Você acredita nesses mitos comuns de segurança do WooCommerce?

Publicados: 2019-10-15
common woocommerce security myths

Última atualização - 8 de julho de 2021

O WooCommerce tem centenas de milhares de usuários porque é a maneira mais simples de construir uma loja de comércio eletrônico com o WordPress, um CMS com o qual milhões de pessoas estão familiarizadas. Em qualquer comunidade desse tamanho, há uma ampla gama de conhecimentos e experiências, sem mencionar muitos mitos e mal-entendidos.

Neste artigo, vou dar uma olhada em alguns dos mitos relacionados à segurança que encontrei em discussões com varejistas WooCommerce.

Seu provedor de hospedagem na web é responsável pela segurança do WooCommerce

Há um fundo de verdade nesse mito: os provedores de hospedagem WooCommerce devem cuidar da segurança do data center, da rede e do servidor. Eles devem atualizar o software do servidor, incluindo o sistema operacional. Eles devem certificar-se de que seus servidores não executem software vulnerável. No entanto, há um limite para o que um provedor de hospedagem pode fazer para manter uma loja WooCommerce segura.

Não há nada que um provedor de hospedagem possa fazer se o proprietário de uma loja WooCommerce instalar um plugin ou tema que contenha malware; esquece de atualizar o WordPress, WooCommerce e outros plugins e temas; ou usa uma senha facilmente adivinhada com a conta de administrador padrão.

O provedor de hospedagem e o proprietário da loja compartilham a responsabilidade pela segurança do WooCommerce. Uma loja pode se tornar vulnerável por meio de lapsos de ambos os lados da parceria de hospedagem.

Sua loja não é importante o suficiente para ser hackeada

A falsa suposição subjacente a esse mito é que os criminosos visam apenas lojas com dezenas de milhares de clientes. Parece plausível porque as grandes lojas são alvos mais valiosos: elas têm mais recursos, mais dados pessoais para explorar, mais visitantes para infectar com malware e mais números de cartão de crédito para roubar.

Mas, na realidade, mesmo uma pequena loja é útil para criminosos. O custo de comprometer uma loja WooCommerce vulnerável – ou qualquer aplicativo da web – é minúsculo. A maioria das lojas é comprometida por bots automatizados usando vulnerabilidades conhecidas e fraquezas óbvias. Os bots escaneiam milhares de lojas e não se importam se uma loja tem dez ou dez mil visitantes por dia – ambos serão comprometidos e explorados se não estiverem adequadamente protegidos.

Grandes lojas valem mais para criminosos, e eles podem dar a eles atenção que não dão a lojas menores, mas um aplicativo da web com uma vulnerabilidade de segurança será comprometido eventualmente, independentemente de seu tamanho.

Não há problema em compartilhar senhas do WordPress

mitos comuns de segurança do woocommerce

Os varejistas podem precisar conceder aos desenvolvedores, designers ou outros funcionários acesso de administrador à sua loja WooCommerce de tempos em tempos. Existem duas maneiras de fazer isso:

  1. Dê a eles o nome de usuário e a senha de uma conta de administrador existente, que é usada pelo proprietário da loja ou outro indivíduo confiável.
  2. Crie uma nova conta de administrador para ser usada apenas pelo profissional.

A primeira delas é mais conveniente a curto prazo, mas tem implicações significativas para a segurança do site. Em algum momento, será necessário retirar o acesso concedido, o que é mais difícil se vários usuários compartilharem a mesma senha. Na realidade, as contas compartilhadas raramente são excluídas e as senhas compartilhadas raramente são alteradas. Não é incomum que as empresas sejam invadidas por ex-funcionários descontentes usando senhas antigas que nunca foram alteradas.

Quando cada usuário - seja um usuário administrador ou não - tem sua própria conta, cada um pode receber apenas o acesso de que precisa e pode ser retirado posteriormente sem inconvenientes.

Temas WordPress não são um risco de segurança

mitos comuns de segurança do woocommerce

Os temas do WordPress mudam a aparência de uma loja WordPress, mas sua influência é mais profunda do que as mudanças superficiais de design. Um tema WordPress não é menos um software do que um plugin; um tema inseguro é tão arriscado quanto um plugin inseguro. Na maioria das vezes, os temas baixados dos repositórios oficiais e sites de desenvolvedores de temas são seguros se mantidos atualizados. Temas provenientes de outros lugares são mais arriscados.

Esse mito é particularmente difícil para os varejistas WooCommerce que instalam temas premium nulos (piratas). É uma tática favorita dos criminosos injetar malware em temas anulados. Quando donos de lojas WooCommerce desavisados ​​instalam um tema, eles também instalam um backdoor que dá ao criminoso acesso total ao site.

Um firewall manterá sua loja WooCommerce segura

Existem vários tipos diferentes de firewalls e eles funcionam para repelir categorias distintas de ataque. O firewall fornecido por um provedor de hospedagem WooCommerce funciona na camada de rede (também chamada de Camada 3). Ele pode interromper o tráfego direcionado a portas específicas ou de endereços IP específicos. Ele não pode impedir ataques maliciosos que visam explorar falhas no próprio aplicativo da web; para um firewall de camada 3, eles se parecem com solicitações legítimas da Web para a porta 80.

Um firewall de camada 7 (camada de aplicativo) é necessário para capturar ataques como ataques de injeção de SQL, ataques de script entre sites e ataques que visam explorar falhas de software no WordPress, WooCommerce ou plugins. Também conhecidos como firewalls de aplicativos da Web (WAFs), eles são uma camada de defesa inestimável.

Os melhores provedores de hospedagem WooCommerce oferecem funcionalidade WAF integrada, mas os varejistas WooCommerce podem instalar um WAF por meio dos plug-ins Sucuri ou WordFence .

mitos comuns de segurança do woocommerce

Atualizar plugins é suficiente para manter seu site seguro

Uma loja WooCommerce pode ser invadida por causa de uma vulnerabilidade de plug-in quando todos os plug-ins estão atualizados? Sim pode. Pode haver vulnerabilidades de dia zero em plugins; ou seja, vulnerabilidades que não foram corrigidas porque o desenvolvedor não as conhece. Não há muito que um dono de loja WooCommerce possa fazer sobre isso. Mas há outra fonte de risco para lojas atualizadas.

É um erro supor que, como você é diligente na atualização de plugins, o mesmo acontece com os desenvolvedores de plugins. Um dono de loja WooCommerce pode atualizar religiosamente seus plugins, mas e se o desenvolvedor parasse de lançar atualizações 18 meses atrás? Pode haver uma vulnerabilidade que nunca será corrigida pelo desenvolvedor, e o proprietário da loja que se concentra apenas nas notificações de atualização não será mais sábio.

Além de atualizar os plugins, os varejistas do WooCommerce devem verificar se os desenvolvedores de plugins lançaram uma atualização recentemente. Um plugin que não é atualizado há meses não é necessariamente inseguro, mas justifica um certo grau de suspeita.

É uma boa ideia certificar-se de que o plugin não foi abandonado e que o desenvolvedor planeja lançar uma versão atualizada em algum momento. Se você não puder verificar se um plug-in está chamando a atenção de seu desenvolvedor, considere procurar uma alternativa.

É importante manter sua loja WooCommerce segura

O WooCommerce é uma solução de comércio eletrônico poderosa e fácil de usar, e é tão segura quanto qualquer outro aplicativo CMS ou comércio eletrônico. Mas, para mantê-lo seguro, os varejistas precisam entender pelo menos o básico da segurança de aplicativos da web. Espero que este artigo tenha derrubado alguns equívocos sobre a segurança do WooCommerce e ajude os varejistas a manter sua loja e seus clientes seguros.