Segurança WooCommerce: as oito coisas que você deve fazer primeiro

Publicados: 2021-03-26

Embora as medidas de segurança sejam incorporadas ao WordPress e ao WooCommerce, existem algumas coisas básicas que os novos proprietários de lojas devem fazer para manter seus clientes, equipe e dados seguros no caso de cenários de pior caso.

Aqui estão oito coisas que todos os novos donos de lojas WooCommerce devem fazer.

1. Escolha um host respeitável

Seu provedor de hospedagem armazena os arquivos e o banco de dados do seu site, o que permite que eles sejam visualizados por pessoas de todo o mundo. Seu host deve ter medidas para proteger esses arquivos contra hackers e malware — escolher o host errado pode colocar você e seus clientes em risco.

Idealmente, você deve encontrar um host que entenda bem o WordPress e indique claramente o que eles fazem para priorizar sua segurança. Procure recursos como:

  • Certificados SSL, que protegem os dados do cliente, como endereços e números de telefone.
  • Backups , para que, se algo der errado, você possa restaurar seu site por completo.
  • Monitoramento e prevenção de ataques, para que você saiba instantaneamente se algum malware for encontrado em seus arquivos ou banco de dados.
  • Um firewall de servidor, que impede que hackers acessem seus arquivos.
  • Acesso 24 horas por dia, 7 dias por semana ao suporte, caso você precise.
  • Software de servidor atualizado , como PHP e MYSQL.

A capacidade de isolar arquivos maliciosos, para que um vírus ou malware não possa ser movido para outros sites ou pastas no mesmo servidor.

planos de hospedagem recomendados pelo WooCommerce

Os hosts que você avalia devem ter uma página sobre segurança em seu site, portanto, você deve poder confirmar se seu host oferece ou não esses recursos. Se você precisar se aprofundar ou enviar e-mails para obter respostas, pode ser um sinal para ficar longe. Esta lista de provedores de hospedagem é um ótimo lugar para começar.

2. Crie (e armazene com segurança) senhas fortes

Embora a segurança possa começar com seu host, cabe a você seguir adiante. Escolha senhas seguras para todas e quaisquer contas associadas à sua loja.

Isso significa:

  • Usando senhas exclusivas para cada uma de suas contas.
  • Criando uma senha com uma mistura de letras maiúsculas, letras minúsculas, números e símbolos.
  • Evitar palavras, aniversários, aniversários ou outras frases que possam ser facilmente adivinhadas.
  • Priorizando o comprimento – quanto mais longa e complexa a senha, mais difícil é decifrar.

Preocupado se suas senhas são realmente seguras ou não? Não tenha medo: o WordPress possui um gerador de senhas seguro integrado que facilita a geração de combinações complexas e difíceis de adivinhar.

Mas lembrar de senhas difíceis pode ser complicado. Uma ótima solução é um gerenciador de senhas como LastPass ou 1Password (nosso favorito aqui no Woo). Eles armazenam suas senhas com segurança e as preenchem automaticamente em seus sites favoritos.

3. Ative a autenticação de dois fatores (2FA)

Se alguém obtiver acesso ao seu e-mail ou a outra conta, poderá coletar informações suficientes para redefinir sua senha e fazer login.

A autenticação de dois fatores, mais comumente abreviada como 2FA, é uma maneira fantástica de proteger suas contas online contra invasores indesejados . A 2FA depende de uma segunda etapa – normalmente seu smartphone – para validar logins e verificar se você é o proprietário.

O ideal é ativar o 2FA em todas as suas contas. Em circunstâncias normais, um indivíduo que obtiver acesso à sua conta de e-mail com sucesso poderá encontrar as informações de login da sua loja e de outras contas. Mas com o 2FA, eles não terão a capacidade de validar fisicamente os logins por meio de seu dispositivo móvel.

É verdade que adicionar esta segunda etapa também adiciona um pouco mais de tempo ao seu processo de login. Mas vale a pena ficar tranquilo sabendo que seus dados confidenciais estão seguros.

Você pode implementar a autenticação de dois fatores gratuitamente com o Jetpack.

4. Evite ataques de força bruta

Ataques de força bruta ocorrem quando hackers usam bots para adivinhar milhares de combinações de nome de usuário/senha até que finalmente encontrem a correta. Isso não apenas permite que hackers acessem seu site, mas também pode afetar negativamente o tempo de carregamento devido ao aumento do tráfego da loja.

O recurso gratuito de proteção contra ataques de força bruta do Jetpack é uma ótima maneira de detê-los. Ele bloqueia automaticamente endereços IP maliciosos antes mesmo de chegarem ao seu site, para que você não precise se preocupar com eles.

5. Adicione uma camada extra de proteção ao site

Já discutimos algumas maneiras de proteger seu site, mas para ir além, considere implementar mais ferramentas de segurança do Jetpack. Além da autenticação de dois fatores e proteção contra ataques de força bruta, ele oferece:

  • Verificação de malware (pago): receba um alerta instantâneo se um malware for encontrado em seu site para que você possa solucionar problemas e corrigir a maioria das ameaças conhecidas com um clique. É como ter alguém guardando seu site 24 horas por dia, 7 dias por semana.
  • Prevenção de spam (pago): Livre-se automaticamente de comentários e spam de formulários de contato que podem fazer você parecer pouco profissional e enviar clientes para sites maliciosos de terceiros.
  • Um registro de atividades (gratuito): Fique de olho em tudo o que acontece em seu site — desde páginas atualizadas e novos produtos até logins de usuários — junto com quem executou cada ação e quando.
  • Monitoramento de tempo de inatividade (gratuito): Saiba imediatamente se seu site cair – uma indicação comum de um hack – para que você possa recuperá-lo e executá-lo rapidamente.
  • Atualizações automáticas de plug-ins (gratuitas): atualize automaticamente os plug-ins para manter seu site funcionando sem problemas e protegido contra hackers.
Jetpack Scan no trabalho em um site

Saiba mais sobre como o Jetpack protege seu site WordPress.

6. Verifique e ajuste suas configurações de FTP

FTP (protocolo de transferência de arquivos) é usado para transferir arquivos entre dois dispositivos. Através do seu provedor de hospedagem, você pode criar contas FTP, que permitem que você se conecte do seu computador ao servidor do seu site. Se um agente mal-intencionado acessar essas contas, ele poderá fazer várias alterações em seu site.

Mas limitar as permissões nessas contas pode reduzir ou até eliminar completamente o potencial de danos. Certifique-se de que apenas sua conta FTP possa acessar as seguintes pastas:

  • O diretório raiz
  • wp-admin
  • wp-inclui
  • wp-conteúdo

Para mais detalhes sobre como bloquear seu FTP, confira esta seção do WordPress Codex. Seu anfitrião também deve ser capaz de ajudá-lo a tomar essas precauções.

7. Sempre atualize seu site

O processo de atualização do WordPress, WooCommerce e seus plugins ou extensões é absolutamente crítico. As atualizações são lançadas por um motivo e geralmente tornam seu site mais seguro. Ao ignorá-los, você pode estar colocando a si mesmo – e seus clientes – em risco.

A melhor maneira de abordar isso? Reserve um horário regular para revisar suas atualizações, fazer um backup e implantar essas atualizações em seu site. Se você não quiser se preocupar com isso, também pode ativar o recurso de atualização automática no WordPress.

8. Faça backups regulares de sua loja

Se o seu site for invadido, um backup é a maneira mais rápida e melhor de obter uma versão limpa e funcionando novamente.

restaurando um backup com o Jetpack

Escolha um plug-in de backup do WooCommerce que cuide disso para você automaticamente - recomendamos o Jetpack Backup:

  • Selecione entre backups diários, que ocorrem a cada 24 horas, e backups em tempo real, que ocorrem sempre que uma ação (produto adquirido, página atualizada etc.) ocorre em seu site.
  • Nunca se preocupe em perder as informações do pedido. Quer você restaure um backup de cinco minutos atrás ou cinco dias atrás, todas as informações do seu pedido serão salvas até o minuto.
  • Restaure com apenas um clique. Não se preocupe com um processo de restauração demorado e difícil. Basta encontrar a data e a hora para a qual deseja restaurar e clicar em um botão.

Ao iniciar sua loja, priorize a segurança

É fácil perder de vista a segurança em toda a agitação do lançamento de sua loja, mas não é algo que você deva ignorar. Manter os dados de seus clientes seguros deve ser uma prioridade desde o início.

Ao seguir estas etapas simples, você criará as bases para uma loja segura e confiável, bem protegida no caso raro de um ataque.

Tem alguma sugestão para novos donos de lojas que estão apenas começando a pensar sobre o tema de segurança do WordPress e WooCommerce? Adoraríamos ouvir de você nos comentários.