在您的網站上使用免費 WordPress 插件和 Javascript 代碼的危險
已發表: 2021-08-19在運行這個博客和教授我的在線商店課程的過去十年中,我注意到許多電子商務企業家中有一個令人不安的趨勢。
現在這種趨勢尤其普遍,因為 99% 的在線商店所有者沒有編程背景,也沒有費心去學習 Web 技術工作原理的基礎知識。
因此,每當他們需要或想要購物車的某個功能時,他們都會做任何正常人都會做的事情……
他們在 Google 上進行搜索,尋找免費的 WordPress 插件、小部件或一段代碼來滿足他們的需求,然後盲目地將其安裝在他們的網站上。
在 90% 的情況下,該插件似乎會做他們想做的事,所以他們會一直安裝它,而沒有意識到他們的決定的潛在後果。
所以今天我想談談在您的網站上安裝 3rd 方代碼和隨機插件的危險。
此外,我將為您提供我個人用來選擇我的插件的指南。
希望在這篇文章結束時,您將更加謹慎地將編碼不良的軟件和惡意活動的風險降至最低。
獲取有關如何開設成功電子商務商店的免費迷你課程
如果您有興趣開展電子商務業務,我整理了一個全面的資源包,可幫助您從頭開始開設自己的在線商店。 離開前一定要抓住它!
一行代碼的力量
如今,許多服務和插件會自動安裝一小段 javascript 代碼來為您的網站添加功能。
什麼是 JavaScript?
Javascript 是一種編程語言,一旦從網站下載,就會在客戶端計算機上運行。 儘管這些代碼通常只有一行,但它為插件創建者提供了近乎無限的可見性和對您站點的控制。
這是此代碼外觀的快速示例
<script src='//widget.randomplugincompany.com/assets/widget.js'></script>
現在在某些實現中,javascript 可以將有關您的網站、計算機和訪問者的私人信息發送回代碼作者擁有的第 3 方服務器。
例如,Google Analytics 是由 Google 編寫的一段 javascript 代碼,可將有關您網站的各種數據直接傳輸到 Google 的服務器,並在其中記錄和整理您的數據。
現在,如果您以前查看過您的 Google Analytics(分析)報告,您會注意到關於您的網站和訪問者的每一條可能的信息都被發送到 Google 的服務器,在那裡他們“承諾”不查看這些信息。
他們從您剪切並粘貼到網站上的一小段代碼中獲取有關您網站的所有這些數據。
很強大吧?
然而,這意味著,任何時候您盲目地在您的網站上剪切和粘貼一段 3rd 方 javascript 代碼,您都可能將您所有的私人網站信息發送給該公司。
而且因為這麼一小段代碼可以發揮如此大的力量,你真的必須信任你正在打交道的公司。
以下是我的學生因盲目使用第 3 方代碼而面臨的一些實際問題。
糟糕的 Javascript 會減慢您的網站速度
我的一個學生從 Google 獲得了大量訪問她網站的流量,但她的流量並沒有為她的在線商店帶來很多銷售。
因此,她決定在她的網站上展示橫幅廣告。
現在,將廣告與產品混合在一起對於電子商務商店來說通常不是一個好主意,但她推斷如果她的訪客不購買她的產品,她也可以通過廣告賺“一些”錢。
不管怎樣,有一天她給我發了一封電子郵件,問我為什麼她的所有銷售都突然停止了。 當我去看她的網站時,我被嚇壞了。
首先,她的網站加載了將近 20 秒,當它最終加載完畢時,到處都是閃爍的動畫廣告。 當我進行網頁速度測試時,這就是我發現的。
來自她的廣告網絡的一小段 JavaScript 代碼拖慢了她整個網站的速度。
她安裝代碼的方式是,廣告代碼阻止她的內容顯示,直到廣告代碼加載之後。
難怪沒有人在她的店裡購物! 除了閃爍的廣告外,客戶可能會對代碼導致的極慢加載時間感到沮喪。
事實上,眾所周知,廣告網絡會降低網站速度,因為它們確實將大量有關您網站的跟踪信息傳輸回其服務器。
他們還以存儲訪問者數據並將該信息出售給其他廣告商而聞名。
糟糕的 Javascript 可以關閉您的網站
我班上的另一個學生正在尋找一個插件來增加她 Facebook 粉絲頁面上的點贊數。 結果,她發現了這段代碼,讓客戶“喜歡”她的 Facebook 粉絲頁面,然後暴露了一個可以激勵客戶購買的優惠券代碼。
它看起來很無辜,並且該插件在很長一段時間內都像冠軍一樣工作。 但是有一天,這個學生髮郵件給我發郵件,瘋狂地告訴我,她的網站雖然沒有做任何更改,但已經壞了。
當我去她的網上商店調查時,我發現她的網站標題和徽標加載得很好,但她商店的其餘部分完全空白。
快速瀏覽一下她的頁面源代碼,我發現她複製的神奇的 Facebook javascript 代碼段正在調用某個碰巧宕機的隨機服務器。
並且因為此代碼位於她商店的標題中,所以它阻止了她網站的其餘部分加載,因為它無法通過對壞服務器的調用。
將任何 javascript 代碼放在您網站的標題中時要小心! 如果您絕對必須在標題中使用 3rd 方 javascript 代碼,請確保代碼在後台異步加載,因此它不會阻止您網站的加載。
錯誤的 Javascript 可以在未經您許可的情況下更改您的網站
您是否知道安裝其他人的 javascript 代碼本質上就像將您網站的密鑰交給其他人?
當您使用其他人的代碼時,該人基本上可以按照他們認為合適的方式更改您的網站。
現在,javascript 開發人員必須是一個非常壞的人才能惡意更改您的網站,但過去即使是知名的大公司也發生過這種情況。
例如,您是否知道流行的網站 Houzz.com 使用他們的 javascript 小部件將黑帽 SEO 鏈接安裝回他們的網站?
這是它下降的方式。
Houzz.com 實際上是一個非常受歡迎的展示家居裝飾的網站。 結果,博主們使用他們的 javascript 小部件在他們的博客上顯示美麗多彩的裝飾圖像。
但是有一天 Viperchill 的 Glen Allsop 發現 Houzz.com 正在使用他們的 javascript 小部件代碼秘密地將反向鏈接嵌入到 Houzz.com 網站。
結果,Houzz 使用他們的 javascript 小部件惡意操縱他們在 Google 中的搜索排名。
有關這方面的信息,您可以在此處完整閱讀 Glen 的帖子
但最重要的是,任何一段 javascript 代碼都可能允許第 3 方在您不知情的情況下更改您網站的顯示方式。
小心你安裝的亞馬遜工具
因為我是許多電子商務賣家團體的成員,所以我經常聽到市場上各種亞馬遜工具引發惡意活動的故事和謠言。
現在為了使用大多數亞馬遜工具,您必須向他們提供您的亞馬遜 API 憑證,這基本上允許該工具查看您的所有銷售和所有產品。
你猜怎麼著? 此信息極其敏感,可能會被用來對付您。
最近,有傳言說,一個非常受歡迎的亞馬遜賣家工具的所有者正在廣交會上採購熱門產品進行銷售。
由於這家軟件公司的老闆對 1000 多個賣家賬戶瞭如指掌,他完全知道要尋找什麼。
很賤吧?
但不幸的是,這種情況可能並且確實一直發生。 事實上,我堅信每家公司都會查看他們的客戶數據,無論是出於好奇還是改進他們自己的產品。
最近,亞馬遜在中國的員工一直在向願意支付價格的任何人出售供應商數據。 這就是我們在這裡談論的亞馬遜!!!
目前,在亞馬遜上銷售是非常殘酷的,並且存在大量惡意活動。
有關更多信息,請查看我關於在亞馬遜上銷售的危險和亞馬遜真實賣家的恐怖故事的帖子
要注意什麼
希望我已經說服您,在您的網站上使用第 3 方代碼時需要格外小心。 這並不是說你永遠不應該使用其他人的代碼,因為那很愚蠢。
但請確保您完全信任您正在使用的代碼的作者。
如果您絕對需要使用其他人的 javascript 代碼,請遵循以下一般準則
- 始終在您網站的頁腳中安裝 javascript 代碼– 這樣,如果代碼調用 3rd 方服務器並且服務器關閉,它不會使您的整個網站隨之關閉
- 如果可能,只使用異步 javascript 代碼——異步 javascript 代碼在後台加載,不會影響您網站的整體加載
- 盡量不要使用調用 3rd 方服務器的代碼- 有時這無濟於事,但如果可能,請嘗試限制這種情況
- 在您自己的服務器上託管 javascript 代碼– 通常從插件開發人員擁有的服務器下載第 3 方 javascript 代碼。
但是,與其調用其他人的服務器,不如考慮直接下載 javascript 並將其託管在您自己的機器上。 這樣,如果第 3 方服務器出現故障,它不會影響您的站點。
注意:託管您自己的代碼並不總是適用,具體取決於具體情況,但您應該詢問是否可行
決定信任哪個亞馬遜賣家工具是一個複雜得多的問題。 對我來說,我非常謹慎地將我的 Amazon 憑證提供給誰。
在我分叉我的 Amazon API 密鑰之前,我實際上對誰是公司的幕後黑手做了一些盡職調查。
具體來說,我問……
- 他們最大的客戶是誰
- 他們的軟件已經存在多久了
- 該項目有多少工程師
- 他們如何測試和為他們的產品做 QA
因為設計硬件和軟件是我 20 多年來的工作,所以我對錯誤和質量控制非常敏感:)
過去和我一起工作過的任何人都知道,我非常討厭在我的網站上引入任何其他故障點。 因此,我將所有 3rd 方代碼保持在絕對最小值。
實際上,大多數信譽良好的公司不會故意嘗試損害您的站點,但是您安裝的每個插件或代碼段都是您無法控制的另一個故障點。
現在你不必像我一樣肛門,但你至少應該了解你的行為的後果。 只要確保您知道在使用別人的代碼時會遇到什麼問題,並確保您信任公司背後的人。