Jak zapobiec tworzeniu kont z fałszywymi adresami e-mail?
Na obecną chwilę WooCommerce jest jednym z najpopularniejszych rozwiązań e-commerce na świecie. To czyni go podatnym na ataki hakerskie. W tym artykule pokażę jedną z metod na zabezpieczenie WooCommerce przed takimi atakami.
Garść statystyk na temat użycia WooCommerce
Serwis Builtwith.com w dniu 2 października 2017 r., przeprowadził badanie wśród 10 tysięcy popularnych sklepów internetowych: 12% sklepów działa w oparciu o WooCommerce. Jest to spory wynik dla wtyczki, która ma takich silnych konkurentów wśród eCMSów jak Magento, Prestashop, OpenCart oraz Shopify.
Serwis BuiltWith udostępnia także dane statystyczne o użyciu rozwiązań e-commerce z podziałem na poszczególne kraje. Wśród 10 tysięcy topowych sklepów w Polsce WooCommerce niestety znajduje się w 12% „pozostałych rozwiązań” (zobacz zrzut ekranu poniżej). Liderem w naszym kraju jest PrestaShop, na którym stworzone jest 34% polskich sklepów.
Hakerzy interesują się WooCommerce
Zgodnie z danymi na pierwszym zrzucie ekranu, co 10-ta strona wśród topowych sklepów na świecie korzysta się z WooCommerce. To motywuje hakerów do włamań na strony zbudowane na WordPress i użycia ich dla czarnych metod SEO, kradzieży personalnych danych użytkowników oraz nieczystej konkurencji. Temat należy potraktować poważnie, zabezpieczenie WooCommerce jest bardzo istotne. W Internecie pełno jest informacji na ten temat. Ze swojej strony opiszę dziś tylko jeden problem, który może pojawić się podczas użycia WooCommerce do prowadzenia handlu elektronicznego.
Zabezpieczenie WooCommerce – blokada rejestracji podejrzanych kont
Praktycznie w każdym e-sklepie jest opcja zakładania kont dla użytkowników. Na pewno właściciele stron chcieliby mieć jak najwięcej zarejestrowanych klientów. Chociaż nie zawsze jest to dobre. Tym bardziej, gdy te rejestracje mają na celu jakiś złośliwe działania, np. użycie kradzionych danych personalnych i kart płatniczych do składania zamówień. A ponieważ dość często takie rejestracje odbywają się z nieprawidłowych e-mailów, pokaże jak walczyć z nimi na przykładzie sharklashers.com – popularnego serwisu wśród spamerów i cyberprzestępców.
Aby zablokować możliwość rejestracji kont z adresów email w domenie sharklashers.com, należy dodać poniższy fragment kodu do pliku functions.php motywu domyślnego. Dostać się do niego można przez sekcję Wygląd – Edytor. Plik funkcji motywu znajduje się w liście po prawej stronie.
Jak widać, ten kod można lekko zmodyfikować i korzystać do blokady innych adresów mailowych. Dlatego możecie go znaczniej rozszerzyć dodając własne serwisy z których odbywają się masowe zakładania kont.
Podsumowanie
Jak pisaliśmy powyżej, dzisiejszy problem stanowi tylko małą cześć możliwych sytuacji z którymi na pewno spotkacie Państwo pod czas prowadzenia sklepu opartego o WooCommerce. W tym przypadku najlepiej zabezpieczyć siebie od możliwych włamań i złodziejstw hackerów niż walczyć z wynikami ich działań.
A czy mieliście Państwo problem z fałszywymi rejestracjami na stronie e-sklepu? Jak z nim walczyliście?