Sitenizde Ücretsiz WordPress Eklentileri ve Javascript Kodu Kullanmanın Tehlikeleri

Bu blogu yürüttüğüm ve çevrimiçi mağaza kursumu verdiğim son on yılda, birçok e-ticaret girişimcisi arasında rahatsız edici bir eğilim fark ettim.

Şimdi bu eğilim özellikle yaygın çünkü çevrimiçi mağaza sahiplerinin %99'u bir programlama geçmişine sahip değiller ve web teknolojilerinin nasıl çalıştığının temellerini öğrenmeye çalışmakla uğraşmıyorlar.

Sonuç olarak, alışveriş sepetleri için belirli bir özelliğe ihtiyaç duyduklarında veya istediklerinde , normal bir insanın yapacağı şeyi yaparlar…

Google'da bir arama yaparlar, istediklerini yapan ücretsiz bir WordPress eklentisi, widget'ı veya kod parçası ararlar ve ardından web sitelerine körü körüne yüklerler .

Ve zamanın %90'ında eklenti istediklerini yapıyor gibi görünüyor, bu yüzden kararlarının olası sonuçlarını fark etmeden onu yüklü tutuyorlar.

Bu yüzden bugün sitenize 3. parti kod ve rastgele eklentiler kurmanın tehlikelerinden bahsetmek istiyorum.

Ayrıca, eklentilerimi seçmek için kişisel olarak kullandığım yönergeleri de sağlayacağım.

Umarım bu yazının sonunda, kötü kodlanmış yazılımlardan ve kötü niyetli faaliyetlerden kaynaklanan riskleri en aza indirme konusunda çok daha bilinçli olursunuz.

Başarılı Bir E-Ticaret Mağazasını Nasıl Başlatacağınıza Dair Ücretsiz Mini Kursumu Alın

Bir e-ticaret işletmesi kurmakla ilgileniyorsanız , kendi çevrimiçi mağazanızı tamamen sıfırdan başlatmanıza yardımcı olacak kapsamlı bir kaynak paketi hazırladım. Gitmeden önce mutlaka alın!

İndirmek için buraya tıkla

Tek Bir Kod Satırının Gücü

Günümüzde pek çok hizmet ve eklenti, sitenize işlevsellik eklemek için küçük bir javascript kodu parçacığını otomatik olarak yükler.

javascript nedir?

Javascript, bir web sitesinden indirildikten sonra istemci bilgisayarda çalışan bir programlama dilidir. Ve bu kod genellikle tek bir satır olsa da, eklenti oluşturucuya siteniz üzerinde neredeyse sonsuz görünürlük ve kontrol sağlar .

İşte bu kodun nasıl göründüğüne dair hızlı bir örnek

<script src='//widget.randomplugincompany.com/assets/widget.js'></script>

Artık bazı uygulamalarda javascript, web siteniz, bilgisayarınız ve ziyaretçileriniz hakkında özel bilgileri kod yazarına ait bir 3. taraf sunucuya geri gönderebilir.

Örneğin, Google Analytics, web sitenizle ilgili her türlü veriyi doğrudan Google sunucularına ileten, Google tarafından yazılmış bir javascript kodu parçasıdır ve burada verilerinizi günlüğe kaydeder ve derler.

Şimdi, Google Analytics raporunuza daha önce baktıysanız, web siteniz ve ziyaretçileriniz hakkında olabilecek her türlü bilginin , ona bakmamaya “söz verdikleri” Google sunucularına gönderildiğini fark edeceksiniz.

Ve web sitenizle ilgili tüm bu verileri, kesip sitenize yapıştırdığınız küçük bir kod parçasından elde ederler.

Oldukça güçlü değil mi?

Bununla birlikte, bunun anlamı, herhangi bir üçüncü taraf javascript kodunu körü körüne kesip sitenize yapıştırdığınızda, tüm özel web sitesi bilgilerinizi o şirkete gönderiyor olabilirsiniz .

Ve bu kadar küçük bir kod parçası çok fazla güce sahip olabileceğinden , iş yaptığınız şirkete gerçekten güvenmeniz gerekir .

Aşağıda, öğrencilerimin 3. taraf kodunu körü körüne kullanmanın bir sonucu olarak karşılaştığı bazı gerçek sorunlar bulunmaktadır .

Kötü Javascript Sitenizi Yavaşlatabilir

Öğrencilerimden biri, Google'dan web sitesine çok fazla trafik alıyordu, ancak trafiği, çevrimiçi mağazasında çok fazla satışla sonuçlanmıyordu.

Sonuç olarak, sitesinde banner reklamlar göstermeye karar verdi.

Artık reklamları ürünlerle karıştırmak bir e-ticaret mağazası için genellikle iyi bir fikir değildir, ancak ziyaretçileri ürünlerini satın almıyorsa, reklamlardan "biraz" para kazanabileceğini düşündü.

Her neyse, bir gün bana tüm satışlarının neden birdenbire durduğunu soran bir e-posta gönderdi. Ve sitesine bakmaya gittiğimde dehşete düştüm.

Öncelikle, sitesinin yüklenmesi neredeyse 20 saniye sürdü ve sonunda yüklendiğinde her yerde yanıp sönen animasyonlu reklamlar vardı. Bir web sayfası hız testi yaptığımda, bulduğum şey bu.

Reklam ağındaki ufacık bir javascript kodu parçası, tüm sitesini yavaşlatıyordu.

Kodu, reklam kodu yüklenene kadar içeriğinin görünmesini engelleyecek şekilde yükledi.

Dükkanında kimsenin alışveriş yapmamasına şaşmamalı! Yanıp sönen reklamların yanı sıra, müşteriler muhtemelen kodun neden olduğu aşırı yavaş yükleme sürelerinden de rahatsız oluyordu .

Aslında, reklam ağları siteleri yavaşlatmakla ünlüdür, çünkü sitenizle ilgili tonlarca izleme bilgisini sunucularına geri iletirler.

Ayrıca, ziyaretçi verilerini depolamak ve bu bilgileri diğer reklamcılara satmakla da tanınırlar.

Kötü Javascript Sitenizi Yıkabilir

Sınıfımdaki başka bir öğrenci, Facebook hayran sayfasındaki beğeni sayısını artırmak için bir eklenti arıyordu. Sonuç olarak, müşteriyi satın almaya teşvik edecek bir kupon kodunu göstermeden önce bir müşterinin Facebook hayran sayfasını "beğenmesini" sağlayan bu kod parçasını buldu.

Yeterince masum görünüyordu ve eklenti bir süre şampiyon gibi çalıştı. Ama sonra bir gün, bu öğrenci bana çılgınca bir e-posta gönderdi ve hiçbir değişiklik yapmamasına rağmen web sitesinin bozulduğunu söyledi .

Araştırmak için çevrimiçi mağazasına gittiğimde, web sitesi başlığının ve logosunun gayet iyi yüklendiğini ancak mağazasının geri kalanının tamamen boş olduğunu gördüm.

Sayfa kaynağına hızlı bir bakışla, kopyaladığı sihirli Facebook javascript kodunun, rastgele bir sunucuya çağrı yaptığını gördüm.

Ve bu kod, mağazasının başlığında olduğundan, kötü sunucuya yapılan çağrıyı geçemediğinden, sitesinin geri kalanının yüklenmesini engelledi.

Sitenizin başlığına herhangi bir javascript kodu koyarken dikkatli olun! Başlığınızda kesinlikle 3. parti javascript kodu kullanmak zorundaysanız, kodun arka planda eşzamansız olarak yüklendiğinden emin olun ve böylece sitenizin yüklenmesini engellemeyecektir.

Kötü Javascript İzniniz Olmadan Web Sitenizi Değiştirebilir

Başka birinin javascript kodunu yüklemenin aslında web sitenizin anahtarlarını başka birine vermek gibi olduğunu biliyor muydunuz?

Başka birinin kodunu kullandığınızda, o kişi web sitenizi esasen uygun gördüğü şekilde değiştirebilir .

Şimdi javascript geliştiricisinin web sitenizi kötü niyetli bir şekilde değiştirebilmesi için çok kötü bir insan olması gerekir, ancak geçmişte iyi bilinen büyük şirketlerde bile oldu.

Örneğin, popüler web sitesi Houzz.com'un sitelerine siyah şapka SEO bağlantıları yüklemek için javascript widget'larını kullandığını biliyor muydunuz?

İşte nasıl düştüğü.

Houzz.com aslında ev dekorunu sergileyen çok popüler bir web sitesidir. Sonuç olarak, blogcular bloglarında güzel ve renkli dekorasyon görselleri sergilemek için javascript widget'larını kullanıyorlardı.

Ancak bir gün Viperchill'den Glen Allsop, Houzz.com'un javascript widget kodunu kullanarak Houzz.com web sitesine geri bağlantıları gizlice yerleştirdiğini keşfetti .

Sonuç olarak, Houzz , Google'daki arama sıralamalarını kötü niyetli bir şekilde değiştirmek için javascript widget'ını kullandı.

Bununla ilgili bilgi için, Glen'in gönderisinin tamamını buradan okuyabilirsiniz.

Ancak sonuç olarak, herhangi bir javascript kodu parçası, potansiyel olarak bir üçüncü tarafın , sitenizin görüntülenme biçiminde sizin haberiniz olmadan değişiklik yapmasına izin verebilir.

Hangi Amazon Araçlarını Kurduğunuza Dikkat Edin

Birçok e-ticaret satıcı grubuna üye olduğum için, sık sık piyasadaki çeşitli Amazon araçlarından kaynaklanan kötü niyetli faaliyet hikayeleri ve söylentileri duyuyorum.

Bugünlerde çoğu Amazon aracını kullanmak için, onlara Amazon API kimlik bilgilerinizi sağlamanız gerekiyor, bu da aracın tüm satışlarınızı ve tüm ürünlerinizi görmesini sağlıyor.

Öyleyse tahmin et? Bu bilgiler son derece hassastır ve potansiyel olarak size karşı kullanılabilir.

Son zamanlarda, çok popüler bir Amazon satıcı aracının sahibinin Kanton Fuarı'nda popüler ürünleri satışa sunduğuna dair bir söylenti vardı.

Ve bu yazılım şirketi sahibi, 1000'lerce satıcı hesabı hakkında derin bilgiye sahip olduğu için, tam olarak ne arayacağını biliyordu.

Oldukça adi değil mi?

Ama ne yazık ki, bu senaryo her zaman olabilir ve oluyor. Aslında, her şirketin müşteri verilerine meraktan mı yoksa kendi ürünlerini geliştirmek için mi baktığına kuvvetle inanıyorum.

Son zamanlarda Çin'deki Amazon çalışanları, fiyatlarını ödemek isteyen herkese satıcı verilerini satıyor . Ve burada bahsettiğimiz Amazon !!!

Şu anda Amazon'da satış yapmak olabildiğince acımasız ve bir sürü kötü niyetli faaliyet var .

Daha fazla bilgi için lütfen Amazon'da Satış Yapmanın Tehlikeleri ve Gerçek Amazon Satıcılarından Gelen Korku Hikayeleri hakkındaki gönderime bakın.

Nelere Dikkat Etmeli

Umarım, sitenizde 3. taraf kodunu kullanırken son derece dikkatli olmanız gerektiğine sizi ikna edebilmişimdir. Bu, ASLA başkalarının kodunu kullanmamanız gerektiği anlamına gelmiyor çünkü bu aptalca olurdu.

Ancak, kullandığınız kodun yazarına tam olarak güvendiğinizden emin olun.

Başka birinin javascript kodunu kesinlikle kullanmanız gerekiyorsa, izlemeniz gereken bazı genel kurallar şunlardır:

• Javascript kodunu her zaman sitenizin altbilgisine yükleyin – Bu şekilde kod 3. taraf bir sunucuyu ararsa ve sunucu kapalıysa, tüm sitenizi onunla birlikte çökertmez.
• Mümkünse yalnızca eşzamansız javascript kodu kullanın – Eşzamansız javascript kodu arka planda yüklenir ve sitenizin genel yüklenmesini etkilemez
• Bir 3. taraf sunucuya çağrı yapan kodu kullanmamaya çalışın – Bazen bu durum yardımcı olamaz, ancak mümkünse bunu sınırlamaya çalışın
• Javascript kodunu kendi sunucunuzda barındırın – 3. taraf javascript kodu genellikle eklenti geliştiricisinin sahip olduğu bir sunucudan indirilir.

  Ancak başka birinin sunucusunu aramak yerine, javascript'i doğrudan indirmeyi ve kendi makinenizde barındırmayı düşünün. Bu şekilde 3. parti sunucunun çökmesi sitenizi etkilemeyecektir.

  Not: Kendi kodunuzu barındırmak her zaman uygulanabilir değildir ve duruma bağlıdır ancak bunun mümkün olup olmadığını sormalısınız.

Hangi Amazon satıcılarının aracına güveneceğine karar vermek çok daha karmaşık bir sorundur . Benim için Amazon kimlik bilgilerimi kime verdiğime son derece dikkat ediyorum .

Ve aslında Amazon API anahtarlarımı devretmeden önce şirketin arkasında kimin olduğu konusunda biraz titizlik gösteriyorum.

Özellikle soruyorum…

• En büyük müşterileri kimlerdir?
• Yazılımlarının ne kadar süredir var olduğu
• Projede kaç mühendis var?
• Ürünlerini nasıl test ediyor ve QA yapıyorlar?

20 yılı aşkın süredir benim işim donanım ve yazılım tasarlamak olduğu için hatalara ve kalite kontrole karşı son derece hassasım :)

Ve geçmişte benimle çalışmış olan herkes, sitemle ilgili ek başarısızlık noktalarını tanıtmak konusunda süper anal olduğumu bilir. Sonuç olarak, tüm 3. taraf kodlarını mutlak minimumda tutuyorum.

Gerçekçi konuşmak gerekirse, çoğu saygın şirket sitenize kasıtlı olarak zarar vermeye çalışmayacaktır, ancak yüklediğiniz her bir eklenti veya kod parçası, kontrolünüz dışında başka bir başarısızlık noktasıdır .

Şimdi benim kadar anal olmak zorunda değilsin ama en azından eylemlerinin sonuçlarını anlamalısın. Başka birinin kodunu kullanırken neye bulaştığınızı bildiğinizden ve şirketin arkasındaki kişiye güvendiğinizden emin olun.