Niebezpieczeństwa związane z korzystaniem z bezpłatnych wtyczek WordPress i kodu JavaScript w Twojej witrynie

W ciągu ostatniej dekady prowadzenia tego bloga i prowadzenia mojego kursu ze sklepu internetowego zauważyłem niepokojący trend wśród wielu przedsiębiorców e-commerce.

Teraz ten trend jest szczególnie powszechny, ponieważ 99% właścicieli sklepów internetowych nie ma wykształcenia programistycznego ani nie zadaje sobie trudu, aby nauczyć się podstaw działania technologii internetowych.

W rezultacie, ilekroć potrzebują lub chcą określonej funkcji w swoim koszyku, robią to, co zrobiłaby każda normalna osoba…

Wyszukują w Google, szukają darmowej wtyczki WordPress, widżetu lub fragmentu kodu, który robi to, czego chcą, a następnie ślepo instalują go na swojej stronie internetowej .

W 90% przypadków wtyczka robi to, co chcą, więc instalują ją, nie zdając sobie sprawy z potencjalnych konsekwencji swojej decyzji.

Więc dzisiaj chcę porozmawiać o niebezpieczeństwach związanych z instalowaniem kodu stron trzecich i losowych wtyczek na twojej stronie.

Dodatkowo udzielę Ci wskazówek, których osobiście używam przy wyborze moich wtyczek .

Mam nadzieję, że pod koniec tego postu będziesz o wiele bardziej ostrożny w minimalizowaniu zagrożeń związanych ze źle zakodowanym oprogramowaniem i złośliwą aktywnością.

Uzyskaj bezpłatny mini kurs na temat tego, jak założyć udany sklep e-commerce

Jeśli jesteś zainteresowany rozpoczęciem działalności e-commerce, przygotowałem kompleksowy pakiet zasobów , które pomogą Ci uruchomić własny sklep internetowy od zera. Koniecznie weź go przed wyjazdem!

Kliknij tutaj, aby pobrać

Potęga pojedynczej linii kodu

Wiele usług i wtyczek w dzisiejszych czasach automatycznie instaluje mały fragment kodu JavaScript, aby dodać funkcjonalność do Twojej witryny.

Co to jest javascript?

Javascript to język programowania, który działa na komputerze klienta po pobraniu go ze strony internetowej. I chociaż ten kod jest często tylko jednym wierszem, zapewnia twórcy wtyczek niemal nieskończoną widoczność i kontrolę nad Twoją witryną .

Oto krótki przykład tego, jak wygląda ten kod

<script src='//widget.randomplugincompany.com/assets/widget.js'></script>

Teraz w niektórych implementacjach JavaScript może wysyłać prywatne informacje o Twojej witrynie, komputerze i odwiedzających z powrotem na serwer innej firmy, którego właścicielem jest autor kodu.

Na przykład Google Analytics to fragment kodu JavaScript napisany przez Google, który przesyła wszelkiego rodzaju dane o Twojej witrynie bezpośrednio na serwery Google, gdzie rejestrują i zestawiają Twoje dane.

Teraz, jeśli kiedykolwiek wcześniej zaglądałeś do swojego raportu Google Analytics, zauważysz, że każda możliwa informacja o Twojej witrynie i użytkownikach jest wysyłana na serwery Google, gdzie „obiecują”, że nie będą ich przeglądać .

I uzyskują wszystkie te dane o Twojej witrynie z jednego małego kawałka kodu , który wycinasz i wklejasz w swojej witrynie.

Całkiem potężny, prawda?

Oznacza to jednak, że za każdym razem, gdy na ślepo wycinasz i wklejasz fragment kodu JavaScript innej firmy w swojej witrynie, możesz wysyłać wszystkie informacje o swojej prywatnej witrynie do tej firmy .

A ponieważ tak mały fragment kodu może mieć tak wielką moc, naprawdę musisz zaufać firmie, z którą masz do czynienia .

Poniżej znajduje się kilka rzeczywistych problemów, z jakimi zmierzyli się moi uczniowie w wyniku ślepego używania kodu osób trzecich.

Zły Javascript może spowolnić Twoją witrynę

Jedna z moich studentek otrzymywała duży ruch w swojej witrynie z Google, ale jej ruch nie skutkował dużą sprzedażą w jej sklepie internetowym.

W rezultacie zdecydowała się wyświetlać banery reklamowe na swojej stronie.

Teraz mieszanie reklam z produktami nie jest ogólnie dobrym pomysłem dla sklepu e-commerce, ale uznała, że ​​jeśli odwiedzający nie kupują jej produktów, równie dobrze może zarobić „trochę” pieniędzy na reklamach.

W każdym razie, pewnego dnia wysłała mi e-mail z pytaniem, dlaczego nagle cała jej sprzedaż się skończyła . A kiedy poszedłem obejrzeć jej stronę, byłem przerażony.

Po pierwsze, ładowanie jej witryny zajęło prawie 20 sekund, a kiedy w końcu się wczytało, w całym miejscu pojawiły się animowane reklamy. Kiedy zrobiłem test szybkości strony internetowej, to właśnie znalazłem.

Jeden maleńki fragment kodu JavaScript z jej sieci reklamowej spowalniał całą witrynę.

Zainstalowała kod w taki sposób, że kod reklamy blokował wyświetlanie jej treści do czasu załadowania kodu reklamy.

Nic dziwnego, że nikt nie robił zakupów w jej sklepie! Oprócz migających reklam, klienci byli prawdopodobnie sfrustrowani bardzo długim czasem ładowania spowodowanym przez kod .

W rzeczywistości sieci reklamowe są znane z tego, że spowalniają witryny, ponieważ dosłownie przesyłają mnóstwo informacji o śledzeniu Twojej witryny z powrotem na swoje serwery.

Są również znani z przechowywania danych odwiedzających i sprzedaży tych informacji innym reklamodawcom.

Zły Javascript może usunąć Twoją witrynę

Inna uczennica z mojej klasy szukała wtyczki, która zwiększyłaby liczbę polubień na swoim fanpage'u na Facebooku. W rezultacie znalazła ten fragment kodu, który sprawił, że klient „polubił” jej fanpage na Facebooku, zanim ujawnił kod kuponu, który zachęciłby klienta do zakupu.

Wydawało się to wystarczająco niewinne, a wtyczka przez jakiś czas działała jak mistrz. Ale pewnego dnia ta studentka wysłała mi gorączkowo e-mail z informacją, że jej strona internetowa została uszkodzona, mimo że nie wprowadziła żadnych zmian .

Kiedy poszedłem do jej sklepu internetowego, aby to sprawdzić, odkryłem, że jej nagłówek i logo witryny ładują się dobrze, ale reszta jej sklepu była całkowicie pusta.

Po szybkim spojrzeniu na źródło jej strony odkryłem, że magiczny fragment kodu JavaScript na Facebooku, który skopiowała, wykonywał połączenia z jakimś losowym serwerem, który akurat nie działał .

A ponieważ ten kod znajdował się w nagłówku jej sklepu, uniemożliwił załadowanie reszty jej witryny, ponieważ nie mógł przejść przez wywołanie do złego serwera.

Zachowaj ostrożność, umieszczając kod javascript w nagłówku swojej witryny! Jeśli koniecznie musisz użyć kodu JavaScript innej firmy w swoim nagłówku, upewnij się, że kod ładuje się asynchronicznie w tle i nie blokuje ładowania Twojej witryny.

Zły Javascript może zmienić Twoją witrynę bez Twojej zgody

Czy wiesz, że instalowanie czyjegoś kodu javascript jest zasadniczo jak przekazanie kluczy do Twojej witryny komuś innemu ?

Kiedy używasz cudzego kodu, ta osoba może zasadniczo zmienić twoją witrynę w dowolny sposób.

Teraz twórca javascriptu musiałby być bardzo złą osobą, aby złośliwie zmienić twoją witrynę, ale w przeszłości zdarzało się to nawet dobrze znanym dużym firmom .

Na przykład, czy wiesz, że popularna witryna Houzz.com używała swoich widżetów javascript do instalowania linków Black Hat SEO z powrotem do swojej witryny ?

Oto jak poszło.

Houzz.com to w rzeczywistości bardzo popularna strona internetowa, która prezentuje wystrój domu. W rezultacie blogerzy używali swoich widżetów javascript do wyświetlania pięknych i kolorowych obrazów dekoracyjnych na swoich blogach.

Ale pewnego dnia Glen Allsop z Viperchill odkrył, że Houzz.com używa kodu widgetu javascript do potajemnego osadzania linków zwrotnych z powrotem do strony Houzz.com .

W rezultacie Houzz użył swojego widżetu javascript do złośliwego manipulowania rankingami wyszukiwania w Google .

Aby uzyskać informacje na ten temat, możesz przeczytać w całości post Glena tutaj

Podsumowując, każdy fragment kodu JavaScript może potencjalnie pozwolić innej firmie na wprowadzenie zmian w sposobie wyświetlania Twojej witryny bez Twojej wiedzy .

Uważaj na to, jakie narzędzia Amazon instalujesz

Ponieważ jestem członkiem wielu grup sprzedawców e-commerce, często słyszę historie i pogłoski o złośliwej aktywności wynikającej z różnych narzędzi Amazona na rynku.

Teraz, aby korzystać z większości narzędzi Amazon w dzisiejszych czasach, musisz podać im swoje dane uwierzytelniające Amazon API, które zasadniczo pozwalają temu narzędziu zobaczyć całą Twoją sprzedaż i wszystkie Twoje produkty.

Zastanów się? Informacje te są niezwykle wrażliwe i mogą potencjalnie zostać wykorzystane przeciwko Tobie.

Ostatnio krążyła plotka, że ​​właściciel bardzo popularnego narzędzia sprzedawcy Amazon był na targach Canton Fair, kupując popularne produkty na sprzedaż .

A ponieważ właściciel tej firmy programistycznej miał gruntowną wiedzę na temat tysięcy kont sprzedawców, wiedział dokładnie, czego szukać.

Całkiem marny, prawda?

Ale niestety taki scenariusz może i zdarza się cały czas. W rzeczywistości mocno wierzę, że każda firma patrzy na dane swoich klientów, czy to z ciekawości, czy też w celu ulepszenia własnego produktu.

Ostatnio pracownicy Amazona w Chinach sprzedają dane dostawców każdemu, kto chce zapłacić ich cenę. A to jest Amazon, o którym tutaj mówimy!!!

W tej chwili sprzedaż na Amazon jest tak okrutna, jak to tylko możliwe, i jest mnóstwo złośliwej aktywności .

Aby uzyskać więcej informacji, sprawdź mój post na temat niebezpieczeństw sprzedaży na Amazon i horrorów od prawdziwych sprzedawców Amazon

Na co zwrócić uwagę

Mamy nadzieję, że przekonałem Cię, że musisz być bardzo ostrożny podczas korzystania z kodu firm trzecich w swojej witrynie. To nie znaczy, że NIGDY nie powinieneś używać kodu innych ludzi, ponieważ byłoby to głupie.

Ale upewnij się, że w pełni ufasz autorowi kodu, którego używasz.

W przypadku, gdy absolutnie musisz użyć czyjegoś kodu javascript, oto kilka ogólnych wskazówek, których należy przestrzegać

• Zawsze instaluj kod javascript w stopce swojej witryny – w ten sposób, jeśli kod wywołuje serwer innej firmy, a serwer jest wyłączony, nie spowoduje to awarii całej witryny
• Jeśli to możliwe, używaj tylko asynchronicznego kodu javascript – asynchroniczny kod javascript ładuje się w tle i nie wpływa na ogólne ładowanie witryny
• Staraj się nie używać kodu, który wykonuje połączenia z serwerem innej firmy – czasami nie można na to poradzić, ale spróbuj to ograniczyć, jeśli to możliwe
• Hostuj kod javascript na własnym serwerze – kod javascript innej firmy jest często pobierany z serwera, którego właścicielem jest twórca wtyczki.

  Ale zamiast dzwonić do cudzego serwera, rozważ bezpośrednie pobranie skryptu java i umieszczenie go na własnym komputerze. W ten sposób, jeśli serwer innej firmy kiedykolwiek ulegnie awarii, nie wpłynie to na Twoją witrynę.

  Uwaga: Hosting własnego kodu nie zawsze ma zastosowanie i zależy od sytuacji, ale należy zapytać, czy jest to możliwe

Zdecydowanie bardziej skomplikowanym problemem jest podjęcie decyzji, któremu sprzedawcy Amazon zaufać. Jak dla mnie, bardzo uważam, komu przekazuję moje dane uwierzytelniające Amazon .

I faktycznie dochodzę do należytej staranności, aby dowiedzieć się, kto stoi za firmą, zanim rozwidlę moje klucze Amazon API.

W szczególności proszę…

• Kim są ich najwięksi klienci
• Jak długo istnieje ich oprogramowanie?
• Ilu inżynierów jest w projekcie
• Jak testują i przeprowadzają kontrolę jakości swojego produktu?

Ponieważ projektowanie sprzętu i oprogramowania było moją pracą od ponad 20 lat, jestem niezwykle wyczulony na błędy i kontrolę jakości:)

A każdy, kto pracował ze mną w przeszłości wie, że jestem super analna, jeśli chodzi o wprowadzanie jakichkolwiek dodatkowych punktów awarii na mojej stronie. W rezultacie cały kod stron trzecich ograniczam do absolutnego minimum.

Mówiąc realistycznie, większość renomowanych firm nie będzie celowo próbowała zaszkodzić Twojej witrynie, ale każda zainstalowana wtyczka lub fragment kodu to kolejny punkt awarii, na który nie masz wpływu .

Teraz nie musisz być tak analna jak ja, ale powinieneś przynajmniej zrozumieć konsekwencje swoich działań. Po prostu upewnij się, że wiesz, w co się pakujesz, używając czyjegoś kodu i upewnij się, że ufasz osobie stojącej za firmą.