Na co zwracać uwagę przy zabezpieczeniu sklepu WooCommerce

Witryny pracujące w środowisku WordPress i WooCommerce, czyli w skrócie sklepy internetowe (jak założyć sklep internetowy) mają zdecydowanie wyższe priorytety w zakresie bezpieczeństwa niż inne niewielkie projekty. Wraz z rozwojem handlu w Internecie, a ten nie zwalnia, rośnie także gwałtownie ryzyko naruszeń bezpieczeństwa.

Nadzór nad bezpieczeństwem prowadzonego biznesu online jest podstawowym zadaniem każdego właściciela sklepu, podobnie jak w świecie offline trzeba zadbać o stan i normy w chociażby w prowadzonej restauracji na wypadek wszelkiej maści inspekcji i w trosce o Klienta oraz swoją renomę. Wszelkie problemy, które pojawiają się w Twoim sklepie internetowym, mogą podważyć zaufanie do twojej marki, a nie muszę tłumaczyć jakie to może nieść konsekwencje.

Chociaż nie ma 100% gwarancji w zakresie bezpieczeństwa danych, możesz chronić swoich Klientów i własną firmę, wdrażając kluczowe procedury, o których słów kilka poniżej.

Środki bezpieczeństwa po stronie serwera

Twój serwer hostingowy jest zawsze na pierwszej linii obrony przed atakami. Nawet jeśli masz najlepsze możliwe wtyczki bezpieczeństwa aktywne na swoim sklepie, to błędy po stronie konta hostingowego mogą sprawić, że te wtyczki będą bezużyteczne.

Na część ustawień hostingu masz wpływ, inne są całkowicie poza Twoim zasięgiem. Dlatego decydując się na hosting dla sklepu WooCommerce unikaj niskobudżetowych usług, które tworzone są z myślą o środowisku uniwersalnym, często niezabezpieczonym. Rozejrzyj się za hostingiem dedykowanym lub hostingiem, który koncentruje się na zapewnieniu optymalnych warunków pracy i bezpieczeństwa ekosystemu WordPress.

Poszukaj wysokiej jakości hostingu WordPress, który zapewni Ci możliwość wdrożenia i kontroli najważniejszych środków bezpieczeństwa po stronie usługi. Dla przykładu ochrona krytycznych katalogów WordPress przed zapisem czy wykonywaniem skryptów.

Dzięki takiej ochronie sam serwer utrudnia hakerom wykorzystanie luki w zabezpieczeniach motywu lub wtyczki, a luki zdarzają się i to wcale nie tak rzadko. Nawet niedawno przed opublikowaniem tego artykułu pojawiła się informacja o uchylonych drzwiach w popularnej wtyczce Elementor, która zainstalowana jest na ponad 7 milionach stron na świecie. Oczywiście twórcy szybko ją zamknęli, ale pozostaje pytanie ile osób korzystających z wersji wtyczki zawierającej lukę ma tego świadomość i ile z tych osób wykonało już aktualizacje.

Tego typu zabezpieczenia po stronie serwera, uniemożliwienie zapis, oznaczają że wszelkie próby z tym związane są rejestrowane, co może pomóc w sprawnym wykryciu złośliwej aktywności.

Nie zapomnij też o Certyfikacie SSL. To już standard i to wręcz wymagany w przypadku sklepów internetowych, ale wciąż trafiam na takie sklepy, które nie wykorzystują tego mechanizmu ochrony. Pamiętaj, aby go mieć i odnawiać.

Idąc dalej. Twój serwer powinien dysponować aktualnymi wersjami PHP. WordPress szybko się rozwija i nie zostaje w tyle za nowymi wersjami PHP. W momencie gdy piszę ten artykuł rekomendowana wersja PHP dla WP to 7.4, ale kilka miesięcy temu pojawiła się wersja 8.0 i sam core WordPressa jest już gotowy na pracę w tym środowisku.

Starsze wersje PHP, zwłaszcza te, które nie są dalej rozwijane i aktualizowane, mogą zawierać wiele niebezpiecznych furtek, którymi nawet początkujący haker dostanie się na Twoją stronę lub sklep. Zwracaj więc uwagę, czy Twój dostawca hostingu nie śpi i czy udostępnia Ci najnowszą wersję PHP. To nie tylko kwestia bezpieczeństwa, ale także wydajności. Nowsze wersje PHP działają po prostu szybciej niż stare.

Aktualizacja WordPressa, wtyczek i motywu

Wykonywanie regularnych aktualizacji, to jeden z najważniejszych czynników mający wpływ na bezpieczeństwo sklepu internetowego. Najczęstszym źródłem infekcji witryn jest luka w nieaktualnej wtyczce lub motywie. Dwa lata temu Sucuri w swoim raporcie poinformowało, że 56% zhakowanych witryn miało nieaktualne środowisko w momencie ataku. Daje do myślenia.

Gro z moich kursantów na PoznajWP mówi mi, że nie chcą aktualizować cokolwiek na swoim sklepie z obawy przed rozsypaniem się projektu. Jeśli jest taka obawa robimy testy aktualizacji na klonie, lub przed aktualizacją wykonujemy kopię bezpieczeństwa, żeby w razie problemu móc szybko przywrócić poprzednią działającą wersję. Aktualizacje wykonywać trzeba! Nie tylko wnoszą one nowe funkcje, ale także zawierają poprawki bezpieczeństwa. Na przykład aktualizacja WooCommerce 4.6.2 wydana w listopadzie 2020 r. zawierała poprawkę błędu, który umożliwiał anonimowym użytkownikom tworzenie konta podczas realizacji transakcji nawet jeśli ta opcja była w ustawieniach WP wyłączona. WooCommerce zachęcał wówczas właścicieli sklepów do natychmiastowego wdrożenia tej aktualizacji. Przeoczenie takich wydarzeń może narazić Cię na spore niebezpieczeństwo.

Nawet jeśli regularnie aktualizujesz wtyczki, możliwe jest, że jedna z nich została porzucona przez programistę. WordPress usuwa tego typu rozszerzenia z repozytorium, ponieważ mogą stanowić realne zagrożenie dla bezpieczeństwa i wydajności.

To akurat łatwo przeoczyć, bo usunięcie takiej porzuconej wtyczki z repo nie oznacza usunięcia jej z Twojej strony. Dlatego np. wtyczka WordFence może poinformować Cię, że masz wtyczkę, która została wyeliminowana z repozytorium WordPress.

Zobacz o ilu rzeczach związanych z bezpieczeństwem do tej pory napisałem, a to jeszcze nie koniec 🙂

Monitorowanie bezpieczeństwa

W zasadzie już o tym wspomniałem powyżej wymieniając wtyczkę WordFence. Monitorowanie stanu bezpieczeństwa, to kolejny element układanki, o który powinien zadbać każdy właściciel sklepu.

To przed czym chroni nas hosting i aktualizacje jakie przeprowadzamy nie jest gwarantem bezpieczeństwa. Nieustannie pojawiają się nowe zagrożenia, z których wiele to automatyczne ataki.

Poważnie rozważ skonfigurowanie całodobowego monitorowania bezpieczeństwa, aby wykryć wszelkie złośliwe oprogramowanie lub naruszenia. Zarówno darmowa, jak i płatna wersja wtyczki WordFence oraz płatne usługi takie jak Sucuri, BlogVault, WebTotem i inne, to często wykorzystywane mechanizmy monitoringu aktywności. Oferują skanery złośliwego oprogramowania i ostrzegają Cię o wszelkich podejrzanych ruchach.

Płatne usługi monitoringu mogą również obejmować automatyczne usuwanie złośliwego oprogramowania, co może pomóc w szybkim oczyszczeniu witryny po wystąpieniu jakichkolwiek problemu z bezpieczeństwem.

Inną praktyką związaną z ochroną jest zminimalizowanie liczby kont administratora WordPress. Sprawdzaj konta co kilka miesięcy i aktywnie usuwaj poprzednich pracowników lub współpracowników tudzież webmasterów, którzy nie powinni już mieć dostępu do kokpitu.

W przypadku sklepu, gdzie jakiekolwiek przestoje mogą negatywnie wpłynąć na wyniki sprzedaży, rozważ zabezpieczenie zaporą WAF, chociażby za pośrednictwem usług takich jak wymienione wcześniej lub hostingu WordPress, na którym WAF działa po stronie systemu serwera. Może to chronić witrynę przed złośliwym ruchem botów lub atakiem DDoS, który ma na celu wyłączenie serwera lub witryny przez zalanie jej falami żądań.

Bezpieczne płatności kartą

Sklep internetowy to także płatności i choć w Polsce płatności kartą za transakcje online wciąż nie są tak popularne jak na Zachodzie, to ten stan się zmienia. Kilka lat temu w naszych sklepach niewielki odsetek Klientów płacił kartą. Dziś w niektórych projektach ta forma wybierana jest nawet częściej od innych.

Każda witryna internetowa obsługująca transakcje kartami kredytowymi musi być zgodna ze standardem PCI-DSS – Payment Card Industry Data Security Standard. Te globalne standardy zostały ustanowione, aby pomóc ograniczyć oszustwa związane z kartami płatniczymi.

Jednym z najlepszych sposobów spełnienia tych wymagań jest użycie bezpiecznej bramki płatniczej, np. PayPal lub Stripe. WooCommerce obsługuje te standardy, nigdy nie przechowując danych karty kredytowej w sklepie.

Niestety, nawet jeśli przestrzegasz standardów i korzystasz z bezpiecznej bramki płatności, oszustwa w handlu elektronicznym mogą negatywnie wpłynąć na Twój sklep internetowy. Dość często zdarza się, że złodzieje testują skradzione karty właśnie w sklepach takich jak Twój.

Rozszerzenie WooCommerce Anti-Fraud jest doskonałym źródłem informacji o fałszywych transakcjach. Wtyczka ocenia każdą transakcję pod kątem ryzyka i można ją skonfigurować tak, aby automatycznie anulowała lub wstrzymała podejrzane operacje.

Ważne jest także, aby chronić sklep przed automatycznymi botami, które mogą tworzyć fałszywe konta i zamówienia. Dobrą obroną jest skonfigurowanie Google recaptcha za pomocą rozszerzenia Recaptcha for WooCommerce.

Kopie bazy danych

Stosowanie wcześniej wymienionych środków bezpieczeństwa to głównie prewencja. Najgorsze co może się przytrafić to sytuacja, w której Twój sklep zostanie skutecznie zaatakowany. Konsekwencją takiego zdarzenia może być całkowity paraliż sklepu, czy wręcz zniszczenie jego danych o produktach, zamówieniach, Klientach… To może przytrafić się każdemu, nawet najbardziej doświadczonej osobie z dużymi kompetencjami w zakresie bezpieczeństwa WordPress. Dlatego nie ignoruj konieczności tworzenia kopii przynajmniej samej bazy danych, która jest najważniejsza z punktu widzenia Twojego biznesu.

Ostatnie wydarzenia w OVH, kiedy to doszczętnie spłonęła serwerownia, tylko dowodzą faktu, że zagrożenia to nie tylko hakerzy.

Kopię bazy danych przechowuj na zewnątrz np. w swojej usłudze Google Drive, Microsoft OneDrive czy Dropbox. Wykonuj ją przynajmniej raz dziennie, a w sytuacji gdy sklep może pochwalić się znaczącym ruchem i sprzedażą rozważ wdrożenie usług kopii tworzonych w czasie rzeczywistym jak BlogVault.

Chodzi o to, że gdy Twój sklep zostanie skutecznie zaatakowany np. w godzinach wieczornych, a kopie są wykonywane raz na dobę w środku nocy, to przywrócenie bazy z tej kopii oznaczać będzie utratę danych Klientów i zamówień z całego dnia, co może okazać się sporym problemem. Kopie w czasie rzeczywistym pozwolą Ci uniknąć takich sytuacji.

O rozwiązaniach do backupów dla WordPressa napiszę w osobnym artykule, ponieważ to obszerny temat, a i samych narzędzi do tworzenia kopii jest bardzo dużo.

Podsumowanie

Wymienione procedury to najważniejsze składowe ochrony przed atakami jakie powinieneś zastosować w swoim sklepie internetowym. To nie jest tak, że uruchomisz sklep i na dobre zapominasz o jego bezpieczeństwie, a jedyne co Cię będzie interesowało, to złapanie możliwie największej ilości Klientów. Oczywiście sklep ma przede wszystkim sprzedawać, ale pamiętaj że jeśli zostanie zaatakowany i atak się powiedzie, sprzedaż stanie i nie wiadomo na jak długo.

Stosuj wszystko o czym napisałem powyżej, a unikniesz większości przykrych sytuacji, które być może dziś uważasz za nieprawdopodobne, bo niby dlaczego ma trafić akurat na Ciebie. Prawda jest taka, że większość właścicieli stron, które ucierpiały w przeszłości też tak myślało.

Traktuj bezpieczeństwo sklepu jako priotytet na równi ze sprzedażą. Nie odpuszczaj i staraj się być z tym zagadnieniem zawsze na bieżąco. Nie oddawaj tego w ręce webmastera, bo to często nie jest skuteczne. Ty zadbasz o sklep najlepiej, ponieważ ten konkretny sklep jest dla Ciebie ważny i cenny. To on generuje dochody, to on pozwala Ci się rozwijać i właśnie dlatego dbaj o niego, a z pewnością się odwdzięczy.