Blog

Ευπάθεια ασφαλείας WordPress & WooCommerce.

woo secur (1)
Blog / Woocommerce

Ευπάθεια ασφαλείας WordPress & WooCommerce.

Το τρέχον εμπορικό περιβάλλον καθιστά τον κλάδο του ηλεκτρονικού εμπορίου αναπόσπαστο μέρος της παγκόσμιας οικονομίας. Αυτό σημαίνει ότι οι πλατφόρμες που αναπτύσσουν το ηλεκτρονικό εμπόριο πρέπει να διατηρούν εκτεταμένη ασφάλεια για πολλούς και σημαντικούς λόγους. Ωστόσο, μια από τις κορυφαίες σε επιλογή πλατφόρμες ηλεκτρονικού εμπορίου, γνωστή ως WooCommerce, αντιμετωπίζει προβλήματα σε θέματα ασφαλείας στον κυβερνοχώρο. Συνολικά, υπάρχουν περισσότεροι από 5 εκατομμύρια ιστότοποι που έχουν εγκαταστήσει το WooCommerce Plugin. 

Τι είναι το WooCommerce;

Το WooCommerce είναι ένα δωρεάν πρόσθετο του WordPress. Έχει αναφερθεί σε προηγούμενα άρθρα ότι το WooCommerce τροφοδοτεί περισσότερο από το 40% των διαδικτυακών επιχειρήσεων. Είναι εφικτή η πρόσβαση σε αυτό από τον κατάλογο προσθηκών και έτσι αποκτάται η γνώση όλων των βασικών στοιχείων για τη δημιουργία μιας διαδικτυακής επιχείρησης, την πώληση φυσικών ή ψηφιακών αγαθών. 

Επιπλέον, το πρόσθετο μπορεί επίσης να βοηθήσει στη λειτουργία ιστοτόπων ή μπορεί να χρησιμοποιηθεί για να χειριστούν αγορές για εκτυπώσιμα και διάφορα άλλα προσαρμοσμένα προϊόντα. Είτε η απασχόληση έχει να κάνει με την πώληση μερικών προϊόντων είτε με μια startup λιανικής για την άνθηση μιας επιχείρησης, μπορεί το WooCommerce να χρησιμοποιηθεί για να προστεθούν όλες τις σημαντικές δυνατότητες ηλεκτρονικού εμπορίου σε έναν ιστότοπο στο WordPress. 

Woocommerce, ένα plugin του WordPress για το ηλεκτρονικό εμπόριο.

Η δημιουργία και η λειτουργία του καταστήματός WooCommerce μαζί με ένα βασικό κοινό πρόγραμμα φιλοξενίας είναι εύκολη. Η συγκεκριμένη φιλοξενία θα τροφοδοτήσει, με δυνατότητες και υποστήριξη, μια επιχείρηση και θα βοηθήσει στη δημιουργία μιας επωνυμίας. Τα πρόσθετα WooCommerce συνοδεύονται από λειτουργίες πληρωμών και καλαθιού αγορών και υποστηρίζει επίσης μια εκτεταμένη γκάμα επιλογών. Χρησιμοποιώντας αυτές τις επιλογές μπορεί να ρυθμίσει κανείς αποκλειστικές εκδηλώσεις, προϊόντα και σελίδες προορισμού.

Πρόσφατα υπήρξε σύγκριση της συγκεκριμένης πλατφόρμας του WooCommerce με μια κορυφαία του χώρου για κατασκευή καταστήματος ηλεκτρονικού εμπορίου, “Magento vs WooCommerce. Τι είναι καλύτερο για μια online επιχείρηση;“.

Τι ζημιά μπορεί να προκαλέσει ένας “εισβολέας” στο WooCommerce;

Οι χάκερς χρησιμοποιούν μερικές από τις δημιουργικές και παράνομες μεθόδους όταν πρόκειται να παραβιάσουν ιστότοπους WordPress και WooCommerce. Αν και δεν υπάρχουν εμφανείς ενδείξεις για να διαπιστωθεί εάν ένας ιστότοπός έχει παραβιαστεί ή όχι, η ανίχνευση μερικών από τα κοινά σημάδια που έχουν παραβιαστεί στο WordPress θα βοηθήσει. 

  • Μη εξουσιοδοτημένη ανακατεύθυνση ιστότοπου σε άλλη διεύθυνση URL, γνωστή και ως hack ανακατεύθυνσης κακόβουλου λογισμικού του WordPress. 
  • Ακατάλληλο περιεχόμενο στην αρχική σελίδα του ιστότοπου. 
  • Περιορισμένη πρόσβαση στον πίνακα ελέγχου διαχειριστή. 
  • Μια ασυνήθιστη μείωση της επισκεψιμότητας, η οποία μπορεί να οφείλεται στο προειδοποιητικό μήνυμα της μαύρης λίστας της Google ή στον ιστότοπο που εμφανίζει το μήνυμα “Αυτός ο ιστότοπος μπορεί να παραβιαστεί” στα αποτελέσματα αναζήτησης. 
  • Σφάλματα στο πρόγραμμα περιήγησης. 
  • Απροσδόκητη αύξηση στην εγγραφή ιστοτόπων.

 

Ασφάλεια της πλατφόρμας ηλεκτρονικού καταστήματος, το πλέον σημαντικό για τη διασφάλιση προσωπικών δεδομένων.

Πολλές αποτυχημένες προσπάθειες σύνδεσης.

Είναι υψίστης σημασίας η λειτουργία της ταυτότητας 2 παραγόντων και επιλογή ισχυρών κωδικών πρόσβασης για να μείνουν σε απόσταση όσοι θέλουν να βλάψουν το ηλεκτρονικό κατάστημα (χάκερς). Αλλά, αν παραμείνει επιτρεπτό σε έναν χάκερ να εισαγάγει κωδικούς πρόσβασης χιλιάδες φορές, μπορεί να τον πετύχει κάποια στιγμή. Για την ακρίβεια, χρησιμοποιούν δίκτυα bots για να δοκιμάσουν διαφορετικούς συνδυασμούς κωδικών πρόσβασης. 

Δυστυχώς, το WooCommerce δεν διαθέτει πρωτόκολλο ασφαλείας για τον περιορισμό αυτών των προσπαθειών σύνδεσης. Ο πίνακας διαχειριστή του είναι ανοιχτός σε κάθε άτομο που θέλει να συνδεθεί. Ωστόσο, δεν υπάρχει σύστημα αναγνώρισης που να απαγορεύει τις προσπάθειες σύνδεσης σε εκείνες τις διευθύνσεις IP που είχαν εμπλακεί νωρίτερα σε διαδικτυακές επιθέσεις. 

Για να διορθωθεί αυτό, χρειάζεται ένα πρόσθετο για να αποκλειστούν αυτές τις άγνωστες διευθύνσεις IP που εισάγουν επανειλημμένα λάθος κωδικούς πρόσβασης. Και εκεί μπαίνει το πρόσθετο WP όπως το Wordfence. Μετά την εγκατάσταση, μπορούν να αναγνωρίσουν άγνωστες διευθύνσεις IP με πολλές αποτυχημένες προσπάθειες. Αποκλείει αυτές τις διευθύνσεις IP από την προσπάθεια σύνδεσης. Επομένως, ο μόνος τρόπος για να συνδεθεί κάποιος είναι να ζητήσει την έγκριση του διαχειριστή, προσδίδοντας αρκετή προστασία στο WooCommerce κατάστημα.

Απουσία κρυπτογράφησης δεδομένων.

Δυστυχώς, το WooCommerce δεν διαθέτει ενσωματωμένο σύστημα προστασίας δεδομένων. Αυτός είναι ο λόγος για τον οποίο είναι καλύτερο να υπάρχει ένα εργαλείο τρίτου μέρους για την προστασία του ιστότοπού από τους χάκερς. Αν και αυτό το σημείο δεν έχει άμεση σχέση με τα τρωτά σημεία του WooCommerce, επηρεάζει άμεσα την ασφάλεια ενός ηλεκτρονικού καταστήματος. Εάν οι εισβολείς καταφέρουν να δουν τι μεταφέρεται μεταξύ του καταστήματος και των πελατών, μπορούν να κλέψουν ευαίσθητα δεδομένα όπως διευθύνσεις email, τραπεζικά στοιχεία, στοιχεία πιστωτικής/χρεωστικής κάρτας, ονόματα χρήστη κ.λπ.

 

Σημασία της κρυπτογράφησης δεδομένων.

Είτε πρόκειται για ιστότοπο ηλεκτρονικού εμπορίου είτε απλή ιστοσελίδα, το SSL είναι υποχρεωτικό για όλους. Η Google θεωρεί το SSL ως αποφασιστικό παράγοντα κατά την κατάταξη των τοποθεσιών στο SERP της (Search Engine Results Pages). Το SSL διαδραματίζει σημαντικό ρόλο στους ιστότοπους ηλεκτρονικού εμπορίου, επιτρέποντάς τους να δέχονται πληρωμές στο διαδίκτυο. Σύμφωνα με τις οδηγίες του Payment Card Industry, κάθε ιστότοπος ηλεκτρονικού εμπορίου πρέπει να διαθέτει SSL για ηλεκτρονικές συναλλαγές. Τα πιστοποιητικά SSL που γενικά θεωρούνται αξιόπιστα για WooCommerce, είναι τα οικονομικά, rapidSSL ή πιστοποιητικά Comodo SSL και προέρχονται από τον οίκο των αξιόπιστων CA.

Διενέξεις προσθέτων και plugins.

Υπάρχει τάση να τοποθετούνται πάρα πολλά Plugins για να φαίνεται καλύτερος ο ιστότοπος ή το ηλεκτρονικό κατάστημα. Αλλά αυτό προκαλεί αρκετά προβλήματα στις λειτουργίες τους. Τα διαφορετικά πρόσθετα έχουν σχεδιαστεί για να ρυθμίζουν το backend, με τον δικό τους τρόπο. Όταν εγκαθίστανται πολλαπλά του ίδιου τύπου σε έναν ιστότοπο, όλα προσπαθούν να αποκτήσουν πρόσβαση με αποτέλεσμα να μην εξελίσσεται η λειτουργικότητα του. Η κατάσταση χειροτερεύει ακόμη και όταν αυτά τα Plugins εγκαθίστανται για λόγους ασφαλείας. Υπερβολικά πολλά Plugins που διαχειρίζονται την ασφάλεια ενός μεμονωμένου ιστότοπου WooCommerce μπορεί να προκαλέσει πολλά τρωτά σημεία ασφαλείας.

Ωστόσο, υπάρχουν πλατφόρμες όπως η Magento, στην οποία η ύπαρξη επεκτάσεων κατέχει ουσιαστικό ρόλο, “Πόσο σημαντικά είναι τα Magento Modules;

Θα πρέπει να σταματήσει άμεσα η εγκατάσταση πολλών προσθηκών. Σε καμία περίπτωση δεν μπορούν να βοηθήσουν τον ιστότοπό στο WooCommerce να γίνει ασφαλής. Το Plugin είναι εκεί για να διευκολύνει ορισμένες διαδικασίες, όπως η συμπλήρωση φορμών επικοινωνίας, τα αναδυόμενα παράθυρα για εγγραφή στο ενημερωτικό δελτίο και ο εντοπισμός πιθανών απειλών. 

Πάρα πολλά λοιπόν από αυτά του ίδιου είδους προσθέτων θα εμποδίσουν το ένα τη δουλειά του άλλου. Επιπλέον, δεν είναι όλα τα πρωτόκολλα ασφαλείας τόσο ασφαλή όσο ένα πιστοποιητικό SSL. Όταν εγκαθίσταται μια προσθήκη ασφαλείας, δίνεται πρόσβαση στο backend ολόκληρου του ιστότοπού. Έτσι, εάν αυτά τα Plugins παραβιαστούν, ο ιστότοπός θα βρεθεί σε τεράστιο κίνδυνο παραβίασης δεδομένων. Γι’ αυτό είναι καλύτερο να μην προτιμούνται πολλά Plugins για ασφάλεια. Εάν πρέπει, ιδανικό είναι να υπάρχει εμπιστοσύνη μόνο σε αυτά που έχουν τις καλύτερες κριτικές και βαθμολογίες στο Google.

Έλεγχος διένεξης προσθέτων στο WooCommerce.

Μη ύπαρξη αυτόματων ενημερώσεων πλατφόρμας.

Εκατομμύρια ιστότοποι βασίζονται στο WordPress για την καθημερινή τους λειτουργία. Ωστόσο, μια παραβίαση ασφαλείας μπορεί να παρεμποδίσει σημαντικά όλες εκείνες τις επιχειρήσεις που βασίζονται σε αυτό.

Δυστυχώς, το WooCommerce ή το WordPress δεν έχουν διαθέσιμη αυτόματη ενημέρωση. Αυτό σημαίνει ότι οι χρήστες πρέπει να ελέγχουν τακτικά για ενημερώσεις για να διασφαλίζουν ότι η βάση του λογισμικού τους είναι ισχυρή.

Δεν υπάρχει κάποιος μαγικός ή αυτοματοποιημένος τρόπος για την επίλυση του συγκεκριμένου προβλήματος, παρά μόνο και πάλι η ύπαρξη ενός άλλου plugin. Αν και είναι μια καλή άσκηση να ελέγχονται τακτικά οι ενημερώσεις, συνίσταται να χρησιμοποιηθεί το πρόσθετο WP όπως το Companion Auto Update εάν δεν υπάρχει η δυνατότητα τακτικού ελέγχου. Η συνοδευτική αυτόματη ενημέρωση θα στέλνει μια ειδοποίηση μέσω email κάθε φορά που υπάρχει διαθέσιμη ενημέρωση. Αυτό απαλλάσει από τον συνεχή έλεγχο για τη διαθεσιμότητα νέων ενημερώσεων. 

Επίλογος.

Υπάρχει μια τεράστια λίστα από ευπάθειες σε θέματα ασφαλείας που αφορούν το WordPress και κατ επέκταση το WooCommerce. Ωστόσο, ενδέχεται να είναι πιο εξειδικευμένα σε κάθε περίσταση όπως και ο τρόπος που επιλύονται. Έτσι, αν γίνει η επιλογή του WooCommerce ως πλατφόρμα του καταστήματος ηλεκτρονικού εμπορίου, θα πρέπει να συνυπολογιστεί ο παράγοντας ασφαλείας, ο πλέον σημαντικός για την διασφάλιση δεδομένων των πελατών και της εγγύησης παροχής υπηρεσιών.

 

 

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare