مخاطر استخدام إضافات WordPress المجانية وكود جافا سكريبت على موقعك

على مدار العقد الأخير من تشغيل هذه المدونة وتدريس دورة متجري عبر الإنترنت ، لاحظت وجود اتجاه مزعج بين العديد من رواد التجارة الإلكترونية.

الآن هذا الاتجاه سائد بشكل خاص لأن 99 ٪ من مالكي المتاجر عبر الإنترنت ليس لديهم خلفية برمجة ولا يكلفون أنفسهم عناء محاولة تعلم أساسيات كيفية عمل تقنيات الويب.

نتيجة لذلك ، كلما احتاجوا أو أرادوا ميزة معينة لعربة التسوق الخاصة بهم ، فإنهم يفعلون ما سيفعله أي شخص عادي ...

يجرون بحثًا على Google ، ويبحثون عن مكون إضافي مجاني لـ WordPress ، أو عنصر واجهة مستخدم أو جزء من التعليمات البرمجية التي تقوم بما يريدون ثم يقومون بتثبيته بشكل أعمى على موقع الويب الخاص بهم .

و 90٪ من الوقت ، يبدو أن المكون الإضافي يفعل ما يريده لذلك يحافظ على تثبيته دون إدراك العواقب المحتملة لقرارهم .

لذا أود اليوم أن أتحدث عن مخاطر تثبيت كود طرف ثالث ومكونات إضافية عشوائية على موقعك.

بالإضافة إلى ذلك ، سأزودك بالإرشادات التي أستخدمها شخصيًا لتحديد المكونات الإضافية الخاصة بي .

نأمل بنهاية هذا المنشور ، أن تكون أكثر تعمقًا في تقليل مخاطر البرامج ذات التشفير السيئ والنشاط الضار.

احصل على دورة تدريبية مصغرة مجانية حول كيفية بدء متجر تجارة إلكترونية ناجح

إذا كنت مهتمًا ببدء عمل تجاري إلكتروني ، فقد جمعت مجموعة شاملة من الموارد التي ستساعدك على إطلاق متجرك عبر الإنترنت من نقطة الصفر. تأكد من الاستيلاء عليها قبل أن تغادر!

إضغط هنا للتحميل

قوة سطر واحد من التعليمات البرمجية

تقوم العديد من الخدمات والمكونات الإضافية هذه الأيام بتثبيت مقتطف صغير من شفرة جافا سكريبت تلقائيًا لإضافة وظائف إلى موقعك.

ما هو جافا سكريبت؟

Javascript هي لغة برمجة يتم تشغيلها على جهاز الكمبيوتر العميل بمجرد تنزيلها من موقع ويب. وعلى الرغم من أن هذا الرمز غالبًا ما يكون مجرد سطر واحد ، إلا أنه يوفر لمنشئ المكون الإضافي رؤية لا نهائية وتحكمًا في موقعك .

فيما يلي مثال سريع على شكل هذا الرمز

<script src = '// widget.randomplugincompany.com/assets/widget.js'> </script>

الآن في بعض التطبيقات ، يمكن لـ javascript إرسال معلومات خاصة حول موقع الويب الخاص بك والكمبيوتر والزائرين إلى خادم جهة خارجية يملكه مؤلف الشفرة.

على سبيل المثال ، يعد Google Analytics جزءًا من كود جافا سكريبت مكتوبًا بواسطة Google والذي ينقل جميع أنواع البيانات حول موقع الويب الخاص بك مباشرةً إلى خوادم Google حيث يقومون بتسجيل بياناتك وتجميعها.

الآن ، إذا سبق لك الاطلاع على تقرير Google Analytics الخاص بك من قبل ، فستلاحظ أنه يتم إرسال كل معلومة محتملة حول موقع الويب الخاص بك وزوارك إلى خوادم Google حيث "يعدون" بعدم الاطلاع عليها .

ويحصلون على كل هذه البيانات حول موقع الويب الخاص بك من جزء صغير من التعليمات البرمجية التي قمت بقصها ولصقها على موقعك.

قوية جدا أليس كذلك؟

ما يعنيه هذا هو أنه في أي وقت تقوم فيه بقص ولصق جزء من كود جافا سكريبت الخاص بطرف ثالث على موقعك ، يمكنك إرسال جميع معلومات موقع الويب الخاص بك إلى تلك الشركة .

ونظرًا لأن مثل هذا الجزء الصغير من التعليمات البرمجية يمكن أن يمارس الكثير من القوة ، فعليك حقًا الوثوق بالشركة التي تتعامل معها .

فيما يلي بعض المشكلات الفعلية التي واجهها طلابي نتيجة الاستخدام الأعمى لرمز جهة خارجية.

يمكن لجافا سكريبت السيئ أن يبطئ موقعك

كانت إحدى طالباتي تحصل على عدد كبير من الزيارات إلى موقعها على الويب من Google ، لكن حركة المرور لديها لم تؤد إلى مبيعات كثيرة لمتجرها عبر الإنترنت.

نتيجة لذلك ، قررت عرض إعلانات البانر على موقعها.

الآن ، لا يعد خلط الإعلانات بالمنتجات فكرة جيدة لمتجر التجارة الإلكترونية ، لكنها استنتجت أنه إذا لم يكن زوارها يشترون منتجاتها ، فقد تجني أيضًا "بعضًا" من الأموال من خلال الإعلانات.

على أي حال ، ذات يوم أرسلت إلي بريدًا إلكترونيًا تسألني عن سبب توقف كل مبيعاتها فجأة . وعندما ذهبت لإلقاء نظرة على موقعها ، شعرت بالرعب.

أولاً ، استغرق تحميل موقعها حوالي 20 ثانية ، وعندما تم تحميله أخيرًا ، كانت هناك إعلانات متحركة وامضة في كل مكان. عندما أجريت اختبار سرعة صفحة الويب ، هذا ما وجدته.

كانت قطعة صغيرة جدًا من شفرة جافا سكريبت من شبكة إعلاناتها تبطئ موقعها بالكامل.

وقد قامت بتثبيت الشفرة بطريقة تمنع شفرة الإعلان ظهور محتواها حتى بعد تحميل شفرة الإعلان.

لا عجب أن لا أحد كان يتسوق في متجرها! إلى جانب الإعلانات الوامضة ، من المحتمل أن يشعر العملاء بالإحباط بسبب بطء أوقات التحميل التي تسببها الشفرة .

في الواقع ، تشتهر شبكات الإعلانات بإبطاء المواقع لأنها تنقل حرفياً الكثير من معلومات التتبع حول موقعك إلى خوادمها.

وهي معروفة أيضًا بتخزين بيانات الزوار وبيع هذه المعلومات للمعلنين الآخرين.

جافا سكريبت السيئ يمكن أن يزيل موقعك

كانت طالبة أخرى في صفي تبحث عن مكون إضافي لزيادة عدد الإعجابات على صفحة المعجبين بها على Facebook. ونتيجة لذلك ، وجدت هذا الجزء من الكود الذي جعل العميل "يعجب" بصفحة المعجبين به على Facebook قبل الكشف عن رمز قسيمة من شأنه أن يحفز العميل على الشراء.

بدا الأمر بريئًا بدرجة كافية وعمل البرنامج المساعد مثل البطل لفترة طويلة. ولكن في يوم من الأيام ، أرسلت لي هذه الطالبة عبر البريد الإلكتروني تخبرني بشكل محموم أن موقعها على الويب معطل على الرغم من أنها لم تقم بأي تغييرات .

عندما ذهبت إلى متجرها على الإنترنت للتحقيق ، وجدت أن عنوان موقعها وشعارها يتم تحميلهما على ما يرام ولكن باقي متجرها كان فارغًا تمامًا.

بنظرة سريعة على مصدر صفحتها ، وجدت أن القطعة السحرية من كود جافا سكريبت على فيسبوك التي نسختها كانت تجري مكالمات إلى خادم عشوائي كان معطلاً .

ونظرًا لأن هذا الرمز كان في رأس متجرها ، فقد منع تحميل بقية موقعها لأنه لم يتمكن من تجاوز المكالمة إلى الخادم السيئ.

كن حذرًا عند وضع أي كود جافا سكريبت في رأس موقعك! إذا كنت مضطرًا تمامًا إلى استخدام شفرة جافا سكريبت من جهة خارجية في رأسك ، فتأكد من تحميل الشفرة بشكل غير متزامن في الخلفية وبالتالي لن تمنع تحميل موقعك.

يمكن لـ Bad Javascript تغيير موقع الويب الخاص بك دون إذنك

هل تعلم أن تثبيت كود جافا سكريبت لشخص آخر يشبه في الأساس إعطاء مفاتيح موقع الويب الخاص بك إلى شخص آخر ؟

عندما تستخدم رمز شخص آخر ، يمكن لهذا الشخص بشكل أساسي تغيير موقع الويب الخاص بك بالشكل الذي يراه مناسبًا.

الآن يجب أن يكون مطور جافا سكريبت شخصًا سيئًا للغاية من أجل تغيير موقع الويب الخاص بك بشكل ضار ، لكن هذا حدث في الماضي حتى مع الشركات الكبيرة المعروفة .

على سبيل المثال ، هل تعلم أن موقع الويب الشهير Houzz.com استخدم أدوات جافا سكريبت الخاصة به لتثبيت روابط تحسين محركات البحث للقبعة السوداء للعودة إلى موقعه ؟

إليك كيف حدث ذلك.

موقع Houzz.com هو في الواقع موقع شهير للغاية يعرض ديكورات المنزل. نتيجة لذلك ، كان المدونون يستخدمون أدوات جافا سكريبت الخاصة بهم لعرض صور تزيين جميلة وملونة على مدوناتهم.

ولكن في أحد الأيام ، وجد Glen Allsop من Viperchill أن Houzz.com كان يستخدم رمز عنصر واجهة مستخدم جافا سكريبت لتضمين روابط خلفية إلى موقع Houzz.com بشكل سري .

نتيجة لذلك ، استخدم Houzz أداة جافا سكريبت الخاصة بهم للتلاعب بشكل ضار بترتيب البحث في Google .

للحصول على معلومات حول هذا ، يمكنك قراءة منشور Glen بالكامل هنا

لكن خلاصة القول ، يمكن لأي جزء من شفرة جافا سكريبت أن يسمح لطرف ثالث بإجراء تغييرات على طريقة عرض موقعك دون علمك بذلك .

كن حذرًا من أدوات Amazon التي تقوم بتثبيتها

نظرًا لأنني عضو في العديد من مجموعات بائعي التجارة الإلكترونية ، غالبًا ما أسمع قصصًا وإشاعات عن نشاط ضار ناشئ عن أدوات أمازون المختلفة في السوق.

الآن من أجل استخدام معظم أدوات Amazon هذه الأيام ، يجب عليك تزويدهم ببيانات اعتماد Amazon API الخاصة بك والتي تسمح بشكل أساسي لهذه الأداة برؤية جميع مبيعاتك وجميع منتجاتك.

حسنا خمن ماذا؟ هذه المعلومات حساسة للغاية ويمكن استخدامها ضدك.

في الآونة الأخيرة ، كانت هناك شائعة مفادها أن مالك أداة بائع أمازون الشهيرة كان في معرض كانتون للحصول على منتجات شهيرة للبيع .

ولأن مالك شركة البرمجيات هذا لديه معرفة وثيقة بآلاف حسابات البائعين ، فقد كان يعرف بالضبط ما الذي يبحث عنه.

حقًا مهلهل جدًا؟

لكن لسوء الحظ ، يمكن أن يحدث هذا السيناريو طوال الوقت. في الواقع ، أعتقد بشدة أن كل شركة تنظر في بيانات عملائها سواء كان ذلك بدافع الفضول أو لتحسين منتجها الخاص.

قام موظفو Amazon في الصين مؤخرًا ببيع بيانات البائع لأي شخص يرغب في دفع ثمنه. وهذا أمازون نتحدث عنه هنا !!!

في الوقت الحالي ، يعد البيع على أمازون شريرًا كما هو ، وهناك الكثير من الأنشطة الضارة .

لمزيد من المعلومات ، يرجى التحقق من رسالتي حول مخاطر البيع على أمازون وقصص الرعب من بائعي أمازون الحقيقيين

ماذا تلاحظ من الخارج

آمل أن أكون قد أقنعتك أنك بحاجة إلى توخي الحذر الشديد عند استخدام كود طرف ثالث على موقعك. الآن هذا لا يعني أنه لا يجب عليك استخدام رمز الآخرين أبدًا لأن ذلك سيكون سخيفًا.

ولكن تأكد من أنك تثق تمامًا في مؤلف الكود الذي تستخدمه.

إذا كنت بحاجة ماسة إلى استخدام كود جافا سكريبت الخاص بشخص آخر ، فإليك بعض الإرشادات العامة التي يجب اتباعها

• قم دائمًا بتثبيت شفرة جافا سكريبت في تذييل موقعك - وبهذه الطريقة إذا كان الرمز يستدعي خادمًا تابعًا لجهة خارجية وكان الخادم معطلاً ، فلن يؤدي ذلك إلى تعطيل موقعك بالكامل معه
• استخدم شفرة جافا سكريبت غير المتزامنة فقط إن أمكن - يتم تحميل شفرة جافا سكريبت غير المتزامنة في الخلفية ولن تؤثر على التحميل الكلي لموقعك
• حاول ألا تستخدم رمزًا يقوم بإجراء مكالمات إلى خادم جهة خارجية - في بعض الأحيان لا يمكن المساعدة في ذلك ولكن حاول الحد من ذلك إن أمكن
• استضف كود جافا سكريبت على الخادم الخاص بك - غالبًا ما يتم تنزيل كود جافا سكريبت من جهة خارجية من خادم يمتلكه مطور البرنامج المساعد.

  ولكن بدلاً من إجراء مكالمات إلى خادم شخص آخر ، فكر في تنزيل جافا سكريبت مباشرةً واستضافته على جهازك الخاص. بهذه الطريقة إذا تعطل خادم الجهة الخارجية ، فلن يؤثر ذلك على موقعك.

  ملاحظة: استضافة الكود الخاص بك ليست قابلة للتطبيق دائمًا وتعتمد على الموقف ولكن يجب أن تسأل عما إذا كان ذلك ممكنًا

يعد تحديد أداة بائعي أمازون التي يثقون بها مشكلة أكثر تعقيدًا . بالنسبة لي ، أنا حريص للغاية بشأن من أعطي بيانات اعتماد أمازون الخاصة بي .

وأنا في الواقع أقوم ببعض العناية الواجبة لمعرفة من يقف وراء الشركة قبل أن أتجاوز مفاتيح Amazon API الخاصة بي.

على وجه التحديد ، أسأل ...

• من هم أكبر عملائهم
• منذ متى كانت برامجهم موجودة
• كم عدد المهندسين في المشروع
• كيف يختبرون وينفذون ضمان الجودة لمنتجهم

نظرًا لأن تصميم الأجهزة والبرامج كان وظيفتي لأكثر من 20 عامًا ، فأنا شديد الحساسية للأخطاء ومراقبة الجودة :)

وأي شخص عمل معي في الماضي يعرف أنني شرج للغاية بشأن تقديم أي نقاط فشل إضافية في موقعي. نتيجة لذلك ، احتفظ بجميع أكواد الطرف الثالث عند الحد الأدنى المطلق.

من الناحية الواقعية ، لن تحاول معظم الشركات ذات السمعة الطيبة الإضرار بموقعك عن قصد ، لكن كل مكون إضافي أو جزء من التعليمات البرمجية تقوم بتثبيته هو نقطة فشل أخرى خارجة عن إرادتك .

الآن ليس عليك أن تكون شرجيًا مثلي ولكن يجب عليك على الأقل فهم تداعيات أفعالك. فقط تأكد من أنك تعرف ما الذي تحصل عليه عند استخدام رمز شخص آخر وتأكد من أنك تثق في الشخص الذي يقف وراء الشركة.