Credi a questi miti comuni sulla sicurezza di WooCommerce?

Pubblicato: 2019-10-15
common woocommerce security myths

Ultimo aggiornamento - 8 luglio 2021

WooCommerce ha centinaia di migliaia di utenti perché è il modo più semplice per costruire un negozio eCommerce con WordPress, un CMS con cui milioni di persone hanno familiarità. In ogni comunità di quelle dimensioni, c'è una vasta gamma di competenze ed esperienze, per non parlare di molti miti e incomprensioni.

In questo articolo, darò un'occhiata ad alcuni dei miti relativi alla sicurezza che mi sono imbattuto nelle discussioni con i rivenditori WooCommerce.

Il tuo provider di hosting Web è responsabile della sicurezza di WooCommerce

C'è un fondo di verità in questo mito: i provider di hosting WooCommerce dovrebbero prendersi cura della sicurezza del data center, della rete e del server. Dovrebbero aggiornare il software del server, incluso il sistema operativo. Dovrebbero assicurarsi che i loro server non eseguano software vulnerabile. Tuttavia, esiste un limite a ciò che un provider di hosting può fare per mantenere sicuro un negozio WooCommerce.

Non c'è nulla che un provider di hosting possa fare se il proprietario di un negozio WooCommerce installa un plug-in o un tema che contiene malware; dimentica di aggiornare WordPress, WooCommerce e altri plugin e temi; o utilizza una password facilmente indovinata con l'account amministratore predefinito.

Il provider di hosting e il proprietario del negozio condividono la responsabilità della sicurezza di WooCommerce. Un negozio può essere reso vulnerabile a causa di errori di entrambi i lati della partnership di hosting.

Il tuo negozio non è abbastanza importante per essere hackerato

Il falso presupposto alla base di questo mito è che i criminali prendono di mira solo i negozi con decine di migliaia di clienti. Sembra plausibile perché i grandi negozi sono obiettivi più preziosi: hanno più risorse, più dati personali da sfruttare, più visitatori da infettare con malware e più numeri di carte di credito da rubare.

Ma, in realtà, anche un piccolo negozio è utile ai malviventi. Il costo per compromettere un negozio WooCommerce vulnerabile, o qualsiasi applicazione web, è minimo. La maggior parte dei negozi è compromessa da bot automatizzati che utilizzano vulnerabilità note e punti deboli evidenti. I bot scansionano migliaia di negozi e non si preoccupano se un negozio ha dieci o diecimila visitatori in un giorno: entrambi saranno compromessi e sfruttati se non sono adeguatamente protetti.

I negozi di grandi dimensioni valgono di più per i criminali e potrebbero prestare loro l'attenzione che non danno ai negozi più piccoli, ma un'applicazione Web con una vulnerabilità di sicurezza alla fine verrà compromessa, indipendentemente dalle sue dimensioni.

Va bene condividere le password di WordPress

miti comuni sulla sicurezza del woocommerce

Di tanto in tanto i rivenditori potrebbero dover concedere a sviluppatori, designer o altri dipendenti l'accesso amministrativo al loro negozio WooCommerce. Ci sono due modi per farlo:

  1. Fornisci loro il nome utente e la password di un account amministratore esistente, uno utilizzato dal proprietario del negozio o da un altro individuo di fiducia.
  2. Crea un nuovo account amministratore che può essere utilizzato solo dal professionista.

Il primo di questi è più conveniente a breve termine, ma ha implicazioni significative per la sicurezza del sito. Ad un certo punto sarà necessario revocare l'accesso che è stato concesso, cosa più difficile se più utenti condividono la stessa password. In realtà, gli account condivisi vengono raramente eliminati e le password condivise raramente vengono modificate. Non è insolito che le aziende vengano hackerate da ex dipendenti scontenti utilizzando vecchie password che non sono mai state modificate.

Quando ogni utente, amministratore o meno, ha il proprio account, a ciascuno può essere concesso solo l'accesso di cui ha bisogno e può essere successivamente ritirato senza inconvenienti.

I temi WordPress non rappresentano un rischio per la sicurezza

miti comuni sulla sicurezza del woocommerce

I temi WordPress cambiano l'aspetto di un negozio WordPress, ma la loro influenza va più in profondità rispetto alle modifiche superficiali del design. Un tema WordPress non è meno un software di un plugin; un tema non sicuro è rischioso quanto un plugin non sicuro. Per la maggior parte, i temi scaricati dai repository ufficiali e dai siti Web degli sviluppatori di temi sono sicuri se mantenuti aggiornati. I temi provenienti da altrove sono più un rischio.

Questo mito morde particolarmente duramente per i rivenditori WooCommerce che installano temi premium (pirati) annullati. È una delle tattiche preferite dai criminali iniettare malware in temi annullati. Quando gli ignari proprietari di negozi WooCommerce installano un tema, installano anche una backdoor che offre al criminale l'accesso totale al sito.

Un firewall manterrà sicuro il tuo negozio WooCommerce

Esistono diversi tipi di firewall e funzionano per respingere categorie distinte di attacco. Il firewall fornito da un provider di hosting WooCommerce funziona a livello di rete (chiamato anche Layer 3). Può fermare il traffico diretto a porte particolari o da indirizzi IP specifici. Non può fermare gli attacchi dannosi che mirano a sfruttare i difetti nell'applicazione Web stessa; a un firewall di livello 3, sembrano richieste Web legittime per la porta 80.

È necessario un firewall di livello 7 (livello dell'applicazione) per intercettare attacchi come attacchi di iniezione SQL, attacchi di scripting incrociato e attacchi che mirano a sfruttare i difetti del software in WordPress, WooCommerce o plug-in. Conosciuti anche come Web Application Firewall (WAF), sono un prezioso livello di difesa.

I migliori provider di hosting WooCommerce offrono funzionalità WAF integrate, ma i rivenditori WooCommerce possono installare un WAF tramite i plug-in Sucuri o WordFence .

miti comuni sulla sicurezza del woocommerce

L'aggiornamento dei plugin è sufficiente per mantenere il tuo sito al sicuro

Un negozio WooCommerce può essere violato a causa della vulnerabilità di un plug-in quando tutti i suoi plug-in sono aggiornati? Sì, può. Potrebbero esserci vulnerabilità zero-day nei plugin; ovvero, vulnerabilità che non sono state corrette perché lo sviluppatore non ne è a conoscenza. Non c'è molto che un proprietario di un negozio WooCommerce possa fare al riguardo. Ma c'è un'altra fonte di rischio per i negozi aggiornati.

È un errore presumere che, poiché si è diligenti nell'aggiornamento dei plug-in, lo stesso vale per gli sviluppatori di plug-in. Il proprietario di un negozio WooCommerce può aggiornare religiosamente i propri plug-in, ma cosa succede se lo sviluppatore smette di rilasciare aggiornamenti 18 mesi fa? Potrebbe esserci una vulnerabilità che non verrà mai risolta dallo sviluppatore e il proprietario del negozio che si concentra esclusivamente sulle notifiche di aggiornamento non sarà più saggio.

Oltre ad aggiornare i plug-in, i rivenditori WooCommerce dovrebbero verificare come recentemente gli sviluppatori di plug-in hanno rilasciato un aggiornamento. Un plug-in che non viene aggiornato da mesi non è necessariamente insicuro, ma garantisce un certo grado di sospetto.

È una buona idea assicurarsi che il plug-in non sia stato abbandonato e che lo sviluppatore abbia in programma di rilasciare una versione aggiornata a un certo punto. Se non riesci a verificare che un plug-in stia attirando l'attenzione del suo sviluppatore, considera di cercare un'alternativa.

È importante mantenere il tuo negozio WooCommerce al sicuro

WooCommerce è una soluzione di eCommerce potente e facile da usare ed è sicura come qualsiasi altra applicazione CMS o eCommerce. Ma, per tenerlo al sicuro, i rivenditori devono comprendere almeno le basi della sicurezza delle applicazioni web. Si spera che questo articolo abbia ribaltato alcune idee sbagliate sulla sicurezza di WooCommerce e aiuterà i rivenditori a mantenere il loro negozio e i loro clienti al sicuro.