Glauben Sie diesen verbreiteten WooCommerce-Sicherheitsmythen?

Veröffentlicht: 2019-10-15
common woocommerce security myths

Zuletzt aktualisiert - 8. Juli 2021

WooCommerce hat Hunderttausende von Benutzern, weil es der einfachste Weg ist, einen E-Commerce-Shop mit WordPress zu erstellen, einem CMS, mit dem Millionen von Menschen vertraut sind. In jeder Community dieser Größe gibt es ein breites Spektrum an Fachwissen und Erfahrung, ganz zu schweigen von vielen Mythen und Missverständnissen.

In diesem Artikel werde ich einen Blick auf einige der sicherheitsbezogenen Mythen werfen, auf die ich in Gesprächen mit WooCommerce-Händlern gestoßen bin.

Ihr Webhosting-Anbieter ist für die WooCommerce-Sicherheit verantwortlich

An diesem Mythos ist ein Körnchen Wahrheit: WooCommerce-Hosting-Anbieter sollten sich um die Sicherheit von Rechenzentren, Netzwerken und Servern kümmern. Sie sollten die Serversoftware einschließlich des Betriebssystems aktualisieren. Sie sollten sicherstellen, dass auf ihren Servern keine anfällige Software ausgeführt wird. Es gibt jedoch eine Grenze dafür, was ein Hosting-Anbieter tun kann, um einen WooCommerce-Shop sicher zu halten.

Es gibt nichts, was ein Hosting-Anbieter tun kann, wenn ein WooCommerce-Shop-Besitzer ein Plugin oder Design installiert, das Malware enthält; vergisst, WordPress, WooCommerce und andere Plugins und Themen zu aktualisieren; oder verwendet ein leicht zu erratendes Passwort mit dem Standard-Admin-Konto.

Der Hosting-Provider und der Shop-Inhaber teilen sich die Verantwortung für die WooCommerce-Sicherheit. Ein Geschäft kann durch Fehler auf beiden Seiten der Hosting-Partnerschaft angreifbar gemacht werden.

Ihr Geschäft ist nicht wichtig genug, um gehackt zu werden

Die falsche Annahme, die diesem Mythos zugrunde liegt, ist, dass Kriminelle es nur auf Geschäfte mit Zehntausenden von Kunden abgesehen haben. Es scheint plausibel, weil große Geschäfte wertvollere Ziele sind: Sie haben mehr Ressourcen, mehr persönliche Daten, die sie ausnutzen können, mehr Besucher, die sie mit Malware infizieren können, und mehr Kreditkartennummern, die sie stehlen können.

Aber in Wirklichkeit ist sogar ein kleiner Laden für Kriminelle nützlich. Die Kosten für die Kompromittierung eines anfälligen WooCommerce-Shops – oder einer beliebigen Webanwendung – sind gering. Die meisten Geschäfte werden durch automatisierte Bots kompromittiert, die bekannte Schwachstellen und offensichtliche Schwachstellen nutzen. Die Bots scannen Tausende von Geschäften, und es ist ihnen egal, ob ein Geschäft zehn- oder zehntausend Besucher an einem Tag hat – beide werden kompromittiert und ausgenutzt, wenn sie nicht angemessen gesichert sind.

Große Geschäfte sind für Kriminelle mehr wert, und sie können ihnen Aufmerksamkeit schenken, die sie kleineren Geschäften nicht schenken, aber eine Webanwendung mit einer Sicherheitslücke wird letztendlich kompromittiert, unabhängig von ihrer Größe.

Es ist in Ordnung, WordPress-Passwörter zu teilen

verbreitete Woocommerce-Sicherheitsmythen

Einzelhändler müssen Entwicklern, Designern oder anderen Mitarbeitern von Zeit zu Zeit Administratorzugriff auf ihren WooCommerce-Shop gewähren. Dazu gibt es zwei Möglichkeiten:

  1. Geben Sie ihnen den Benutzernamen und das Passwort eines bestehenden Administratorkontos, das vom Ladenbesitzer oder einer anderen vertrauenswürdigen Person verwendet wird.
  2. Erstellen Sie ein neues Administratorkonto, das nur vom Fachmann verwendet wird.

Die erste davon ist kurzfristig bequemer, hat aber erhebliche Auswirkungen auf die Sicherheit der Website. Irgendwann wird es notwendig sein, den gewährten Zugang zu entziehen, was schwieriger ist, wenn mehrere Benutzer das gleiche Passwort teilen. In Wirklichkeit werden gemeinsam genutzte Konten selten gelöscht und gemeinsam genutzte Passwörter selten geändert. Es ist nicht ungewöhnlich, dass Unternehmen von verärgerten Ex-Mitarbeitern mit alten, nie geänderten Passwörtern gehackt werden.

Wenn jeder Benutzer – ob Admin-Benutzer oder nicht – sein eigenes Konto hat, kann jedem genau der Zugriff gewährt werden, den er benötigt, und dieser kann später ohne Unannehmlichkeiten entzogen werden.

WordPress-Themes sind kein Sicherheitsrisiko

verbreitete Woocommerce-Sicherheitsmythen

WordPress-Themes verändern das Erscheinungsbild eines WordPress-Shops, aber ihr Einfluss geht tiefer als oberflächliche Designänderungen. Ein WordPress-Theme ist nicht weniger eine Software als ein Plugin; Ein unsicheres Theme ist genauso riskant wie ein unsicheres Plugin. Zum größten Teil sind Themes, die von den offiziellen Repositories und Theme-Entwickler-Websites heruntergeladen werden, sicher, wenn sie auf dem neuesten Stand gehalten werden. Themen, die von anderen Quellen bezogen werden, sind ein größeres Risiko.

Dieser Mythos trifft WooCommerce-Händler besonders hart, die genullte (Piraten-)Premium-Themen installieren. Es ist eine beliebte Taktik von Kriminellen, Malware in nulled Themes einzuschleusen. Wenn ahnungslose WooCommerce-Ladenbesitzer ein Thema installieren, installieren sie auch eine Hintertür, die dem Kriminellen vollständigen Zugriff auf die Website gewährt.

Eine Firewall schützt Ihren WooCommerce-Shop

Es gibt verschiedene Arten von Firewalls, die verschiedene Angriffskategorien abwehren. Die von einem WooCommerce-Hostinganbieter bereitgestellte Firewall arbeitet auf der Netzwerkschicht (auch Schicht 3 genannt). Es kann Verkehr stoppen, der an bestimmte Ports oder von bestimmten IP-Adressen gerichtet ist. Es kann keine böswilligen Angriffe stoppen, die darauf abzielen, Fehler in der Webanwendung selbst auszunutzen; Für eine Layer-3-Firewall sehen diese wie legitime Webanfragen für Port 80 aus.

Eine Layer-7-Firewall (Anwendungsschicht) ist erforderlich, um Angriffe wie SQL-Injection-Angriffe, Cross-Site-Scripting-Angriffe und Angriffe abzufangen, die darauf abzielen, Softwarefehler in WordPress, WooCommerce oder Plugins auszunutzen. Sie werden auch als Web Application Firewalls (WAFs) bezeichnet und sind eine unschätzbare Verteidigungsschicht.

Die besten WooCommerce-Hosting-Anbieter bieten integrierte WAF-Funktionalität, aber WooCommerce-Händler können eine WAF über die Sucuri- oder WordFence- Plugins installieren.

verbreitete Woocommerce-Sicherheitsmythen

Das Aktualisieren von Plugins reicht aus, um Ihre Website sicher zu halten

Kann ein WooCommerce-Shop aufgrund einer Plugin-Schwachstelle gehackt werden, wenn alle seine Plugins auf dem neuesten Stand sind? Ja, kann es. In Plugins können Zero-Day-Schwachstellen vorhanden sein; Das heißt, Schwachstellen, die nicht gepatcht wurden, weil der Entwickler nichts davon weiß. Daran kann ein WooCommerce-Shop-Besitzer nicht viel ändern. Aber es gibt noch eine weitere Gefahrenquelle für zeitgemäße Stores.

Es ist ein Fehler anzunehmen, dass das Gleiche für Plug-in-Entwickler gilt, weil Sie Plug-ins gewissenhaft aktualisieren. Ein WooCommerce-Shop-Besitzer kann seine Plugins religiös aktualisieren, aber was wäre, wenn der Entwickler vor 18 Monaten aufgehört hätte, Updates zu veröffentlichen? Möglicherweise gibt es eine Schwachstelle, die der Entwickler niemals beheben wird, und der Ladenbesitzer, der sich ausschließlich auf Update-Benachrichtigungen konzentriert, wird nicht klüger sein.

Zusätzlich zur Aktualisierung von Plugins sollten WooCommerce-Händler überprüfen, wie kürzlich Plugin-Entwickler ein Update veröffentlicht haben. Ein Plugin, das monatelang nicht aktualisiert wurde, ist nicht unbedingt unsicher, aber es berechtigt zu einem gewissen Misstrauen.

Es ist eine gute Idee sicherzustellen, dass das Plugin nicht aufgegeben wurde und dass der Entwickler plant, irgendwann eine aktualisierte Version zu veröffentlichen. Wenn Sie nicht überprüfen können, ob ein Plugin die Aufmerksamkeit seines Entwicklers auf sich zieht, sollten Sie nach einer Alternative suchen.

Es ist wichtig, dass Ihr WooCommerce-Shop sicher ist

WooCommerce ist eine leistungsstarke und benutzerfreundliche E-Commerce-Lösung und genauso sicher wie jede andere CMS- oder E-Commerce-Anwendung. Um die Sicherheit zu gewährleisten, müssen Einzelhändler jedoch zumindest die Grundlagen der Sicherheit von Webanwendungen verstehen. Hoffentlich hat dieser Artikel einige Missverständnisse über die Sicherheit von WooCommerce beseitigt und Einzelhändlern helfen, ihr Geschäft und ihre Kunden zu schützen.