Los peligros de usar complementos gratuitos de WordPress y código Javascript en su sitio
Publicado: 2021-08-19Durante la última década de ejecutar este blog y enseñar mi curso de tienda en línea, he notado una tendencia inquietante entre muchos emprendedores de comercio electrónico.
Ahora bien, esta tendencia es especialmente frecuente porque el 99% de los propietarios de tiendas en línea no tienen experiencia en programación ni se molestan en tratar de aprender los conceptos básicos de cómo funcionan las tecnologías web.
Como resultado, siempre que necesitan o quieren una determinada función para su carrito de compras, hacen lo que haría cualquier persona normal ...
Hacen una búsqueda en Google, buscan un complemento, widget o código gratuito de WordPress que haga lo que quieren y luego lo instalan a ciegas en su sitio web .
Y el 90% de las veces, el complemento parece hacer lo que quieren, por lo que lo mantienen instalado sin darse cuenta de las posibles ramificaciones de su decisión.
Así que hoy quiero hablar sobre los peligros de instalar código de terceros y complementos aleatorios en su sitio.
Además, le proporcionaré las pautas que utilizo personalmente para seleccionar mis complementos .
Con suerte, al final de esta publicación, será mucho más deliberado a la hora de minimizar los riesgos del software mal codificado y la actividad maliciosa.
Obtenga mi mini curso gratuito sobre cómo iniciar una tienda de comercio electrónico exitosa
Si está interesado en iniciar un negocio de comercio electrónico, reuní un paquete completo de recursos que lo ayudarán a lanzar su propia tienda en línea desde cero. ¡Asegúrate de agarrarlo antes de irte!
El poder de una sola línea de código
En la actualidad, muchos servicios y complementos instalan automáticamente un pequeño fragmento de código javascript para agregar funcionalidad a su sitio.
¿Qué es JavaScript?
Javascript es un lenguaje de programación que se ejecuta en la computadora cliente una vez que se descarga de un sitio web. Y aunque este código suele ser una sola línea, proporciona al creador del complemento una visibilidad y un control casi infinitos sobre su sitio .
Aquí hay un ejemplo rápido de cómo se ve este código
<script src = '// widget.randomplugincompany.com/assets/widget.js'> </script>
Ahora, en algunas implementaciones, javascript puede enviar información privada sobre su sitio web, computadora y visitantes a un servidor de terceros propiedad del autor del código.
Por ejemplo, Google Analytics es un fragmento de código JavaScript escrito por Google que transmite todo tipo de datos sobre su sitio web directamente a los servidores de Google, donde registran y recopilan sus datos.
Ahora bien, si alguna vez ha mirado su informe de Google Analytics, notará que toda la información posible sobre su sitio web y sus visitantes se envía a los servidores de Google donde "prometen" no mirarla .
Y obtienen todos estos datos sobre su sitio web a partir de un pequeño fragmento de código que corta y pega en su sitio.
Bastante poderoso, ¿verdad?
Sin embargo, lo que esto significa es que cada vez que corte y pegue ciegamente un código javascript de terceros en su sitio, podría estar enviando toda la información de su sitio web privado a esa empresa .
Y debido a que un fragmento de código tan pequeño puede ejercer tanto poder, realmente debe confiar en la empresa con la que está tratando .
A continuación se muestran algunos problemas reales que mis alumnos han enfrentado como resultado del uso ciego de código de terceros.
Un Javascript incorrecto puede ralentizar su sitio
Una de mis alumnas recibía mucho tráfico a su sitio web desde Google, pero su tráfico no generaba muchas ventas para su tienda en línea.
Como resultado, decidió mostrar anuncios publicitarios en su sitio.
Ahora, mezclar anuncios con productos generalmente no es una buena idea para una tienda de comercio electrónico, pero ella razonó que si sus visitantes no estaban comprando sus productos, también podría ganar “algo” de dinero con anuncios.
De todos modos, un día me envió un correo electrónico preguntándome por qué todas sus ventas se detuvieron repentinamente . Y cuando fui a ver su sitio, me horroricé.
En primer lugar, su sitio tardó casi 20 segundos en cargarse y, cuando finalmente se cargó, aparecieron anuncios animados por todas partes. Cuando hice una prueba de velocidad de una página web, esto es lo que encontré.
Un diminuto fragmento de código JavaScript de su red publicitaria estaba ralentizando todo su sitio.
E instaló el código de tal manera que el código del anuncio estaba bloqueando su contenido para que no se mostrara hasta después de que se cargara el código del anuncio.
¡No es de extrañar que nadie estuviera comprando en su tienda! Además de los anuncios parpadeantes, es probable que los clientes se sientan frustrados con los tiempos de carga extremadamente lentos causados por el código .
De hecho, las redes publicitarias son conocidas por ralentizar los sitios porque literalmente transmiten toneladas de información de seguimiento sobre su sitio a sus servidores.
También son conocidos por almacenar datos de visitantes y vender esa información a otros anunciantes.
Javascript incorrecto puede derribar su sitio
Otro estudiante de mi clase estaba buscando un complemento para aumentar la cantidad de me gusta en su página de fans de Facebook. Como resultado, encontró este fragmento de código que hacía que un cliente "me gustara" en su página de fans de Facebook antes de exponer un código de cupón que incentivaría al cliente a comprar.
Parecía lo suficientemente inocente y el complemento funcionó como un campeón durante bastante tiempo. Pero un día, esta estudiante me envió un correo electrónico frenéticamente diciéndome que su sitio web estaba roto a pesar de que no había hecho ningún cambio .
Cuando fui a su tienda en línea para investigar, descubrí que el encabezado y el logotipo de su sitio web se estaban cargando bien, pero el resto de su tienda estaba completamente en blanco.
Con un vistazo rápido a la fuente de su página, descubrí que la pieza mágica del código javascript de Facebook que copió estaba haciendo llamadas a un servidor aleatorio que estaba caído .
Y debido a que este código estaba en el encabezado de su tienda, impidió que se cargara el resto de su sitio porque no podía pasar la llamada al servidor defectuoso.
¡Tenga cuidado al colocar cualquier código javascript en el encabezado de su sitio! Si es absolutamente necesario utilizar un código javascript de terceros en su encabezado, asegúrese de que el código se cargue de forma asincrónica en segundo plano para que no bloquee la carga de su sitio.
Un Javascript incorrecto puede cambiar su sitio web sin su permiso
¿Sabías que instalar el código javascript de otra persona es esencialmente como darle las claves de tu sitio web a otra persona ?
Cuando usa el código de otra persona, esa persona esencialmente puede alterar su sitio web como mejor le parezca.
Ahora, el desarrollador de javascript tendría que ser una muy mala persona para alterar maliciosamente su sitio web, pero ha sucedido en el pasado incluso con grandes empresas conocidas .
Por ejemplo, ¿sabías que el popular sitio web Houzz.com utilizó sus widgets javascript para instalar enlaces SEO de sombrero negro a su sitio ?
Así es como sucedió.
Houzz.com es en realidad un sitio web muy popular que muestra la decoración del hogar. Como resultado, los bloggers estaban usando sus widgets javascript para mostrar imágenes de decoración hermosas y coloridas en sus blogs.
Pero un día, Glen Allsop de Viperchill descubrió que Houzz.com estaba usando su código de widget de JavaScript para incrustar en secreto vínculos de retroceso al sitio web Houzz.com .
Como resultado, Houzz usó su widget de JavaScript para manipular maliciosamente sus clasificaciones de búsqueda en Google .
Para obtener información sobre esto, puede leer la publicación de Glen en su totalidad aquí.
Pero en resumen, cualquier fragmento de código JavaScript puede permitir que un tercero realice cambios en la forma en que se muestra su sitio sin que usted lo sepa .
Tenga cuidado con las herramientas de Amazon que instala
Debido a que soy miembro de muchos grupos de vendedores de comercio electrónico, a menudo escucho historias y rumores de actividades maliciosas que surgen de varias herramientas de Amazon en el mercado.
Ahora, para usar la mayoría de las herramientas de Amazon en estos días, debe proporcionarles sus credenciales de API de Amazon, lo que esencialmente permite que esa herramienta vea todas sus ventas y todos sus productos.
¿Bien adivina que? Esta información es extremadamente sensible y potencialmente puede usarse en su contra.
Recientemente, corrió el rumor de que el propietario de una herramienta de venta de Amazon muy popular estaba en la Feria de Cantón comprando productos populares para la venta .
Y debido a que el propietario de esta empresa de software tenía un conocimiento profundo de miles de cuentas de vendedor, sabía exactamente qué buscar.
Bastante sórdido, ¿verdad?
Pero, desafortunadamente, este escenario puede suceder y sucede todo el tiempo. De hecho, creo firmemente que todas las empresas miran los datos de sus clientes, ya sea por curiosidad o para mejorar su propio producto.
Recientemente, los empleados de Amazon en China han estado vendiendo datos de proveedores a cualquiera que esté dispuesto a pagar su precio. ¡Y esto es Amazon de lo que estamos hablando aquí!
En este momento, vender en Amazon es lo más feroz posible y hay un montón de actividad maliciosa .
Para obtener más información, consulte mi publicación sobre Los peligros de vender en Amazon y las historias de terror de los vendedores reales de Amazon.
Qué buscar
Con suerte, te he convencido de que debes tener mucho cuidado al usar código de terceros en tu sitio. Eso no quiere decir que NUNCA debas usar el código de otras personas porque eso sería una tontería.
Pero asegúrese de confiar plenamente en el autor del código que está utilizando.
En el caso de que sea absolutamente necesario utilizar el código javascript de otra persona, aquí hay algunas pautas generales a seguir.
- Instale siempre el código javascript en el pie de página de su sitio : de esta manera, si el código llama a un servidor de terceros y el servidor está inactivo, no afectará a todo su sitio.
- Solo use código javascript asíncrono si es posible : el código javascript asíncrono se carga en segundo plano y no afectará la carga general de su sitio
- Intente no usar código que realice llamadas a un servidor de terceros : a veces esto no se puede evitar, pero trate de limitarlo si es posible
- Aloje el código javascript en su propio servidor : el código javascript de terceros a menudo se descarga de un servidor que es propietario del desarrollador del complemento.
Pero en lugar de hacer llamadas al servidor de otra persona, considere descargar el javascript directamente y alojarlo en su propia máquina. De esta manera, si el servidor de terceros falla alguna vez, no afectará a su sitio.
Nota: Alojar su propio código no siempre es aplicable y depende de la situación, pero debe preguntar si es posible.
Decidir en qué herramienta de vendedores de Amazon confiar es un problema mucho más complicado . Para mí, soy extremadamente cuidadoso con respecto a a quién le doy mis credenciales de Amazon .
Y de hecho hago un poco de diligencia debida sobre quién está detrás de la empresa antes de entregar mis claves de API de Amazon.
Específicamente, pregunto ...
- Quiénes son sus clientes más importantes
- Cuánto tiempo ha existido su software
- Cuántos ingenieros hay en el proyecto
- Cómo prueban y realizan el control de calidad de su producto
Debido a que el diseño de hardware y software fue mi trabajo durante más de 20 años, soy extremadamente sensible a los errores y al control de calidad :)
Y cualquiera que haya trabajado conmigo en el pasado sabe que soy súper anal al introducir puntos adicionales de falla en mi sitio. Como resultado, mantengo todo el código de terceros al mínimo absoluto.
Hablando de manera realista, la mayoría de las empresas de renombre no intentarán dañar su sitio intencionalmente, pero cada complemento o código que instale es otro punto de falla que está fuera de su control .
Ahora no tienes que ser tan anal como yo, pero al menos debes comprender las ramificaciones de tus acciones. Solo asegúrese de saber en qué se está metiendo cuando usa el código de otra persona y asegúrese de confiar en la persona detrás de la empresa.