güvende tutar?”

Eh - değil, doğrudan değil. Ancak bazen WordPress'i güncellemekte biraz yavaşsanız, kaynak kodunuza hızlı bir bakış, potansiyel bir saldırgana diğer saldırılara karşı potansiyel olarak daha savunmasız olduğunuzu kolayca söyleyebilir .

WordPress'in mevcut sürümü üç noktada bulunabilir:

  1. Başlığınızdaki oluşturucu meta etiketi
  2. RSS beslemenizdeki oluşturucu meta etiketi
  3. Sorgu dizeleri

Bu nedenle, güncellemelerinizi bir veya iki günlüğüne test etmek isteyen ve iyi bir nedenle sürüm numarasını gizlemesi gereken iyi niyetli kişilerden biriyseniz, sürüm numarasını herkesten gizlemek için Frankie Jarrett'in kodunu kullanabilirsiniz. bu noktalardan üçü. Almak için gönderisine gidin, ardından function.php dosyanıza yapıştırın .

Frankie Jarrett'ın izniyle, koda kısa bir bakış.
Frankie Jarrett'ın izniyle, koda kısa bir bakış.

Yine, sürümü kendi başına gizlemek sizi korumayacaktır – WordPress, WooCommerce ve tüm eklentilerinizi ve uzantılarınızı mutlaka güncel tutmalısınız . Ancak, test etme ve uygulama arasında genellikle bir boşluk olduğunu da anlıyoruz, bu nedenle bu, geçici olarak güvende olmanıza yardımcı olabilir.

2. Ödeme sayfalarınızda SSL'yi zorunlu kılın

Güvenlik, güvenli bir bağlantıyla başlar. Bu ipucunu takip ederek, müşterilerinizi ödeme sırasında hassas fatura ve nakliye bilgilerini girerken casus gözlerden koruduğunuzdan kesinlikle emin olabilirsiniz.

WooCommerce'de "Güvenli ödemeyi zorla" ayarı etkinleştirildiğinde, ödeme işleminizle ilişkili tüm sayfalar her yüklendiklerinde HTTPS (yani güvenli bir bağlantı) kullanmaya zorlanır .

HTTPS bağlantısı üzerinden gönderilen bilgilerin şifresini yalnızca bir müşterinin tarayıcısı ve mağazanız çözebildiğinden, bu kutunun işaretlenmesi, ödeme işleminizin güvenli olmasını ve kötü niyetli hiç kimsenin kredi kartı numaralarına veya akan diğer hassas bilgilere göz atamamasına neden olur. ve mağazanızın dışında.

Altyazı
Güvenli ödemeyi zorlamak hem sizi hem de müşterilerinizi güvende tutar. Tek ön koşul bir SSL sertifikasıdır.

Bu ayar, WooCommerce > Checkout'a gidip ikinci onay kutusunu açıp kapatarak WooCommerce'de açılıp kapatılabilir.

Bu ayarın mağazanızda düzgün çalışması için geçerli bir SSL sertifikası gerektiğini unutmayın. Henüz bir SSL sertifikası almadıysanız, neden önemli oldukları ve çok az veya ücretsiz olarak nasıl edinebileceğiniz hakkında daha fazla bilgi edinmek için bu kılavuzu okuyun.

Belgelerimizde bu sayfayı okuyarak WooCommerce'deki bu ayar hakkında daha fazla bilgi edinebilirsiniz.

3. Yedeklemeleri ve güvenlik taramalarını günlük bir olay haline getirin

Güvenlikle ilgili ilk gönderimizde, sitenizi olası güvenlik açıklarına, kaba kuvvet saldırılarına veya kötü amaçlı yazılımlara karşı taramak için güvenilir bir yazılım kullanmanızı önerdik. Artık başladığınıza göre, işleri bir sonraki seviyeye taşımanın zamanı geldi.

Mağazanız çalışır durumdayken, hem yedeklemeler hem de güvenlik taramaları günlük olarak gerçekleşmelidir . Yedeklemeler çok önemlidir, çünkü veri kaybı durumunda size güvenebileceğiniz bir şey sağlarken, güvenlik taramaları bu tür kayıpların (veya bulaşmaların) ilk etapta olmasını engeller.

Taramaların, yedeklemelerin ve bildirimlerin sıklığını istediğiniz gibi ayarlayabilirsiniz, ancak en azından günlük yedekleme ve günlük tarama öneririz. Bazı çözümler gerçek zamanlı yedeklemeler ve daha sık taramalar sunar - Jetpack'in kaba kuvvet oturum açma koruması da gerçek zamanlıdır - ancak frekansı istediğiniz gibi artırıp azaltabilirsiniz.

Güvenilir, etkili bir yedekleme ve güvenlik çözümü için hala pazardaysanız, Jetpack Premium planları yedeklerle birlikte gelir ve WooCommerce müşterileri anında %15 tasarruf edebilir . İlk günden itibaren içinizin rahat olması için Jetpack'i edinin.

4. WordPress veritabanlarınızda kullanılan varsayılan öneki değiştirin

Tuhaf görünse de, kendi eğlenceleri için web sitelerine saldırılar düzenleyen bazı kötü insanlar var. Mağazanızın %100 güvenli olduğunu düşünebilirsiniz, ancak bu spam göndericilerin ve bilgisayar korsanlarının fırsat verildiğinde bulup yararlanabileceği birkaç küçük güvenlik açığı vardır.

Bilinen bir potansiyel güvenlik açığı, WordPress'in kurulumu ve yüklenmesi sırasında varsayılan veritabanı tablosu ayarlarının kullanılmasıyla ortaya çıkar. Bu ayarların değiştirilmesi, kötü amaçlı kodun sunucunuza enjekte edilmesini önlemeye yardımcı olabilir.

WordPress bilgilerini depolamak için kullanılan veritabanı tablolarının varsayılan öneki wp_'dir. Çoğu mağaza sahibi kurulum sırasında bu öneki değiştirmediğinden (veya ana bilgisayar/kurulum prosedürlerine bağlı olarak bunu yapma seçeneğine bile sahip olmadığından), varsayılanı kullanmak onları bir SQL enjeksiyon saldırısı (diğerlerinin yanı sıra) riskine sokabilir. ) , çünkü bilgisayar korsanları bu varsayılan tabloların adlarının ne olduğunu çok iyi biliyorlar.

Elbette şimdiye kadar muhtemelen WordPress ve WooCommerce'i kurmuşsunuzdur. Ancak bu ayarları değiştirmek için çok geç değil. phpMyAdmin'de bir veya iki SQL sorgusu çalıştırmanız sizi kısa sürede düzlüğe çıkaracaktır.

İyi yerleştirilmiş bazı SQL ile tablo öneklerinizi yeniden adlandırabilir ve WordPress kurulumunuza başka bir güvenlik katmanı ekleyebilirsiniz. (İmaj kredisi: WP'ye Girmek)
İyi yerleştirilmiş bazı SQL ile tablo öneklerinizi yeniden adlandırabilir ve WordPress kurulumunuza başka bir güvenlik katmanı ekleyebilirsiniz. (İmaj kredisi: WP'ye Girmek)

Veritabanı tablosu öneklerinizi çok daha karmaşık ve çok daha güvenli bir şeye nasıl değiştireceğinizi öğrenmek için Digging Into WP'den bu ayrıntılı ve inanılmaz derecede yararlı adım adım öğreticiye bir göz atın .

SQL sorguları senin işin değil mi? Etrafta aynı şeyi yapacak birkaç ücretsiz eklenti var, ancak dikkatli olun - SQL veritabanınıza sınırsız erişime izin vermek tehlikeli olabilir . En azından, böyle bir eklentiyi işiniz bittiğinde kaldırın, böylece gelecekte istenmeyen yeniden adlandırma potansiyeli olmaz.

5. "Yönetici" hesabınızdan kurtulun

Bu son tavsiye, bazılarınız için can sıkıcı görünebilir, hatta belki başkaları için genel bilgi gibi görünebilir. Ancak bu çok önemli, bu yüzden burada vurgulamak için zaman ayırmak istedik.

Bir çevrimiçi mağaza çalıştırırken, WordPress'te yerleşik olarak bulunan varsayılan yönetici hesabını kullanmanız önerilmez . Veritabanı tablosu öneklerine çok benzer şekilde, bilgisayar korsanları bu hesabın (büyük olasılıkla) varsayılan olarak var olduğunu bilirler ve bu da onlara kaba kuvvetle içeri girmeleri için daha iyi bir fırsat sağlar.

"Testadmin", "yönetici" veya "sahip" gibi benzer görünen hesaplar bile mağazanızı riske sokar - bunlar da aynı derecede kolay tahmin edilir. HackerTarget.com'daki Saldıran WordPress sayfasının açıkladığı gibi (endişelenmeyin, bu bir tavsiye kaynağıdır, bilgisayar korsanlığı için nasıl yapılır değil), bir bilgisayar korsanı bir hesabın var olduğunu öğrendiğinde, şifrenizi tahmin etmek için hızlı bir şekilde bir araç kullanabilir :

[…]. "testadmin" hesabına (kullanıcı numaralandırması sırasında keşfedilen) karşı 500 parola test edildi. Bu 500 şifre 1 dakika 16 saniyede test edildi! Test çalışırken site hala yanıt veriyordu; bir web sunucusu yöneticisi, bir tür güvenlik günlüğü izleme sistemi olmadan saldırının gerçekleştiğini bilemezdi.

Parolayı yanlış almış olabilirler, ancak şimdi bir şey daha biliyorlar: bu hesap var. (İmaj kredisi: HackerTarget.com)
Parolayı yanlış almış olabilirler, ancak şimdi bir şey daha biliyorlar: bu hesap var. (İmaj kredisi: HackerTarget.com)

Hikayeden çıkarılacak ders: yönetici hesap(lar)ınıza benzersiz ve kötü niyetli biri tarafından tahmin edilmesi pek olası olmayan bir ad verilmelidir . Benzersiz bir takma ad, aralarında birden çok baş harf bulunan tam bir ad veya kolayca tahmin edilemeyecek başka bir şey (örneğin, adınız ve soyadınız veya mağazanızın adı) kullanın.

Ve güvenli şifreler kullanmayı unutmayın , bu nedenle, birisi hesabınızın adını tahmin etse bile, kendilerini yine de giriş yapamayacaklarını göreceklerdir. Neyin güvenli olup olmadığı konusunda bir tazelemeye ihtiyacınız varsa, bu gönderideki 2. bölüme bakın.

Mağazanız çevrimiçi olduğunda güvenliği ciddiye alın

Bir mağazayı piyasaya sürülmeden önce güvenli hale getirmek için yapabileceğiniz birçok şey olsa da, güvenlik, mağaza sahipleri için “tek ve bitmiş” bir şey değil, devam eden bir endişe olmalıdır . Bu ipuçlarını takip ederek ve mağazanızı ve WordPress'i güncel tutarak müşterilerinizi ve ekibinizi güvende ve sağlam tutmak için harika bir konumda olacaksınız.

Bu yayında önerilen güvenlik ipuçları hakkında herhangi bir sorunuz var mı? Ya da daha iyisi, paylaşabileceğiniz gelişmiş ipuçlarınız var mı? Aşağıdaki yorumlarda görüşlerinizi ve düşüncelerinizi bekliyoruz.