La sicurezza è una preoccupazione prioritaria per qualsiasi negozio di eCommerce. Dopotutto, non devi solo mantenere al sicuro i tuoi contenuti, ma devi anche proteggere le informazioni dei clienti e i dati degli ordini.
Quindi, se stai considerando di aprire un negozio online, o se già fa parte del tuo reddito, è ora di assicurarti di aver completamente protetto la tua attività.
Perché i negozi online richiedono una maggiore sicurezza
Quando vendi online, stai gestendo molte informazioni sensibili: nomi personali, numeri di carte di credito, indirizzi e altro ancora. Un negozio attivo raccoglie continuamente nuove informazioni, quindi hai un insieme di dati in continua crescita di cui sei responsabile.
Assicurarsi che il tuo sito abbia una sicurezza di alto livello ti permetterà di:
- Proteggere le informazioni personali dei tuoi clienti da hacker e attacchi, consentendo ai clienti di fare acquisti in tutta sicurezza;
- Proteggere il tuo flusso di entrate da interruzioni e vendite perse;
- Preservare tutti i dati di vendita minuto per minuto per scopi fiscali e legali;
- Mantenere il tuo marchio e la tua reputazione come un’azienda in cui si può fidare; e
- Evitare costi legati alla ricostruzione della tua attività dopo un attacco, come vendite perse a causa di tempi di inattività, rimborsi causati da ordini non evasi e costi di riparazione del sito web
Come individuare un attacco hacker
Un attacco hacker può assumere molte forme e potresti non renderti subito conto che il tuo sito è stato compromesso.
Per individuare un attacco hacker, cerca:
- Nuovi account amministratore che non hai creato tu.
- Link di spam a malware nei commenti, nelle descrizioni dei prodotti o nelle recensioni.
- Caselle di avviso insolite o link che reindirizzano a siti di terze parti.
- Avvisi da parte di Google che il tuo negozio è stato segnalato.
- Email dei clienti strane, inaspettate o mancanti.
- Tempi di caricamento molto lenti o errori di timeout.
Ma la maggior parte dei proprietari di attività sono troppo occupati a lavorare su inventario, marketing o evasione degli ordini per monitorare costantemente problemi o attacchi. Ecco perché la prima cosa che dovresti aggiungere è il monitoraggio dei tempi di inattività, che controlla automaticamente che il tuo sito sia attivo e ti avvisa se non lo è. Questo ti consente di agire immediatamente per riparare e ripristinare il tuo negozio online.
Puoi anche beneficiare di Jetpack Scan, che è un plugin di scansione malware di alto livello che controlla automaticamente il tuo negozio per individuare attacchi in modo che tu non debba preoccuparti! Riceverai un avviso se trova qualcosa di sbagliato e puoi risolvere la maggior parte delle minacce note con un solo clic.
Sicurezza di WooCommerce: checklist di 15 passaggi per proteggere il tuo negozio
È sempre meglio fermare gli attacchi prima che accadano. Se puoi rispondere “sì” alle seguenti domande, allora sei partito con un ottimo inizio!
1. Stai utilizzando un provider di hosting sicuro e affidabile?
Il tuo fornitore di hosting è la prima linea di difesa contro gli attacchi. Se non hanno adeguate misure di sicurezza, i tuoi file e il tuo database potrebbero essere vulnerabili, anche se fai tutto il resto correttamente.
Quando scegli un provider di hosting, cerca uno con:
- Un firewall integrato. Un firewall controlla chi può accedere al tuo server e chi no, tenendo lontani hacker e bot dai file del tuo sito web.
- Scansioni di sicurezza. Molti provider di hosting scansionano regolarmente tutti i siti sul loro server e ti avvisano se notano qualcosa di sospetto, come malware. Alcuni provider risolvono anche quei problemi per te, spesso a pagamento.
- Backup. Anche se devi fare i tuoi backup (ne parleremo più avanti), è una buona idea avere copie multiple del tuo sito. Molte aziende di hosting includono i backup nei loro piani, mentre altre li offrono come un aggiornamento a pagamento.
- Un eccellente team di supporto. Se incontri un problema, vuoi che esperti siano disponibili per aiutarti a capire i prossimi passi. Assicurati che il tuo provider di hosting abbia un ottimo team di supporto che può essere raggiunto tramite il metodo più conveniente per te (chat dal vivo, telefono, ecc.)
- Una buona reputazione. Controlla le recensioni dei clienti reali e scopri le loro esperienze. Questo è il modo più accurato per conoscere un provider di hosting.
Non sai da dove cominciare? WooCommerce ha preparato una lista di aziende di hosting consigliate che sono state tutte attentamente valutate.
2. Hai un certificato SSL?
Un certificato SSL (Secure Socket Layer) crittografa le informazioni inviate dai tuoi clienti al tuo sito web e autentica l’identità del tuo sito. Questo serve come protezione critica per informazioni come i dati delle carte di credito e gli indirizzi. Google lo considera anche quando determina i ranking dei motori di ricerca.
La maggior parte dei provider di hosting offre certificati SSL gratuitamente, anche se alcuni addebitano una tariffa relativamente minima.
3. Stai utilizzando versioni sicure e aggiornate di temi e plugin?
I plugin e i temi nulled sono versioni pirata di plugin e temi premium e vengono offerti gratuitamente o a un prezzo basso. Non solo non sono supportati, ma non vengono nemmeno aggiornati, quindi possono entrare in conflitto con WordPress o altri plugin. E, cosa più preoccupante, sono tipicamente pieni di malware che possono compromettere il tuo sito e i dati dei clienti.
Scarica sempre plugin e temi da fonti affidabili, come il repository di WordPress o il mercato di WooCommerce.
4. È tutto aggiornato sul tuo sito WordPress?
Gli aggiornamenti di WordPress, dei temi e dei plugin non includono sempre solo nuove funzionalità; spesso correggono bug e vulnerabilità che gli hacker possono sfruttare. Esegui sempre gli aggiornamenti quando sono disponibili per mantenere sicuro il tuo sito WordPress ed evitare conflitti.
Non vuoi tenere traccia degli aggiornamenti? Jetpack ha un’opzione per automatizzare questo processo.
5. Stai utilizzando l’ultima versione di PHP?
La maggior parte del core di WordPress è scritta in PHP, un linguaggio di programmazione. Dovresti aggiornare la versione di PHP che il tuo sito utilizza per lo stesso motivo per cui dovresti aggiornare temi e plugin: per proteggerti da bug e vulnerabilità.
Puoi aggiornare la tua versione di PHP nelle impostazioni del tuo host o chiedere al tuo provider di hosting di occuparsene per te. Visualizza i requisiti WordPress più recenti.
6. Hai esaminato le autorizzazioni degli utenti?
Ad ogni utente WordPress viene assegnato un ruolo utente, che include un insieme di capacità che consentono loro di svolgere determinati compiti sul tuo sito web. Gli amministratori hanno pieno accesso a tutto e possono apportare qualsiasi modifica desiderino; come proprietario del negozio, questo dovrebbe essere il tuo ruolo. I clienti, tuttavia, non hanno accesso al backend del tuo sito, ma possono modificare le proprie informazioni dell’account e visualizzare gli ordini correnti e precedenti. Consulta la nostra guida ai ruoli utente di WordPress.
Di tanto in tanto, rivedi e ripulisci i tuoi account utente. Ogni utente dovrebbe avere solo le autorizzazioni minime necessarie per svolgere il proprio lavoro e, se non stai più lavorando con qualcuno, assicurati di rimuovere il suo account. Ad esempio, se hai lavorato con un’agenzia di sviluppo web per creare il tuo sito e il progetto è completo, probabilmente vuoi eliminare il loro account a meno che non siano necessari aggiornamenti costanti in futuro.
7. Stai utilizzando un nome utente e una password sicuri?
Gli hacker spesso utilizzano bot per provare migliaia di diverse combinazioni di nome utente e password fino a trovare quella giusta (questo viene chiamato attacco di forza bruta). Più facile è indovinare la tua password, più probabile è che un hacker possa accedere al tuo negozio.
Una buona password deve contenere una lettera maiuscola, una lettera minuscola, un numero e un simbolo, ed essere lunga almeno 20 caratteri. Assicurati che, almeno per gli utenti amministratori, venga utilizzato questo tipo di password.
Per quanto riguarda i nomi utente, evita titoli comuni come “Amministratore” o “Admin”. Invece, crea un nome utente specifico per ogni persona.
8. Hai considerato di cambiare l’URL di accesso?
Per impostazione predefinita, ogni pagina di accesso di WordPress può essere raggiunta all’indirizzo URL /wp-admin. Se desideri mettere in atto misure di sicurezza aggiuntive, potresti voler cambiare l’URL per renderlo più difficile da indovinare agli attaccanti. Puoi farlo modificando il tuo .htaccess file o, se non ti senti a tuo agio a modificare il codice, utilizza un plugin come WP Hide Login.
9. Hai attivato l’autenticazione a due fattori per gli amministratori?
L’autenticazione a due fattori aggiunge uno strato di sicurezza aggiuntivo alla pagina di accesso. Per effettuare l’accesso, non solo devi conoscere qualcosa (un nome utente e una password), ma devi anche possedere fisicamente qualcosa (il tuo dispositivo mobile). Questo rende molto meno probabile che un hacker possa accedere al tuo negozio.
Jetpack rende l’autenticazione a due fattori facile. Quando accedi al tuo sito, riceverai un codice speciale e monouso sul tuo telefono, che dovrai inserire per completare il processo di accesso. Puoi anche richiedere a tutti gli utenti di impostare questa funzione. Scopri di più sull’autenticazione a due fattori.
10. Stai bloccando gli attacchi di forza bruta?
Come abbiamo discusso in precedenza, gli attacchi di forza bruta avvengono quando gli hacker utilizzano bot per testare combinazioni di nomi utente e password più e più volte fino a trovare quella giusta. Questo non solo mette a rischio il tuo negozio e i dati dei clienti, ma può anche rallentare il tuo sito web. Pertanto, è importante prevenire efficacemente gli attacchi di forza bruta.
Ma Jetpack blocca automaticamente questi attacchi prima che raggiungano il tuo sito, quindi non devi preoccuparti.
11. Stai bloccando i cattivi attori dal visitare il tuo sito con un firewall per applicazioni web (WAF)?
Un firewall per applicazioni web (WAF) è fortemente consigliato come prima linea di difesa per i negozi online. I WAF analizzano tutto il traffico in ingresso e decidono se consentire o bloccare il traffico in base a diverse regole. Questo aggiunge uno strato importante di protezione al tuo sito, soprattutto quando gli attaccanti sfruttano attivamente vulnerabilità non corrette.
Un buon WAF di WordPress dovrebbe essere aggiornato regolarmente con nuove regole da parte di esperti di sicurezza di WordPress man mano che vengono scoperti exploit e vulnerabilità. Il firewall di Jetpack, incluso in Jetpack Scan e nei pacchetti Jetpack Security e Complete, protegge il tuo sito 24 ore su 24 e viene continuamente aggiornato dai migliori esperti di sicurezza di WordPress nel settore.
12. Stai scansionando il tuo sito per malware?
Cosa succede se qualcuno accede al tuo sito e inietta malware? Vorresti saperlo immediatamente in modo da poter rimuovere quel malware e risolvere il problema il più rapidamente possibile. Ma gli hacker sono subdoli: non è sempre immediatamente evidente che siano entrati.
Jetpack Scan ti avvisa immediatamente di qualsiasi attività sospetta e, poiché la scansione avviene sui server di Jetpack, puoi accedere al tuo sito anche se è inattivo. Offre anche soluzioni con un clic per la maggior parte delle minacce conosciute.
13. Hai impostato un filtro antispam?
I commenti spam non sono solo fastidiosi, ma ti fanno sembrare poco professionale e possono contenere collegamenti che indirizzano i tuoi clienti a siti pieni di malware. Ma ordinare centinaia di commenti a settimana richiede tempo e frustrazione.
Ecco dove entra in gioco Jetpack Anti-spam! Elimina automaticamente lo spam dai commenti e dai moduli, quindi non devi nemmeno vederlo. Risparmierai tempo, proteggerai il tuo sito e offrirai un’esperienza utente migliore tutto in una volta.
14. Stai monitorando il tuo sito per i tempi di inattività?
Se il tuo sito va offline, potrebbe essere un’indicazione di un attacco. E più a lungo è inattivo, più vendite perdi. Vuoi riavviarlo il prima possibile!
Jetpack offre un monitoraggio gratuito dei tempi di inattività che controlla il tuo sito da posizioni in tutto il mondo ogni cinque minuti. Se il tuo sito è inattivo, riceverai una notifica istantanea in modo da poter risolvere il problema immediatamente.
15. Hai impostato backup regolari esterni?
Se succede qualcosa al tuo sito, la migliore protezione che puoi avere è un backup completo che puoi ripristinare in modo rapido e semplice. Anche se il tuo fornitore di hosting offre backup, è importante che tu ne faccia anche uno tuo. Perché? Perché se il tuo server viene compromesso, anche i backup memorizzati lì potrebbero essere compromessi.
Jetpack Backup è la soluzione ideale per il tuo negozio WooCommerce, poiché tutti i piani includono backup in tempo reale:
- Backup in tempo reale, che salvano una copia del tuo sito ogni volta che aggiorni una pagina, pubblichi un nuovo articolo o effettui una vendita. Questi sono particolarmente utili per i negozi online, perché non devi preoccuparti di perdere le informazioni sugli ordini.
Jetpack archivia i file di backup in più posizioni, completamente separate dal tuo sito. Ciò significa che se il tuo server viene compromesso, i tuoi backup non lo saranno. E nella maggior parte dei casi, puoi ripristinare un backup anche se il tuo sito è completamente inattivo!
Come recuperare in un caso peggiore
Se il tuo negozio online ha malware e hai Jetpack Security, riceverai una notifica in modo da poter risolvere immediatamente il problema. Il tuo primo passo dovrebbe essere controllare il tuo log delle attività, dove puoi vedere un elenco completo di tutto ciò che è accaduto sul tuo sito. Puoi utilizzare queste informazioni per determinare quando è avvenuto l’hack controllando attività sospette come accessi non familiari e pagine modificate.
Quindi, il modo più veloce per recuperare è utilizzare Jetpack Backup. In pochi clic, il tuo sito può tornare in funzione con un tempo di inattività minimo. Tutto quello che devi fare è selezionare un backup precedente all’hack e attendere il ripristino. Sì, è tutto qui!
Una volta che una versione pulita del tuo negozio è di nuovo in funzione, utilizza Jetpack Scan per assicurarti che non ci siano malware residui sul tuo sito. Jetpack risolve la maggior parte delle minacce conosciute per te, quindi se viene trovato qualcosa, molto probabilmente non dovrai preoccuparti della risoluzione dei problemi.
Infine, prenditi il tempo per proteggere il tuo sito cambiando tutte le password e verificando che i tuoi temi, plugin e file principali siano aggiornati.
Hai bisogno di aiuto? Jetpack Security include supporto prioritario da parte di un team tecnico esperto che può indirizzarti nella giusta direzione.
Mantieni sicuro il tuo negozio WooCommerce
Dedicare del tempo per proteggere completamente il tuo negozio WooCommerce garantirà che i tuoi clienti possano fare acquisti con fiducia e che tu non debba preoccuparti dei tuoi dati o della tua reputazione.
E uno dei modi migliori per farlo è combinare Jetpack Security e WooCommerce: ha senso! Sono due plugin WordPress consolidati e rispettati che lavorano in sincronia per proteggere il tuo sito web e aggiungere funzionalità. Insieme, significano meno componenti in movimento, meno plugin esterni e una maggiore tranquillità per te come proprietario di un’attività.
Domande frequenti
Un sito web WooCommerce può essere hackerato?
Sì, come qualsiasi altro sito, un negozio WooCommerce può essere hackerato. Tuttavia, WordPress e WooCommerce includono funzionalità che aiutano a proteggere i tuoi contenuti e i dati dei clienti. E, quando metti in atto alcune misure di sicurezza di base, come scegliere un buon fornitore di hosting, mantenere tutto aggiornato e installare il miglior plugin di sicurezza, puoi stare tranquillo, sapendo che il tuo sito è in buone mani.
È necessario un certificato SSL per un sito web WooCommerce?
Un certificato SSL crittografa le informazioni (come i dati della carta di credito e gli indirizzi) che vengono inviate sul tuo sito, proteggendole da parti malevole. Se queste informazioni vengono accessate da un hacker, potrebbe mettere a rischio legale la tua attività e danneggiare la tua reputazione. Inoltre, non solo un certificato SSL ti protegge te e i tuoi clienti, ma è anche importante per il posizionamento sui motori di ricerca.
Anche se un certificato SSL è consigliato per qualsiasi sito web, è ancora più importante per i negozi online a causa del tipo di dati che raccolgono per elaborare le transazioni.
Qual è il miglior certificato SSL per i siti web WooCommerce?
La maggior parte dei principali fornitori di hosting include un certificato SSL gratuito nei loro piani, mentre altri li rendono disponibili a pagamento. Di solito, questi sono facili da installare con pochi clic.
Tuttavia, se il tuo fornitore di hosting non offre questa opzione, ti consigliamo di utilizzare Let’s Encrypt. È un servizio affidabile che offre certificati SSL gratuiti per supportare una navigazione più sicura. Nota: molti dei certificati SSL inclusi nei piani di hosting provengono da Let’s Encrypt.
Per saperne di più su come installare un certificato SSL sul tuo negozio WooCommerce.
Come forzare HTTPS su un sito web WooCommerce?
Quando aggiungi con successo un certificato SSL al tuo negozio, l’URL cambia da http://esempio.com a https://esempio.com. La “s” in “https” sta per SSL.
Quando forzi HTTPS sul tuo negozio, un visitatore che digita la versione “http” del tuo sito verrà automaticamente reindirizzato alla versione “https”. Ciò garantisce che tutto sia crittografato correttamente per ogni singolo acquirente.
Puoi forzare HTTPS aggiungendo alcune righe di codice al tuo file .htaccess o utilizzando un plugin di WordPress. Kinsta fornisce una guida eccellente su come fare questo.
WooCommerce è più sicuro di Shopify?
Shopify è una piattaforma ospitata che si occupa della sicurezza per te. Sebbene ciò abbia i suoi vantaggi, non devi preoccuparti di implementare misure di sicurezza, significa anche che hai praticamente zero controllo sulla tua protezione.
E ciò non significa che Shopify sia più sicuro. Gli hacker e i bot non discriminano, dopotutto. Provano semplicemente sito dopo sito finché non ne trovano uno a cui possono accedere. Quindi, se metti in atto adeguate misure di sicurezza, il tuo negozio sarà altrettanto sicuro, e in molti casi, più sicuro di altri su qualsiasi piattaforma.
È anche importante notare che sia WordPress che WooCommerce sono supportati da un team appassionato che lavora costantemente per mantenere la piattaforma sicura, motivo per cui è così importante aggiornare regolarmente il tuo software.
Questa guida di WooCommerce fornisce ulteriori dettagli su come si confronta con Shopify.
Jetpack di WordPress.com 