你相信这些常见的 WooCommerce 安全神话吗?

已发表: 2019-10-15
common woocommerce security myths

最后更新 - 2021 年 7 月 8 日

WooCommerce 拥有数十万用户,因为它是使用 WordPress(数百万人熟悉的 CMS)构建电子商务商店的最简单方法。 在这种规模的任何社区中,都有广泛的专业知识和经验,更不用说大量的神话和误解了。

在本文中,我将看看我在与 WooCommerce 零售商讨论时遇到的一些与安全相关的神话。

您的虚拟主机提供商负责 WooCommerce 安全

这个神话有一个核心:WooCommerce 托管服务提供商应该注意数据中心、网络和服务器的安全性。 他们应该更新服务器软件,包括操作系统。 他们应该确保他们的服务器不运行易受攻击的软件。 但是,托管服务提供商可以做些什么来保证 WooCommerce 商店的安全是有限制的。

如果 WooCommerce 店主安装了包含恶意软件的插件或主题,托管服务提供商将无能为力; 忘记更新 WordPress、WooCommerce 和其他插件和主题; 或使用默认管理员帐户容易猜到的密码。

托管服务提供商和店主共同承担 WooCommerce 安全的责任。 由于托管合作伙伴的任何一方的失误,商店都可能变得脆弱。

您的商店不够重要,不会被黑客入侵

这个神话背后的错误假设是,犯罪分子只针对拥有数万顾客的商店。 这似乎是合理的,因为大商店是更有价值的目标:他们有更多的资源、更多的个人数据可以利用、更多的访客可以感染恶意软件,以及更多的信用卡号码可以窃取。

但是,实际上,即使是小商店也对犯罪分子有用。 破坏易受攻击的 WooCommerce 商店或任何 Web 应用程序的成本很小。 大多数商店都被使用已知漏洞和明显弱点的自动机器人入侵。 机器人扫描数以千计的商店,他们不在乎商店一天内有十万还是一万访客——如果没有充分保护,两者都会受到威胁和利用。

大型商店对犯罪分子来说更有价值,他们可能会注意到他们不会给予小型商店的关注,但具有安全漏洞的 Web 应用程序最终会受到损害,无论其大小如何。

可以共享 WordPress 密码

常见的 woocommerce 安全神话

零售商可能需要不时向开发人员、设计师或其他员工授予对其 WooCommerce 商店的管理员访问权限。 有两种方法可以做到这一点:

  1. 向他们提供现有管理员帐户的用户名和密码,该帐户由店主或其他受信任的个人使用。
  2. 创建一个仅供专业人员使用的新管理员帐户。

其中第一个在短期内更方便,但它对站点的安全性有重大影响。 在某些时候,有必要撤回已授予的访问权限,如果多个用户共享相同的密码,这将更加困难。 实际上,共享帐户很少被删除,共享密码也很少更改。 心怀不满的前雇员使用从未更改过的旧密码入侵企业并不少见。

当每个用户(无论是否为管理员用户)都有自己的帐户时,每个人都可以仅获得他们需要的访问权限,并且以后可以将其撤回而不会带来不便。

WordPress 主题不是安全风险

常见的 woocommerce 安全神话

WordPress 主题改变了 WordPress 商店的外观,但它们的影响比肤浅的设计变化更深。 WordPress 主题不亚于插件软件; 不安全的主题与不安全的插件一样危险。 在大多数情况下,如果保持最新,从官方存储库和主题开发者网站下载的主题是安全的。 来自其他地方的主题更具风险。

对于安装无效(盗版)高级主题的 WooCommerce 零售商来说,这个神话尤其难以接受。 将恶意软件注入无效主题是犯罪分子最喜欢的策略。 当毫无戒心的 WooCommerce 商店所有者安装主题时,他们还会安装一个后门,使犯罪分子可以完全访问该网站。

防火墙将确保您的 WooCommerce 商店安全

有几种不同类型的防火墙,它们可以抵御不同类别的攻击。 WooCommerce 托管服务提供商提供的防火墙工作在网络层(也称为第 3 层)。 它可以阻止指向特定端口或来自特定 IP 地址的流量。 它无法阻止旨在利用 Web 应用程序本身缺陷的恶意攻击; 对于第 3 层防火墙,这些看起来像是对端口 80 的合法 Web 请求。

需要第 7 层(应用层)防火墙来捕获攻击,例如 SQL 注入攻击、跨站点脚本攻击以及​​旨在利用 WordPress、WooCommerce 或插件中的软件缺陷的攻击。 也称为 Web 应用程序防火墙 (WAF),它们是宝贵的防御层。

最好的 WooCommerce 托管服务提供商提供内置 WAF 功能,但 WooCommerce 零售商可以通过SucuriWordFence插件安装 WAF。

常见的 woocommerce 安全神话

更新插件足以保证您的网站安全

当所有插件都是最新的时,WooCommerce 商店是否会因为插件漏洞而被黑客入侵? 是的,它可以。 插件中可能存在零日漏洞; 也就是说,由于开发人员不知道而未修补的漏洞。 WooCommerce 店主对此无能为力。 但是,最新商店还有另一个风险来源。

假设因为您勤于更新插件,插件开发人员也是如此,这是错误的。 WooCommerce 店主可能会虔诚地更新他们的插件,但如果开发人员在 18 个月前停止发布更新怎么办? 可能存在开发者永远无法修复的漏洞,而只关注更新通知的店主也不会更聪明。

除了更新插件外,WooCommerce 零售商还应检查插件开发人员最近是如何发布更新的。 几个月未更新的插件不一定不安全,但值得怀疑。

确保该插件没有被放弃并且开发人员计划在某个时候发布更新版本是一个好主意。 如果您无法验证某个插件是否受到其开发人员的关注,请考虑寻找替代方案。

确保您的 WooCommerce 商店安全很重要

WooCommerce 是一个功能强大且易于使用的电子商务解决方案,它与任何其他 CMS 或电子商务应用程序一样安全。 但是,为了保证安全,零售商至少需要了解 Web 应用程序安全的基础知识。 希望这篇文章推翻了对 WooCommerce 安全性的一些误解,并将帮助零售商保护他们的商店和客户的安全。