사이트에서 무료 WordPress 플러그인 및 Javascript 코드 사용의 위험

이 블로그를 운영하고 온라인 상점 과정을 가르친 지난 10년 동안 저는 많은 전자 상거래 기업가들 사이에서 불안한 경향을 발견했습니다.

이제 온라인 상점 소유자의 99%가 프로그래밍 배경이 없고 웹 기술이 작동하는 방식에 대한 기본 사항을 배우려고 애쓰지 않기 때문에 이러한 경향이 특히 만연합니다.

결과적으로 장바구니에 특정 기능이 필요하거나 원할 때마다 보통 사람이 하는 일을 합니다…

그들은 Google에서 검색을 하고, 원하는 것을 수행하는 무료 WordPress 플러그인, 위젯 또는 코드를 찾은 다음 맹목적으로 웹사이트에 설치합니다 .

그리고 시간의 90%는 플러그인이 원하는 작업을 수행하는 것 같아서 결정의 잠재적 결과 를 깨닫지 못한 채 플러그인을 계속 설치합니다.

그래서 오늘 저는 귀하의 사이트에 타사 코드와 임의 플러그인 을 설치 하는 것의 위험성에 대해 이야기하고자 합니다.

또한 개인적으로 플러그인 을 선택 하는 데 사용하는 지침을 제공합니다.

이 게시물이 끝날 때쯤에는 잘못 코딩된 소프트웨어와 악의적인 활동으로 인한 위험을 최소화하는 데 훨씬 더 신중을 기하게 ​​될 것입니다.

성공적인 전자 상거래 상점을 시작하는 방법에 대한 무료 미니 과정 받기

전자 상거래 비즈니스를 시작하는 데 관심이 있다면 처음부터 온라인 상점 을 시작하는 데 도움이 되는 포괄적인 리소스 패키지 를 준비했습니다 . 떠나기 전에 꼭 챙기세요!

다운로드하려면 여기를 클릭하십시오

코드 한 줄의 힘

오늘날 많은 서비스와 플러그인은 사이트에 기능을 추가하기 위해 자바스크립트 코드 의 작은 스니펫을 자동으로 설치합니다.

자바 스크립트 란 무엇입니까?

Javascript는 웹 사이트에서 다운로드되면 클라이언트 컴퓨터에서 실행되는 프로그래밍 언어입니다. 그리고 이 코드는 종종 한 줄에 불과하지만 플러그인 작성자에게 거의 무한한 가시성과 사이트 제어를 제공합니다 .

다음은 이 코드의 간단한 예입니다.

<스크립트 src='//widget.randomplugincompany.com/assets/widget.js'></script>

이제 일부 구현에서 javascript는 웹사이트, 컴퓨터 및 방문자에 대한 개인 정보를 코드 작성자가 소유한 타사 서버로 다시 보낼 수 있습니다.

예를 들어, Google Analytics는 귀하의 웹사이트에 대한 모든 종류의 데이터를 Google 서버로 직접 전송하여 귀하의 데이터를 기록하고 대조하는 Google에서 작성한 자바스크립트 코드입니다.

이제 이전에 Google 웹로그 분석 보고서를 본 적이 있다면 웹사이트 와 방문자 에 대한 가능한 모든 정보가 웹사이트 를 보지 않기로 "약속" 하는 Google 서버로 전송된다는 것을 알 수 있습니다.

그리고 그들은 귀하가 귀하의 사이트에 잘라내어 붙여넣은 하나의 작은 코드 에서 귀하의 웹사이트에 대한 이 모든 데이터를 얻습니다.

꽤 강력하죠?

그러나 이것이 의미하는 바는 귀하의 사이트에서 맹목적으로 제3자 자바스크립트 코드를 잘라내어 붙여넣을 때마다 귀하의 모든 개인 웹사이트 정보를 해당 회사에 보낼 수 있다는 것입니다 .

그리고 이러한 작은 코드 조각이 너무 많은 힘을 행사할 수 있기 때문에 거래하는 회사를 정말 신뢰해야 합니다 .

다음은 제3자 코드를 맹목적으로 사용한 결과 학생들이 직면한 몇 가지 실제 문제 입니다.

잘못된 자바스크립트는 사이트 속도를 늦출 수 있습니다

제 학생 중 한 명이 Google에서 그녀의 웹사이트로 많은 트래픽을 얻고 있었지만 그녀의 트래픽으로 인해 온라인 상점의 판매가 많지 않았습니다.

결과적으로 그녀는 자신의 사이트에 배너 광고 를 표시 하기로 결정했습니다.

이제 광고와 제품을 혼합하는 것은 일반적으로 전자 상거래 상점에 좋은 생각 이 아니지만 방문자가 제품을 구매하지 않는다면 광고로 "일부" 돈을 벌 수 있을 것이라고 생각했습니다.

어쨌든 어느 날 그녀는 갑자기 왜 그녀의 모든 판매가 중단되었는지 묻는 이메일을 보냈 습니다 . 그리고 그녀의 사이트를 방문했을 때 나는 소름이 돋았습니다.

우선, 그녀의 사이트는 로드하는 데 거의 20초가 걸렸고 마침내 로드되었을 때 여기저기에 번쩍이는 애니메이션 광고가 있었습니다. 웹 페이지 속도 테스트를 수행했을 때 이것이 내가 찾은 것입니다.

그녀의 광고 네트워크에서 가져온 아주 작은 자바스크립트 코드가 그녀의 전체 사이트 속도를 늦추고 있었습니다.

그리고 그녀는 광고 코드가 로드될 때까지 자신의 콘텐츠 가 표시되지 않도록 광고 코드가 차단 하는 방식으로 코드를 설치했습니다.

아무도 그녀의 가게에서 쇼핑하지 않았다는 것은 놀라운 일이 아닙니다! 깜박이는 광고 외에도 고객은 코드로 인한 매우 느린 로딩 시간에 좌절감을 느꼈을 것입니다.

실제로 광고 네트워크는 말 그대로 사이트에 대한 수많은 추적 정보를 서버로 다시 전송하기 때문에 사이트 속도를 늦추는 것으로 유명 합니다.

방문자 데이터를 저장하고 해당 정보를 다른 광고주에게 판매하는 것으로도 알려져 있습니다.

잘못된 자바스크립트는 사이트를 다운시킬 수 있습니다

우리 반의 다른 학생은 자신의 Facebook 팬 페이지에서 좋아요 수를 늘릴 수 있는 플러그인을 찾고 있었습니다. 결과적으로 그녀는 고객이 구매하도록 유도하는 쿠폰 코드를 노출하기 전에 Facebook 팬 페이지를 "좋아요"하게 만드는 이 코드를 발견했습니다.

그것은 충분히 순진해 보였고 플러그인은 꽤 오랫동안 챔피언처럼 작동했습니다. 그런데 어느 날, 이 학생 은 아무런 변경도 하지 않았는데도 웹사이트가 망가졌다고 미친 듯이 이메일을 보냈습니다.

조사를 위해 그녀의 온라인 상점에 갔을 때 그녀의 웹사이트 헤더와 로고는 제대로 로드되지만 상점의 나머지 부분은 완전히 비어 있는 것을 발견했습니다.

그녀의 페이지 소스를 간략히 살펴보면 그녀가 복사한 Facebook 자바스크립트 코드 의 마법 조각 이 우연히 다운된 임의의 서버를 호출하고 있다는 것을 발견했습니다 .

그리고 이 코드가 그녀의 상점 헤더에 있었기 때문에 잘못된 서버에 대한 호출을 통과할 수 없었기 때문에 그녀의 사이트의 나머지 부분이 로드되지 않았습니다.

사이트 헤더에 자바스크립트 코드를 넣을 때 주의하십시오! 헤더에 제3자 자바스크립트 코드를 반드시 사용해야 하는 경우 코드 가 백그라운드에서 비동기식으로 로드되어 사이트 로드를 차단하지 않도록 해야 합니다.

나쁜 자바스크립트는 귀하의 허락 없이 귀하의 웹사이트를 변경할 수 있습니다

다른 사람의 자바스크립트 코드를 설치하는 것은 본질적 으로 귀하의 웹사이트 키를 다른 사람에게 제공하는 것과 같다는 것을 알고 계셨습니까?

다른 사람의 코드를 사용할 때 그 사람은 기본적 으로 자신이 적절하다고 생각하는 대로 귀하의 웹사이트를 변경할 수 있습니다 .

이제 자바 스크립트 개발자는 악의적으로 귀하의 웹사이트를 변경하기 위해 아주 나쁜 사람이 되어야 할 것입니다. 그러나 그것은 잘 알려진 대기업 에서도 과거에 일어났습니다.

예를 들어, 인기 있는 웹사이트 Houzz.com이 자바스크립트 위젯을 사용하여 블랙햇 SEO 링크를 사이트로 다시 설치 한다는 사실을 알고 계셨습니까?

이것이 어떻게 떨어졌는지입니다.

Houzz.com은 실제로 가정 장식을 선보이는 매우 인기 있는 웹사이트입니다. 결과적으로 블로거는 자바스크립트 위젯을 사용하여 블로그에 아름답고 다채로운 장식 이미지를 표시했습니다.

그러나 어느 날 Viperchill의 Glen Allsop은 Houzz.com이 자신의 자바스크립트 위젯 코드를 사용하여 Houzz.com 웹사이트로 다시 백링크를 비밀리에 포함하고 있음을 발견했습니다.

결과적으로 Houzz는 자바스크립트 위젯을 사용하여 Google 검색 순위 를 악의적으로 조작했습니다 .

이에 대한 정보는 여기에서 Glen의 게시물 전체를 읽을 수 있습니다.

그러나 결론적으로 자바스크립트 코드는 사용자가 알지 못하는 사이에 제3자가 사이트가 표시되는 방식을 변경하도록 할 수 있습니다 .

어떤 Amazon 도구를 설치하는지 주의하십시오.

저는 많은 전자 상거래 판매자 그룹의 회원이기 때문에 시중에 나와 있는 다양한 Amazon 도구에서 발생하는 악의적인 활동에 대한 이야기와 소문을 자주 듣습니다.

이제 오늘날 대부분의 Amazon 도구를 사용하려면 기본적으로 해당 도구가 모든 판매 및 모든 제품을 볼 수 있도록 하는 Amazon API 자격 증명 을 제공해야 합니다.

글쎄요? 이 정보는 매우 민감하며 잠재적으로 귀하에게 불리하게 사용될 수 있습니다.

최근에 아주 인기 있는 Amazon 판매자 도구의 소유자가 Canton Fair에서 인기 있는 제품을 소싱 한다는 소문이 돌았습니다.

그리고 이 소프트웨어 회사 소유자는 1000개 이상의 판매자 계정에 대해 잘 알고 있었기 때문에 무엇을 찾아야 하는지 정확히 알고 있었습니다.

꽤 촌스럽죠?

그러나 불행하게도 이 시나리오는 항상 발생할 수 있고 실제로 발생합니다. 사실, 저는 모든 회사가 호기심 때문이든 자체 제품을 개선하기 위해 고객 데이터를 살펴보고 있다고 굳게 믿습니다.

최근 중국 아마존 직원들은 가격을 지불할 의사가 있는 모든 사람에게 벤더 데이터 를 판매 하고 있습니다. 그리고 이것은 우리가 여기서 말하는 아마존입니다!!!

현재 Amazon에서 판매하는 것은 잔인한 일 이며 수많은 악의적인 활동이 있습니다.

자세한 내용은 아마존 판매의 위험과 실제 아마존 판매자의 공포 이야기에 대한 내 게시물을 확인하십시오.

주의해야 할 사항

귀하의 사이트에서 제3자 코드 를 사용할 때 매우 조심 해야 한다고 확신하게 되었기를 바랍니다. 이것은 어리석은 일이기 때문에 다른 사람의 코드를 절대 사용해서는 안 된다는 말은 아닙니다.

그러나 사용 중인 코드 의 작성자 를 완전히 신뢰 해야 합니다.

다른 사람의 자바스크립트 코드를 절대적으로 사용해야 하는 경우 따라야 할 몇 가지 일반적인 지침은 다음과 같습니다.

• 항상 사이트 바닥글에 자바스크립트 코드를 설치하십시오. - 이렇게 하면 코드가 타사 서버를 호출하고 서버가 다운된 경우 전체 사이트가 다운되지 않습니다.
• 가능한 경우 비동기 자바스크립트 코드만 사용하십시오. 비동기 자바스크립트 코드 는 백그라운드에서 로드되며 사이트의 전체 로드에 영향을 주지 않습니다.
• 타사 서버를 호출하는 코드를 사용하지 마십시오. 때로는 도움이 되지 않을 수 있지만 가능하면 이를 제한하십시오.
• 자체 서버에서 자바스크립트 코드 호스팅 – 타사 자바스크립트 코드는 종종 플러그인 개발자가 소유한 서버에서 다운로드됩니다.

  그러나 다른 사람의 서버를 호출하는 대신 자바스크립트를 직접 다운로드하여 자신의 컴퓨터에서 호스팅하는 것을 고려하십시오. 이렇게 하면 타사 서버가 다운되더라도 사이트에 영향을 미치지 않습니다.

  참고: 자신의 코드를 호스팅하는 것이 항상 적용 가능한 것은 아니며 상황에 따라 다르지만 가능한지 물어봐야 합니다.

신뢰할 수 있는 Amazon 판매자 도구를 결정하는 것은 훨씬 더 복잡한 문제 입니다. 저는 Amazon 자격 증명을 누구에게 제공할 것인지에 대해 매우 신중 합니다 .

그리고 Amazon API 키를 넘기기 전에 회사 뒤에 누가 있는지 실사를 합니다.

구체적으로 묻습니다...

• 그들의 가장 큰 고객은 누구인가
• 소프트웨어가 존재한 기간
• 얼마나 많은 엔지니어가 프로젝트에 참여하고 있습니까?
• 제품을 테스트하고 QA하는 방법

20년 넘게 하드웨어와 소프트웨어를 디자인하는 일을 하다 보니 버그와 품질 관리에 굉장히 민감합니다. :)

그리고 과거에 나와 함께 일한 사람은 내가 내 사이트에 추가 실패 지점을 도입하는 것에 대해 매우 애널하다는 것을 알고 있습니다. 결과적으로 나는 모든 제3자 코드를 최소한으로 유지합니다.

현실적으로 말해서, 평판이 좋은 대부분의 회사는 의도적으로 사이트에 피해를 입히려고 하지 않지만 설치하는 모든 단일 플러그인 또는 코드 조각은 통제할 수 없는 또 다른 실패 지점입니다 .

이제 당신은 나처럼 항문이 될 필요는 없지만 적어도 당신의 행동의 결과를 이해해야 합니다. 다른 사람의 코드를 사용할 때 무엇을 알게 되는지 확인하고 회사 뒤에 있는 사람을 신뢰하는지 확인하십시오.