Woocommerce to moduł e-commerce WordPressa, najpopularniejszego systemu open-source na świecie. Co to oznacza, że WordPress jest systemem open-source? Mówiąc najprościej – dostęp do kodu źródłowego może mieć każdy. Stąd też system musi być niemożliwy do zhackowania nawet przez osoby, które znają dokładne mechanizmy funkcjonujących w ramach niego zabezpieczeń.
Wiele mówi się o tym, że WordPress jest niebezpieczny lub że jest podatny na ataki. Oczywiście jest to mit. Najczęstszym powodem włamań nie jest wadliwy kod systemu, ale ludzie, którzy korzystają z WordPressa, nie mając wiedzy o bezpieczeństwie serwisów internetowych.
Dlaczego ktoś atakuje sklepy Woocommerce?
Nie tylko Woocommerce, ale każdy system CMS (system zarządzania treścią) jest celem hakerów i wirusów. Jakie są powody ataków?
- spamerskie linki
- przekierowania
- rozsyłanie spamu
- phishing
- kopanie kryptowalut
- ataki DDoS
Według statystyk każdy sklep atakowany jest rocznie średnio około 6000 razy!
Co powoduje włamania do sklepów internetowych Woocommerce?
1) Motywy WordPress
Częstą winę za włamania na sklepy internetowe ponoszą motywy, na których sklep został oparty. Mogą to być zarówno bezpłatne dostępne w repozytorium „theme’y”, jak i płatne, zakupione na ThemeForest, motywy. Mimo że, zgodnie z procedurami, zespół ds. bezpieczeństwa WordPressa regularnie bada dostępne w repozytorium motywy (a jest ich 5000!), to zdarzają się luki, które zgłasza autorom, a ci je naprawiają. Wtedy autor zgłasza konieczność aktualizacji motywu, a użytkownicy w panelu otrzymują informację o konieczności dokonania aktualizacji.
2) Wtyczki / Pluginy
Podobnie jak motywy, bardzo często również wtyczki posiadają luki w zabezpieczeniach. Samych wtyczek w repozytorium WordPressa znajduje się około 50 000. Takiej ilości nie da się odgórnie sprawdzić i przetestować, aby mieć pewność o ich niezawodności, dlatego kwestia testowania z reguły spada na użytkownika. WP nie gwarantuje, że wszystkie wtyczki i pluginy są bezpieczne, dlatego też warto korzystać z tych polecanych i sprawdzonych przez innych użytkowników.
3) Błędy administratora / programisty
Błąd ludzki również bywa powodem włamania. Zdarza się, że administratorzy stron używają zbyt prostych haseł, jak np.: „admin123” czy „qwerty”, przez co hakerzy mają ułatwione zadanie. Równie częstym zjawiskiem jest instalowanie przez nieobeznane osoby dodatkowych wtyczek do wstawienia kodu Google Analytics. Niestety często wtyczki te zwiększają ryzyko włamania.
Jak zadbać o bezpieczeństwo Woocommerce?
1) Aktualizacje systemu WordPress
Jest to podstawowa praktyka pozwalająca na dbanie o bezpieczeństwo serwisu. Aktualizacje to nie tylko, jak się powszechnie sądzi, „unowocześnienia” systemu, ale przede wszystkim wprowadzanie w nim nowych zabezpieczeń i usprawnień. Każda luka, wyłapywana przez twórców oprogramowania, naprawiana jest właśnie poprzez aktualizację. Jeżeli nie chcesz dbać o bezpieczeństwo swojej strony, po prostu nie aktualizuj systemu. Jeżeli jednak Ci na tym zależy – rób to zaraz po tym, kiedy aktualizacja będzie dostępna.
2) Aktualizacje wtyczek / motywu
Sytuacja wygląda tu tak samo, jak w przypadku aktualizacji systemu WordPress. Luki, wyłapywane przez zespół ds. bezpieczeństwa WordPressa, są łatane przez twórców oprogramowania i zawsze wymagają aktualizacji. Inaczej nie będą wdrożone, a podatność na włamanie pozostanie.
Badania wskazują, że aż 51% włamań wynika właśnie z braku aktualizacji wtyczek i motywu (źródło danych: wpwhitesecurity.com).
3) Silne hasło
Podstawowym sposobem na zwiększenie bezpieczeństwa sklepu Woocommerce jest utworzenie silnego hasła. Co jakiś czas warto również sprawdzać, czy hasło nie wyciekło. Można to zrobić na stronie: https://haveibeenpwned.com/.
4) Dobry hosting
W 40% przypadku powodem włamania na sklep są luki w zabezpieczeniach hostingu. Wybierając odpowiedni dla siebie, zwróć uwagę:
- Jakie ma opinie obecnych użytkowników?
- Czy support jest dostępny?
- Jakiej wersji PHP używa?
- Jaką ma politykę backupów?
- Czy posiada WAF (Web Aplication Firewall)?
- Czy zapewnia separację różnych domen?
- Czy zapewnia mechanizm blokujący ataki DDoS?
- Czy umożliwia łączenie SFTP?
Przy konfiguracji hostingu pod publikację sklepu zwróć uwagę na:
- separację domen
- porządek w plikach i odpowiednie chmody
- separację baz danych
Przy instalacji WordPressa pamiętaj, aby:
- nie używać autoinstalatorów
- zmienić prefixy tabel w bazie danych
- wybrać unikalną nazwę użytkownika w bazie danych
- db_name != db_user
5) Zmiana adresu logowania
Standardowo na WP logujemy się poprzez adres domena.pl/wp-admin. Zmieniając ten sposób logowania na niestandardowy (np.: domena.pl/logowanie) unikasz ataków typu „brute force”, skierowanych konkretnie na adres logowania /wp-admin.
6) Wyłączenie edycji plików z poziomu panelu administratora
Wyłączając edycję, unikasz możliwości wstrzykiwania złośliwego kodu w przypadku włamania się do panelu administratora.
7) Cykliczne backupy
Backupuj wielopoziomowo. Nie tylko z poziomu hostingu, ale także z poziomu oprogramowania. Backupy trzymaj na innym serwerze niż ten, na którym utrzymywany jest sklep. Wdróż automatyczny proces. Mogą pomóc Ci w tym wtyczki UpdraftPlus lub BackWPup.
8) 2FA – 2 etapowe logowanie
Dwuetapowe logowanie pozwala zabezpieczyć proces logowania przez administratora. Administrator, po wpisaniu loginu i hasła w oknie logowania, musi potwierdzić za pomocą kliknięcia w otrzymany na e-mail link, że to właśnie on jest administratorem.
9) Nieużywanie wtyczek „od bezpieczeństwa”
Wtyczki typu Wordfence czy Ithemes security bardzo mocno ingerują w serwis. Nieaktualizowane mogą same być przyczyną ataku i dają złudne poczucie bezpieczeństwa.
Poznaj nasze usługi
