Les dangers de l'utilisation de plugins WordPress gratuits et de code Javascript sur votre site

Au cours de la dernière décennie de gestion de ce blog et d'enseignement de mon cours de boutique en ligne, j'ai remarqué une tendance inquiétante parmi de nombreux entrepreneurs de commerce électronique.

Aujourd'hui, cette tendance est particulièrement répandue car 99% des propriétaires de boutiques en ligne n'ont pas d'expérience en programmation et ne se donnent pas la peine d'essayer d'apprendre les bases du fonctionnement des technologies Web.

En conséquence, chaque fois qu'ils ont besoin ou veulent une certaine fonctionnalité pour leur panier, ils font ce que toute personne normale ferait…

Ils font une recherche sur Google, recherchent un plugin WordPress gratuit, un widget ou un morceau de code qui fait ce qu'ils veulent, puis ils l' installent à l'aveuglette sur leur site Web .

Et 90% du temps, le plugin semble faire ce qu'ils veulent donc ils le gardent installé sans se rendre compte des ramifications potentielles de leur décision.

Alors aujourd'hui, je veux parler des dangers de l'installation de code tiers et de plugins aléatoires sur votre site.

De plus, je vais vous fournir des directives que j'utilise personnellement pour sélectionner mes plugins .

Espérons qu'à la fin de cet article, vous serez beaucoup plus déterminé à minimiser les risques liés aux logiciels mal codés et aux activités malveillantes.

Obtenez mon mini-cours gratuit sur la façon de démarrer une boutique de commerce électronique réussie

Si vous souhaitez démarrer une entreprise de commerce électronique, j'ai mis en place un ensemble complet de ressources qui vous aideront à lancer votre propre boutique en ligne à partir de zéro. Assurez-vous de l'attraper avant de partir!

Cliquez ici pour télécharger

La puissance d'une seule ligne de code

De nos jours, de nombreux services et plugins installent automatiquement un petit extrait de code javascript pour ajouter des fonctionnalités à votre site.

Qu'est-ce que javascript ?

Javascript est un langage de programmation qui s'exécute sur l'ordinateur client une fois qu'il est téléchargé à partir d'un site Web. Et même si ce code n'est souvent qu'une seule ligne, il offre au créateur du plugin une visibilité et un contrôle quasi infinis sur votre site .

Voici un exemple rapide de ce à quoi ressemble ce code

<script src='//widget.randomplugincompany.com/assets/widget.js'></script>

Désormais, dans certaines implémentations, javascript peut renvoyer des informations privées sur votre site Web, votre ordinateur et vos visiteurs à un serveur tiers appartenant à l'auteur du code.

Par exemple, Google Analytics est un morceau de code javascript écrit par Google qui transmet toutes sortes de données sur votre site Web directement aux serveurs de Google où ils enregistrent et rassemblent vos données.

Maintenant, si vous avez déjà consulté votre rapport Google Analytics auparavant, vous remarquerez que toutes les informations possibles sur votre site Web et vos visiteurs sont envoyées aux serveurs de Google où ils « promettent » de ne pas les consulter .

Et ils obtiennent toutes ces données sur votre site Web à partir d' un petit morceau de code que vous coupez et collez sur votre site.

Assez puissant non?

Cependant, cela signifie que chaque fois que vous coupez et collez aveuglément un morceau de code javascript tiers sur votre site, vous pouvez envoyer toutes les informations de votre site Web privé à cette société .

Et parce qu'un si petit morceau de code peut exercer tant de pouvoir, vous devez vraiment faire confiance à l'entreprise avec laquelle vous traitez .

Vous trouverez ci-dessous quelques problèmes réels auxquels mes étudiants ont été confrontés en raison de l'utilisation aveugle de code tiers.

Un mauvais Javascript peut ralentir votre site

L'un de mes étudiants recevait beaucoup de trafic sur son site Web à partir de Google, mais son trafic n'entraînait pas beaucoup de ventes pour sa boutique en ligne.

En conséquence, elle a décidé d' afficher des bannières publicitaires sur son site.

Maintenant, mélanger des publicités avec des produits n'est généralement pas une bonne idée pour une boutique de commerce électronique, mais elle a estimé que si ses visiteurs n'achetaient pas ses produits, elle pourrait aussi gagner « de » de l'argent avec des publicités.

Quoi qu'il en soit, un jour, elle m'a envoyé un e-mail me demandant pourquoi toutes ses ventes se sont soudainement arrêtées . Et quand je suis allé voir son site, j'ai été horrifié.

Tout d'abord, son site a mis près de 20 secondes à se charger et quand il s'est finalement chargé, il y avait des publicités animées clignotantes partout. Lorsque j'ai fait un test de vitesse de page Web, c'est ce que j'ai trouvé.

Un minuscule morceau de code javascript de son réseau publicitaire ralentissait l'ensemble de son site.

Et elle a installé le code de telle manière que le code d'annonce empêchait son contenu d'apparaître jusqu'à ce que le code d'annonce soit chargé.

Ce n'est pas étonnant que personne ne fasse ses courses dans sa boutique ! Outre les annonces clignotantes, les clients étaient probablement frustrés par les temps de chargement extrêmement lents causés par le code .

En fait, les réseaux publicitaires sont connus pour ralentir les sites, car ils transmettent littéralement des tonnes d'informations de suivi sur votre site à leurs serveurs.

Ils sont également connus pour stocker les données des visiteurs et vendre ces informations à d'autres annonceurs.

Un mauvais Javascript peut détruire votre site

Une autre étudiante de ma classe cherchait un plugin pour augmenter le nombre de likes sur sa page de fans Facebook. En conséquence, elle a trouvé ce morceau de code qui a incité un client à « aimer » sa page de fans sur Facebook avant d'exposer un code de coupon qui inciterait un client à acheter.

Cela semblait assez innocent et le plugin a fonctionné comme un champion pendant un bon moment. Mais un jour, cette étudiante m'a envoyé un e-mail avec frénésie pour me dire que son site Web était en panne alors qu'elle n'avait fait aucun changement .

Lorsque je suis allé dans sa boutique en ligne pour enquêter, j'ai découvert que l'en-tête et le logo de son site Web se chargeaient très bien, mais que le reste de sa boutique était complètement vide.

En jetant un rapide coup d'œil à la source de sa page, j'ai découvert que le morceau magique de code javascript de Facebook qu'elle avait copié passait des appels à un serveur aléatoire qui était en panne .

Et parce que ce code était dans l'en-tête de sa boutique, il empêchait le reste de son site de se charger car il ne pouvait pas passer l'appel au mauvais serveur.

Soyez prudent lorsque vous mettez du code javascript dans l'en-tête de votre site ! Si vous devez absolument utiliser du code javascript tiers dans votre entête, assurez-vous que le code se charge de manière asynchrone en arrière-plan et ainsi il ne bloquera pas le chargement de votre site.

Un mauvais Javascript peut modifier votre site Web sans votre permission

Saviez-vous qu'installer le code javascript de quelqu'un d'autre revient essentiellement à donner les clés de votre site Web à quelqu'un d'autre ?

Lorsque vous utilisez le code de quelqu'un d'autre, cette personne peut essentiellement modifier votre site Web comme bon lui semble.

Maintenant, le développeur javascript devrait être une très mauvaise personne afin de modifier malicieusement votre site Web, mais cela s'est produit dans le passé même avec de grandes entreprises bien connues .

Par exemple, saviez-vous que le site Web populaire Houzz.com utilisait ses widgets javascript pour installer des liens SEO Black Hat vers son site ?

Voici comment ça s'est passé.

Houzz.com est en fait un site Web très populaire qui présente la décoration intérieure. En conséquence, les blogueurs utilisaient leurs widgets javascript pour afficher de belles images de décoration colorées sur leurs blogs.

Mais un jour, Glen Allsop de Viperchill a découvert que Houzz.com utilisait son code de widget javascript pour intégrer secrètement des backlinks vers le site Web Houzz.com .

En conséquence, Houzz a utilisé son widget javascript pour manipuler de manière malveillante ses classements de recherche dans Google .

Pour plus d'informations à ce sujet, vous pouvez lire le post de Glen dans son intégralité ici

Mais en fin de compte, tout morceau de code javascript peut potentiellement permettre à un tiers d' apporter des modifications à la façon dont votre site est affiché à votre insu .

Faites attention aux outils Amazon que vous installez

Étant donné que je suis membre de nombreux groupes de vendeurs de commerce électronique, j'entends souvent des histoires et des rumeurs d' activités malveillantes provenant de divers outils Amazon sur le marché.

Maintenant, afin d'utiliser la plupart des outils Amazon de nos jours, vous devez leur fournir vos informations d'identification API Amazon, ce qui permet essentiellement à cet outil de voir toutes vos ventes et tous vos produits.

Bien devinez quoi? Ces informations sont extrêmement sensibles et peuvent potentiellement être utilisées contre vous.

Récemment, une rumeur a circulé selon laquelle le propriétaire d'un outil de vente Amazon très populaire était à la Foire de Canton à la recherche de produits populaires à vendre .

Et parce que ce propriétaire de société de logiciels avait une connaissance intime de milliers de comptes de vendeurs, il savait exactement quoi rechercher.

Assez louche, non?

Mais malheureusement, ce scénario peut se produire et se produit tout le temps. En fait, je crois fermement que chaque entreprise examine les données de ses clients, que ce soit par curiosité ou pour améliorer leur propre produit.

Récemment, des employés d'Amazon en Chine ont vendu des données de fournisseurs à quiconque était prêt à en payer le prix. Et c'est d'Amazon dont on parle ici !!!

À l'heure actuelle, vendre sur Amazon est aussi impitoyable que possible et il y a une tonne d'activités malveillantes .

Pour plus d'informations, veuillez consulter mon article sur les dangers de la vente sur Amazon et les histoires d'horreur de vrais vendeurs Amazon.

A quoi faut-il faire attention

J'espère vous avoir convaincu que vous devez être extrêmement prudent lorsque vous utilisez du code tiers sur votre site. Cela ne veut pas dire que vous ne devriez JAMAIS utiliser le code d'autres personnes parce que ce serait idiot.

Mais assurez-vous que vous faites entièrement confiance à l'auteur du code que vous utilisez.

Dans le cas où vous devez absolument utiliser le code javascript de quelqu'un d'autre, voici quelques directives générales à suivre

• Installez toujours le code javascript dans le pied de page de votre site - De cette façon, si le code appelle un serveur tiers et que le serveur est en panne, il ne mettra pas tout votre site en panne avec lui.
• N'utilisez que du code javascript asynchrone si possible - Le code javascript asynchrone se charge en arrière-plan et n'affectera pas le chargement global de votre site
• Essayez de ne pas utiliser de code qui appelle un serveur tiers - Parfois, cela ne peut pas être aidé, mais essayez de limiter cela si possible
• Hébergez le code javascript sur votre propre serveur - Le code javascript tiers est souvent téléchargé à partir d'un serveur appartenant au développeur du plugin.

  Mais au lieu d'appeler le serveur de quelqu'un d'autre, envisagez de télécharger le javascript directement et de l'héberger sur votre propre machine. De cette façon, si le serveur tiers tombe en panne, cela n'affectera pas votre site.

  Remarque : L' hébergement de votre propre code n'est pas toujours applicable et dépend de la situation, mais vous devez demander si c'est possible

Décider à quel outil des vendeurs Amazon se fier est un problème beaucoup plus compliqué . Pour moi, je fais très attention à qui je donne mes identifiants Amazon à .

Et en fait, je fais preuve de diligence raisonnable pour savoir qui se cache derrière l'entreprise avant de transférer mes clés API Amazon.

Plus précisément, je demande…

• Qui sont leurs plus gros clients
• Depuis combien de temps leur logiciel existe
• Combien d'ingénieurs sont sur le projet
• Comment ils testent et font l'AQ pour leur produit

Parce que concevoir du matériel et des logiciels a été mon métier pendant plus de 20 ans, je suis extrêmement sensible aux bugs et au contrôle qualité :)

Et tous ceux qui ont travaillé avec moi dans le passé savent que je suis super anal pour introduire des points de défaillance supplémentaires avec mon site. En conséquence, je garde tous les codes tiers au minimum absolu.

De manière réaliste, la plupart des entreprises réputées n'essaieront pas intentionnellement de nuire à votre site, mais chaque plugin ou morceau de code que vous installez est un autre point d'échec qui échappe à votre contrôle .

Maintenant, vous n'avez pas besoin d'être aussi anal que moi, mais vous devriez au moins comprendre les ramifications de vos actions. Assurez-vous simplement de savoir dans quoi vous vous engagez lorsque vous utilisez le code de quelqu'un d'autre et assurez-vous de faire confiance à la personne derrière l'entreprise.