Bu Yaygın WooCommerce Güvenlik Mitlerine İnanıyor musunuz?

Yayınlanan: 2019-10-15
common woocommerce security myths

Son güncelleme - 8 Temmuz 2021

WooCommerce'in yüz binlerce kullanıcısı var çünkü milyonlarca insanın aşina olduğu bir CMS olan WordPress ile bir e-ticaret mağazası kurmanın en basit yolu. Bu büyüklükteki herhangi bir toplulukta, pek çok efsane ve yanlış anlaşılma bir yana, geniş bir uzmanlık ve deneyim yelpazesi vardır.

Bu makalede, WooCommerce perakendecileriyle yaptığım tartışmalarda karşılaştığım güvenlikle ilgili birkaç efsaneye göz atacağım.

Web Barındırma Sağlayıcınız WooCommerce Güvenliğinden Sorumludur

Bu efsanenin bir gerçeği var: WooCommerce barındırma sağlayıcıları, veri merkezi, ağ ve sunucu güvenliğine dikkat etmelidir. İşletim sistemi de dahil olmak üzere sunucu yazılımını güncellemelidirler. Sunucularının güvenlik açığı bulunan yazılımları çalıştırmadığından emin olmalıdırlar. Ancak, bir barındırma sağlayıcısının bir WooCommerce mağazasını güvende tutmak için yapabileceklerinin bir sınırı vardır.

Bir WooCommerce mağazası sahibi, kötü amaçlı yazılım içeren bir eklenti veya tema yüklerse, bir barındırma sağlayıcısının yapabileceği hiçbir şey yoktur; WordPress, WooCommerce ve diğer eklentileri ve temaları güncellemeyi unutur; veya varsayılan yönetici hesabıyla kolayca tahmin edilen bir parola kullanır.

Barındırma sağlayıcısı ve mağaza sahibi, WooCommerce güvenliğinin sorumluluğunu paylaşır. Bir mağaza, barındırma ortaklığının her iki tarafında da gecikmeler yoluyla savunmasız hale getirilebilir.

Mağazanız Hacklenecek Yeterince Önemli Değil

Bu efsanenin altında yatan yanlış varsayım, suçluların yalnızca on binlerce müşterisi olan mağazaları hedef aldığıdır. Bu makul görünüyor çünkü büyük mağazalar daha değerli hedefler: daha fazla kaynağa, istismar edilecek daha fazla kişisel veriye, kötü amaçlı yazılım bulaştıracak daha fazla ziyaretçiye ve çalınacak daha fazla kredi kartı numarasına sahipler.

Ancak gerçekte, küçük bir mağaza bile suçlular için faydalıdır. Güvenlik açığı bulunan bir WooCommerce mağazasından veya herhangi bir web uygulamasından ödün vermenin maliyeti çok düşüktür. Çoğu mağaza, bilinen güvenlik açıklarını ve bariz zayıflıkları kullanan otomatik botlar tarafından ele geçirilir. Botlar binlerce mağazayı tarar ve bir mağazanın günde on veya on bin ziyaretçisi olup olmadığı umurlarında değil - yeterince güvenlik altına alınmadıkları takdirde her ikisi de tehlikeye girecek ve istismar edilecektir.

Büyük mağazalar suçlular için daha değerlidir ve onlara daha küçük mağazalara vermedikleri kadar ilgi gösterebilirler, ancak bir güvenlik açığı olan bir web uygulaması, boyutu ne olursa olsun eninde sonunda tehlikeye girer.

WordPress Şifrelerini Paylaşmak Sorun değil

yaygın woocommerce güvenlik mitleri

Perakendecilerin zaman zaman geliştiricilere, tasarımcılara veya diğer çalışanlara WooCommerce mağazalarına yönetici erişimi vermesi gerekebilir. Bunu yapmanın iki yolu vardır:

  1. Onlara mağaza sahibi veya başka bir güvenilir kişi tarafından kullanılan mevcut bir yönetici hesabının kullanıcı adını ve şifresini verin.
  2. Yalnızca profesyoneller tarafından kullanılacak yeni bir yönetici hesabı oluşturun.

Bunlardan ilki kısa vadede daha kullanışlıdır ancak sitenin güvenliği açısından önemli etkileri vardır. Bir noktada, birden fazla kullanıcının aynı şifreyi paylaşması durumunda daha zor olan, verilen erişimi geri çekmek gerekecektir. Gerçekte, paylaşılan hesaplar nadiren silinir ve paylaşılan şifreler nadiren değiştirilir. İşletmelerin, hiç değiştirilmeyen eski şifreleri kullanarak hoşnutsuz eski çalışanlar tarafından saldırıya uğraması alışılmadık bir durum değil.

Yönetici kullanıcı olsun ya da olmasın, her kullanıcının kendi hesabı olduğunda, her birine yalnızca ihtiyaç duydukları erişim verilebilir ve daha sonra herhangi bir rahatsızlık olmadan geri alınabilir.

WordPress Temaları Güvenlik Riski Değildir

yaygın woocommerce güvenlik mitleri

WordPress temaları bir WordPress mağazasının görünümünü değiştirir, ancak etkileri yüzeysel tasarım değişikliklerinden daha derine iner. Bir WordPress teması, bir eklentiden daha az bir yazılım parçası değildir; güvensiz bir tema, güvensiz bir eklenti kadar risklidir. Çoğunlukla, resmi depolardan ve tema geliştirici web sitelerinden indirilen temalar, güncel tutulursa güvenlidir. Başka yerlerden alınan temalar daha fazla risk taşır.

Bu efsane, özellikle nulled (korsan) premium temalar yükleyen WooCommerce perakendecileri için çok zor. Boş temalara kötü amaçlı yazılım enjekte etmek suçluların favori taktiğidir. Şüphelenmeyen WooCommerce mağaza sahipleri bir tema yüklediğinde, suçluya siteye tam erişim sağlayan bir arka kapı da kurarlar.

Bir Güvenlik Duvarı WooCommerce Mağazanızı Güvende Tutacak

Birkaç farklı güvenlik duvarı türü vardır ve farklı saldırı kategorilerini püskürtmek için çalışırlar. Bir WooCommerce barındırma sağlayıcısı tarafından sağlanan güvenlik duvarı, ağ katmanında (Katman 3 olarak da adlandırılır) çalışır. Belirli bağlantı noktalarından veya belirli IP adreslerinden yönlendirilen trafiği durdurabilir. Web uygulamasının kendisindeki kusurlardan yararlanmayı amaçlayan kötü niyetli saldırıları durduramaz; Katman 3 güvenlik duvarında bunlar, 80 numaralı bağlantı noktası için meşru web istekleri gibi görünür.

SQL enjeksiyon saldırıları, siteler arası komut dosyası çalıştırma saldırıları ve WordPress, WooCommerce veya eklentilerdeki yazılım kusurlarından yararlanmayı amaçlayan saldırılar gibi saldırıları yakalamak için bir Katman 7 (uygulama katmanı) güvenlik duvarı gereklidir. Web uygulaması güvenlik duvarları (WAF'ler) olarak da bilinirler ve bunlar paha biçilmez bir savunma katmanıdır.

En iyi WooCommerce barındırma sağlayıcıları, yerleşik WAF işlevselliği sunar, ancak WooCommerce perakendecileri, Sucuri veya WordFence eklentileri aracılığıyla bir WAF yükleyebilir.

yaygın woocommerce güvenlik mitleri

Eklentileri Güncellemek Sitenizi Güvende Tutmak İçin Yeterlidir

Tüm eklentileri güncel olduğunda, bir eklenti güvenlik açığı nedeniyle bir WooCommerce mağazası saldırıya uğrayabilir mi? Evet yapabilir. Eklentilerde sıfır gün güvenlik açıkları olabilir; diğer bir deyişle, geliştiricinin bunları bilmediği için yamalanmamış güvenlik açıkları. Bir WooCommerce mağaza sahibinin bu konuda yapabileceği pek bir şey yok. Ancak güncel mağazalar için başka bir risk kaynağı daha var.

Eklentileri güncelleme konusunda gayretli olduğunuz için aynı şeyin eklenti geliştiricileri için de geçerli olduğunu varsaymak bir hatadır. Bir WooCommerce mağazası sahibi eklentilerini dini olarak güncelleyebilir, ancak geliştirici 18 ay önce güncellemeleri yayınlamayı durdurursa ne olur? Geliştirici tarafından asla düzeltilemeyecek bir güvenlik açığı olabilir ve yalnızca güncelleme bildirimlerine odaklanan mağaza sahibi daha akıllı olmayacaktır.

Eklentileri güncellemeye ek olarak, WooCommerce perakendecileri, eklenti geliştiricilerinin ne kadar yakın zamanda bir güncelleme yayınladığını kontrol etmelidir. Aylardır güncellenmemiş bir eklenti mutlaka güvensiz değildir, ancak bir dereceye kadar şüpheyi garanti eder.

Eklentinin terk edilmediğinden ve geliştiricinin bir noktada güncellenmiş bir sürüm yayınlamayı planladığından emin olmak iyi bir fikirdir. Bir eklentinin geliştiricisinin dikkatini çektiğini doğrulayamıyorsanız, bir alternatif aramayı düşünün.

WooCommerce mağazanızı güvende tutmak önemlidir

WooCommerce, güçlü ve kullanımı kolay bir e-Ticaret çözümüdür ve diğer tüm CMS veya e-Ticaret uygulamaları kadar güvenlidir. Ancak, güvenliği sağlamak için perakendecilerin en azından web uygulaması güvenliğinin temellerini anlaması gerekir. Umarım bu makale WooCommerce güvenliğiyle ilgili bazı yanlış anlamaları alt üst etmiştir ve perakendecilerin mağazalarını ve müşterilerini güvende tutmalarına yardımcı olacaktır.