Zabezpieczenie Woocommerce – 8 rzeczy do wdrożenia w sklepie
Pomimo że funkcje zapewniające bezpieczeństwo są wbudowane w WordPress i WooCommerce, istnieje kilka podstawowych rzeczy, które nowi właściciele sklepów powinni zrobić, aby zapewnić bezpieczeństwo swoim klientom, zespołowi i danym w przypadku najgorszych scenariuszy (czytaj włamów).
Oto osiem rzeczy, które powinni zrobić wszyscy nowi właściciele sklepów WooCommerce
1. Nie kupuj nie sprawdzonych hostingów
Twój dostawca usług hostingowych przechowuje pliki i bazy danych Twojej strony internetowej, dzięki czemu mogą być one przeglądane przez ludzi na całym świecie. Twój hosting powinien posiadać środki ochrony tych plików przed hakerami i złośliwym oprogramowaniem – wybór niewłaściwego hosta może narazić Ciebie i Twoich klientów na niebezpieczeństwo.
Powinieneś znaleźć hosting, który dobrze rozumie WordPressa i jasno określa, co robi, aby priorytetowo traktować Twoje bezpieczeństwo i ochronę. Szukaj takich funkcji, jak:
- Certyfikaty SSL, które chronią dane klientów, takie jak adresy i numery telefonów.
- Kopie zapasowe, aby w razie awarii można było w pełni przywrócić witrynę.
- Monitorowanie i zapobieganie atakom, dzięki czemu będziesz natychmiast wiedzieć, jeśli w Twoich plikach lub bazie danych zostanie znalezione złośliwe oprogramowanie.
- Zapora ogniowa serwera, która uniemożliwia hakerom dostęp do Twoich plików.
- Dostęp do pomocy technicznej 24 godziny na dobę, 7 dni w tygodniu, na wypadek gdybyś jej potrzebował.
- Aktualne oprogramowanie serwerowe, takie jak PHP i MYSQL.
Możliwość izolowania złośliwych plików, tak aby wirus lub złośliwe oprogramowanie nie mogło przenieść się do innych witryn lub folderów na tym samym serwerze.
Hostingi, które rozważasz powinny mieć podstronę informującą o zasadach bezpieczeństwa na swojej stronie, więc powinieneś być w stanie potwierdzić, czy dany hosting oferuje te funkcje, czy nie. Jeśli trzeba kopać głębiej lub wysłać e-maile, aby uzyskać odpowiedzi, może to być znak, aby trzymać się z dala od tego hostingu. Jeśli chciałbyś poszerzyć temat ten artykuł Ci pomoże
2. Stwórz (i bezpieczne przechowuj) silne hasła
Bezpieczeństwo może zacząć się od Twojego hostingu, ale to od Ciebie zależy, jak będziesz postępować z własymi hasłami. Wybierz bezpieczne hasła dla wszystkich kont związanych z Twoim sklepem.
Oznacza to:
- Używanie unikalnych haseł dla każdego konta.
- Tworzenie haseł składających się z dużych i małych liter, cyfr i symboli.
- Unikanie słów, rocznic, dat urodzin i innych fraz, które można łatwo odgadnąć.
- Nadawanie priorytetu długości – im dłuższe i bardziej złożone hasło, tym trudniej je złamać.
Martwisz się, czy Twoje hasła są naprawdę bezpieczne? Nie obawiaj się: WordPress ma wbudowany generator bezpiecznych haseł, który ułatwia generowanie złożonych, trudnych do odgadnięcia kombinacji.
Zapamiętywanie trudnych haseł może być jednak kłopotliwe. Świetnym rozwiązaniem jest menedżer haseł, taki jak LastPass lub 1Password. Bezpiecznie przechowują one Twoje hasła i automatycznie wypełniają je w ulubionych witrynach.
3. Włącz uwierzytelnianie dwuskładnikowe (2FA)
Jeśli ktoś uzyska dostęp do Twojej poczty elektronicznej lub innego konta, może być w stanie zebrać informacje wystarczające do zresetowania hasła i zalogowania się.
Uwierzytelnianie dwuskładnikowe, najczęściej określane skrótem 2FA, to fantastyczny sposób na zabezpieczenie kont internetowych przed niepożądanymi intruzami. Uwierzytelnianie dwuskładnikowe polega na tym, że drugi krok – zwykle smartfon – zatwierdza logowanie i sprawdza, czy jesteś jego właścicielem.
Najlepiej byłoby, gdybyś włączył funkcję 2FA na wszystkich swoich kontach. W normalnych okolicznościach osoba, której uda się uzyskać dostęp do Twojego konta e-mail, może potencjalnie znaleźć dane logowania do Twojego sklepu i innych kont. Ale dzięki funkcji 2FA nie będzie miała możliwości fizycznego potwierdzenia logowania za pomocą Twojego urządzenia mobilnego.
To prawda, że dodanie tego drugiego kroku wydłuża nieco proces logowania. Warto jednak mieć pewność, że poufne dane są bezpieczne.
Dwuskładnikowe uwierzytelnianie można wdrożyć za darmo za pomocą dodatku Jetpacka.
4. Zapobieganie atakom typu brute force
Ataki typu brute force polegają na tym, że hakerzy za pomocą botów odgadują tysiące kombinacji nazwy użytkownika i hasła, aż w końcu trafią na właściwą. Może to nie tylko umożliwić hakerom dostęp do witryny, ale także negatywnie wpłynąć na czas ładowania witryny ze względu na wzrost ruchu w sklepie.
Bezpłatna funkcja ochrony przed atakami typu „brute force” w Jetpacku to świetny sposób na zatrzymanie ich na samym początku. Automatycznie blokuje ona złośliwe adresy IP, zanim jeszcze dotrą do Twojej witryny, więc nie musisz się nimi przejmować.
5. Dodaj dodatkową warstwę ochrony terenu
Omówiliśmy już kilka sposobów zabezpieczania witryny, ale aby pójść o krok dalej, warto rozważyć wdrożenie większej liczby narzędzi zabezpieczających Jetpack. Oprócz dwuskładnikowego uwierzytelniania i ochrony przed atakami typu „brute force”, oferuje on:
- Skanowanie w poszukiwaniu złośliwego oprogramowania (płatne): Otrzymuj natychmiastowe powiadomienie o wykryciu złośliwego oprogramowania w witrynie, dzięki czemu możesz jednym kliknięciem rozwiązać problem i usunąć większość znanych zagrożeń. To tak, jakby ktoś pilnował Twojej witryny 24 godziny na dobę, 7 dni w tygodniu.
- Zapobieganie spamowi (płatne): Automatyczne usuwanie spamu z komentarzy i formularzy kontaktowych, który może sprawić, że Twoja witryna będzie wyglądać nieprofesjonalnie, a klienci będą trafiać do złośliwych witryn innych firm.
- Dziennik aktywności (bezpłatny): Śledź wszystko, co dzieje się w Twojej witrynie – od zaktualizowanych stron i nowych produktów po logowania użytkowników – wraz z informacją, kto i kiedy wykonał poszczególne czynności.
- Monitorowanie przestojów (bezpłatne): Dowiedz się natychmiast, jeśli Twoja witryna ulegnie awarii – co jest częstym wskaźnikiem włamania – abyś mógł szybko przywrócić ją do działania.
- Automatyczne aktualizacje wtyczek (bezpłatnie): Automatyczne aktualizowanie wtyczek, aby utrzymać płynność działania witryny i chronić ją przed hakerami.
6. Sprawdź i dostosuj ustawienia FTP
Protokół FTP (file transfer protocol) służy do przesyłania plików między dwoma urządzeniami. Za pośrednictwem dostawcy usług hostingowych można utworzyć konta FTP, które umożliwiają łączenie się z komputera z serwerem witryny. Jeśli złośliwy podmiot uzyska dostęp do tych kont, będzie mógł wprowadzić dowolną liczbę zmian w witrynie.
Jednak ograniczenie uprawnień na tych kontach może ograniczyć lub nawet całkowicie wyeliminować potencjalne szkody. Upewnij się, że tylko Twoje konto FTP ma dostęp do następujących folderów:
- root directory
- wp-admin
- wp-includes
- wp-content
Aby uzyskać więcej szczegółów na temat blokowania FTP, sprawdź tę sekcję o WordPress Codex.
7. Zawsze aktualizuj swoją witrynę
Proces aktualizacji WordPressa, WooCommerce i Twoich wtyczek lub rozszerzeń jest absolutnie krytyczny. Aktualizacje są wydawane z jakiegoś powodu i często sprawiają, że Twoja witryna jest bezpieczniejsza. Ignorując je, możesz narazić siebie – i swoich klientów – na niebezpieczeństwo.
Najlepszy sposób podejścia do tej kwestii? Wyznacz sobie regularny czas na przeglądanie aktualizacji, tworzenie kopii zapasowych i wdrażanie tych aktualizacji w witrynie. Jeśli nie chcesz się o to martwić, możesz również włączyć funkcję automatycznej aktualizacji w WordPressie.
8. Regularnie twórz kopie zapasowe swojego sklepu
Regularnie twórz kopie zapasowe swojego sklepu.
Przy zakładaniu sklepu priorytetem powinno być bezpieczeństwo
W całym zgiełku związanym z uruchomieniem sklepu łatwo stracić z oczu kwestię bezpieczeństwa, ale nie jest to coś, co należy traktować lekceważąco. Zapewnienie bezpieczeństwa danych klientów powinno być priorytetem od samego początku.
Wykonując te proste kroki, stworzysz podstawy bezpiecznego, godnego zaufania sklepu, który będzie dobrze chroniony w rzadkich przypadkach ataku.
Masz jakieś sugestie dla nowych właścicieli sklepów, którzy dopiero zaczynają myśleć o temacie bezpieczeństwa WordPressa i WooCommerce? Chętnie usłyszymy je w komentarzach.
Zajrzyj na nasze inne posty:
