Apakah Anda Percaya Mitos Keamanan WooCommerce Umum Ini?

Diterbitkan: 2019-10-15
common woocommerce security myths

Terakhir diperbarui - 8 Juli 2021

WooCommerce memiliki ratusan ribu pengguna karena ini adalah cara paling sederhana untuk membangun toko eCommerce dengan WordPress, CMS yang dikenal jutaan orang. Dalam komunitas sebesar itu, ada berbagai keahlian dan pengalaman, belum lagi banyak mitos dan kesalahpahaman.

Pada artikel ini, saya akan melihat beberapa mitos terkait keamanan yang saya temui dalam diskusi dengan pengecer WooCommerce.

Penyedia Hosting Web Anda Bertanggung Jawab atas Keamanan WooCommerce

Ada inti kebenaran dari mitos ini: Penyedia hosting WooCommerce harus menjaga pusat data, jaringan, dan keamanan server. Mereka harus memperbarui perangkat lunak server, termasuk sistem operasi. Mereka harus memastikan bahwa server mereka tidak menjalankan perangkat lunak yang rentan. Namun, ada batasan yang dapat dilakukan oleh penyedia hosting untuk menjaga toko WooCommerce tetap aman.

Tidak ada yang dapat dilakukan oleh penyedia hosting jika pemilik toko WooCommerce memasang plugin atau tema yang mengandung malware; lupa memperbarui WordPress, WooCommerce, dan plugin serta tema lainnya; atau menggunakan kata sandi yang mudah ditebak dengan akun admin default.

Penyedia hosting dan pemilik toko berbagi tanggung jawab untuk keamanan WooCommerce. Sebuah toko dapat dibuat rentan melalui penyimpangan oleh kedua sisi kemitraan hosting.

Toko Anda Tidak Cukup Penting untuk Diretas

Asumsi yang salah yang mendasari mitos ini adalah bahwa penjahat hanya menargetkan toko dengan puluhan ribu pelanggan. Tampaknya masuk akal karena toko besar adalah target yang lebih berharga: mereka memiliki lebih banyak sumber daya, lebih banyak data pribadi untuk dieksploitasi, lebih banyak pengunjung yang terinfeksi malware, dan lebih banyak nomor kartu kredit untuk dicuri.

Namun, pada kenyataannya, bahkan toko kecil pun berguna bagi penjahat. Biaya untuk mengkompromikan toko WooCommerce yang rentan – atau aplikasi web apa pun – sangatlah kecil. Sebagian besar toko dikompromikan oleh bot otomatis menggunakan kerentanan yang diketahui dan kelemahan yang jelas. Bot memindai ribuan toko, dan mereka tidak peduli apakah toko memiliki sepuluh atau sepuluh ribu pengunjung dalam sehari – keduanya akan disusupi dan dieksploitasi jika tidak diamankan secara memadai.

Toko besar lebih berharga bagi penjahat, dan mereka mungkin memberi mereka perhatian yang tidak mereka berikan ke toko yang lebih kecil, tetapi aplikasi web dengan kerentanan keamanan pada akhirnya akan dikompromikan, terlepas dari ukurannya.

Tidak apa-apa untuk Berbagi Kata Sandi WordPress

mitos keamanan woocommerce umum

Pengecer mungkin perlu memberi pengembang, perancang, atau karyawan lain akses admin ke toko WooCommerce mereka dari waktu ke waktu. Ada dua cara untuk melakukannya:

  1. Beri mereka nama pengguna dan kata sandi akun admin yang ada, yang digunakan oleh pemilik toko atau individu tepercaya lainnya.
  2. Buat akun admin baru untuk digunakan hanya oleh profesional.

Yang pertama lebih nyaman dalam jangka pendek, tetapi memiliki implikasi yang signifikan untuk keamanan situs. Pada titik tertentu, akses yang telah diberikan akan perlu ditarik, yang lebih sulit jika beberapa pengguna berbagi kata sandi yang sama. Pada kenyataannya, akun bersama jarang dihapus, dan kata sandi bersama jarang diubah. Bukan hal yang aneh jika bisnis diretas oleh mantan karyawan yang tidak puas menggunakan kata sandi lama yang tidak pernah diubah.

Ketika setiap pengguna – baik pengguna admin maupun tidak – memiliki akun mereka sendiri, masing-masing dapat diberikan akses yang mereka butuhkan dan kemudian dapat ditarik kembali tanpa ketidaknyamanan.

Tema WordPress Bukanlah Risiko Keamanan

mitos keamanan woocommerce umum

Tema WordPress mengubah tampilan toko WordPress, tetapi pengaruhnya lebih dalam daripada perubahan desain yang dangkal. Tema WordPress tidak kurang dari perangkat lunak daripada plugin; tema yang tidak aman sama berisikonya dengan plugin yang tidak aman. Sebagian besar, tema yang diunduh dari repositori resmi dan situs web pengembang tema aman jika terus diperbarui. Tema yang bersumber dari tempat lain lebih berisiko.

Mitos ini menggigit sangat keras bagi pengecer WooCommerce yang memasang tema premium nulled (bajak laut). Ini adalah taktik favorit penjahat untuk menyuntikkan malware ke tema nulled. Saat pemilik toko WooCommerce yang tidak menaruh curiga memasang tema, mereka juga memasang pintu belakang yang memberikan akses total kriminal ke situs tersebut.

Firewall Akan Menjaga Toko WooCommerce Anda Aman

Ada beberapa jenis firewall yang berbeda, dan mereka bekerja untuk menolak kategori serangan yang berbeda. Firewall yang disediakan oleh penyedia hosting WooCommerce bekerja di lapisan jaringan (juga disebut Lapisan 3). Itu dapat menghentikan lalu lintas yang diarahkan ke port tertentu atau dari alamat IP tertentu. Itu tidak dapat menghentikan serangan jahat yang bertujuan untuk mengeksploitasi kelemahan dalam aplikasi web itu sendiri; ke firewall Layer 3, ini terlihat seperti permintaan web yang sah untuk port 80.

Firewall Layer 7 (lapisan aplikasi) diperlukan untuk menangkap serangan seperti serangan injeksi SQL, serangan skrip lintas situs, dan serangan yang bertujuan untuk mengeksploitasi kelemahan perangkat lunak di WordPress, WooCommerce, atau plugin. Juga dikenal sebagai firewall aplikasi web (WAF), mereka adalah lapisan pertahanan yang sangat berharga.

Penyedia hosting WooCommerce terbaik menawarkan fungsionalitas WAF bawaan, tetapi pengecer WooCommerce dapat menginstal WAF melalui plugin Sucuri atau WordFence .

mitos keamanan woocommerce umum

Memperbarui Plugin Cukup untuk Menjaga Situs Anda Aman

Bisakah toko WooCommerce diretas karena kerentanan plugin ketika semua pluginnya mutakhir? Ya, itu bisa. Mungkin ada kerentanan zero-day di plugin; yaitu, kerentanan yang belum ditambal karena pengembang tidak mengetahuinya. Tidak banyak yang bisa dilakukan pemilik toko WooCommerce tentang hal itu. Tetapi ada sumber risiko lain untuk toko yang up-to-date.

Adalah keliru untuk berasumsi bahwa karena Anda rajin memperbarui plugin, hal yang sama berlaku untuk pengembang plugin. Pemilik toko WooCommerce dapat memperbarui plugin mereka secara religius, tetapi bagaimana jika pengembang berhenti merilis pembaruan 18 bulan yang lalu? Mungkin ada kerentanan yang tidak akan pernah diperbaiki oleh pengembang, dan pemilik toko yang hanya berfokus pada pemberitahuan pembaruan tidak akan menjadi lebih bijaksana.

Selain memperbarui plugin, pengecer WooCommerce harus memeriksa bagaimana baru-baru ini pengembang plugin merilis pembaruan. Sebuah plugin yang belum diperbarui selama berbulan-bulan belum tentu tidak aman, tetapi memerlukan tingkat kecurigaan.

Sebaiknya pastikan bahwa plugin tidak ditinggalkan dan pengembang berencana untuk merilis versi yang diperbarui di beberapa titik. Jika Anda tidak dapat memverifikasi bahwa plugin mendapatkan perhatian dari pengembangnya, pertimbangkan untuk mencari alternatif.

Sangat penting untuk menjaga toko WooCommerce Anda tetap aman

WooCommerce adalah solusi eCommerce yang kuat dan mudah digunakan, dan sama amannya dengan aplikasi CMS atau eCommerce lainnya. Namun, agar tetap aman, pengecer perlu memahami setidaknya dasar-dasar keamanan aplikasi web. Mudah-mudahan, artikel ini telah membalikkan beberapa kesalahpahaman tentang keamanan WooCommerce dan akan membantu pengecer menjaga toko dan pelanggan mereka tetap aman.