Corrija as falhas de segurança para uma compra mais segura do WordPress
Ao configurar um site de comércio eletrônico no WordPress, a segurança precisa ser sua prioridade número um. Sempre que você estiver lidando com informações pessoais ou dados financeiros de pessoas, você precisa ter cuidado redobrado. Deixar de mostrar que você é um fornecedor confiável por meio de logotipos de segurança reconhecíveis e isso pode fazer com que você perca clientes. Mas não levar em conta a segurança pode resultar em um resultado muito pior: roubo e perda de dados.
Este é o pior pesadelo do proprietário do site de comércio eletrônico. Felizmente, você não precisa deixar isso acontecer com você. Aqui, discutirei alguns dos problemas de segurança mais comuns enfrentados pelos sites de comércio eletrônico baseados em WordPress e orientarei você nas etapas necessárias para corrigir essas falhas de segurança de uma vez por todas.
Etapa 1: SSL
Ao trabalhar no espaço de comércio eletrônico, uma coisa que você absolutamente não pode comprometer é o SSL. Isso é Secure Sockets Layer para não iniciados e protege informações confidenciais (suas e de seus clientes) enquanto estão sendo transmitidas para processamento. Uma boa maneira de garantir que os pagamentos em seu site sejam seguros é usar um sistema popular como o PayPal. Isso mantém todas as informações financeiras fora do seu site e nas mãos de uma empresa especializada em proteger transações como essa.
Embora um SSL curinga possa ser caro, muitas das melhores opções de hospedagem do WordPress oferecem SSL gratuito por meio do Let’s Encrypt . É rápido, fácil e totalmente gratuito.
Etapa 2: use uma plataforma pronta
Uma maneira de aumentar a segurança do site é usar uma plataforma de comércio eletrônico pronta. Isso elimina a adivinhação em termos do que você deve e não deve incluir e torna muito mais fácil começar. Existem várias plataformas por aí, como WooCommerce, Shopify e outras. Portanto, faça sua pesquisa para encontrar uma plataforma de comércio eletrônico que atenda adequadamente às suas necessidades.
Se você decidir usar apenas um tema do WordPress, é melhor usar apenas aqueles que você encontra no diretório do WordPress ou em sites de temas respeitáveis. Temas de baixa qualidade geralmente não possuem as medidas de segurança apropriadas, o que coloca em risco o seu site e as informações de seus clientes.
Etapa 3: modifique .htaccess
Outra maneira de corrigir possíveis problemas de segurança do WordPress é modificar o arquivo .htaccess. Muitos ataques ao site são executados no banco de dados que suporta a plataforma. Se o banco de dados for atacado, ele não poderá executar os scripts PHP que fazem seu site funcionar.
A injeção de SQL é uma maneira de os hackers se infiltrarem no seu site. Eles fazem isso colocando seus próprios comandos em uma URL em seu banco de dados. Esses comandos podem forçar o banco de dados a gerar informações sobre seu site, incluindo informações de login.
Variações nesse método de hacking podem fazer com que scripts PHP específicos executem o malware instalado em seu site. Basicamente, tudo isso é uma má notícia para alguém tentando executar um site seguro que seus clientes possam se sentir confiantes em usar.
Felizmente, você pode remediar isso modificando o arquivo .htaccess nos arquivos do seu site WordPress. Há uma excelente coleção de trechos de código .htaccess que você pode colocar no arquivo para reforçar a segurança do site. Depois que essas regras estiverem em vigor, você poderá impedir que determinadas pessoas acessem seu site, incluindo endereços IP específicos, bem como solicitações de URL específicas.
Você também pode limitar quais arquivos as pessoas podem ver. Esses comandos também podem ser adicionados ao .htaccess e permitem que você bloqueie qualquer pessoa idosa de acessar os arquivos privados em seu servidor. Normalmente, você pode fazer isso bloqueando o acesso às listagens de diretório. Não há necessidade de os visitantes do site verem uma lista de todos os arquivos em nosso site, portanto, bloquear o acesso impedirá que usuários mal-intencionados montem um ataque usando essas informações.
Etapa 4: ignorar o administrador
Outra coisa que você definitivamente quer fazer ao configurar seu site WordPress de comércio eletrônico é certificar-se de que seu nome de usuário e senha sejam compostos por uma combinação de letras, números e caracteres. Você nunca deve manter seu nome de usuário como o “admin” padrão. Isso é o que os hackers “adivinham” como o nome de usuário com mais frequência ao montar ataques de força bruta (veja abaixo). E você definitivamente não quer facilitar a vida dos hackers. Portanto, torne seu nome de usuário e senha complicados.
Você também pode querer instalar a autenticação em duas etapas em seu site. Algo como Keyy Two Factor pode resolver o problema.
Etapa 5: limitar as tentativas de login
Como mencionei acima, as pessoas podem obter acesso ao seu site por meio de ataques de força bruta. Esses ataques são realizados por scripts automatizados que tentam repetidamente fazer login no seu site repetidamente. Como os scripts são executados milhares de vezes, as chances são boas de que eles eventualmente sejam bem-sucedidos.
Isto é, a menos que você implemente uma medida de segurança contra falhas. Um desses à prova de falhas é um limitador de login. Um limitador de login é uma ferramenta que impede que endereços IP ou nomes de usuário específicos efetuem login mais de um determinado número de vezes dentro de um período de tempo especificado. Um limite típico de 10 vezes em alguns minutos fará com que esse usuário ou IP incorra em um tempo limite de uma hora.
Os invasores de força bruta não são eficazes quando confrontados com um limitador de login porque não podem fazer as milhares ou milhões de tentativas de login necessárias para serem bem-sucedidas. Muitas vezes, eles saem do seu site e procuram um território mais fácil.
Existem muitos plugins limitadores de login disponíveis, mas deixe-me falar sobre alguns que eu pessoalmente gosto. Primeiro, há o iThemes Security , que é um plug-in robusto projetado para proteger seu site de uma ampla variedade de ataques. Na verdade, inclui mais de 30 maneiras de evitar ataques ao site, incluindo táticas de obscuridade, limitação de login, detecção de bots e muito mais.
E depois há Limitar tentativas de login , que impede ataques de força bruta, permitindo que você limite o número de vezes que uma pessoa pode tentar fazer login. Também é totalmente personalizável e fornece registro opcional e notificações por e-mail quando ocorrem bloqueios de sites.
Existem outras opções, é claro, mas essas são apenas duas que considero confiáveis.
Não importa o tipo de site que você administra, é importante manter a segurança em mente. Mas é ainda mais importante para aqueles que administram sites de comércio eletrônico. Quando você é responsável pelas informações de outras pessoas, é vital que você faça tudo o que estiver ao seu alcance para protegê-las. Isso pode significar usar uma plataforma de comércio eletrônico pronta ou optar por ter todas as transações processadas externamente por meio de um serviço seguro.
Ou pode exigir que você acesse manualmente os arquivos do seu site WordPress e adicione algum código para protegê-lo de invasores maliciosos. E quando se certificar de que seu nome de usuário e senha não são suficientes, você pode até limitar as tentativas de login para evitar ataques de força bruta.
Todos esses métodos, quando usados em conjunto, podem ajudar a aumentar a segurança do seu site e proporcionar uma experiência de compra mais segura para seus clientes. Que é meio que o ponto todo, você não acha?
Agora para você. Quais métodos você usa para melhorar a segurança do site WordPress para lojas online? Quais ferramentas ou plugins são indispensáveis para você? Adoraria saber tudo nos comentários!