A lista de verificação de segurança completa do WooCommerce (Guia 2022)

Publicados: 2021-03-23

A segurança é uma das principais preocupações de qualquer loja de comércio eletrônico. Afinal, você não precisa apenas manter seu conteúdo seguro, você também precisa proteger as informações do cliente e os dados do pedido.

Portanto, se você está pensando em iniciar uma loja online, ou se ela já faz parte de sua renda, é hora de garantir que você protegeu totalmente o seu negócio.

Por que as lojas online exigem maior segurança

Quando você está vendendo online, está lidando com muitas informações confidenciais: nomes pessoais, números de cartão de crédito, endereços e muito mais. Uma loja ativa coleta novas informações o tempo todo, então você tem um conjunto cada vez maior de dados pelos quais é responsável.

Certificar-se de que seu site tenha segurança de alto nível permitirá que você:

  • Proteja as informações pessoais de seus clientes contra hackers e invasores, permitindo que os clientes comprem com confiança;
  • Proteja seu fluxo de renda contra interrupções e vendas perdidas;
  • Preservar todos os dados de vendas minuto a minuto para fins fiscais e legais;
  • Manter sua marca e reputação como um negócio confiável; e
  • Evite custos relacionados à reconstrução de seus negócios após um hack, como vendas perdidas devido a inatividade, reembolsos causados ​​por pedidos não atendidos e custos de reparo de sites

Como identificar um hack

Um hack pode assumir várias formas e você pode nem perceber que seu site foi comprometido imediatamente.

Para identificar um hack, procure por:

  • Novas contas de administrador que você não criou.
  • Links de spam para malware em comentários, descrições de produtos ou avaliações.
  • Caixas de alerta ou links incomuns que redirecionam para sites de terceiros.
  • Alertas do Google de que sua loja foi sinalizada.
  • E-mails de clientes estranhos, inesperados ou ausentes.
  • Tempos de carregamento muito lentos ou erros de tempo limite.

Mas a maioria dos proprietários de empresas está muito ocupada trabalhando em inventário, marketing ou atendimento de pedidos para monitorar constantemente problemas ou hacks. É por isso que a primeira coisa que você deve adicionar é o monitoramento do tempo de inatividade, que verifica automaticamente se seu site está funcionando e avisa se não estiver. Isso permite que você tome medidas imediatas para reparar e restaurar sua loja online.

Você também pode se beneficiar do Jetpack Scan, que é um plug-in de verificação de malware superior que verifica automaticamente sua loja em busca de hacks para que você não precise se preocupar! Você receberá um alerta se encontrar algo errado e poderá até corrigir a maioria das ameaças conhecidas com apenas um clique.

Painel de verificação do Jetpack mostrando o progresso atual da verificação de malware

A lista de verificação de segurança completa para WooCommerce (14 etapas)

É sempre melhor parar os hacks antes que eles aconteçam. Se você puder responder “sim” às perguntas a seguir, você terá um excelente começo!

1. Você está hospedando com um provedor confiável e seguro?

Seu host é a primeira linha de defesa contra ataques. Se eles não tiverem as medidas de segurança adequadas, seus arquivos e banco de dados poderão ficar vulneráveis, mesmo que você faça todo o resto corretamente.

Ao escolher um host, procure um com:

  • Um firewall embutido . Um firewall controla quem pode acessar seu servidor e quem não pode, mantendo hackers e bots longe dos arquivos do seu site.
  • Verificações de segurança . Muitos hosts verificam regularmente todos os sites em seus servidores e informam se notarem algo suspeito, como malware. Alguns provedores até corrigem esses problemas para você, geralmente por uma taxa adicional.
  • Cópias de segurança. Embora você também queira fazer seus próprios backups (mais sobre isso depois), é uma boa ideia ter várias cópias do seu site. Muitas empresas de hospedagem incluem backups em seus planos, enquanto outras os oferecem como uma atualização paga.
  • Uma excelente equipe de suporte . Se você encontrar um problema, você quer especialistas disponíveis para ajudá-lo a descobrir as próximas etapas. Certifique-se de que seu host tenha uma ótima equipe de suporte que possa ser contatada pelo método mais conveniente para você (chat ao vivo, telefone, etc.)
  • Uma boa reputação . Confira avaliações de clientes reais e conheça suas experiências. Esta é a maneira mais precisa de aprender sobre um provedor de hospedagem.

Não sabe por onde começar? O WooCommerce reuniu uma lista de empresas de hospedagem recomendadas que foram minuciosamente examinadas.

2. Você tem um certificado SSL?

Um certificado SSL (Secure Socket Layer) criptografa as informações enviadas de seus clientes para seu site e autentica a identidade de seu site. Isso serve como proteção crítica para informações como dados e endereços de cartão de crédito. O Google também considera isso ao determinar as classificações dos mecanismos de pesquisa.

A maioria dos hosts oferece certificados SSL gratuitamente, embora alguns cobrem uma taxa relativamente mínima.

3. Você está usando versões seguras e seguras de temas e plugins?

Plugins e temas nulos são versões piratas de plugins e temas premium e são oferecidos gratuitamente ou por um preço baixo. Não só eles não são suportados, eles também não são atualizados, então eles podem entrar em conflito com o WordPress ou outros plugins. E, mais preocupante, eles geralmente estão cheios de malware que podem comprometer seu site e os dados do cliente.

Sempre baixe plugins e temas de fontes confiáveis, como o repositório WordPress ou o mercado WooCommerce.

as coleções de extensões em destaque do WooCommerce Marketplace
Coleções de extensões em destaque no WooCommerce Marketplace

4. Está tudo atualizado no seu site WordPress?

As atualizações do WordPress, temas e plugins nem sempre incluem apenas novos recursos; eles geralmente corrigem bugs e vulnerabilidades que os hackers podem aproveitar. Sempre faça atualizações quando estiverem disponíveis para manter seu site seguro e evitar conflitos.

Não quer acompanhar as atualizações? O Jetpack tem uma opção para automatizar esse processo.

5. Você está usando a versão mais recente do PHP?

A maior parte do núcleo do WordPress é escrita em PHP, uma linguagem de programação. Você deve atualizar a versão do PHP que seu site usa pelo mesmo motivo que deve atualizar temas e plugins: para proteger contra bugs e vulnerabilidades.

Você pode atualizar sua versão do PHP nas configurações do seu host ou pedir ao seu provedor de hospedagem para cuidar disso para você. Veja os requisitos mais recentes do WordPress.

6. Você revisou suas permissões de usuário?

Cada usuário do WordPress recebe uma função, que inclui um conjunto de recursos que permitem que eles executem determinadas tarefas em seu site. Os administradores têm acesso total a tudo e podem fazer as alterações que quiserem; como dono da loja, este deve ser o seu papel. Os clientes, no entanto, não têm acesso ao back-end do seu site, mas podem editar suas próprias informações de conta e visualizar pedidos atuais e anteriores. Veja uma lista completa de funções e permissões de usuário.

De tempos em tempos, revise e limpe suas contas de usuário. Cada usuário deve ter apenas as permissões mínimas necessárias para fazer seu trabalho e, se você não estiver mais trabalhando com alguém, certifique-se de remover a conta. Por exemplo, se você trabalhou com uma agência de desenvolvimento web para construir seu site e o projeto foi concluído, você provavelmente deseja excluir sua conta, a menos que atualizações consistentes sejam necessárias no futuro.

7. Você está usando um nome de usuário e senha seguros?

Hackers costumam usar bots para tentar milhares de combinações diferentes de nome de usuário e senha até encontrar a correta (isso é chamado de ataque de força bruta). Quanto mais fácil for adivinhar sua senha, maior a probabilidade de um hacker acessar sua loja.

Uma boa senha tem uma letra maiúscula, uma letra minúscula, um número e um símbolo e tem pelo menos 20 caracteres. Certifique-se de que, no mínimo, cada usuário administrador esteja implementando esse tipo de senha.

Quando se trata de nomes de usuário, evite títulos comuns como “Administrador” ou “Admin”. Em vez disso, crie um nome de usuário específico para cada pessoa.

8. Você já pensou em mudar sua URL de login?

Por padrão, todas as páginas de login do WordPress podem ser acessadas em sua URL /wp-admin. Se você quiser implementar medidas de segurança extras, talvez queira alterar a URL para dificultar que os invasores adivinhem essa URL. Você pode fazer isso editando seu arquivo .htaccess ou, se não se sentir à vontade para alterar o código, use um plugin como o WP Hide Login.

9. Você ativou a autenticação de dois fatores para administradores?

A autenticação de dois fatores adiciona uma camada adicional de segurança à sua página de login. Para fazer login, você não apenas precisa saber algo (um nome de usuário e senha), mas também possuir algo fisicamente (seu dispositivo móvel). Isso torna significativamente menos provável que um hacker possa entrar em sua loja.

O Jetpack facilita a autenticação de dois fatores. Ao fazer login em seu site, você receberá um código especial de uso único em seu telefone, que deverá ser inserido para concluir o processo de login. Você pode até exigir que todos os usuários configurem isso. Saiba mais sobre a autenticação de dois fatores.

10. Você está bloqueando ataques de força bruta?

Como discutimos anteriormente, os ataques de força bruta acontecem quando os hackers usam bots para testar combinações de nomes de usuário e senhas repetidamente até encontrarem o correto. Isso não apenas coloca em risco os dados da sua loja e do cliente, mas também pode deixar seu site mais lento.

módulo mostrando o número total de ataques maliciosos bloqueados em um site

Mas o Jetpack bloqueia automaticamente esses ataques antes que eles cheguem ao seu site, então você não precisa se preocupar.

11. Você está verificando seu site em busca de malware?

E se alguém acessar seu site e injetar malware? Você gostaria de saber imediatamente para poder remover esse malware e corrigir o problema o mais rápido possível. Mas os hackers são sorrateiros – nem sempre é imediatamente óbvio que eles entraram.

A Verificação do Jetpack alerta você imediatamente sobre qualquer atividade suspeita e, como a verificação ocorre nos servidores do Jetpack, você pode acessar seu site mesmo que ele fique inativo. Ele também oferece correções com um clique para a maioria das ameaças conhecidas.

12. Você tem um filtro de spam configurado?

Comentários de spam não são apenas irritantes; eles também fazem você parecer pouco profissional e podem conter links que direcionam seus clientes para sites cheios de malware. Mas classificar centenas de comentários por semana é demorado e frustrante.

gráfico mostrando spam bloqueado em um site WordPress

É aí que entra o Jetpack Anti-spam! Ele se livra automaticamente do spam de comentários e formulários, para que você nunca precise vê-lo. Você economizará tempo, protegerá seu site e fornecerá uma melhor experiência ao usuário de uma só vez.

13. Você está monitorando o tempo de inatividade do seu site?

Se o seu site cair, pode ser uma indicação de um hack. E, quanto mais tempo estiver inativo, mais vendas você perderá. Você quer que ele volte a funcionar o mais rápido possível!

O Jetpack oferece monitoramento gratuito do tempo de inatividade que verifica seu site de locais ao redor do mundo a cada cinco minutos. Se o seu site estiver inativo, você receberá uma notificação instantânea para que possa corrigir o problema imediatamente.

14. Você tem backups regulares fora do local configurados?

Se algo acontecer com seu site, a melhor proteção que você pode ter é um backup completo que pode ser restaurado de forma rápida e fácil. Mesmo que seu host ofereça backups, é importante que você também faça o seu. Por quê? Porque se o seu servidor estiver comprometido, quaisquer backups armazenados nele também poderão ser comprometidos.

backup em andamento em uma loja WooCommerce

O Jetpack Backup é uma excelente solução. Existem duas opções de planos:

  1. Backups diários, que salvam uma cópia do seu site uma vez por dia.
  2. Backups em tempo real , que salvam uma cópia do seu site sempre que você atualiza uma página, publica uma nova postagem ou faz uma venda. Eles são particularmente úteis para lojas online, porque você nunca precisa se preocupar em perder as informações do pedido.

O Jetpack armazena arquivos de backup em vários locais, completamente separados do seu site. Isso significa que, se seu servidor estiver comprometido, seus backups não estarão. E na maioria dos casos, você pode até restaurar um backup se seu site estiver completamente fora do ar!

Como se recuperar em um cenário de pior caso

Se sua loja online tiver malware e você tiver o Jetpack Security, você receberá uma notificação para que possa resolver o problema imediatamente. Seu primeiro passo deve ser verificar seu log de atividades, onde você pode ver uma lista completa de tudo o que ocorreu em seu site. Você pode usar essas informações para determinar quando o hack aconteceu verificando atividades suspeitas, como logins desconhecidos e páginas editadas.

log de atividades mostrando tudo o que aconteceu em um site WordPress

Então, a maneira mais rápida de recuperar é com o Jetpack Backup. Com apenas alguns cliques, seu site pode voltar a funcionar com o mínimo de tempo de inatividade. Tudo o que você precisa fazer é selecionar um backup anterior ao hack e esperar que ele seja restaurado. Sim, é isso!

Quando uma versão limpa da sua loja estiver funcionando, use o Jetpack Scan para garantir que não haja malware restante em seu site. O Jetpack resolve a maioria das ameaças conhecidas para você, portanto, se algo for encontrado, você provavelmente não precisará se preocupar com a solução de problemas.

Por fim, reserve um tempo para proteger seu site alterando todas as senhas e verificando se seus temas, plugins e arquivos principais estão atualizados.

Precisa de alguma ajuda? O Jetpack Security inclui suporte prioritário de uma equipe técnica experiente que pode orientá-lo na direção certa.

Mantenha sua loja WooCommerce segura

Dedicar um tempo para proteger totalmente sua loja WooCommerce garantirá que seus clientes possam comprar com confiança e que você não precise se preocupar com seus dados ou reputação.

E uma das melhores maneiras de fazer isso é combinando Jetpack Security e WooCommerce – faz sentido! Eles são dois plugins WordPress estabelecidos e respeitados que funcionam em sincronia para proteger seu site e adicionar recursos. Juntos, eles significam menos peças móveis, menos plugins externos e maior tranquilidade para você como proprietário de uma empresa.

Perguntas frequentes

Um site WooCommerce pode ser hackeado?

Sim, como qualquer site, uma loja WooCommerce pode ser hackeada. No entanto, WordPress e WooCommerce incluem recursos que ajudarão a proteger seu conteúdo e dados de clientes. E, quando você implementa algumas medidas básicas de segurança – como escolher um bom host, manter as coisas atualizadas e instalar o melhor plug-in de segurança – você pode ficar tranquilo sabendo que seu site está em boas mãos.

Você precisa de SSL para um site WooCommerce?

Um certificado SSL criptografa as informações (como dados de cartão de crédito e endereços) que são enviadas em seu site, mantendo-o protegido contra terceiros. Se essas informações forem acessadas por um hacker, isso poderá colocar sua empresa em risco legal e prejudicar sua reputação. E um certificado SSL não apenas protege você e seus clientes, mas também é importante para as classificações do seu mecanismo de pesquisa.

Embora um certificado SSL seja recomendado para qualquer site, é ainda mais importante para lojas online devido ao tipo de dados que coletam para processar transações.

Qual certificado SSL é o melhor para sites WooCommerce?

A maioria dos principais provedores de hospedagem inclui um certificado SSL em seus planos, enquanto outros os disponibilizam por uma taxa adicional. Normalmente, eles são fáceis de instalar em apenas alguns cliques.

No entanto, se o seu host não oferecer isso, recomendamos o Let's Encrypt. É um serviço confiável, oferecendo certificados SSL gratuitos para oferecer suporte a uma web mais segura. Nota: muitos dos certificados SSL incluídos nos planos de hospedagem vêm da Let's Encrypt.

Saiba mais sobre como instalar um certificado SSL em sua loja WooCommerce.

Como forço HTTPS em um site WooCommerce?

Quando você adiciona com sucesso um certificado SSL à sua loja, ele altera sua URL de http://example.com para https://example.com. O “s” em “https” significa SSL.

Quando você força o HTTPS em sua loja, um visitante que digitar a versão “http” do seu site será automaticamente redirecionado para a versão “https”. Isso garante que tudo seja criptografado corretamente para cada comprador.

Você pode forçar o HTTPS adicionando algumas linhas de código ao seu arquivo .htaccess ou usando um plugin do WordPress. Kinsta fornece um ótimo guia para fazer isso.

O WooCommerce é mais seguro que o Shopify?

Shopify é uma plataforma hospedada que cuida da segurança para você. Embora isso tenha seus benefícios — você não precisa se preocupar com a implementação de medidas de segurança — também significa que você praticamente não tem controle sobre sua própria proteção.

E também não significa que Shopify seja mais seguro. Afinal, hackers e bots não discriminam. Eles apenas tentam site após site até encontrarem um em que possam entrar. Portanto, se você adotar medidas de segurança adequadas, sua loja será tão segura – e, em muitos casos, mais segura – do que outras em qualquer plataforma.

Também é importante observar que tanto o WordPress quanto o WooCommerce são apoiados por uma equipe apaixonada por ajudá-lo a ter sucesso. Eles trabalham constantemente para manter a plataforma segura, e é por isso que atualizar regularmente seu software é tão importante.

Este guia do WooCommerce fornece mais detalhes sobre como ele se compara ao Shopify.