คุณเชื่อตำนานความปลอดภัย WooCommerce ทั่วไปเหล่านี้หรือไม่?

เผยแพร่แล้ว: 2019-10-15
common woocommerce security myths

ปรับปรุงล่าสุด - 8 กรกฎาคม 2021

WooCommerce มีผู้ใช้หลายแสนรายเนื่องจากเป็นวิธีที่ง่ายที่สุดในการสร้างร้านอีคอมเมิร์ซด้วย WordPress ซึ่งเป็น CMS ที่ผู้คนนับล้านคุ้นเคย ในชุมชนขนาดนั้น มีความเชี่ยวชาญและประสบการณ์มากมาย ไม่ต้องพูดถึงตำนานและความเข้าใจผิดมากมาย

ในบทความนี้ ฉันจะดูตำนานที่เกี่ยวข้องกับความปลอดภัยสองสามข้อที่ฉันได้พบในการหารือกับผู้ค้าปลีก WooCommerce

ผู้ให้บริการเว็บโฮสติ้งของคุณมีหน้าที่รับผิดชอบต่อความปลอดภัยของ WooCommerce

มีแก่นของความจริงสำหรับตำนานนี้: ผู้ให้บริการโฮสติ้งของ WooCommerce ควรดูแลความปลอดภัยของศูนย์ข้อมูล เครือข่าย และเซิร์ฟเวอร์ พวกเขาควรอัปเดตซอฟต์แวร์เซิร์ฟเวอร์รวมถึงระบบปฏิบัติการ พวกเขาควรตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ของตนไม่ได้ใช้งานซอฟต์แวร์ที่มีช่องโหว่ อย่างไรก็ตาม มีข้อจำกัดในสิ่งที่ผู้ให้บริการโฮสต์สามารถทำได้เพื่อให้ร้านค้า WooCommerce ปลอดภัย

ไม่มีอะไรที่ผู้ให้บริการโฮสติ้งสามารถทำได้หากเจ้าของร้านค้า WooCommerce ติดตั้งปลั๊กอินหรือธีมที่มีมัลแวร์ ลืมอัปเดต WordPress, WooCommerce และปลั๊กอินและธีมอื่นๆ หรือใช้รหัสผ่านที่เดาได้ง่ายกับบัญชีผู้ดูแลระบบเริ่มต้น

ผู้ให้บริการโฮสต์และเจ้าของร้านค้ามีส่วนรับผิดชอบต่อความปลอดภัยของ WooCommerce ร้านค้าสามารถถูกทำให้เปราะบางจากความล้มเหลวโดยฝ่ายใดฝ่ายหนึ่งของการเป็นหุ้นส่วนการโฮสต์

ร้านค้าของคุณไม่สำคัญพอที่จะถูกแฮ็ก

สมมติฐานที่ผิดพลาดซึ่งอยู่เบื้องหลังตำนานนี้คืออาชญากรมุ่งเป้าไปที่ร้านค้าที่มีลูกค้าหลายหมื่นรายเท่านั้น ดูเหมือนว่าจะเป็นไปได้เพราะร้านค้าขนาดใหญ่เป็นเป้าหมายที่มีค่ามากกว่า: พวกเขามีทรัพยากรมากขึ้น ข้อมูลส่วนตัวมากขึ้นในการใช้ประโยชน์ ผู้เยี่ยมชมที่ติดมัลแวร์มากขึ้น และหมายเลขบัตรเครดิตที่จะขโมยมากขึ้น

แต่ในความเป็นจริง แม้แต่ร้านค้าเล็กๆ ก็มีประโยชน์สำหรับอาชญากร ค่าใช้จ่ายในการประนีประนอมกับร้านค้า WooCommerce ที่มีช่องโหว่ - หรือเว็บแอปพลิเคชันใด ๆ - นั้นเล็กมาก ร้านค้าส่วนใหญ่ถูกโจมตีโดยบอทอัตโนมัติโดยใช้ช่องโหว่ที่ทราบและจุดอ่อนที่เห็นได้ชัด บอทสแกนร้านค้าหลายพันร้าน และพวกเขาไม่สนใจว่าร้านหนึ่งมีผู้เข้าชมหนึ่งหมื่นหรือหมื่นคนในหนึ่งวัน – ทั้งสองจะถูกบุกรุกและเอารัดเอาเปรียบหากพวกเขาไม่ได้รับการรักษาความปลอดภัยอย่างเพียงพอ

ร้านค้าขนาดใหญ่มีค่ามากกว่าสำหรับอาชญากร และพวกเขาอาจให้ความสนใจว่าพวกเขาไม่ได้ให้ความสำคัญกับร้านค้าขนาดเล็ก แต่เว็บแอปพลิเคชันที่มีช่องโหว่ด้านความปลอดภัยจะถูกบุกรุกในที่สุด โดยไม่คำนึงถึงขนาด

แชร์รหัสผ่าน WordPress ได้

ตำนานความปลอดภัย woocommerce ทั่วไป

ผู้ค้าปลีกอาจจำเป็นต้องให้นักพัฒนา นักออกแบบ หรือพนักงานคนอื่นๆ ที่ผู้ดูแลระบบสามารถเข้าถึงร้านค้า WooCommerce ของตนได้เป็นครั้งคราว มีสองวิธีในการทำเช่นนี้:

  1. ให้ชื่อผู้ใช้และรหัสผ่านของบัญชีผู้ดูแลระบบที่มีอยู่ ซึ่งใช้โดยเจ้าของร้านค้าหรือบุคคลอื่นที่เชื่อถือได้
  2. สร้างบัญชีผู้ดูแลระบบใหม่เพื่อใช้โดยผู้เชี่ยวชาญเท่านั้น

อย่างแรกจะสะดวกกว่าในระยะสั้น แต่มีนัยสำคัญต่อความปลอดภัยของเว็บไซต์ เมื่อถึงจุดหนึ่ง จำเป็นต้องถอนการเข้าถึงที่ได้รับ ซึ่งยากกว่าถ้าผู้ใช้หลายคนใช้รหัสผ่านเดียวกัน ในความเป็นจริง บัญชีที่ใช้ร่วมกันนั้นแทบจะไม่ถูกลบ และรหัสผ่านที่แชร์ก็แทบไม่มีการเปลี่ยนแปลง ไม่ใช่เรื่องแปลกที่ธุรกิจจะถูกแฮ็กโดยอดีตพนักงานที่ไม่พอใจโดยใช้รหัสผ่านเก่าที่ไม่เคยเปลี่ยน

เมื่อผู้ใช้ทุกคน ไม่ว่าจะเป็นผู้ใช้ที่เป็นผู้ดูแลระบบหรือไม่ มีบัญชีของตัวเอง แต่ละคนจะได้รับสิทธิ์เข้าถึงที่พวกเขาต้องการ และสามารถถอนออกได้ในภายหลังโดยไม่สะดวก

ธีม WordPress ไม่ใช่ความเสี่ยงด้านความปลอดภัย

ตำนานความปลอดภัย woocommerce ทั่วไป

ธีมของ WordPress เปลี่ยนรูปลักษณ์ของร้านค้า WordPress แต่อิทธิพลของพวกเขานั้นลึกซึ้งกว่าการเปลี่ยนแปลงการออกแบบเพียงผิวเผิน ธีม WordPress ไม่ใช่ซอฟต์แวร์ชิ้นเดียวมากไปกว่าปลั๊กอิน ธีมที่ไม่ปลอดภัยมีความเสี่ยงพอๆ กับปลั๊กอินที่ไม่ปลอดภัย โดยส่วนใหญ่ ธีมที่ดาวน์โหลดจากที่เก็บอย่างเป็นทางการและเว็บไซต์ผู้พัฒนาธีมจะปลอดภัยหากอัปเดตอยู่เสมอ ธีมที่มาจากที่อื่นมีความเสี่ยงมากกว่า

ตำนานนี้กัดยากเป็นพิเศษสำหรับผู้ค้าปลีก WooCommerce ที่ติดตั้งธีมพรีเมียมที่เป็นโมฆะ (โจรสลัด) เป็นกลวิธีที่ชื่นชอบของอาชญากรที่จะใส่มัลแวร์ลงในธีมที่ไม่มีผล เมื่อไม่สงสัยเจ้าของร้านค้า WooCommerce ติดตั้งธีม พวกเขายังติดตั้งแบ็คดอร์ที่ให้อาชญากรเข้าถึงไซต์ได้ทั้งหมด

ไฟร์วอลล์จะทำให้ร้านค้า WooCommerce ของคุณปลอดภัย

มีไฟร์วอลล์หลายประเภท และพวกมันทำงานเพื่อขับไล่ประเภทของการโจมตีที่แตกต่างกัน ไฟร์วอลล์ที่ให้บริการโดยผู้ให้บริการโฮสติ้ง WooCommerce ทำงานที่เลเยอร์เครือข่าย (เรียกอีกอย่างว่าเลเยอร์ 3) มันสามารถหยุดการรับส่งข้อมูลที่ส่งไปยังพอร์ตใดพอร์ตหนึ่งหรือจากที่อยู่ IP เฉพาะ ไม่สามารถหยุดการโจมตีที่เป็นอันตรายซึ่งมีจุดมุ่งหมายเพื่อใช้ประโยชน์จากข้อบกพร่องในแอปพลิเคชันเว็บเอง สำหรับไฟร์วอลล์ Layer 3 สิ่งเหล่านี้ดูเหมือนคำขอเว็บที่ถูกต้องสำหรับพอร์ต 80

ไฟร์วอลล์เลเยอร์ 7 (เลเยอร์แอปพลิเคชัน) จำเป็นสำหรับการตรวจจับการโจมตี เช่น การโจมตีด้วยการฉีด SQL การโจมตีแบบสคริปต์ข้ามไซต์ และการโจมตีที่มีจุดมุ่งหมายเพื่อใช้ประโยชน์จากข้อบกพร่องของซอฟต์แวร์ใน WordPress, WooCommerce หรือปลั๊กอิน ยังเป็นที่รู้จักกันในนามไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) ซึ่งเป็นชั้นการป้องกันที่ประเมินค่าไม่ได้

ผู้ให้บริการโฮสติ้ง WooCommerce ที่ดีที่สุดมีฟังก์ชัน WAF ในตัว แต่ผู้ค้าปลีก WooCommerce สามารถติดตั้ง WAF ผ่าน ปลั๊กอิน Sucuri หรือ WordFence

ตำนานความปลอดภัย woocommerce ทั่วไป

การอัปเดตปลั๊กอินเพียงพอที่จะทำให้ไซต์ของคุณปลอดภัย

ร้านค้า WooCommerce สามารถถูกแฮ็กได้เนื่องจากช่องโหว่ของปลั๊กอินเมื่อปลั๊กอินทั้งหมดเป็นเวอร์ชันล่าสุดหรือไม่? ใช่มันสามารถ ปลั๊กอินอาจมีช่องโหว่ Zero-day นั่นคือช่องโหว่ที่ยังไม่ได้รับการแก้ไขเพราะผู้พัฒนาไม่ทราบเกี่ยวกับช่องโหว่นั้น มีเจ้าของร้านค้า WooCommerce ไม่มากที่สามารถทำได้ แต่มีแหล่งความเสี่ยงอื่นสำหรับร้านค้าที่ทันสมัย

เป็นความผิดพลาดที่จะถือว่าเนื่องจากคุณขยันในการอัปเดตปลั๊กอิน นักพัฒนาปลั๊กอินก็เช่นเดียวกัน เจ้าของร้านค้า WooCommerce อาจอัปเดตปลั๊กอินอย่างเคร่งครัด แต่ถ้านักพัฒนาหยุดปล่อยการอัปเดตเมื่อ 18 เดือนที่แล้ว อาจมีช่องโหว่ที่นักพัฒนาไม่เคยแก้ไข และเจ้าของร้านค้าที่เน้นเฉพาะการแจ้งเตือนการอัปเดตเท่านั้นจะไม่มีใครฉลาดกว่า

นอกเหนือจากการอัปเดตปลั๊กอินแล้ว ผู้ค้าปลีกของ WooCommerce ควรตรวจสอบว่านักพัฒนาปลั๊กอินเพิ่งเปิดตัวการอัปเดตอย่างไร ปลั๊กอินที่ไม่ได้รับการอัปเดตเป็นเวลาหลายเดือนไม่จำเป็นต้องไม่ปลอดภัย แต่ก็รับประกันได้ในระดับที่น่าสงสัย

เป็นความคิดที่ดีที่จะตรวจสอบให้แน่ใจว่าปลั๊กอินไม่ถูกละทิ้ง และผู้พัฒนามีแผนที่จะเผยแพร่เวอร์ชันที่อัปเดตในบางจุด หากคุณไม่สามารถยืนยันได้ว่าปลั๊กอินกำลังได้รับความสนใจจากนักพัฒนา ให้ลองพิจารณาหาทางเลือกอื่น

การรักษาร้านค้า WooCommerce ของคุณให้ปลอดภัยเป็นสิ่งสำคัญ

WooCommerce เป็นโซลูชันอีคอมเมิร์ซที่ทรงพลังและใช้งานง่าย และมีความปลอดภัยเท่ากับแอปพลิเคชัน CMS หรืออีคอมเมิร์ซอื่นๆ แต่เพื่อให้ปลอดภัย ผู้ค้าปลีกจำเป็นต้องเข้าใจพื้นฐานของการรักษาความปลอดภัยเว็บแอปพลิเคชันเป็นอย่างน้อย หวังว่าบทความนี้จะพลิกความเข้าใจผิดเกี่ยวกับความปลอดภัยของ WooCommerce และจะช่วยให้ผู้ค้าปลีกดูแลร้านค้าและลูกค้าของตนให้ปลอดภัย