5 Suggerimenti per la sicurezza post-lancio per i negozi WooCommerce

Pubblicato: 2016-04-12

Come abbiamo spiegato in questa introduzione alla sicurezza di WooCommerce, creare le basi per un negozio sicuro e ben protetto richiede solo pochi passaggi. Ma la maggior parte dei suggerimenti che abbiamo offerto sono cose che faresti prima di lanciare il tuo negozio, o forse subito dopo.

La sicurezza non è qualcosa a cui puoi pensare una volta e mai più. Se non mantieni aggiornato il tuo negozio, presti attenzione alle tendenze di sicurezza o rafforzi le tue difese man mano che cresci e cresci, potresti metterti in una posizione molto vulnerabile... e anche mettere a rischio i tuoi clienti.

Esaminiamo alcuni altri modi in cui puoi proteggere il tuo negozio dopo il lancio.

1. Nascondi il numero di versione di WordPress

"Va bene", potresti dire, "cosa? In che modo questo mi tiene al sicuro?"

Bene, non è così, non direttamente. Ma se a volte sei un po' lento nell'aggiornare WordPress, una rapida occhiata al tuo codice sorgente potrebbe facilmente dire a un potenziale aggressore che sei potenzialmente più vulnerabile ad altri attacchi .

L'attuale versione di WordPress può essere trovata in tre punti:

Il meta tag del generatore nell'intestazione
Il meta tag generatore nel tuo feed RSS
Stringhe di query

Quindi, se sei una di quelle persone ben intenzionate che vuole testare i tuoi aggiornamenti per un giorno o due e ha bisogno di nascondere il numero di versione per una buona ragione, puoi usare il codice di Frankie Jarrett per nascondere il numero di versione a tutti tre di questi punti. Vai al suo post per prenderlo, quindi incollalo nel tuo file functions.php .

Un breve sguardo al codice, per gentile concessione di Frankie Jarrett.

Ancora una volta, nascondere la versione da sola non ti proteggerà: dovresti assolutamente mantenere aggiornati WordPress, WooCommerce e tutti i tuoi plugin ed estensioni . Ma comprendiamo anche che spesso c'è un divario tra test e implementazione, quindi questo può aiutarti a mantenerti al sicuro nel frattempo.

2. Forza SSL sulle tue pagine di pagamento

La sicurezza inizia con una connessione sicura. Seguendo questo suggerimento, puoi essere assolutamente sicuro di proteggere i tuoi clienti da occhi spia mentre inseriscono informazioni sensibili di fatturazione e spedizione al momento del pagamento.

Con l'impostazione "Forza checkout sicuro" abilitata in WooCommerce, tutte le pagine associate al processo di checkout saranno forzate a utilizzare HTTPS (ovvero una connessione sicura) ogni volta che vengono caricate.

Poiché solo il browser di un cliente e il tuo negozio possono decrittografare le informazioni inviate tramite una connessione HTTPS, selezionare questa casella assicura che il tuo checkout sia sicuro e che nessuno con intenzioni dannose possa dare un'occhiata ai numeri di carta di credito o ad altre informazioni sensibili che fluiscono in e fuori dal tuo negozio.

Didascalia — Forzare il check-out sicuro protegge te e i tuoi clienti. L'unico prerequisito è un certificato SSL.

Questa impostazione può essere attivata e disattivata in WooCommerce andando su WooCommerce > Checkout e attivando o disattivando la seconda casella di controllo.

Tieni presente che è necessario un certificato SSL valido affinché questa impostazione funzioni correttamente nel tuo negozio. Se non hai ancora acquisito un certificato SSL, leggi questa guida per saperne di più sul perché sono importanti e su come ottenerne uno a un costo minimo o gratuito.

Puoi saperne di più su questa impostazione in WooCommerce leggendo questa pagina nei nostri documenti.

3. Rendi i backup e le scansioni di sicurezza un evento quotidiano

Nel nostro primo post sulla sicurezza, ti consigliamo di utilizzare un software affidabile per scansionare il tuo sito alla ricerca di potenziali vulnerabilità, attacchi di forza bruta o malware. Ora che hai lanciato, è tempo di portare le cose al livello successivo.

Con il tuo negozio attivo e funzionante, sia i backup che le scansioni di sicurezza dovrebbero essere eseguiti su base giornaliera . I backup sono fondamentali perché ti danno qualcosa su cui fare affidamento in caso di perdita di dati, mentre le scansioni di sicurezza impediscono che tale perdita (o infezione) si verifichi in primo luogo.

Puoi impostare la frequenza di scansioni, backup e notifiche a tuo piacimento, ma ti consigliamo un backup giornaliero e almeno una scansione giornaliera . Alcune soluzioni offrono backup in tempo reale e scansioni più frequenti (anche la protezione dell'accesso a forza bruta di Jetpack è in tempo reale), ma puoi aumentare o diminuire la frequenza come preferisci.

Se sei ancora alla ricerca di una soluzione di backup e sicurezza affidabile ed efficace, i piani Jetpack Premium vengono forniti in bundle con i backup e i clienti WooCommerce possono risparmiare il 15% all'istante . Ottieni Jetpack per la massima tranquillità sin dal primo giorno.

4. Modifica il prefisso predefinito utilizzato nei database di WordPress

Per quanto strano possa sembrare, ci sono alcune persone cattive là fuori che organizzano attacchi ai siti Web per il proprio divertimento. Anche se potresti pensare che il tuo negozio sia sicuro al 100%, ci sono alcune vulnerabilità minori che questi spammer e hacker troveranno e sfrutteranno, se ne avranno la possibilità.

Una potenziale vulnerabilità nota deriva dall'uso delle impostazioni predefinite della tabella del database durante l'installazione e l'installazione di WordPress. La modifica di queste impostazioni potrebbe aiutare a prevenire l'iniezione di codice dannoso nel server.

Il prefisso predefinito per le tabelle del database utilizzate per memorizzare le informazioni di WordPress è wp_. Poiché la maggior parte dei proprietari di negozi non modifica questo prefisso durante l'installazione (o non ha nemmeno la possibilità di farlo, a seconda della procedura di installazione/host), l'utilizzo dell'impostazione predefinita potrebbe metterli a rischio di un attacco SQL injection (tra gli altri ) , tutto perché gli hacker conoscono perfettamente il nome di queste tabelle predefinite.

A questo punto, ovviamente, probabilmente hai già configurato WordPress e WooCommerce. Ma non è troppo tardi per modificare queste impostazioni. Una o due query SQL eseguite in phpMyAdmin ti metteranno in chiaro in pochissimo tempo.

Con un po' di SQL ben posizionato, puoi rinominare i prefissi delle tabelle e aggiungere un altro livello di sicurezza alla tua installazione di WordPress. (Credito immagine: scavare nel WP)

Dai un'occhiata a questo tutorial dettagliato e incredibilmente utile di Digging Into WP per imparare come modificare i prefissi delle tabelle del database in qualcosa di molto più complesso e molto, molto più sicuro.

Le query SQL non fanno per te? Ci sono alcuni plugin gratuiti in giro che faranno la stessa cosa, ma fai attenzione: consentire l'accesso illimitato al tuo database SQL può essere pericoloso . Per lo meno, disinstalla un plug-in come questo una volta che hai finito con esso, quindi non c'è potenziale per future rinominazioni non intenzionali.

5. Sbarazzati del tuo account "amministratore".

Questo ultimo consiglio potrebbe sembrare fastidioso per alcuni di voi, o forse anche come conoscenza generale per altri. Ma è fondamentale, quindi abbiamo voluto prenderci il tempo per enfatizzarlo qui.

L'utilizzo dell'account amministratore predefinito integrato in WordPress non è consigliato quando gestisci un negozio online . Proprio come i prefissi delle tabelle del database, gli hacker sanno che questo account (molto probabilmente) esiste per impostazione predefinita, il che offre loro una migliore opportunità per entrare con la forza bruta.

Anche account dal suono simile, come "testadmin", "administrator" o "owner" mettono a rischio il tuo negozio: sono altrettanto facilmente intuibili. Come spiega la pagina Attacking WordPress su HackerTarget.com (non preoccuparti, è una risorsa per i consigli, non una guida per l'hacking), una volta che un hacker sa che esiste un account, può utilizzare rapidamente uno strumento per indovinare la tua password :

[…]. Sono state testate 500 password rispetto all'account "testadmin" (rilevato durante l'enumerazione degli utenti). Quelle 500 password sono state testate in 1 minuto e 16 secondi! Mentre il test era in esecuzione, il sito continuava a rispondere; un amministratore di un server Web non avrebbe idea che l'attacco sia avvenuto senza una sorta di sistema di monitoraggio dei registri di sicurezza in atto.

Potrebbero aver sbagliato la password, ma ora sanno qualcos'altro: questo account esiste. (Credito immagine: HackerTarget.com)

La morale della storia: i tuoi account di amministratore dovrebbero essere nominati in modo univoco e difficilmente intuibili da qualcuno con intenzioni dannose . Usa un soprannome univoco, un nome completo con più iniziali intermedie o qualcos'altro che non può essere indovinato facilmente (ad esempio, il tuo nome e cognome o il nome del tuo negozio).

E ricorda di utilizzare password sicure , quindi anche se qualcuno indovina il nome del tuo account, non sarà comunque in grado di accedere. Se hai bisogno di un aggiornamento su cosa è sicuro e cosa non lo è, consulta la sezione n. 2 in questo post.

Prendi sul serio la sicurezza una volta che il tuo negozio è online

Sebbene ci siano molte cose che puoi fare per rendere sicuro un negozio prima del lancio, la sicurezza dovrebbe essere una preoccupazione costante per i proprietari dei negozi, non una cosa "fatta e basta" . Seguendo questi suggerimenti e mantenendo aggiornati il tuo negozio e WordPress, sarai in un'ottima posizione per mantenere i tuoi clienti e il tuo team al sicuro.

Hai domande sui suggerimenti per la sicurezza consigliati in questo post? O meglio ancora, qualche tuo consiglio avanzato da condividere? Accogliamo con favore i tuoi commenti e pensieri nei commenti qui sotto.