你相信這些常見的 WooCommerce 安全神話嗎?

已發表: 2019-10-15
common woocommerce security myths

最後更新 - 2021 年 7 月 8 日

WooCommerce 擁有數十萬用戶,因為它是使用 WordPress(數百萬人熟悉的 CMS)構建電子商務商店的最簡單方法。 在這種規模的任何社區中,都有廣泛的專業知識和經驗,更不用說大量的神話和誤解了。

在本文中,我將看看我在與 WooCommerce 零售商討論時遇到的一些與安全相關的神話。

您的虛擬主機提供商負責 WooCommerce 安全

這個神話有一個核心:WooCommerce 託管服務提供商應該注意數據中心、網絡和服務器的安全性。 他們應該更新服務器軟件,包括操作系統。 他們應該確保他們的服務器不運行易受攻擊的軟件。 但是,託管服務提供商可以做些什麼來保證 WooCommerce 商店的安全是有限制的。

如果 WooCommerce 店主安裝了包含惡意軟件​​的插件或主題,託管服務提供商將無能為力; 忘記更新 WordPress、WooCommerce 和其他插件和主題; 或使用默認管理員帳戶容易猜到的密碼。

託管服務提供商和店主共同承擔 WooCommerce 安全的責任。 由於託管合作夥伴的任何一方的失誤,商店都可能變得脆弱。

您的商店不夠重要,不會被黑客入侵

這個神話背後的錯誤假設是,犯罪分子只針對擁有數万顧客的商店。 這似乎是合理的,因為大商店是更有價值的目標:他們有更多的資源、更多的個人數據可以利用、更多的訪客可以感染惡意軟件,以及更多的信用卡號碼可以竊取。

但是,實際上,即使是小商店也對犯罪分子有用。 破壞易受攻擊的 WooCommerce 商店或任何 Web 應用程序的成本很小。 大多數商店都被使用已知漏洞和明顯弱點的自動機器人入侵。 機器人掃描數以千計的商店,他們不在乎商店一天內有十萬還是一萬訪客——如果沒有充分保護,兩者都會受到威脅和利用。

大型商店對犯罪分子來說更有價值,他們可能會注意到他們不會給予小型商店的關注,但是具有安全漏洞的 Web 應用程序最終會受到損害,無論其大小如何。

可以共享 WordPress 密碼

常見的 woocommerce 安全神話

零售商可能需要不時向開發人員、設計師或其他員工授予對其 WooCommerce 商店的管理員訪問權限。 有兩種方法可以做到這一點:

  1. 向他們提供現有管理員帳戶的用戶名和密碼,該帳戶由店主或其他受信任的個人使用。
  2. 創建一個僅供專業人員使用的新管理員帳戶。

其中第一個在短期內更方便,但它對站點的安全性有重大影響。 在某些時候,有必要撤回已授予的訪問權限,如果多個用戶共享相同的密碼,這將更加困難。 實際上,共享帳戶很少被刪除,共享密碼也很少更改。 心懷不滿的前僱員使用從未更改過的舊密碼入侵企業並不少見。

當每個用戶(無論是否為管理員用戶)都有自己的帳戶時,每個人都可以僅獲得他們需要的訪問權限,並且以後可以將其撤回而不會帶來不便。

WordPress 主題不是安全風險

常見的 woocommerce 安全神話

WordPress 主題改變了 WordPress 商店的外觀,但它們的影響比膚淺的設計變化更深。 WordPress 主題不亞於插件軟件; 不安全的主題與不安全的插件一樣危險。 在大多數情況下,如果保持最新,從官方存儲庫和主題開發者網站下載的主題是安全的。 來自其他地方的主題更具風險。

對於安裝無效(盜版)高級主題的 WooCommerce 零售商來說,這個神話尤其難以接受。 將惡意軟件注入無效主題是犯罪分子最喜歡的策略。 當毫無戒心的 WooCommerce 商店所有者安裝主題時,他們還會安裝一個後門,使犯罪分子可以完全訪問該網站。

防火牆將確保您的 WooCommerce 商店安全

有幾種不同類型的防火牆,它們可以抵禦不同類別的攻擊。 WooCommerce 託管服務提供商提供的防火牆工作在網絡層(也稱為第 3 層)。 它可以阻止指向特定端口或來自特定 IP 地址的流量。 它無法阻止旨在利用 Web 應用程序本身缺陷的惡意攻擊; 對於第 3 層防火牆,這些看起來像是對端口 80 的合法 Web 請求。

需要第 7 層(應用層)防火牆來捕獲攻擊,例如 SQL 注入攻擊、跨站點腳本攻擊以及旨在利用 WordPress、WooCommerce 或插件中的軟件缺陷的攻擊。 也稱為 Web 應用程序防火牆 (WAF),它們是寶貴的防禦層。

最好的 WooCommerce 託管服務提供商提供內置 WAF 功能,但 WooCommerce 零售商可以通過SucuriWordFence插件安裝 WAF。

常見的 woocommerce 安全神話

更新插件足以保證您的網站安全

當所有插件都是最新的時,WooCommerce 商店是否會因為插件漏洞而被黑客入侵? 是的,它可以。 插件中可能存在零日漏洞; 也就是說,由於開發人員不知道而未修補的漏洞。 WooCommerce 店主對此無能為力。 但是,最新商店還有另一個風險來源。

假設因為您勤於更新插件,插件開發人員也是如此,這是錯誤的。 WooCommerce 店主可能會虔誠地更新他們的插件,但如果開發人員在 18 個月前停止發布更新怎麼辦? 可能存在開發者永遠無法修復的漏洞,只關注更新通知的店主也不會更聰明。

除了更新插件外,WooCommerce 零售商還應檢查插件開發人員最近是如何發布更新的。 幾個月未更新的插件不一定不安全,但值得懷疑。

確保該插件沒有被放棄並且開發人員計劃在某個時候發布更新版本是一個好主意。 如果您無法驗證某個插件是否受到其開發人員的關注,請考慮尋找替代方案。

確保您的 WooCommerce 商店安全很重要

WooCommerce 是一個功能強大且易於使用的電子商務解決方案,它與任何其他 CMS 或電子商務應用程序一樣安全。 但是,為了保證安全,零售商至少需要了解 Web 應用程序安全的基礎知識。 希望本文推翻了對 WooCommerce 安全性的一些誤解,並有助於零售商保護他們的商店和客戶的安全。