これらの一般的なWooCommerceセキュリティの神話を信じますか?

公開: 2019-10-15
common woocommerce security myths

最終更新日-2021年7月8日

WooCommerceには数十万人のユーザーがいます。これは、何百万人もの人々が精通しているCMSであるWordPressを使用してeコマースストアを構築する最も簡単な方法だからです。 その規模のコミュニティには、多くの神話や誤解は言うまでもなく、幅広い専門知識と経験があります。

この記事では、WooCommerceの小売業者との話し合いで出くわしたセキュリティ関連の神話のいくつかを見ていきます。

あなたのウェブホスティングプロバイダーはWooCommerceのセキュリティに責任があります

この神話には真実の核心があります。WooCommerceホスティングプロバイダーは、データセンター、ネットワーク、およびサーバーのセキュリティを管理する必要があります。 オペレーティングシステムを含むサーバーソフトウェアを更新する必要があります。 サーバーが脆弱なソフトウェアを実行していないことを確認する必要があります。 ただし、ホスティングプロバイダーがWooCommerceストアを安全に保つためにできることには制限があります。

WooCommerceストアの所有者がマルウェアを含むプラグインまたはテーマをインストールした場合、ホスティングプロバイダーができることは何もありません。 WordPress、WooCommerce、その他のプラグインやテーマを更新するのを忘れています。 または、デフォルトの管理者アカウントで簡単に推測できるパスワードを使用します。

ホスティングプロバイダーとストアの所有者は、WooCommerceのセキュリティに対する責任を共有しています。 ストアは、ホスティングパートナーシップのいずれかの側による失効によって脆弱になる可能性があります。

あなたの店はハッキングされるほど重要ではありません

この神話の根底にある誤った仮定は、犯罪者は数万人の顧客を持つ店舗のみを標的にしているというものです。 大きな店舗はより価値のあるターゲットであるため、もっともらしいと思われます。より多くのリソース、悪用する個人データ、マルウェアに感染する訪問者、盗むクレジットカード番号があります。

しかし、実際には、小さな店でさえ犯罪者にとって有用です。 脆弱なWooCommerceストア(または任意のWebアプリケーション)を危険にさらすコストはごくわずかです。 ほとんどのストアは、既知の脆弱性と明らかな弱点を使用する自動ボットによって危険にさらされています。 ボットは数千のストアをスキャンし、ストアに1日に1万人または1万人の訪問者がいるかどうかは気にしません。十分に保護されていないと、どちらも危険にさらされて悪用されます。

大規模なストアは犯罪者にとってより価値があり、小規模なストアには提供しないことに注意を向ける可能性がありますが、セキュリティの脆弱性を持つWebアプリケーションは、そのサイズに関係なく、最終的には危険にさらされます。

WordPressのパスワードを共有しても大丈夫です

一般的なwoocommerceセキュリティの神話

小売業者は、開発者、デザイナー、または他の従業員にWooCommerceストアへの管理者アクセスを随時提供する必要がある場合があります。 これを行うには2つの方法があります。

  1. ストアの所有者または別の信頼できる個人が使用している既存の管理者アカウントのユーザー名とパスワードを提供します。
  2. 専門家のみが使用する新しい管理者アカウントを作成します。

これらの最初のものは短期的にはより便利ですが、それはサイトのセキュリティに重大な影響を及ぼします。 ある時点で、許可されたアクセスを取り消す必要があります。これは、複数のユーザーが同じパスワードを共有している場合はさらに困難です。 実際には、共有アカウントが削除されることはめったになく、共有パスワードが変更されることはめったにありません。 変更されたことのない古いパスワードを使用して、不満を持った元従業員によって企業がハッキングされることは珍しくありません。

管理者ユーザーであるかどうかに関係なく、すべてのユーザーが独自のアカウントを持っている場合、各ユーザーに必要なアクセス権のみを付与し、後で不便を感じることなく撤回することができます。

WordPressのテーマはセキュリティリスクではありません

一般的なwoocommerceセキュリティの神話

WordPressのテーマは、WordPressストアの外観を変更しますが、その影響は、表面的なデザインの変更よりも深くなります。 WordPressテーマは、プラグインと同じくらいソフトウェアです。 安全でないテーマは、安全でないプラグインと同じくらい危険です。 ほとんどの場合、公式リポジトリおよびテーマ開発者のWebサイトからダウンロードされたテーマは、最新の状態に保たれていれば安全です。 他の場所から供給されたテーマは、よりリスクが高くなります。

この神話は、ヌル(海賊版)のプレミアムテーマをインストールするWooCommerceの小売業者にとって特に難しいものです。 ヌルのテーマにマルウェアを注入することは、犯罪者のお気に入りの戦術です。 疑いを持たないWooCommerceストアの所有者がテーマをインストールする場合、犯罪者がサイトに完全にアクセスできるようにするバックドアもインストールします。

ファイアウォールはWooCommerceストアを安全に保ちます

ファイアウォールにはいくつかの異なるタイプがあり、それらは異なるカテゴリの攻撃を撃退するように機能します。 WooCommerceホスティングプロバイダーによって提供されるファイアウォールは、ネットワーク層(レイヤー3とも呼ばれます)で機能します。 特定のポートまたは特定のIPアドレスに向けられたトラフィックを停止できます。 Webアプリケーション自体の欠陥を悪用することを目的とした悪意のある攻撃を阻止することはできません。 レイヤ3ファイアウォールから見ると、これらはポート80に対する正当なWeb要求のように見えます。

SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、WordPress、WooCommerce、またはプラグインのソフトウェアの欠陥を悪用することを目的とした攻撃などの攻撃をキャッチするには、レイヤー7(アプリケーションレイヤー)ファイアウォールが必要です。 Webアプリケーションファイアウォール(WAF)とも呼ばれ、非常に貴重な防御層です。

最高のWooCommerceホスティングプロバイダーは組み込みのWAF機能を提供しますが、WooCommerceの小売業者はSucuriまたはWordFenceプラグインを介してWAFをインストールできます。

一般的なwoocommerceセキュリティの神話

プラグインを更新するだけで、サイトを安全に保つことができます

すべてのプラグインが最新の場合、プラグインの脆弱性が原因でWooCommerceストアがハッキングされる可能性はありますか? はい、できます。 プラグインにはゼロデイ脆弱性がある可能性があります。 つまり、開発者がそれらについて知らないためにパッチが適用されていない脆弱性です。 WooCommerceストアのオーナーがそれについてできることはあまりありません。 しかし、最新の店舗には別のリスクの原因があります。

プラグインの更新に熱心であるため、プラグイン開発者にも同じことが当てはまると考えるのは誤りです。 WooCommerceストアの所有者はプラグインを忠実に更新できますが、開発者が18か月前に更新のリリースを停止した場合はどうなりますか? 開発者が修正することのない脆弱性が存在する可能性があり、更新通知のみに焦点を当てているストアの所有者は賢明ではありません。

プラグインの更新に加えて、WooCommerceの小売業者は、プラグイン開発者が更新をリリースした最近のことを確認する必要があります。 何ヶ月も更新されていないプラグインは必ずしも安全ではありませんが、ある程度の疑いがあります。

プラグインが放棄されていないこと、および開発者がいつか更新されたバージョンをリリースする計画があることを確認することをお勧めします。 プラグインが開発者から注目されていることを確認できない場合は、別のプラグインを探すことを検討してください。

WooCommerceストアを安全に保つことが重要です

WooCommerceは強力で使いやすいeコマースソリューションであり、他のCMSまたはeコマースアプリケーションと同じくらい安全です。 ただし、安全を確保するために、小売業者は少なくともWebアプリケーションのセキュリティの基本を理解する必要があります。 うまくいけば、この記事がWooCommerceのセキュリティに関する誤解を覆し、小売業者が店舗と顧客を安全に保つのに役立つことを願っています。