Опасности использования бесплатных плагинов WordPress и кода Javascript на вашем сайте

За последнее десятилетие ведения этого блога и преподавания своего курса по интернет-магазину я заметил тревожную тенденцию среди многих предпринимателей в сфере электронной коммерции.

Сейчас эта тенденция особенно распространена, потому что 99% владельцев интернет-магазинов не имеют опыта программирования и не утруждают себя попытками изучить основы работы веб-технологий.

В результате, когда им нужна или требуется определенная функция для своей корзины покупок, они делают то, что сделал бы любой нормальный человек ...

Они ищут в Google, ищут бесплатный плагин WordPress, виджет или фрагмент кода, который делает то, что им нужно, а затем вслепую устанавливают его на свой веб-сайт .

И в 90% случаев плагин, кажется, делает то, что они хотят, поэтому они оставляют его установленным, не осознавая потенциальных последствий своего решения.

Итак, сегодня я хочу поговорить об опасностях установки стороннего кода и случайных плагинов на ваш сайт.

Кроме того, я дам вам рекомендации, которые я лично использую при выборе своих плагинов .

Надеюсь, к концу этого поста вы будете более осознанно минимизировать риски, связанные с плохо закодированным программным обеспечением и вредоносной деятельностью.

Получите мой бесплатный мини-курс о том, как создать успешный магазин электронной коммерции

Если вы заинтересованы в запуске бизнеса в сфере электронной коммерции, я собрал исчерпывающий пакет ресурсов , который поможет вам запустить собственный интернет-магазин с нуля. Обязательно возьмите его перед отъездом!

Нажмите сюда для того, чтобы скачать

Сила одной строки кода

Многие службы и плагины в наши дни автоматически устанавливают небольшой фрагмент кода javascript, чтобы добавить функциональности вашему сайту.

Что такое JavaScript?

Javascript - это язык программирования, который запускается на клиентском компьютере после загрузки с веб-сайта. И хотя этот код часто представляет собой всего одну строку, он обеспечивает создателю плагина практически неограниченную видимость и контроль над вашим сайтом .

Вот быстрый пример того, как выглядит этот код

<script src = '// widget.randomplugincompany.com/assets/widget.js'> </script>

Теперь в некоторых реализациях javascript может отправлять личную информацию о вашем веб-сайте, компьютере и посетителях обратно на сторонний сервер, принадлежащий автору кода.

Например, Google Analytics - это фрагмент кода javascript, написанный Google, который передает все виды данных о вашем веб-сайте непосредственно на серверы Google, где они регистрируют и сопоставляют ваши данные.

Теперь, если вы когда-либо раньше просматривали свой отчет Google Analytics, вы заметите, что вся возможная информация о вашем веб-сайте и ваших посетителях отправляется на серверы Google, где они «обещают» не просматривать ее .

И они получают все эти данные о вашем веб-сайте из одного крошечного фрагмента кода, который вы копируете и вставляете на свой сайт.

Довольно мощно, правда?

Однако это означает, что каждый раз, когда вы вслепую вырезаете и вставляете фрагмент стороннего кода javascript на свой сайт, вы можете отправлять всю информацию о своем частном веб-сайте этой компании .

А поскольку такой небольшой фрагмент кода может обладать такой большой властью, вам действительно нужно доверять компании, с которой вы имеете дело .

Ниже приведены некоторые актуальные проблемы, с которыми мои ученики столкнулись в результате слепого использования стороннего кода.

Плохой Javascript может замедлить работу вашего сайта

Одна из моих учениц получала много трафика на свой веб-сайт из Google, но ее трафик не приводил к большим продажам в ее интернет-магазине.

В результате она решила размещать на своем сайте рекламные баннеры .

Сейчас смешивать рекламу с товарами, как правило, не очень хорошая идея для интернет-магазина, но она рассудила, что, если бы посетители не покупали ее товары, она могла бы с таким же успехом заработать «немного» денег на рекламе.

Как бы то ни было, однажды она прислала мне электронное письмо с вопросом, почему все ее продажи внезапно прекратились . И когда я пошел посмотреть на ее сайт, я был в ужасе.

Во-первых, ее сайт загрузился почти за 20 секунд, а когда он, наконец, загрузился, повсюду мигала анимированная реклама. Когда я проводил тест скорости веб-страницы, то вот что я обнаружил.

Один крошечный кусок кода javascript из ее рекламной сети замедлял работу всего ее сайта.

И она установила код таким образом, чтобы рекламный код блокировал показ ее контента до тех пор, пока рекламный код не загрузился.

Неудивительно, что в ее магазине никто не делал покупки! Помимо мигающей рекламы, клиенты, вероятно, были разочарованы чрезвычайно медленным временем загрузки, вызванным кодом .

Фактически, рекламные сети известны тем, что замедляют работу сайтов, потому что они буквально передают тонны отслеживающей информации о вашем сайте обратно на свои серверы.

Они также известны тем, что хранят данные о посетителях и продают эту информацию другим рекламодателям.

Плохой Javascript может разрушить ваш сайт

Другая ученица моего класса искала плагин для увеличения количества лайков на своей фан-странице в Facebook. В результате она нашла этот фрагмент кода, который заставлял покупателя «лайкать» ее фан-страницу в Facebook, прежде чем раскрыть код купона, который побудил покупателя совершить покупку.

Это казалось достаточно невинным, и плагин долгое время работал как чемпион. Но однажды эта студентка в отчаянии отправила мне электронное письмо, в котором сообщила, что ее веб-сайт был сломан, хотя она не вносила никаких изменений .

Когда я пошел в ее интернет-магазин для расследования, я обнаружил, что заголовок и логотип ее веб-сайта загружаются нормально, но остальная часть ее магазина была полностью пустой.

Бегло взглянув на исходный код ее страницы, я обнаружил, что волшебный фрагмент javascript-кода Facebook, который она скопировала, совершает звонки на какой-то случайный сервер, который случайно не работает .

И поскольку этот код был в заголовке ее магазина, он препятствовал загрузке остальной части ее сайта, потому что он не мог пройти через вызов на плохой сервер.

Будьте осторожны, помещая любой код javascript в заголовок вашего сайта! Если вам абсолютно необходимо использовать сторонний код javascript в заголовке, убедитесь, что код загружается асинхронно в фоновом режиме и не блокирует загрузку вашего сайта.

Плохой Javascript может изменить ваш сайт без вашего разрешения

Знаете ли вы, что установка чужого кода javascript, по сути, похожа на передачу ключей от вашего веб-сайта кому-то другому ?

Когда вы используете чужой код, этот человек может существенно изменить ваш сайт, как сочтет нужным.

Теперь разработчик javascript должен быть очень плохим человеком, чтобы злонамеренно изменить ваш веб-сайт, но это случалось в прошлом даже с хорошо известными крупными компаниями .

Например, знаете ли вы, что популярный веб-сайт Houzz.com использовал свои виджеты javascript для установки черных SEO-ссылок на свой сайт ?

Вот как это произошло.

Houzz.com на самом деле очень популярный веб-сайт, посвященный домашнему декору. В результате блоггеры использовали свои виджеты javascript для отображения красивых и красочных украшающих изображений в своих блогах.

Но однажды Глен Оллсоп из Viperchill обнаружил, что Houzz.com использует код своего виджета javascript для тайного встраивания обратных ссылок обратно на сайт Houzz.com .

В результате Houzz использовал свой виджет javascript для злонамеренного манипулирования своим рейтингом поиска в Google .

Чтобы получить информацию об этом, вы можете полностью прочитать сообщение Глена здесь.

Но суть в том, что любой фрагмент кода javascript потенциально может позволить третьей стороне вносить изменения в способ отображения вашего сайта без вашего ведома .

Будьте осторожны с тем, какие инструменты Amazon вы устанавливаете

Поскольку я являюсь членом многих групп продавцов электронной коммерции, я часто слышу истории и слухи о злонамеренных действиях, связанных с различными инструментами Amazon на рынке.

Теперь, чтобы использовать большинство инструментов Amazon в наши дни, вы должны предоставить им свои учетные данные Amazon API, которые, по сути, позволяют этому инструменту видеть все ваши продажи и все ваши продукты.

Ну что ж? Эта информация является чрезвычайно конфиденциальной и потенциально может быть использована против вас.

Недавно ходили слухи, что владелец очень популярного инструмента продавца Amazon находился на Кантонской ярмарке, занимаясь поиском популярных товаров для продажи .

И поскольку владелец этой компании-разработчика программного обеспечения хорошо знал тысячи аккаунтов продавцов, он точно знал, что искать.

Довольно неряшливо, правда?

Но, к сожалению, такой сценарий может происходить и происходит постоянно. Фактически, я твердо верю, что каждая компания изучает данные своих клиентов, будь то из любопытства или для улучшения своего продукта.

Недавно сотрудники Amazon в Китае продавали данные о поставщиках всем, кто готов был заплатить их цену. И мы говорим об Amazon !!!

Прямо сейчас продажи на Amazon настолько беспощадны, насколько это возможно, и существует масса злонамеренных действий .

Для получения дополнительной информации, пожалуйста, ознакомьтесь с моим сообщением об опасностях продаж на Amazon и ужасных историях от настоящих продавцов на Amazon.

На что обращать внимание

Надеюсь, я убедил вас, что вам нужно быть предельно осторожным при использовании стороннего кода на вашем сайте. Это не значит, что вам НИКОГДА не следует использовать чужой код, потому что это было бы глупо.

Но убедитесь, что вы полностью доверяете автору используемого кода.

Если вам абсолютно необходимо использовать чужой код javascript, вот несколько общих рекомендаций, которым следует следовать.

• Всегда устанавливайте код javascript в нижний колонтитул вашего сайта - таким образом, если код вызывает сторонний сервер, а сервер не работает, он не приведет к отключению всего вашего сайта.
• По возможности используйте только асинхронный код javascript - асинхронный код javascript загружается в фоновом режиме и не влияет на общую загрузку вашего сайта.
• Старайтесь не использовать код, который обращается к стороннему серверу. Иногда это не помогает, но постарайтесь ограничить это, если возможно.
• Разместите код javascript на своем собственном сервере - сторонний код javascript часто загружается с сервера, которым владеет разработчик плагина.

  Но вместо того, чтобы звонить на чужой сервер, подумайте о том, чтобы загрузить javascript напрямую и разместить его на своем компьютере. Таким образом, если сторонний сервер когда-либо выйдет из строя, это не повлияет на ваш сайт.

  Примечание. Размещение собственного кода не всегда применимо и зависит от ситуации, но вы должны спросить, возможно ли это.

Решить, какому инструменту продавцов Amazon доверять, - гораздо более сложная проблема . Что касается меня, я очень осторожно отношусь к тому, кому я передаю свои учетные данные Amazon .

И я действительно внимательно проверяю, кто стоит за компанией, прежде чем я раскрою свои ключи API Amazon.

В частности, я прошу…

• Кто их крупнейшие клиенты
• Как долго существует их программное обеспечение
• Сколько инженеров в проекте
• Как они тестируют и проводят контроль качества своего продукта

Поскольку разработка оборудования и программного обеспечения была моей работой более 20 лет, я очень чувствителен к ошибкам и контролю качества :)

И любой, кто работал со мной в прошлом, знает, что я очень не хочу вводить какие-либо дополнительные точки отказа на моем сайте. В результате я сводил весь сторонний код к абсолютному минимуму.

Реально говоря, большинство уважаемых компаний не будут намеренно пытаться нанести вред вашему сайту, но каждый отдельный плагин или фрагмент кода, который вы устанавливаете, - это еще одна точка отказа, которая находится вне вашего контроля .

Теперь вам не обязательно быть таким анальным, как я, но вы должны хотя бы понимать последствия своих действий. Просто убедитесь, что вы знаете, на что вы ввязываетесь, используя чужой код, и убедитесь, что вы доверяете человеку, стоящему за компанией.