Os sites WooCommerce certamente têm necessidades únicas em termos de segurança na web e, à medida que o comércio eletrônico aumenta em todo o mundo, também aumenta o risco de fraude e violações de segurança.
A segurança online é realmente um requisito básico, assim como a classificação de inspeção de saúde de um restaurante, e quaisquer problemas que surjam em sua loja online podem minar a confiança do visitante da web.
Embora não haja 100% de garantia quando se trata de segurança, você pode proteger seus visitantes e negócios implementando esses protocolos importantes.
1. Implementação de medidas de segurança no nível do servidor
Quando se trata de segurança de sites, seu servidor de hospedagem é a primeira linha de defesa. Mesmo se você tiver os melhores plugins e medidas de segurança em seu site WordPress, uma violação no nível de hospedagem tornará essas ferramentas inúteis.
Ao avaliar as opções de hospedagem, considere que um ambiente mais dedicado significa que há menos risco de outro site no servidor comprometer o seu. Tenha muito cuidado ao colocar um site WooCommerce em um orçamento, ambiente de hospedagem compartilhada com segurança mínima.
Procure opções de hospedagem WordPress de qualidade onde existam medidas de segurança no nível do servidor, como proteções e limitações contra gravação de disco. A proteção contra gravação em disco significa que o servidor de hospedagem limita os processos que podem gravar em disco, tornando mais difícil para um hacker explorar uma vulnerabilidade de tema ou plug-in. De maneira semelhante, as limitações de gravação em disco significam que todas as tentativas de gravação no disco são registradas, o que pode ajudar a detectar atividades maliciosas.
Embora um certificado SSL agora seja uma prática recomendada para todos os sites, é um requisito para sites WooCommerce para padrões de segurança PCI. Portanto, certifique-se de configurar (e renovar) seu certificado SSL com a empresa de hospedagem.
Por fim, seu servidor de hospedagem e site devem ser atualizados regularmente para a versão mais recente do PHP . As versões mais antigas do PHP geralmente têm vulnerabilidades de segurança que não são mais corrigidas. Assim como você atualiza o WordPress e seus plugins, seu site e servidor devem estar executando o PHP mais recente para segurança e desempenho. O WordPress começou a incentivar os proprietários de sites a ficarem atualizados sobre essas atualizações, notando versões desatualizadas do PHP na verificação de integridade do site WordPress .
2. Fique por dentro das atualizações de plug-ins e segurança
Realizar atualizações regulares de plugins e ficar por dentro dos principais lançamentos do WordPress é uma das etapas de segurança mais importantes. Uma fonte comum de infecção para sites invadidos é uma vulnerabilidade em um plugin ou tema desatualizado. Em 2019, a Sucuri informou que 56% dos sites invadidos estavam desatualizados no momento da infecção.
Para sites WooCommerce, é fundamental ficar por dentro das atualizações mais recentes do WooCommerce, pois elas geralmente incluem patches de segurança e correções de manutenção. Por exemplo, a atualização WooCommerce 4.6.2 foi lançada em novembro de 2020 e incluiu uma correção para um bug que permitia que usuários anônimos criassem uma conta durante o checkout, mesmo que essa configuração estivesse desativada no painel. O WooCommerce incentivou os proprietários de sites a implementar essa atualização imediatamente. Atrasar esses tipos de atualizações pode deixar seu site de comércio eletrônico exposto a esses riscos de segurança.
Alguns proprietários de sites podem adiar as atualizações de plugins por medo de que essas atualizações possam causar problemas no site ou resultar em um problema de manutenção do WooCommerce . Por esse motivo, é uma ótima prática executar todas as atualizações de plug-in em uma área de teste ou ambiente de produção antes de implementá-las em seu site ao vivo.
Mesmo se você estiver mantendo ativamente seus plugins, é possível que um desses plugins instalados seja abandonado pelo desenvolvedor. O WordPress remove ativamente esses tipos de plugins do repositório porque eles podem representar um risco de segurança e desempenho.
No entanto, com mais de 50.000 plugins disponíveis no repositório do WordPress e inúmeras extensões do WooCommerce, pode ser difícil capturar essas remoções. O plug-in gratuito ou pago do WordFence pode ser um ótimo recurso e, uma vez instalado, o WordFence enviará notificações se algum plug-in instalado em seu site for removido e for um risco de segurança.
3. Configure o monitoramento de segurança
Embora a segurança de nível de hospedagem e a manutenção regular reduzam as oportunidades para hackers, ainda não cobrirá todas as bases. Infelizmente, há constantemente novas ameaças no horizonte, algumas das quais são ataques automatizados em sites WordPress e WooCommerce. É impossível bloquear esses 24/7 por conta própria. Graças às ferramentas de monitoramento de segurança, você não precisará.
Considere configurar o monitoramento de segurança 24 horas por dia, 7 dias por semana em seu site WooCommerce para detectar qualquer malware ou violação no site. Tanto a versão gratuita quanto a premium do plugin WordFence e os serviços pagos da Sucuri são escolhas populares para sites WordPress. Essas soluções oferecem um scanner de malware e alertarão sua equipe sobre qualquer atividade suspeita. Os serviços pagos também podem incluir a remoção automática de malware, o que pode ajudar a limpar rapidamente o site após problemas de segurança.
Como outra prática de segurança, é melhor minimizar o número de contas de administrador do WordPress . Revise as contas a cada poucos meses e remova ativamente quaisquer funcionários anteriores ou fornecedores antigos que não deveriam mais ter acesso ao site.
Para um site de comércio eletrônico em que qualquer tempo de inatividade pode afetar as vendas, você também pode considerar segurança adicional com um firewall de aplicativo da Web (WAF) por meio de serviços como Cloudflare ou Sucuri. Isso pode proteger o site contra tráfego de bots maliciosos ou um ataque DDoS, que visa derrubar seu servidor ou site, inundando-o com solicitações incorretas.
4. Conformidade com PCI-DSS e Medidas Antifraude
Embora os protocolos de segurança anteriores também possam ser implementados em sites informativos, essa medida é aplicável especificamente a sites de comércio eletrônico.
Todo site que processa transações com cartão de crédito deve estar em conformidade com o PCI-DSS – Payment Card Industry Data Security Standard . Esses padrões globais foram estabelecidos para ajudar a reduzir a fraude de cartão de crédito.
Uma das melhores maneiras de cumprir esses requisitos é usar um gateway de pagamento seguro. Stripe, PayPal e Authorize.Net são opções populares. O WooCommerce também suporta esses padrões, nunca armazenando detalhes de cartão de crédito no site. Se você estiver configurando seu próprio site de comércio eletrônico, certifique-se de nunca configurar um formulário básico que armazene informações de cartão de crédito no site. Em vez disso, usar um dos melhores plugins de gateway WooCommerce é a escolha mais segura.
Infelizmente, mesmo que você siga esses padrões e use um gateway de pagamento seguro, sua loja online pode ser impactada negativamente por fraudes no comércio eletrônico. É bastante comum ver usuários testando contas de cartão de crédito roubadas em um site de comércio eletrônico. A extensão WooCommerce Antifraude é um ótimo recurso para detectar transações fraudulentas. O plug-in rotula cada transação com uma pontuação de risco e pode ser configurado para cancelar ou pausar automaticamente transações suspeitas.
Por fim, é importante proteger seu site contra bots automatizados que podem estar criando contas falsas e pedidos de convidados no site. A melhor defesa é configurar o Google recaptcha em todos os formulários de checkout do WooCommerce usando a extensão Recaptcha for WooCommerce .
5. Fazendo backups diários do banco de dados
Este último protocolo de segurança é sua rede de segurança. Embora todas as etapas anteriores ajudem você a evitar violações de segurança, se o pior cenário ocorrer e seu site for invadido, ter um backup do seu site e banco de dados WordPress é um salva-vidas.
Quando um site é invadido, você normalmente passa por um processo de limpeza e remove todo o malware e arquivos infectados. Infelizmente, existem alguns casos em que um site é tão invadido que informações e arquivos críticos são perdidos no processo. Nesse cenário, ter um backup limpo do site é vital e significa que você não precisa reconstruir o site inteiro.
Existem ambientes de hospedagem que oferecem um backup diário automático do site no nível do servidor. Se você não tiver essa opção, também poderá utilizar um plug-in do WordPress para fazer backups automáticos do site diariamente ou semanalmente. Ou siga este guia sobre como fazer backup do WooCommerce para garantir que seu site de comércio eletrônico esteja seguro.
Dependendo da sua solução, observe as configurações em termos de quanto tempo os arquivos são armazenados. Esses arquivos de backup são geralmente muito grandes. Se os backups forem armazenados no nível do site ou do servidor, isso pode aumentar o tamanho do banco de dados do seu site, levando a custos de hospedagem mais altos. Uma maneira de mitigar isso é configurar pontos de verificação e garantir que os backups mais antigos sejam armazenados apenas por um determinado período de tempo.
No entanto, tenha cuidado ao restaurar automaticamente um backup para sites WooCommerce, pois ele substituirá todas as transações recebidas desde que o backup foi feito. Uma equipe de desenvolvimento web qualificada pode certificar-se de usar corretamente os arquivos se você estiver enfrentando um problema de segurança.