Woocommerce to moduł e-commerce WordPressa, najpopularniejszego systemu open-source na świecie. Co to oznacza, że WordPress jest systemem open-source? Mówiąc najprościej – dostęp do kodu źródłowego może mieć każdy. Stąd też system musi być niemożliwy do zhackowania nawet przez osoby, które znają dokładne mechanizmy funkcjonujących w ramach niego zabezpieczeń.
Wiele mówi się o tym, że WordPress jest niebezpieczny lub że jest podatny na ataki. Oczywiście jest to mit. Najczęstszym powodem włamań nie jest wadliwy kod systemu, ale ludzie, którzy korzystają z WordPressa, nie mając wiedzy o bezpieczeństwie serwisów internetowych.
Nie tylko Woocommerce, ale każdy system CMS (system zarządzania treścią) jest celem hakerów i wirusów. Jakie są powody ataków?
Według statystyk każdy sklep atakowany jest rocznie średnio około 6000 razy!
Częstą winę za włamania na sklepy internetowe ponoszą motywy, na których sklep został oparty. Mogą to być zarówno bezpłatne dostępne w repozytorium „theme’y”, jak i płatne, zakupione na ThemeForest, motywy. Mimo że, zgodnie z procedurami, zespół ds. bezpieczeństwa WordPressa regularnie bada dostępne w repozytorium motywy (a jest ich 5000!), to zdarzają się luki, które zgłasza autorom, a ci je naprawiają. Wtedy autor zgłasza konieczność aktualizacji motywu, a użytkownicy w panelu otrzymują informację o konieczności dokonania aktualizacji.
Podobnie jak motywy, bardzo często również wtyczki posiadają luki w zabezpieczeniach. Samych wtyczek w repozytorium WordPressa znajduje się około 50 000. Takiej ilości nie da się odgórnie sprawdzić i przetestować, aby mieć pewność o ich niezawodności, dlatego kwestia testowania z reguły spada na użytkownika. WP nie gwarantuje, że wszystkie wtyczki i pluginy są bezpieczne, dlatego też warto korzystać z tych polecanych i sprawdzonych przez innych użytkowników.
Błąd ludzki również bywa powodem włamania. Zdarza się, że administratorzy stron używają zbyt prostych haseł, jak np.: „admin123” czy „qwerty”, przez co hakerzy mają ułatwione zadanie. Równie częstym zjawiskiem jest instalowanie przez nieobeznane osoby dodatkowych wtyczek do wstawienia kodu Google Analytics. Niestety często wtyczki te zwiększają ryzyko włamania.
Jest to podstawowa praktyka pozwalająca na dbanie o bezpieczeństwo serwisu. Aktualizacje to nie tylko, jak się powszechnie sądzi, „unowocześnienia” systemu, ale przede wszystkim wprowadzanie w nim nowych zabezpieczeń i usprawnień. Każda luka, wyłapywana przez twórców oprogramowania, naprawiana jest właśnie poprzez aktualizację. Jeżeli nie chcesz dbać o bezpieczeństwo swojej strony, po prostu nie aktualizuj systemu. Jeżeli jednak Ci na tym zależy – rób to zaraz po tym, kiedy aktualizacja będzie dostępna.
Sytuacja wygląda tu tak samo, jak w przypadku aktualizacji systemu WordPress. Luki, wyłapywane przez zespół ds. bezpieczeństwa WordPressa, są łatane przez twórców oprogramowania i zawsze wymagają aktualizacji. Inaczej nie będą wdrożone, a podatność na włamanie pozostanie.
Badania wskazują, że aż 51% włamań wynika właśnie z braku aktualizacji wtyczek i motywu (źródło danych: wpwhitesecurity.com).
Podstawowym sposobem na zwiększenie bezpieczeństwa sklepu Woocommerce jest utworzenie silnego hasła. Co jakiś czas warto również sprawdzać, czy hasło nie wyciekło. Można to zrobić na stronie: https://haveibeenpwned.com/.
W 40% przypadku powodem włamania na sklep są luki w zabezpieczeniach hostingu. Wybierając odpowiedni dla siebie, zwróć uwagę:
Przy konfiguracji hostingu pod publikację sklepu zwróć uwagę na:
Przy instalacji WordPressa pamiętaj, aby:
Standardowo na WP logujemy się poprzez adres domena.pl/wp-admin. Zmieniając ten sposób logowania na niestandardowy (np.: domena.pl/logowanie) unikasz ataków typu „brute force”, skierowanych konkretnie na adres logowania /wp-admin.
Wyłączając edycję, unikasz możliwości wstrzykiwania złośliwego kodu w przypadku włamania się do panelu administratora.
Backupuj wielopoziomowo. Nie tylko z poziomu hostingu, ale także z poziomu oprogramowania. Backupy trzymaj na innym serwerze niż ten, na którym utrzymywany jest sklep. Wdróż automatyczny proces. Mogą pomóc Ci w tym wtyczki UpdraftPlus lub BackWPup.
Dwuetapowe logowanie pozwala zabezpieczyć proces logowania przez administratora. Administrator, po wpisaniu loginu i hasła w oknie logowania, musi potwierdzić za pomocą kliknięcia w otrzymany na e-mail link, że to właśnie on jest administratorem.
Wtyczki typu Wordfence czy Ithemes security bardzo mocno ingerują w serwis. Nieaktualizowane mogą same być przyczyną ataku i dają złudne poczucie bezpieczeństwa.
Autor
Data
14 maj 2022
Kategorie artykułów
Podobne wpisy
Jak zabezpieczyć stronę WordPress?
08 sie 2022
Co skrywa strona prezesa NBP?
04 sie 2022
#7 Jaką platformę e-commerce warto wybrać?
29 lip 2022
Jak włączyć debugowanie WordPress?
28 lip 2022
Motyw WordPress – lepiej kupić gotowy czy tworzyć autorski?
27 lip 2022