Os perigos de usar plug-ins gratuitos de WordPress e código Javascript em seu site

Ao longo da última década em que mantive este blog e lecionei meu curso de loja online, notei uma tendência perturbadora entre muitos empreendedores de comércio eletrônico.

Agora, essa tendência é especialmente prevalente porque 99% dos proprietários de lojas online não têm experiência em programação nem se preocupam em tentar aprender o básico de como as tecnologias da web funcionam.

Como resultado, sempre que precisam ou desejam um determinado recurso para seu carrinho de compras, eles fazem o que qualquer pessoa normal faria ...

Eles fazem uma pesquisa no Google, procuram por um plugin, widget ou código WordPress gratuito que faz o que eles querem e então o instalam cegamente em seu site .

E 90% das vezes, o plugin parece fazer o que eles querem, então eles o mantêm instalado sem perceber as ramificações potenciais de sua decisão.

Então, hoje eu quero falar sobre os perigos de instalar código de terceiros e plug - ins aleatórios em seu site.

Além disso, fornecerei diretrizes que utilizo pessoalmente para selecionar meus plug-ins .

Esperançosamente, ao final desta postagem, você será muito mais deliberado ao minimizar os riscos de software mal codificado e atividades mal-intencionadas.

Obtenha meu mini curso grátis sobre como iniciar uma loja de comércio eletrônico de sucesso

Se você está interessado em começar um negócio de comércio eletrônico, reuni um pacote abrangente de recursos que o ajudarão a lançar sua própria loja online do zero. Certifique-se de pegá-lo antes de sair!

Clique aqui para baixar

O poder de uma única linha de código

Muitos serviços e plug-ins hoje em dia instalam automaticamente um pequeno snippet de código javascript para adicionar funcionalidade ao seu site.

O que é javascript?

Javascript é uma linguagem de programação executada no computador cliente, uma vez que é baixado de um site. E embora esse código geralmente seja apenas uma linha, ele fornece ao criador do plugin visibilidade e controle quase infinitos sobre seu site .

Aqui está um exemplo rápido da aparência deste código

<script src = '// widget.randomplugincompany.com/assets/widget.js'> </script>

Agora, em algumas implementações, o javascript pode enviar informações privadas sobre o seu site, computador e visitantes de volta a um servidor terceiro pertencente ao autor do código.

Por exemplo, o Google Analytics é um pedaço de código javascript escrito pelo Google que transmite todos os tipos de dados sobre o seu site diretamente para os servidores do Google, onde eles registram e agrupam seus dados.

Agora, se você já olhou seu relatório do Google Analytics antes, notará que todas as informações possíveis sobre seu site e seus visitantes são enviadas aos servidores do Google, onde eles “prometem” não consultá-las .

E eles obtêm todos esses dados sobre o seu site a partir de um pequeno código que você recorta e cola nele.

Muito poderoso, certo?

O que isso significa, no entanto, é que sempre que você recortar e colar cegamente um fragmento de código javascript de terceiros em seu site, poderá enviar todas as informações privadas do seu site para essa empresa .

E como um código tão pequeno pode exercer tanto poder, você realmente precisa confiar na empresa com a qual está lidando .

Abaixo estão alguns problemas reais que meus alunos enfrentaram como resultado do uso cego de código de terceiros.

Javascript incorreto pode tornar seu site mais lento

Uma das minhas alunas estava obtendo muito tráfego do Google para seu site, mas o tráfego dela não estava resultando em muitas vendas para sua loja online.

Como resultado, ela decidiu exibir anúncios em banner em seu site.

Agora, misturar anúncios com produtos geralmente não é uma boa ideia para uma loja de comércio eletrônico, mas ela concluiu que, se os visitantes não estivessem comprando seus produtos, ela também poderia ganhar “algum” dinheiro com anúncios.

Enfim, um dia ela me enviou um e-mail perguntando por que todas as suas vendas pararam de repente . E quando fui ver o site dela, fiquei horrorizado.

Em primeiro lugar, o site dela demorou quase 20 segundos para carregar e, quando finalmente carregou, havia anúncios animados piscando por todo o lugar. Quando fiz um teste de velocidade de uma página da web, foi o que descobri.

Um minúsculo pedaço de código javascript de sua rede de anúncios estava deixando todo o seu site lento.

E ela instalou o código de forma que o código do anúncio bloqueasse a exibição de seu conteúdo até depois de o código do anúncio ser carregado.

Não é à toa que ninguém estava comprando em sua loja! Além dos anúncios piscando, os clientes provavelmente estavam ficando frustrados com os tempos de carregamento extremamente lentos causados ​​pelo código .

Na verdade, as redes de anúncios são notoriamente conhecidas por tornar sites mais lentos, porque literalmente transmitem toneladas de informações de rastreamento sobre o seu site de volta para seus servidores.

Eles também são conhecidos por armazenar dados de visitantes e vender essas informações a outros anunciantes.

Javascript ruim pode derrubar seu site

Outra aluna da minha turma estava procurando um plugin para aumentar o número de curtidas em sua página de fãs no Facebook. Como resultado, ela encontrou esse código que fazia um cliente “curtir” sua página de fãs no Facebook antes de expor um código de cupom que incentivaria o cliente a comprar.

Parecia bastante inocente e o plugin funcionou como um campeão por um bom tempo. Mas então, um dia, essa estudante me mandou um e-mail freneticamente dizendo que seu site estava quebrado, embora ela não tivesse feito nenhuma alteração .

Quando fui à loja online dela para investigar, descobri que o cabeçalho e o logotipo do site estavam carregando bem, mas o resto da loja estava completamente em branco.

Com uma rápida olhada no código-fonte da página, descobri que a parte mágica do código javascript do Facebook que ela copiou estava fazendo chamadas para algum servidor aleatório que por acaso estava inativo .

E como esse código estava no cabeçalho de sua loja, ele impediu que o restante do site carregasse porque não conseguiu passar da chamada para o servidor defeituoso.

Tenha cuidado ao colocar qualquer código javascript no cabeçalho do seu site! Se você absolutamente precisa usar código javascript de terceiros em seu cabeçalho, certifique-se de que o código carregue de forma assíncrona em segundo plano e, portanto, não bloqueará o carregamento de seu site.

Javascript ruim pode alterar seu site sem sua permissão

Você sabia que instalar o código javascript de outra pessoa é essencialmente como dar as chaves do seu site a outra pessoa ?

Quando você usa o código de outra pessoa, essa pessoa pode alterar o seu site da maneira que achar melhor.

Agora, o desenvolvedor de javascript teria que ser uma pessoa muito má para alterar o seu site de forma maliciosa, mas isso já aconteceu no passado mesmo com grandes empresas bem conhecidas .

Por exemplo, você sabia que o popular site Houzz.com usou seus widgets javascript para instalar links SEO de chapéu preto de volta ao site ?

Veja como aconteceu.

Houzz.com é na verdade um site muito popular que mostra a decoração da casa. Como resultado, os blogueiros estavam usando seus widgets javascript para exibir imagens de decoração lindas e coloridas em seus blogs.

Mas um dia, Glen Allsop, da Viperchill, descobriu que Houzz.com estava usando seu código de widget javascript para inserir backlinks secretamente para o site Houzz.com .

Como resultado, Houzz usou seu widget javascript para manipular maliciosamente suas classificações de pesquisa no Google .

Para obter informações sobre isso, você pode ler a postagem de Glen na íntegra aqui

Mas, no final das contas, qualquer pedaço de código javascript pode permitir que um terceiro faça alterações na maneira como seu site é exibido sem que você saiba .

Cuidado com as ferramentas da Amazon que você instala

Como sou membro de muitos grupos de vendedores de comércio eletrônico, muitas vezes ouço histórias e rumores de atividades maliciosas decorrentes de várias ferramentas da Amazon no mercado.

Agora, para usar a maioria das ferramentas da Amazon hoje em dia, você deve fornecer a elas suas credenciais de API da Amazon, o que essencialmente permite que essa ferramenta veja todas as suas vendas e todos os seus produtos.

Bem, adivinhe? Essas informações são extremamente confidenciais e podem ser usadas contra você.

Recentemente, houve um boato de que o proprietário de uma ferramenta de vendedor muito popular da Amazon estava na Feira de Cantão procurando produtos populares para venda .

E como o proprietário dessa empresa de software tinha conhecimento íntimo de milhares de contas de vendedores, ele sabia exatamente o que procurar.

Bem desprezível, certo?

Mas, infelizmente, esse cenário pode acontecer e acontece o tempo todo. Na verdade, acredito firmemente que toda empresa analisa os dados de seus clientes , seja por curiosidade ou para melhorar seu próprio produto.

Recentemente, funcionários da Amazon na China têm vendido dados de fornecedores para qualquer pessoa disposta a pagar seu preço. E é da Amazon que estamos falando aqui !!!

No momento, vender na Amazon é o mais cruel possível e há uma tonelada de atividades maliciosas .

Para obter mais informações, verifique minha postagem sobre Os perigos de vender na Amazon e histórias de terror de vendedores reais da Amazon

O que procurar

Felizmente, eu o convenci de que você precisa ser extremamente cuidadoso ao usar código de terceiros em seu site. Agora, isso não quer dizer que você NUNCA deva usar o código de outras pessoas porque isso seria bobagem.

Mas certifique-se de confiar totalmente no autor do código que está usando.

No caso de você absolutamente precisar usar o código javascript de outra pessoa, aqui estão algumas diretrizes gerais a serem seguidas

• Sempre instale o código javascript no rodapé do seu site - Dessa forma, se o código chamar um servidor de terceiros e o servidor estiver inativo, ele não derrubará todo o seu site com ele
• Use apenas código javascript assíncrono se possível - o código javascript assíncrono é carregado em segundo plano e não afetará o carregamento geral de seu site
• Tente não usar código que faça chamadas para um servidor de terceiros - Às vezes, isso não pode ser evitado, mas tente limitar isso, se possível
• Hospede o código javascript em seu próprio servidor - o código javascript de terceiros costuma ser baixado de um servidor de propriedade do desenvolvedor do plug-in.

  Mas em vez de fazer chamadas para o servidor de outra pessoa, considere baixar o javascript diretamente e hospedá-lo em sua própria máquina. Dessa forma, se o servidor de terceiros cair, isso não afetará o seu site.

  Observação: hospedar seu próprio código nem sempre é aplicável e depende da situação, mas você deve perguntar se é possível

Decidir em qual ferramenta de vendedores da Amazon confiar é um problema muito mais complicado . Para mim, sou extremamente cuidadoso sobre a quem dou minhas credenciais da Amazon .

E, na verdade, faço algumas investigações sobre quem está por trás da empresa antes de desembolsar minhas chaves de API da Amazon.

Especificamente, eu pergunto ...

• Quem são seus maiores clientes
• Há quanto tempo seu software existe
• Quantos engenheiros estão no projeto
• Como eles testam e fazem o controle de qualidade de seu produto

Como projetar hardware e software foi meu trabalho por mais de 20 anos, sou extremamente sensível a bugs e controle de qualidade :)

E qualquer pessoa que já trabalhou comigo no passado sabe que sou super anal sobre a introdução de quaisquer pontos adicionais de falha em meu site. Como resultado, eu mantenho todo o código de terceiros em um mínimo absoluto.

Falando de forma realista, a maioria das empresas respeitáveis não tentará intencionalmente prejudicar o seu site, mas cada plug-in ou código que você instala é outro ponto de falha que está além do seu controle .

Agora você não tem que ser tão anal quanto eu, mas você deve pelo menos entender as ramificações de suas ações. Apenas certifique-se de saber no que está se metendo ao usar o código de outra pessoa e de confiar na pessoa por trás da empresa.