I pericoli dell'utilizzo di plugin gratuiti per WordPress e codice Javascript sul tuo sito

Nell'ultimo decennio di gestione di questo blog e di insegnamento del mio corso di negozio online, ho notato una tendenza inquietante tra molti imprenditori di e-commerce.

Ora questa tendenza è particolarmente diffusa perché il 99% dei proprietari di negozi online non ha un background di programmazione né si preoccupa di cercare di apprendere le basi del funzionamento delle tecnologie web.

Di conseguenza, ogni volta che hanno bisogno o desiderano una determinata funzionalità per il loro carrello, fanno ciò che farebbe qualsiasi persona normale...

Fanno una ricerca su Google, cercano un plug-in WordPress gratuito, un widget o un pezzo di codice che fa quello che vogliono e poi lo installano alla cieca sul loro sito web .

E il 90% delle volte, il plug-in sembra fare ciò che vogliono, quindi lo mantengono installato senza rendersi conto delle potenziali ramificazioni della loro decisione.

Quindi oggi voglio parlare dei pericoli derivanti dall'installazione di codice di terze parti e plug-in casuali sul tuo sito.

Inoltre, ti fornirò delle linee guida che utilizzo personalmente per selezionare i miei plugin .

Si spera che entro la fine di questo post, sarai molto più deliberato nel ridurre al minimo i rischi derivanti da software mal codificati e attività dannose.

Ottieni il mio mini corso gratuito su come avviare un negozio di e-commerce di successo

Se sei interessato ad avviare un'attività di e-commerce, ho messo insieme un pacchetto completo di risorse che ti aiuteranno a lanciare il tuo negozio online da zero. Assicurati di prenderlo prima di partire!

Clicca qui per scaricare

Il potere di una singola riga di codice

Molti servizi e plugin in questi giorni installano automaticamente un piccolo frammento di codice javascript per aggiungere funzionalità al tuo sito.

Che cos'è javascript?

Javascript è un linguaggio di programmazione che viene eseguito sul computer client una volta scaricato da un sito Web. E anche se questo codice è spesso solo una singola riga, fornisce al creatore del plug-in una visibilità e un controllo quasi illimitati sul tuo sito .

Ecco un rapido esempio di come appare questo codice

<script src='//widget.randomplugincompany.com/assets/widget.js'></script>

Ora, in alcune implementazioni, javascript può inviare informazioni private sul tuo sito Web, computer e visitatori a un server di terze parti di proprietà dell'autore del codice.

Ad esempio, Google Analytics è un pezzo di codice javascript scritto da Google che trasmette tutti i tipi di dati sul tuo sito web direttamente ai server di Google dove registrano e raccolgono i tuoi dati.

Ora, se hai mai guardato il tuo rapporto di Google Analytics prima, noterai che ogni possibile informazione sul tuo sito web e sui tuoi visitatori viene inviata ai server di Google dove "promettono" di non guardarla .

E ottengono tutti questi dati sul tuo sito Web da un piccolo pezzo di codice che tagli e incolli sul tuo sito.

Abbastanza potente vero?

Ciò significa, tuttavia, che ogni volta che tagli e incolli alla cieca un pezzo di codice javascript di terze parti sul tuo sito, potresti inviare tutte le informazioni del tuo sito Web privato a quella società .

E poiché un pezzo di codice così piccolo può esercitare così tanto potere, devi davvero fidarti dell'azienda con cui hai a che fare .

Di seguito sono riportati alcuni problemi reali che i miei studenti hanno dovuto affrontare a causa dell'utilizzo alla cieca di codici di terze parti.

Javascript non valido può rallentare il tuo sito

Uno dei miei studenti riceveva molto traffico sul suo sito Web da Google, ma il suo traffico non generava molte vendite per il suo negozio online.

Di conseguenza, ha deciso di visualizzare banner pubblicitari sul suo sito.

Ora, mescolare gli annunci con i prodotti non è generalmente una buona idea per un negozio di e-commerce, ma ha ragionato che se i suoi visitatori non stavano acquistando i suoi prodotti, potrebbe anche guadagnare "un po'" con gli annunci.

Ad ogni modo, un giorno mi ha inviato un'e-mail chiedendomi perché tutte le sue vendite si sono improvvisamente fermate . E quando sono andato a dare un'occhiata al suo sito, sono rimasto inorridito.

Prima di tutto, il suo sito ha impiegato quasi 20 secondi per caricarsi e quando finalmente è stato caricato, c'erano annunci animati lampeggianti dappertutto. Quando ho fatto un test di velocità della pagina web, questo è quello che ho trovato.

Un minuscolo pezzo di codice javascript dalla sua rete pubblicitaria stava rallentando l'intero sito.

E ha installato il codice in modo tale che il codice dell'annuncio bloccasse la visualizzazione dei suoi contenuti fino a dopo il caricamento del codice dell'annuncio.

Non c'è da meravigliarsi se nessuno faceva acquisti nel suo negozio! Oltre agli annunci lampeggianti, i clienti erano probabilmente frustrati dai tempi di caricamento estremamente lenti causati dal codice .

In effetti, le reti pubblicitarie sono notoriamente note per rallentare i siti perché trasmettono letteralmente tonnellate di informazioni di tracciamento sul tuo sito ai loro server.

Sono anche noti per memorizzare i dati dei visitatori e vendere tali informazioni ad altri inserzionisti.

Javascript non valido può distruggere il tuo sito

Un'altra studentessa della mia classe stava cercando un plug-in per aumentare il numero di Mi piace sulla sua pagina fan di Facebook. Di conseguenza, ha trovato questo pezzo di codice che ha fatto "mi piace" a un cliente sulla sua pagina fan di Facebook prima di esporre un codice coupon che incentiverebbe un cliente ad acquistare.

Sembrava abbastanza innocente e il plugin ha funzionato come un campione per un bel po'. Ma poi un giorno, questa studentessa mi ha inviato un'e- mail freneticamente dicendomi che il suo sito web era rotto anche se non aveva apportato alcuna modifica .

Quando sono andato nel suo negozio online per indagare, ho scoperto che l'intestazione e il logo del suo sito web si caricavano bene, ma il resto del suo negozio era completamente vuoto.

Con una rapida occhiata alla fonte della sua pagina, ho scoperto che il magico pezzo di codice javascript di Facebook che ha copiato stava effettuando chiamate a un server casuale che era inattivo .

E poiché questo codice era nell'intestazione del suo negozio, ha impedito il caricamento del resto del suo sito perché non riusciva a superare la chiamata al server danneggiato.

Fai attenzione quando inserisci codice javascript nell'intestazione del tuo sito! Se devi assolutamente utilizzare codice javascript di terze parti nell'intestazione, assicurati che il codice venga caricato in modo asincrono in background e quindi non bloccherà il caricamento del tuo sito.

Javascript non valido può modificare il tuo sito Web senza il tuo permesso

Sapevi che installare il codice javascript di qualcun altro è essenzialmente come dare le chiavi del tuo sito web a qualcun altro ?

Quando usi il codice di qualcun altro, quella persona può essenzialmente modificare il tuo sito web come meglio crede.

Ora lo sviluppatore javascript dovrebbe essere una persona molto cattiva per alterare maliziosamente il tuo sito web, ma è successo in passato anche con grandi aziende ben note .

Ad esempio, sapevi che il popolare sito Web Houzz.com ha utilizzato i suoi widget javascript per installare collegamenti SEO black hat sul proprio sito ?

Ecco come è andata a finire.

Houzz.com è in realtà un sito Web molto popolare che mette in mostra l'arredamento della casa. Di conseguenza, i blogger utilizzavano i loro widget javascript per visualizzare immagini di decorazione belle e colorate sui loro blog.

Ma un giorno Glen Allsop di Viperchill ha scoperto che Houzz.com stava usando il codice del widget javascript per incorporare segretamente i backlink al sito web di Houzz.com .

Di conseguenza, Houzz ha utilizzato il proprio widget javascript per manipolare in modo dannoso il proprio ranking di ricerca in Google .

Per informazioni a riguardo, puoi leggere il post di Glen nella sua interezza qui

Ma in conclusione, qualsiasi pezzo di codice javascript può potenzialmente consentire a una terza parte di apportare modifiche al modo in cui viene visualizzato il tuo sito senza che tu lo sappia .

Fai attenzione a quali strumenti Amazon installi

Poiché sono membro di molti gruppi di venditori di e-commerce, sento spesso storie e voci di attività dannose derivanti da vari strumenti Amazon sul mercato.

Ora, per poter utilizzare la maggior parte degli strumenti Amazon in questi giorni, devi fornire loro le credenziali dell'API Amazon che essenzialmente consentono a quello strumento di vedere tutte le tue vendite e tutti i tuoi prodotti.

Beh indovina cosa? Queste informazioni sono estremamente sensibili e possono essere potenzialmente utilizzate contro di te.

Di recente, è circolata una voce secondo cui il proprietario di uno strumento di vendita Amazon molto popolare era alla Fiera di Canton per acquistare prodotti popolari in vendita .

E poiché questo proprietario di una società di software aveva una conoscenza approfondita di migliaia di account venditore, sapeva esattamente cosa cercare.

Abbastanza squallido vero?

Ma sfortunatamente, questo scenario può e si verifica sempre. In effetti, credo fermamente che ogni azienda guardi i dati dei propri clienti sia per curiosità che per migliorare il proprio prodotto.

Recentemente i dipendenti di Amazon in Cina hanno venduto i dati dei fornitori a chiunque fosse disposto a pagare il loro prezzo. E questo è Amazon di cui stiamo parlando qui!!!

In questo momento, vendere su Amazon è spietato e ci sono un sacco di attività dannose .

Per ulteriori informazioni, controlla il mio post su I pericoli della vendita su Amazon e le storie dell'orrore dei veri venditori di Amazon

Cosa cercare?

Spero di averti convinto che devi essere estremamente attento quando utilizzi codice di terze parti sul tuo sito. Questo non vuol dire che non dovresti MAI usare il codice di altre persone perché sarebbe sciocco.

Ma assicurati di fidarti completamente dell'autore del codice che stai utilizzando.

Nel caso in cui sia assolutamente necessario utilizzare il codice javascript di qualcun altro, ecco alcune linee guida generali da seguire

• Installa sempre il codice javascript nel piè di pagina del tuo sito – In questo modo se il codice chiama un server di terze parti e il server è inattivo, non porterà l'intero sito inattivo con esso
• Utilizza solo codice javascript asincrono se possibile : il codice javascript asincrono viene caricato in background e non influirà sul caricamento complessivo del tuo sito
• Cerca di non utilizzare il codice che effettua chiamate a un server di terze parti - A volte questo non può essere aiutato, ma prova a limitarlo se possibile
• Ospita il codice javascript sul tuo server : il codice javascript di terze parti viene spesso scaricato da un server di proprietà dello sviluppatore del plug-in.

  Ma invece di effettuare chiamate al server di qualcun altro, considera di scaricare direttamente il javascript e ospitarlo sul tuo computer. In questo modo, se il server di terze parti si interrompe, non influirà sul tuo sito.

  Nota: l' hosting del tuo codice non è sempre applicabile e dipende dalla situazione, ma dovresti chiedere se è possibile

Decidere di quale strumento dei venditori Amazon fidarsi è un problema molto più complicato . Per quanto mi riguarda, sto estremamente attento a chi fornisco le mie credenziali Amazon .

E in realtà faccio un po' di due diligence su chi c'è dietro l'azienda prima di consegnare le mie chiavi API di Amazon.

Nello specifico chiedo...

• Chi sono i loro maggiori clienti
• Da quanto tempo esiste il loro software
• Quanti ingegneri ci sono nel progetto
• Come testano e fanno QA per il loro prodotto

Poiché progettare hardware e software è stato il mio lavoro per oltre 20 anni, sono estremamente sensibile ai bug e al controllo qualità :)

E chiunque abbia lavorato con me in passato sa che sono molto ansioso di introdurre ulteriori punti di errore con il mio sito. Di conseguenza, tengo al minimo assoluto tutto il codice di terze parti.

Parlando realisticamente, le aziende più affidabili non cercheranno intenzionalmente di danneggiare il tuo sito, ma ogni singolo plug-in o pezzo di codice che installi è un altro punto di errore che è al di fuori del tuo controllo .

Ora non devi essere anale come lo sono io, ma dovresti almeno capire le ramificazioni delle tue azioni. Assicurati solo di sapere in cosa ti stai imbattendo quando usi il codice di qualcun altro e assicurati di fidarti della persona dietro l'azienda.