在您的网站上使用免费 WordPress 插件和 Javascript 代码的危险
已发表: 2021-08-19在运行这个博客和教授我的在线商店课程的过去十年中,我注意到许多电子商务企业家中有一个令人不安的趋势。
现在这种趋势尤其普遍,因为 99% 的在线商店所有者没有编程背景,也没有费心去学习 Web 技术工作原理的基础知识。
因此,每当他们需要或想要购物车的某个功能时,他们都会做任何正常人都会做的事情……
他们在 Google 上进行搜索,寻找免费的 WordPress 插件、小部件或一段代码来满足他们的需求,然后盲目地将其安装在他们的网站上。
在 90% 的情况下,该插件似乎会做他们想做的事,所以他们会一直安装它,而没有意识到他们的决定的潜在后果。
所以今天我想谈谈在您的网站上安装 3rd 方代码和随机插件的危险。
此外,我将为您提供我个人用来选择我的插件的指南。
希望在这篇文章结束时,您将更加谨慎地将编码不良的软件和恶意活动的风险降至最低。
获取有关如何开设成功电子商务商店的免费迷你课程
如果您有兴趣开展电子商务业务,我整理了一个全面的资源包,可帮助您从头开始开设自己的在线商店。 离开前一定要抓住它!
一行代码的力量
如今,许多服务和插件会自动安装一小段 javascript 代码来为您的网站添加功能。
什么是 JavaScript?
Javascript 是一种编程语言,一旦从网站下载,就会在客户端计算机上运行。 尽管这些代码通常只有一行,但它为插件创建者提供了近乎无限的可见性和对站点的控制。
这是此代码外观的快速示例
<script src='//widget.randomplugincompany.com/assets/widget.js'></script>
现在在某些实现中,javascript 可以将有关您的网站、计算机和访问者的私人信息发送回代码作者拥有的第 3 方服务器。
例如,Google Analytics 是由 Google 编写的一段 javascript 代码,可将有关您网站的各种数据直接传输到 Google 的服务器,并在其中记录和整理您的数据。
现在,如果您以前查看过您的 Google Analytics(分析)报告,您会注意到有关您的网站和访问者的每一条可能的信息都被发送到 Google 的服务器,在那里他们“承诺”不查看这些信息。
他们从您剪切并粘贴到网站上的一小段代码中获取有关您网站的所有这些数据。
很强大吧?
然而,这意味着,任何时候您盲目地在您的网站上剪切和粘贴一段 3rd 方 javascript 代码,您都可能将您所有的私人网站信息发送给该公司。
而且因为这么一小段代码可以发挥如此大的力量,你真的必须信任你正在打交道的公司。
以下是我的学生因盲目使用第 3 方代码而面临的一些实际问题。
糟糕的 Javascript 会减慢您的网站速度
我的一个学生从 Google 获得了大量访问她网站的流量,但她的流量并没有为她的在线商店带来很多销售。
因此,她决定在她的网站上展示横幅广告。
现在,将广告与产品混合在一起对于电子商务商店来说通常不是一个好主意,但她推断如果她的访客不购买她的产品,她也可以通过广告赚“一些”钱。
不管怎样,有一天她给我发了一封电子邮件,问我为什么她的所有销售都突然停止了。 当我去看她的网站时,我被吓坏了。
首先,她的网站加载了将近 20 秒,当它最终加载完毕时,到处都是闪烁的动画广告。 当我进行网页速度测试时,这就是我发现的。
来自她的广告网络的一小段 JavaScript 代码拖慢了她整个网站的速度。
她安装代码的方式是,广告代码阻止她的内容显示,直到广告代码加载之后。
难怪没有人在她的店里购物! 除了闪烁的广告外,客户可能会对代码导致的极慢加载时间感到沮丧。
事实上,众所周知,广告网络会降低网站速度,因为它们确实将大量有关您网站的跟踪信息传输回其服务器。
他们还以存储访问者数据并将该信息出售给其他广告商而闻名。
糟糕的 Javascript 可以关闭您的网站
我班上的另一个学生正在寻找一个插件来增加她 Facebook 粉丝页面上的点赞数。 结果,她发现了这段代码,让客户“喜欢”她的 Facebook 粉丝页面,然后暴露了一个可以激励客户购买的优惠券代码。
它看起来很无辜,并且该插件在很长一段时间内都像冠军一样工作。 但是有一天,这个学生发邮件给我发邮件,疯狂地告诉我,她的网站虽然没有做任何更改,但已经坏了。
当我去她的网上商店调查时,我发现她的网站标题和徽标加载得很好,但她商店的其余部分完全空白。
快速浏览一下她的页面源代码,我发现她复制的神奇的 Facebook javascript 代码段正在调用某个碰巧宕机的随机服务器。
并且因为此代码位于她商店的标题中,所以它阻止了她网站的其余部分加载,因为它无法通过对坏服务器的调用。
将任何 javascript 代码放在您网站的标题中时要小心! 如果您绝对必须在标题中使用 3rd 方 javascript 代码,请确保代码在后台异步加载,因此它不会阻止您网站的加载。
错误的 Javascript 可以在未经您许可的情况下更改您的网站
您是否知道安装其他人的 javascript 代码本质上就像将您网站的密钥交给其他人?
当您使用其他人的代码时,该人基本上可以按照他们认为合适的方式更改您的网站。
现在,javascript 开发人员必须是一个非常坏的人才能恶意更改您的网站,但过去即使是知名的大公司也发生过这种情况。
例如,您是否知道流行的网站 Houzz.com 使用他们的 javascript 小部件将黑帽 SEO 链接安装回他们的网站?
这是它下降的方式。
Houzz.com 实际上是一个非常受欢迎的展示家居装饰的网站。 结果,博主们使用他们的 javascript 小部件在他们的博客上显示美丽多彩的装饰图像。
但是有一天 Viperchill 的 Glen Allsop 发现 Houzz.com 正在使用他们的 javascript 小部件代码秘密地将反向链接嵌入到 Houzz.com 网站。
结果,Houzz 使用他们的 javascript 小部件恶意操纵他们在 Google 中的搜索排名。
有关这方面的信息,您可以在此处完整阅读 Glen 的帖子
但最重要的是,任何一段 javascript 代码都可能允许第 3 方在您不知情的情况下更改您网站的显示方式。
小心你安装的亚马逊工具
因为我是许多电子商务卖家团体的成员,所以我经常听到市场上各种亚马逊工具引发恶意活动的故事和谣言。
现在为了使用大多数亚马逊工具,您必须向他们提供您的亚马逊 API 凭证,这基本上允许该工具查看您的所有销售和所有产品。
你猜怎么着? 此信息极其敏感,可能会被用来对付您。
最近,有传言说,一个非常受欢迎的亚马逊卖家工具的所有者正在广交会上采购热门产品进行销售。
由于这家软件公司的老板对 1000 多个卖家账户了如指掌,他完全知道要寻找什么。
很贱吧?
但不幸的是,这种情况可能并且确实一直发生。 事实上,我坚信每家公司都会查看他们的客户数据,无论是出于好奇还是改进他们自己的产品。
最近,亚马逊在中国的员工一直在向愿意支付价格的任何人出售供应商数据。 这就是我们在这里谈论的亚马逊!!!
目前,在亚马逊上销售是非常残酷的,并且存在大量恶意活动。
有关更多信息,请查看我关于在亚马逊上销售的危险和亚马逊真实卖家的恐怖故事的帖子
要注意什么
希望我已经说服您,在您的网站上使用第 3 方代码时需要格外小心。 这并不是说你永远不应该使用其他人的代码,因为那很愚蠢。
但请确保您完全信任您正在使用的代码的作者。
如果您绝对需要使用其他人的 javascript 代码,请遵循以下一般准则
- 始终在您网站的页脚中安装 javascript 代码– 这样,如果代码调用 3rd 方服务器并且服务器关闭,它不会使您的整个网站随之关闭
- 如果可能,只使用异步 javascript 代码——异步 javascript 代码在后台加载,不会影响您网站的整体加载
- 尽量不要使用调用 3rd 方服务器的代码- 有时这无济于事,但如果可能,请尝试限制这种情况
- 在您自己的服务器上托管 javascript 代码——通常从插件开发人员拥有的服务器下载第 3 方 javascript 代码。
但是,与其调用其他人的服务器,不如考虑直接下载 javascript 并将其托管在您自己的机器上。 这样,如果第 3 方服务器出现故障,它不会影响您的站点。
注意:托管您自己的代码并不总是适用,具体取决于具体情况,但您应该询问是否可行
决定信任哪个亚马逊卖家工具是一个复杂得多的问题。 对我来说,我非常谨慎地将我的 Amazon 凭证提供给谁。
在我分叉我的 Amazon API 密钥之前,我实际上对谁是公司的幕后黑手做了一些尽职调查。
具体来说,我问……
- 他们最大的客户是谁
- 他们的软件已经存在多久了
- 该项目有多少工程师
- 他们如何测试和为他们的产品做 QA
因为设计硬件和软件是我 20 多年来的工作,所以我对错误和质量控制非常敏感:)
过去和我一起工作过的任何人都知道,我非常讨厌在我的网站上引入任何其他故障点。 因此,我将所有 3rd 方代码保持在绝对最小值。
实际上,大多数信誉良好的公司不会故意尝试损害您的站点,但是您安装的每个插件或代码段都是您无法控制的另一个故障点。
现在你不必像我一样肛门,但你至少应该了解你的行为的后果。 只要确保您知道在使用别人的代码时会遇到什么问题,并确保您信任公司背后的人。