هل تصدق هذه الخرافات الشائعة حول أمان WooCommerce؟

آخر تحديث - 8 يوليو 2021

لدى WooCommerce مئات الآلاف من المستخدمين لأنها أبسط طريقة لإنشاء متجر للتجارة الإلكترونية باستخدام WordPress ، وهو نظام إدارة محتوى يعرفه ملايين الأشخاص. في أي مجتمع بهذا الحجم ، هناك مجموعة واسعة من الخبرات والتجارب ، ناهيك عن الكثير من الخرافات وسوء الفهم.

في هذه المقالة ، سألقي نظرة على عدد قليل من الأساطير المتعلقة بالأمان التي صادفتها في المناقشات مع بائعي WooCommerce بالتجزئة.

مزود استضافة الويب الخاص بك هو المسؤول عن أمان WooCommerce

هناك جزء من الحقيقة لهذه الأسطورة: يجب على موفري استضافة WooCommerce الاهتمام بأمن مركز البيانات والشبكة والخادم. يجب عليهم تحديث برنامج الخادم ، بما في ذلك نظام التشغيل. يجب عليهم التأكد من أن خوادمهم لا تشغل برامج ضعيفة. ومع ذلك ، هناك حد لما يمكن أن يفعله مزود الاستضافة للحفاظ على أمان متجر WooCommerce.

لا يوجد شيء يمكن لمزود الاستضافة فعله إذا قام مالك متجر WooCommerce بتثبيت مكون إضافي أو سمة تحتوي على برامج ضارة ؛ ينسى تحديث WordPress و WooCommerce والمكونات الإضافية والسمات الأخرى ؛ أو يستخدم كلمة مرور يسهل تخمينها باستخدام حساب المسؤول الافتراضي.

يشترك موفر الاستضافة ومالك المتجر في المسؤولية عن أمان WooCommerce. يمكن جعل المتجر معرضًا للخطر من خلال الثغرات التي تحدث على جانبي شراكة الاستضافة.

متجرك ليس مهمًا بدرجة كافية ليتم اختراقه

الافتراض الخاطئ الكامن وراء هذه الأسطورة هو أن المجرمين لا يستهدفون سوى المتاجر التي تضم عشرات الآلاف من العملاء. يبدو ذلك منطقيًا لأن المتاجر الكبيرة تعد أهدافًا أكثر قيمة: فهي تمتلك المزيد من الموارد ، والمزيد من البيانات الشخصية لاستغلالها ، والمزيد من الزائرين للإصابة بالبرامج الضارة ، والمزيد من أرقام بطاقات الائتمان للسرقة.

ولكن ، في الواقع ، حتى المتجر الصغير مفيد للمجرمين. تكلفة اختراق متجر WooCommerce ضعيف - أو أي تطبيق ويب - ضئيلة للغاية. يتم اختراق معظم المتاجر بواسطة الروبوتات الآلية باستخدام نقاط ضعف معروفة ونقاط ضعف واضحة. تقوم الروبوتات بمسح آلاف المتاجر ، ولا يهتمون بما إذا كان لدى المتجر عشرة أو عشرة آلاف زائر في اليوم - كلاهما سيتم اختراقهما واستغلالهما إذا لم يتم تأمينهما بشكل كافٍ.

تعتبر المتاجر الكبيرة أكثر قيمة للمجرمين ، وقد توليهم اهتمامًا لا يعطونه للمتاجر الأصغر ، لكن تطبيق الويب الذي يحتوي على ثغرة أمنية سيتم اختراقه في النهاية ، بغض النظر عن حجمه.

لا بأس في مشاركة كلمات مرور WordPress

قد يحتاج تجار التجزئة إلى منح المطورين أو المصممين أو غيرهم من الموظفين حق الوصول الإداري إلى متجر WooCommerce من وقت لآخر. هناك طريقتان للقيام بذلك:

1. امنحهم اسم المستخدم وكلمة المرور لحساب مسؤول حالي ، أحدهما يستخدمه مالك المتجر أو أي شخص آخر موثوق به.
2. قم بإنشاء حساب مسؤول جديد لاستخدامه من قبل المحترف فقط.

أولهما أكثر ملاءمة على المدى القصير ، لكن له آثارًا كبيرة على أمان الموقع. في مرحلة ما ، سيكون من الضروري سحب الوصول الممنوح ، وهو أمر أكثر صعوبة إذا كان هناك عدة مستخدمين يشاركون نفس كلمة المرور. في الواقع ، نادرًا ما يتم حذف الحسابات المشتركة ، ونادرًا ما يتم تغيير كلمات المرور المشتركة. ليس من غير المعتاد أن يتم اختراق الشركات من قبل موظفين سابقين ساخطين باستخدام كلمات مرور قديمة لم تتغير أبدًا.

عندما يكون لكل مستخدم - سواء كان مستخدمًا إداريًا أم لا - حسابه الخاص ، يمكن منح كل مستخدم الوصول الذي يحتاجه فقط ويمكن سحبه لاحقًا دون أي إزعاج.

لا تشكل سمات WordPress مخاطر أمنية

تغير سمات WordPress مظهر متجر WordPress ، لكن تأثيرها أعمق من تغييرات التصميم السطحية. لا يقل موضوع WordPress عن برنامج أكثر من كونه مكونًا إضافيًا ؛ الموضوع غير الآمن محفوف بالمخاطر مثل المكون الإضافي غير الآمن. بالنسبة للجزء الأكبر ، تكون السمات التي يتم تنزيلها من المستودعات الرسمية ومواقع مطوري السمات آمنة إذا تم تحديثها باستمرار. الموضوعات التي تم الحصول عليها من أماكن أخرى أكثر خطورة.

هذه الأسطورة صعبة بشكل خاص على تجار التجزئة في WooCommerce الذين قاموا بتثبيت السمات المميزة الفارغة (القراصنة). من الأساليب المفضلة للمجرمين حقن البرامج الضارة في السمات الفارغة. عندما يقوم مالكو متجر WooCommerce المطمئنين بتثبيت سمة ، فإنهم يقومون أيضًا بتثبيت باب خلفي يمنح المجرم وصولاً كاملاً إلى الموقع.

سيجعل جدار الحماية متجر WooCommerce آمنًا

هناك عدة أنواع مختلفة من جدران الحماية ، وهي تعمل على صد فئات مختلفة من الهجمات. يعمل جدار الحماية الذي يوفره موفر استضافة WooCommerce في طبقة الشبكة (تسمى أيضًا الطبقة 3). يمكنه إيقاف حركة المرور الموجهة إلى منافذ معينة أو من عناوين IP محددة. لا يمكنه إيقاف الهجمات الضارة التي تهدف إلى استغلال العيوب في تطبيق الويب نفسه ؛ إلى جدار حماية من الطبقة الثالثة ، تبدو هذه طلبات الويب المشروعة للمنفذ 80.

هناك حاجة إلى جدار حماية من الطبقة 7 (طبقة التطبيق) للقبض على الهجمات مثل هجمات حقن SQL وهجمات البرمجة النصية عبر المواقع والهجمات التي تهدف إلى استغلال عيوب البرامج في WordPress أو WooCommerce أو المكونات الإضافية. تُعرف أيضًا باسم جدران حماية تطبيقات الويب (WAFs) ، وهي طبقة دفاعية لا تقدر بثمن.

يقدم أفضل موفري استضافة WooCommerce وظائف WAF مضمنة ، ولكن يمكن لبائعي WooCommerce تثبيت WAF عبر الإضافات Sucuri أو WordFence .

تحديث المكونات الإضافية يكفي للحفاظ على موقعك آمنًا

هل يمكن اختراق متجر WooCommerce بسبب ثغرة في البرنامج المساعد عندما تكون جميع المكونات الإضافية محدثة؟ نعم انها تستطيع. قد تكون هناك ثغرات يوم الصفر في المكونات الإضافية ؛ أي الثغرات الأمنية التي لم يتم تصحيحها لأن المطور لا يعرف عنها. لا يوجد الكثير الذي يمكن لمالك متجر WooCommerce فعله حيال ذلك. ولكن هناك مصدر آخر للمخاطر بالنسبة للمتاجر الحديثة.

من الخطأ الافتراض أنه نظرًا لأنك مجتهد في تحديث المكونات الإضافية ، فإن الأمر نفسه ينطبق على مطوري المكونات الإضافية. يجوز لمالك متجر WooCommerce تحديث المكونات الإضافية دينياً ، ولكن ماذا لو توقف المطور عن إصدار التحديثات منذ 18 شهرًا؟ قد تكون هناك ثغرة أمنية لن يتم إصلاحها من قبل المطور ، ولن يكون صاحب المتجر الذي يركز فقط على إشعارات التحديث أكثر حكمة.

بالإضافة إلى تحديث المكونات الإضافية ، يجب على تجار التجزئة WooCommerce التحقق من كيفية إصدار مطوري المكونات الإضافية تحديثًا مؤخرًا. المكوّن الإضافي الذي لم يتم تحديثه لأشهر ليس بالضرورة غير آمن ، لكنه يتطلب درجة من الشك.

من الجيد التأكد من عدم التخلي عن المكون الإضافي وأن المطور لديه خطط لإصدار نسخة محدثة في وقت ما. إذا لم تتمكن من التحقق من أن المكون الإضافي يحظى باهتمام مطوره ، ففكر في البحث عن بديل.

من المهم أن تحافظ على متجر WooCommerce آمنًا

WooCommerce هو حل تجارة إلكترونية قوي وسهل الاستخدام ، وهو آمن تمامًا مثل أي CMS أو تطبيق تجارة إلكترونية آخر. ولكن للحفاظ على الأمان ، يحتاج تجار التجزئة إلى فهم أساسيات أمان تطبيقات الويب على الأقل. نأمل أن تكون هذه المقالة قد ألغت بعض المفاهيم الخاطئة حول أمان WooCommerce وستساعد تجار التجزئة في الحفاظ على أمان متجرهم وعملائهم.