Melhores práticas de segurança para seu site WooCommerce
Publicados: 2019-02-02Sites de comércio eletrônico são o alvo mais fácil para hackers. É importante que os desenvolvedores da Web e administradores de sistema estejam atualizados com os problemas de segurança.
Os desenvolvedores usam uma tonelada de conjuntos de codificação de diferentes fontes, plugins, extensões e componentes que às vezes operam de forma independente. Eles seguem práticas básicas de segurança de codificação ao criar o site de comércio eletrônico. As medidas de segurança do lado do servidor também oferecem um nível de segurança decente.
Os hackers estão muito bem cientes dessas construções de infraestrutura virtual e protocolos de segurança. Scanners eficazes estão disponíveis hoje para verificar e relatar todo o sistema e mecanismos de segurança em vigor. Você também pode usar a ferramenta certa para eliminar vulnerabilidades.
Neste artigo, gostaria de sugerir algumas práticas recomendadas de segurança para sites de comércio eletrônico para proteger seus negócios contra roubo de dados e impedir que hackers usem sua plataforma de negócios online como playground.
Práticas básicas de segurança
Desenvolvedores Web e Administradores de Servidor sempre seguem todas as práticas básicas de segurança necessárias. Alguns deles são,
- Configurando permissões adequadas para arquivos e pastas no servidor.
- Senha Protegendo contas de administrador e contas de usuário.
- Validando entradas do usuário em áreas de autenticação.
- Desenvolvedores Web seguindo os Parâmetros de Prevenção de SQL Injection no Banco de Dados e Funções usadas nos scripts.
- Testar o site/aplicativo completamente antes de implantar no servidor de produção.
e assim por diante…
Vamos ver a lista de práticas de segurança que gosto de sugerir que você siga em seu site de comércio eletrônico. Ao fornecer recursos mais flexíveis para seu site de compras online, é importante fazer com que os clientes sintam que seu site é 100% seguro e tranquilo para transações também.
A proteção dos dados do cliente deve ser a principal prioridade. Os hackers estão sempre curiosos sobre as áreas que os desenvolvedores e administradores às vezes não percebem. Um backdoor ou erro é tudo o que eles precisam para comprometer todo o site ou servidor web.
- Cuide do núcleo
Hoje, a maioria dos sites de compras on-line executa softwares populares de código aberto e comércio eletrônico comercial. Os desenvolvedores simplesmente desabilitam ou removem os recursos que seus clientes não desejam. Escreva código ou adicione algumas extensões para trazer recursos ausentes que os proprietários de empresas solicitam.
Os hackers simplesmente começam sua busca aleatoriamente por sites que usam esse software de comércio eletrônico de código aberto ou popular.
É muito importante manter o núcleo atualizado. Você deve certificar-se de que o software de comércio eletrônico que você usa está recebendo patches de segurança adequados e correções de bugs de seus desenvolvedores periodicamente ou com frequência.
Wordpress + WooCommerce, Joomla + WooCommerce ou Drupal, seja qual for a plataforma em que seu site de comércio eletrônico está sendo executado, verifique se a plataforma Core está recebendo atualizações.
Como usuário do plugin Flycart, estou feliz por estar recebendo atualizações periódicas com correções de bugs e melhorias de desempenho.
- Plugins/Extensões de Fontes Confiáveis
Sempre certifique-se de que o desenvolvedor do seu site que está gerenciando seu site de comércio eletrônico esteja obtendo os plug-ins, componentes e extensões do site apenas de fontes confiáveis. Nunca incentive práticas como simplesmente usar um plugin porque é gratuito ou copiar os scripts e códigos de fontes aleatórias.
Uma das más práticas de codificação seguidas por novos desenvolvedores e programadores da web é pesquisar no google e copiar os trechos de código e, às vezes, os scripts inteiros sem verificar as fontes corretamente.
Isso fará com que os hackers façam as tarefas de localização de backdoor muito mais fáceis.
Economizar alguns dólares fará com que você perca milhares quando ocorrer uma tentativa de invasão bem-sucedida, o que coloca os dados do cliente, os dados financeiros e os dados privados em grande risco.
- Segurança do painel de administração
Parece uma garrafa de mel. /admin/, /administrator/, /login/ são alguns dos nomes de pastas mais usados por desenvolvedores da web e a primeira chave de busca por hackers em seu site.
Encontrar qualquer tipo de ataque de validação de entrada, CSS, XSS e outros tipos de ataques torna o trabalho muito mais fácil para qualquer hacker.
Proteger essas áreas de login e especialmente os diretórios do administrador com .htaccess é um nível muito básico de medida de segurança que os desenvolvedores da Web devem fazer. Além disso, configurar a lista negra de IP no mod_security (se for servidor Apache) é essencial para evitar ataques de script de força bruta por um hacker.
- Processo de backup de rotina
Sempre certifique-se de que um processo de backup periódico esteja em vigor para todo o site. No caso de qualquer tipo de ataque de desfiguração de sites ou exclusão de dados, é muito importante restaurar seus dados muito recentes do seu servidor de backup para evitar qualquer grande perda de dados financeiros.
A maioria das empresas de hospedagem na web oferece backup como um recurso adicional que você precisa comprar. Claro, é caro para as empresas de hospedagem manter esses backups.
Minha recomendação será, não tente economizar dinheiro com backups e verifique se você configurou o servidor para fazer backup de roteamento de todo o seu site, incluindo banco de dados também.
- Implantar um sistema de monitoramento de nível de aplicativo
Os serviços de segurança da Web, como o CloudFlare, oferecem um excelente sistema de monitoramento de sites/aplicativos da Web. Você saberá os detalhes completos de quem está visitando seu site e acessando quais conjuntos de diretórios e pastas. Em vez disso, dependendo dos softwares de análise regulares, é muito importante implantar um sistema de monitoramento no nível do aplicativo para monitorar e registrar regularmente o acesso do usuário e os eventos que ocorrem em seu site de compras.
Quando você tem vários administradores, funcionários e áreas de login de clientes, é importante monitorá-lo regularmente. Certifique-se de que todas as tentativas de login bem-sucedidas sejam registradas e as tentativas com falha também sejam sinalizadas.
Esses logs devem conter o endereço IP, informações do SO e outros dados de carimbo de data/hora também.
Os firewalls de nível de aplicativo são comprovadamente eficazes e devem estar em vigor para facilitar o gerenciamento de um site de comércio eletrônico.
- Aplicativos de teste de segurança de terceiros
O desenvolvedor do seu site de comércio eletrônico pode ter certas ferramentas de teste para realizar a verificação e validação após o desenvolvimento. Os hackers sempre pensam alguns passos à frente do que os passos seguidos pelas antigas práticas de testes regulares das organizações.
Sucuri é o meu favorito quando se trata de avaliação de segurança de sites e aplicativos da web. O favorito dos hackers será a ferramenta de avaliação de vulnerabilidade Nessus. O Nessus é um software eficaz para encontrar essas práticas de codificação ruins que existem em qualquer aplicativo da Web.
Sucuri e Cloudflare, ambos oferecem bastante tranquilidade para usuários iniciantes e organizações empresariais não se preocuparem muito com tentativas de hackers. Basta redirecionar todo o tráfego do seu site através deles, e eles lidam com qualquer tentativa de hacking, execução de script por hackers maliciosos e também aumentam a velocidade da página do seu site.
Eu realmente aprecio sua paciência em passar por todas essas mais de 1000 palavras :) Espero que você ache este artigo útil e tenha lhe dado uma melhor compreensão das possíveis ameaças que seu site de comércio eletrônico pode enfrentar.
Obrigado por ler e sinta-se à vontade para compartilhar uma palavra sobre essas práticas recomendadas de segurança para sites de comércio eletrônico, se achar útil. Tenha um ótimo dia.
Informações do autor:
Robin é consultor de segurança, blogueiro de tecnologia e Youtuber. Ele é tão apaixonado por ensinar e aprender constantemente novas tecnologias. Você pode encontrar suas Regras de desconto para WooCommerce - postagem de blog de revisão Pro no DailyTut.