Jak zapewnić bezpieczeństwo sklepu na Woocommerce?

Woocommerce to moduł e-commerce WordPressa, najpopularniejszego systemu open-source na świecie. Co to oznacza, że WordPress jest systemem open-source? Mówiąc najprościej – dostęp do kodu źródłowego może mieć każdy. Stąd też system musi być niemożliwy do zhackowania nawet przez osoby, które znają dokładne mechanizmy funkcjonujących w ramach niego zabezpieczeń.

Wiele mówi się o tym, że WordPress jest niebezpieczny lub że jest podatny na ataki. Oczywiście jest to mit. Najczęstszym powodem włamań nie jest wadliwy kod systemu, ale ludzie, którzy korzystają z WordPressa, nie mając wiedzy o bezpieczeństwie serwisów internetowych.

Dlaczego ktoś atakuje sklepy Woocommerce?

Nie tylko Woocommerce, ale każdy system CMS (system zarządzania treścią) jest celem hakerów i wirusów. Jakie są powody ataków?

spamerskie linki
przekierowania
rozsyłanie spamu
phishing
kopanie kryptowalut
ataki DDoS

Według statystyk każdy sklep atakowany jest rocznie średnio około 6000 razy!

Co powoduje włamania do sklepów internetowych Woocommerce?

1) Motywy WordPress

Częstą winę za włamania na sklepy internetowe ponoszą motywy, na których sklep został oparty. Mogą to być zarówno bezpłatne dostępne w repozytorium „theme’y”, jak i płatne, zakupione na ThemeForest, motywy. Mimo że, zgodnie z procedurami, zespół ds. bezpieczeństwa WordPressa regularnie bada dostępne w repozytorium motywy (a jest ich 5000!), to zdarzają się luki, które zgłasza autorom, a ci je naprawiają. Wtedy autor zgłasza konieczność aktualizacji motywu, a użytkownicy w panelu otrzymują informację o konieczności dokonania aktualizacji.

2) Wtyczki / Pluginy

Podobnie jak motywy, bardzo często również wtyczki posiadają luki w zabezpieczeniach. Samych wtyczek w repozytorium WordPressa znajduje się około 50 000. Takiej ilości nie da się odgórnie sprawdzić i przetestować, aby mieć pewność o ich niezawodności, dlatego kwestia testowania z reguły spada na użytkownika. WP nie gwarantuje, że wszystkie wtyczki i pluginy są bezpieczne, dlatego też warto korzystać z tych polecanych i sprawdzonych przez innych użytkowników.

3) Błędy administratora / programisty

Błąd ludzki również bywa powodem włamania. Zdarza się, że administratorzy stron używają zbyt prostych haseł, jak np.: „admin123” czy „qwerty”, przez co hakerzy mają ułatwione zadanie. Równie częstym zjawiskiem jest instalowanie przez nieobeznane osoby dodatkowych wtyczek do wstawienia kodu Google Analytics. Niestety często wtyczki te zwiększają ryzyko włamania.

Jak zadbać o bezpieczeństwo Woocommerce?

1) Aktualizacje systemu WordPress

Jest to podstawowa praktyka pozwalająca na dbanie o bezpieczeństwo serwisu. Aktualizacje to nie tylko, jak się powszechnie sądzi, „unowocześnienia” systemu, ale przede wszystkim wprowadzanie w nim nowych zabezpieczeń i usprawnień. Każda luka, wyłapywana przez twórców oprogramowania, naprawiana jest właśnie poprzez aktualizację. Jeżeli nie chcesz dbać o bezpieczeństwo swojej strony, po prostu nie aktualizuj systemu. Jeżeli jednak Ci na tym zależy – rób to zaraz po tym, kiedy aktualizacja będzie dostępna.

2) Aktualizacje wtyczek / motywu

Sytuacja wygląda tu tak samo, jak w przypadku aktualizacji systemu WordPress. Luki, wyłapywane przez zespół ds. bezpieczeństwa WordPressa, są łatane przez twórców oprogramowania i zawsze wymagają aktualizacji. Inaczej nie będą wdrożone, a podatność na włamanie pozostanie.

Badania wskazują, że aż 51% włamań wynika właśnie z braku aktualizacji wtyczek i motywu (źródło danych: wpwhitesecurity.com).

3) Silne hasło

Podstawowym sposobem na zwiększenie bezpieczeństwa sklepu Woocommerce jest utworzenie silnego hasła. Co jakiś czas warto również sprawdzać, czy hasło nie wyciekło. Można to zrobić na stronie: https://haveibeenpwned.com/.

4) Dobry hosting

W 40% przypadku powodem włamania na sklep są luki w zabezpieczeniach hostingu. Wybierając odpowiedni dla siebie, zwróć uwagę:

Jakie ma opinie obecnych użytkowników?
Czy support jest dostępny?
Jakiej wersji PHP używa?
Jaką ma politykę backupów?
Czy posiada WAF (Web Aplication Firewall)?
Czy zapewnia separację różnych domen?
Czy zapewnia mechanizm blokujący ataki DDoS?
Czy umożliwia łączenie SFTP?

Przy konfiguracji hostingu pod publikację sklepu zwróć uwagę na:

separację domen
porządek w plikach i odpowiednie chmody
separację baz danych

Przy instalacji WordPressa pamiętaj, aby:

nie używać autoinstalatorów
zmienić prefixy tabel w bazie danych
wybrać unikalną nazwę użytkownika w bazie danych
db_name != db_user

5) Zmiana adresu logowania

Standardowo na WP logujemy się poprzez adres domena.pl/wp-admin. Zmieniając ten sposób logowania na niestandardowy (np.: domena.pl/logowanie) unikasz ataków typu „brute force”, skierowanych konkretnie na adres logowania /wp-admin.

6) Wyłączenie edycji plików z poziomu panelu administratora

Wyłączając edycję, unikasz możliwości wstrzykiwania złośliwego kodu w przypadku włamania się do panelu administratora.

7) Cykliczne backupy

Backupuj wielopoziomowo. Nie tylko z poziomu hostingu, ale także z poziomu oprogramowania. Backupy trzymaj na innym serwerze niż ten, na którym utrzymywany jest sklep. Wdróż automatyczny proces. Mogą pomóc Ci w tym wtyczki UpdraftPlus lub BackWPup.

8) 2FA – 2 etapowe logowanie

Dwuetapowe logowanie pozwala zabezpieczyć proces logowania przez administratora. Administrator, po wpisaniu loginu i hasła w oknie logowania, musi potwierdzić za pomocą kliknięcia w otrzymany na e-mail link, że to właśnie on jest administratorem.

9) Nieużywanie wtyczek „od bezpieczeństwa”

Wtyczki typu Wordfence czy Ithemes security bardzo mocno ingerują w serwis. Nieaktualizowane mogą same być przyczyną ataku i dają złudne poczucie bezpieczeństwa.