Czy wierzysz w te popularne mity dotyczące bezpieczeństwa WooCommerce?

Opublikowany: 2019-10-15
common woocommerce security myths

Ostatnia aktualizacja - 8 lipca 2021

WooCommerce ma setki tysięcy użytkowników, ponieważ jest to najprostszy sposób na zbudowanie sklepu eCommerce za pomocą WordPressa, systemu CMS znanego milionom ludzi. W każdej społeczności tej wielkości istnieje szeroki zakres wiedzy i doświadczenia, nie wspominając o wielu mitach i nieporozumieniach.

W tym artykule przyjrzę się kilku mitom związanym z bezpieczeństwem, na które natknąłem się w rozmowach ze sprzedawcami WooCommerce.

Twój dostawca usług hostingowych jest odpowiedzialny za bezpieczeństwo WooCommerce

W tym micie jest jądro prawdy: dostawcy hostingu WooCommerce powinni dbać o bezpieczeństwo centrum danych, sieci i serwerów. Powinni aktualizować oprogramowanie serwera, w tym system operacyjny. Powinni upewnić się, że na ich serwerach nie działają podatne na ataki oprogramowanie. Istnieje jednak ograniczenie tego, co dostawca hostingu może zrobić, aby zapewnić bezpieczeństwo sklepu WooCommerce.

Dostawca hostingu nie może nic zrobić, jeśli właściciel sklepu WooCommerce zainstaluje wtyczkę lub motyw zawierający złośliwe oprogramowanie; zapomina zaktualizować WordPress, WooCommerce i inne wtyczki i motywy; lub używa łatwego do odgadnięcia hasła z domyślnym kontem administratora.

Dostawca hostingu i właściciel sklepu dzielą odpowiedzialność za bezpieczeństwo WooCommerce. Sklep może być narażony na ryzyko z powodu błędów po obu stronach partnerstwa hostingowego.

Twój sklep nie jest wystarczająco ważny, aby zostać zhakowany

Fałszywe założenie leżące u podstaw tego mitu polega na tym, że przestępcy atakują tylko sklepy z dziesiątkami tysięcy klientów. Wydaje się to prawdopodobne, ponieważ duże sklepy są bardziej wartościowym celem: mają więcej zasobów, więcej danych osobowych do wykorzystania, więcej odwiedzających do zainfekowania złośliwym oprogramowaniem i więcej numerów kart kredytowych do kradzieży.

Ale w rzeczywistości nawet mały sklep jest przydatny dla przestępców. Koszt skompromitowania wrażliwego sklepu WooCommerce – lub dowolnej aplikacji internetowej – jest niewielki. Większość sklepów jest atakowana przez automatyczne boty wykorzystujące znane luki i oczywiste słabości. Boty skanują tysiące sklepów i nie obchodzi ich, czy sklep ma dziesięć czy dziesięć tysięcy odwiedzających dziennie – oba te elementy zostaną naruszone i wykorzystane, jeśli nie będą odpowiednio zabezpieczone.

Duże sklepy są więcej warte dla przestępców i mogą zwracać im uwagę, której nie poświęcają mniejszym sklepom, ale aplikacja internetowa z luką w zabezpieczeniach zostanie ostatecznie naruszona, niezależnie od jej wielkości.

Udostępnianie haseł WordPress jest w porządku

popularne mity dotyczące bezpieczeństwa woocommerce

Sprzedawcy detaliczni mogą od czasu do czasu zapewniać programistom, projektantom lub innym pracownikom dostęp administracyjny do ich sklepu WooCommerce. Można to zrobić na dwa sposoby:

  1. Podaj im nazwę użytkownika i hasło do istniejącego konta administratora, z którego korzysta właściciel sklepu lub inna zaufana osoba.
  2. Utwórz nowe konto administratora, które będzie używane tylko przez profesjonalistę.

Pierwsza z nich jest wygodniejsza na krótką metę, ale ma istotne implikacje dla bezpieczeństwa witryny. W pewnym momencie konieczne będzie cofnięcie przyznanego dostępu, co jest trudniejsze, jeśli wielu użytkowników korzysta z tego samego hasła. W rzeczywistości współdzielone konta są rzadko usuwane, a współdzielone hasła rzadko są zmieniane. Nie jest niczym niezwykłym, że firmy są hackowane przez niezadowolonych byłych pracowników przy użyciu starych haseł, które nigdy nie zostały zmienione.

Gdy każdy użytkownik – niezależnie od tego, czy jest administratorem, czy nie – ma swoje konto, każdemu można nadać tylko taki dostęp, jakiego potrzebuje, a później bez niedogodności go wycofać.

Motywy WordPress nie stanowią zagrożenia bezpieczeństwa

popularne mity dotyczące bezpieczeństwa woocommerce

Motywy WordPress zmieniają wygląd sklepu WordPress, ale ich wpływ jest głębszy niż powierzchowne zmiany projektowe. Motyw WordPress to nie mniej oprogramowanie niż wtyczka; niezabezpieczony motyw jest równie ryzykowny jak niezabezpieczona wtyczka. W większości motywy pobrane z oficjalnych repozytoriów i witryn twórców motywów są bezpieczne, jeśli są aktualizowane. Motywy pochodzące z innych źródeł są bardziej ryzykowne.

Ten mit jest szczególnie trudny dla sprzedawców WooCommerce, którzy instalują zerowe (pirackie) motywy premium. Jest to ulubiona taktyka przestępców polegająca na wstrzykiwaniu złośliwego oprogramowania do pustych motywów. Gdy niczego niepodejrzewający właściciele sklepów WooCommerce instalują motyw, instalują również tylne drzwi, które dają przestępcy całkowity dostęp do witryny.

Zapora sieciowa zapewni bezpieczeństwo Twojego sklepu WooCommerce

Istnieje kilka różnych typów zapór ogniowych, które odpierają różne kategorie ataków. Zapora sieciowa dostarczana przez dostawcę hostingu WooCommerce działa w warstwie sieciowej (zwanej również warstwą 3). Może zatrzymywać ruch skierowany na określone porty lub z określonych adresów IP. Nie może powstrzymać złośliwych ataków, których celem jest wykorzystanie luk w samej aplikacji internetowej; do zapory sieciowej warstwy 3 wyglądają jak prawidłowe żądania sieciowe dla portu 80.

Zapora ogniowa warstwy 7 (warstwa aplikacji) jest potrzebna do przechwytywania ataków, takich jak ataki typu SQL injection, ataki cross-site scripting oraz ataki mające na celu wykorzystanie luk w oprogramowaniu w WordPress, WooCommerce lub wtyczkach. Znane również jako zapory aplikacji internetowych (WAF), stanowią nieocenioną warstwę ochronną.

Najlepsi dostawcy hostingu WooCommerce oferują wbudowaną funkcjonalność WAF, ale sprzedawcy WooCommerce mogą zainstalować WAF za pomocą wtyczek Sucuri lub WordFence .

popularne mity dotyczące bezpieczeństwa woocommerce

Aktualizowanie wtyczek wystarczy, aby Twoja witryna była bezpieczna

Czy sklep WooCommerce może zostać zhakowany z powodu luki w zabezpieczeniach wtyczki, gdy wszystkie wtyczki są aktualne? Tak, może. W wtyczkach mogą występować luki typu zero-day; to znaczy luki, które nie zostały załatane, ponieważ deweloper o nich nie wie. Właściciel sklepu WooCommerce niewiele może z tym zrobić. Ale jest jeszcze inne źródło ryzyka dla nowoczesnych sklepów.

Błędem jest zakładanie, że ponieważ pilnie aktualizujesz wtyczki, to samo dotyczy twórców wtyczek. Właściciel sklepu WooCommerce może religijnie aktualizować swoje wtyczki, ale co, jeśli programista przestanie publikować aktualizacje 18 miesięcy temu? Może istnieć luka, której programista nigdy nie naprawi, a właściciel sklepu, który skupia się wyłącznie na powiadomieniach o aktualizacjach, nie będzie mądrzejszy.

Oprócz aktualizacji wtyczek sprzedawcy WooCommerce powinni sprawdzić, jak ostatnio twórcy wtyczek wydali aktualizację. Wtyczka, która nie była aktualizowana od miesięcy, niekoniecznie jest niepewna, ale budzi pewne podejrzenia.

Dobrym pomysłem jest upewnienie się, że wtyczka nie została porzucona i że deweloper planuje wydać w pewnym momencie zaktualizowaną wersję. Jeśli nie możesz zweryfikować, czy wtyczka przyciąga uwagę swojego twórcy, rozważ poszukanie alternatywy.

Ważne jest, aby Twój sklep WooCommerce był bezpieczny

WooCommerce to potężne i łatwe w użyciu rozwiązanie eCommerce, które jest tak samo bezpieczne, jak każda inna aplikacja CMS lub eCommerce. Jednak, aby zapewnić bezpieczeństwo, sprzedawcy detaliczni muszą znać przynajmniej podstawy bezpieczeństwa aplikacji internetowych. Mamy nadzieję, że ten artykuł obalił pewne błędne przekonania na temat bezpieczeństwa WooCommerce i pomoże sprzedawcom zapewnić bezpieczeństwo ich sklepu i klientów.