Estás leyendo la publicación: Los peligros de usar complementos gratuitos de WordPress y código Javascript en su sitio
Durante la última década de dirigir este blog y enseñar mi curso de tienda en línea, he notado una tendencia inquietante entre muchos empresarios de comercio electrónico.
Ahora bien, esta tendencia es especialmente frecuente porque el 99% de los propietarios de tiendas en línea no tienes experiencia en programación ni se molestan en tratar de aprender los conceptos básicos de cómo funcionan las tecnologías web.
Como resultado, cada vez que ellos necesita o quiere una característica determinada para su carrito de compras, hacen lo que cualquier persona normal haría…
Hacen una búsqueda en Google, buscan un complemento, widget o pieza de código gratuito de WordPress que haga lo que quieren y luego instalarlo a ciegas en su sitio web.
Y el 90% de las veces, el complemento parece hacer lo que quieren, por lo que lo mantienen instalado sin darse cuenta de la posibles ramificaciones de su decisión.
Así que hoy quiero hablar de la peligros de instalar código de terceros y complementos aleatorios en tu sitio.
Además, le proporcionaré pautas que personalmente utilizo para seleccionar mis complementos.
Con suerte, al final de esta publicación, será mucho más deliberado en minimizar los riesgos del software mal codificado y la actividad maliciosa.
Obtenga mi mini curso gratuito sobre cómo iniciar una tienda de comercio electrónico exitosa
Si está interesado en iniciar un negocio de comercio electrónico, preparé un paquete integral de recursos eso te ayudara lanza tu propia tienda en línea desde cero completo. ¡Asegúrate de agarrarlo antes de irte!
El poder de una sola línea de código
Muchos servicios y complementos en estos días instalan automáticamente un pequeño fragmento de código javascript para agregar funcionalidad a su sitio.
¿Qué es JavaScript?
Javascript es un lenguaje de programación que se ejecuta en la computadora del cliente una vez que se descarga de un sitio web. Y aunque este código a menudo es solo una línea, proporciona al creador del complemento Visibilidad y control casi infinitos sobre su sitio.
Aquí hay un ejemplo rápido de cómo se ve este código
Ahora, en algunas implementaciones, javascript puede enviar información privada sobre su sitio web, computadora y visitantes de vuelta a un servidor de terceros propiedad del autor del código.
Por ejemplo, Google Analytics es un fragmento de código javascript escrito por Google que transmite todo tipo de datos sobre su sitio web directamente a los servidores de Google, donde registran y cotejan sus datos.
Ahora, si alguna vez miró su informe de Google Analytics, notará que toda la información posible sobre su sitio web y sus visitantes se envían a los servidores de Google donde ellos “prometen” no mirarlo.
Y obtienen todos estos datos sobre su sitio web de una pequeña pieza de código que cortas y pegas en tu sitio.
¿Bastante poderoso verdad?
Lo que esto significa, sin embargo, es que cada vez que corta y pega a ciegas un fragmento de código javascript de terceros en su sitio, podría estar enviando toda la información de su sitio web privado a esa empresa.
Y debido a que un fragmento de código tan pequeño puede ejercer tanto poder, realmente tienes que confiar en la empresa con la que estás tratando.
A continuación se muestran algunos problemas reales mis estudiantes se han enfrentado como resultado del uso ciego de un código de terceros.
Javascript incorrecto puede ralentizar su sitio
Una de mis alumnas estaba recibiendo mucho tráfico en su sitio web desde Google, pero su tráfico no generaba muchas ventas para su tienda en línea.
Como resultado, ella decidió mostrar anuncios publicitarios en su sitio.
Ahora, mezclar anuncios con productos es generalmente no es Buena idea para una tienda de comercio electrónico, pero razonó que si sus visitantes no estaban comprando sus productos, también podría ganar “algo” de dinero con los anuncios.
De todos modos, un día ella me envió un correo electrónico preguntándome por qué todas sus ventas se detuvieron repentinamente. Y cuando fui a ver su sitio, me horroricé.
Antes que nada, su sitio tardó casi 20 segundos en cargarse y cuando finalmente se cargó, había anuncios animados parpadeantes por todas partes. Cuando hice una prueba de velocidad de la página web, esto es lo que encontré.
Una diminuta pieza de código javascript de su red publicitaria estaba ralentizando todo su sitio.
E instaló el código de tal manera que el código del anuncio era bloqueando su contenido desde que se muestra hasta que se carga el código de anuncio.
¡No es de extrañar que nadie estuviera comprando en su tienda! Además de los anuncios intermitentes, es probable que los clientes se sintieran frustrados con la tiempos de carga extremadamente lentos causados por el código.
De hecho, las redes publicitarias son notoriamente conocido por ralentizar los sitios porque literalmente transmiten toneladas de información de seguimiento sobre su sitio a sus servidores.
También son conocidos por almacenar datos de visitantes y vender esa información a otros anunciantes.
Javascript incorrecto puede acabar con su sitio
Otro estudiante de mi clase estaba buscando un complemento para aumentar la cantidad de Me gusta en su página de fans de Facebook. Como resultado, encontró este fragmento de código que hacía que un cliente pusiera “me gusta” en su página de fans de Facebook antes de exponer un código de cupón que incentivaría a un cliente a comprar.
Parecía lo suficientemente inocente y el complemento funcionó como un campeón durante bastante tiempo. Pero un día, este estudiante me envió un correo electrónico frenéticamente diciéndome que su sitio web estaba roto a pesar de que no había hecho ningún cambio.
Cuando fui a su tienda en línea para investigar, descubrí que el encabezado y el logotipo de su sitio web se cargaban bien, pero el resto de su tienda estaba completamente en blanco.
Con un vistazo rápido a la fuente de su página, descubrí que la pieza mágica de Facebook El código javascript que copió estaba haciendo llamadas a un servidor aleatorio que estaba inactivo..
Y debido a que este código estaba en el encabezado de su tienda, impidió que el resto de su sitio se cargara porque no pudo pasar la llamada al servidor defectuoso.
¡Tenga cuidado al poner cualquier código javascript en el encabezado de su sitio! Si absolutamente tiene que usar un código javascript de terceros en su encabezado, asegúrese de que el código se carga de forma asíncrona en segundo plano y así no bloqueará la carga de su sitio.
Javascript incorrecto puede cambiar su sitio web sin su permiso
¿Sabías que instalar el código javascript de otra persona es esencialmente como dar las claves de tu sitio web a otra persona?
Cuando usa el código de otra persona, esa persona esencialmente puede modificar su sitio web como les parezca.
Ahora, el desarrollador de javascript tendría que ser una persona muy mala para alterar maliciosamente su sitio web, pero ha sucedido en el pasado incluso con grandes empresas conocidas.
Por ejemplo, ¿sabía que el popular sitio web Houzz.com utilizó sus widgets de javascript para instalar enlaces black hat SEO de vuelta a su sitio?
Así es como sucedió.
Houzz.com es en realidad un sitio web muy popular que muestra la decoración del hogar. Como resultado, los blogueros usaban sus widgets javascript para mostrar hermosas y coloridas imágenes decorativas en sus blogs.
Pero un día Glen Allsop de Viperchill descubrió que Houzz.com era usando su código de widget de javascript para incrustar en secreto vínculos de retroceso al sitio web de Houzz.com.
Como resultado, Houzz usó su widget javascript para manipular maliciosamente sus clasificaciones de búsqueda en Google.
Para obtener información sobre esto, puede leer la publicación de Glen en su totalidad aquí
Pero en resumidas cuentas, cualquier pieza de código javascript puede potencialmente permitir que un tercero realizar cambios en la forma en que se muestra su sitio sin que usted lo sepa.
Tenga cuidado con las herramientas de Amazon que instala
Como soy miembro de muchos grupos de vendedores de comercio electrónico, a menudo escucho historias y rumores de actividad maliciosa derivados de diversas herramientas de Amazon en el mercado.
Ahora, para usar la mayoría de las herramientas de Amazon en estos días, debe proporcionarles su Credenciales de la API de Amazon que esencialmente permite que esa herramienta ver todas tus ventas y todos sus productos.
¿Bien adivina que? Esta información es extremadamente sensible y potencialmente puede ser utilizada en su contra.
Recientemente, corrió el rumor de que el propietario de una herramienta de vendedor de Amazon muy popular estaba en la Feria de Cantón. abastecimiento de productos populares para la venta.
Y debido a que el propietario de esta compañía de software tenía un conocimiento íntimo de miles de cuentas de vendedores, sabía exactamente qué buscar.
¿Bastante sórdido verdad?
Pero desafortunadamente, este escenario puede suceder y sucede todo el tiempo. De hecho, creo firmemente que cada empresa mira los datos de sus clientes ya sea por curiosidad o para mejorar su propio producto.
Recientemente, los empleados de Amazon en China han sido venta de datos de proveedores a cualquiera que esté dispuesto a pagar su precio. ¡Y esto es Amazon de lo que estamos hablando aquí!
En este momento, vender en Amazon es lo más despiadado posible y hay una tonelada de actividad maliciosa.
Para obtener más información, consulte mi publicación sobre Los peligros de vender en Amazon y las historias de terror de vendedores reales de Amazon.
Qué buscar
Con suerte, te he convencido de que necesitas ser extremadamente cuidadoso al usar código de terceros en tu sitio. Eso no quiere decir que NUNCA debas usar el código de otras personas porque sería una tontería.
pero asegúrate de que confiar plenamente en el autor del código que está utilizando.
En el caso de que sea absolutamente necesario utilizar el código javascript de otra persona, aquí hay algunas pautas generales a seguir
- Instale siempre el código javascript en el pie de página de su sitio – De esta manera, si el código llama a un servidor de terceros y el servidor está inactivo, no provocará la caída de todo el sitio.
- Solo use código javascript asíncrono si es posible – El código javascript asíncrono se carga en segundo plano y no afectará la carga general de su sitio
- Trate de no usar código que haga llamadas a un servidor de terceros – A veces esto no se puede evitar, pero trata de limitarlo si es posible.
- Aloje el código javascript en su propio servidor – El código javascript de terceros a menudo se descarga de un servidor que posee el desarrollador del complemento.
Pero en lugar de hacer llamadas al servidor de otra persona, considere descargar el javascript directamente y alojarlo en su propia máquina. De esta manera, si el servidor de terceros se cae alguna vez, no afectará a su sitio.
Decidir en qué herramienta de vendedores de Amazon confiar es mucho problema mas complicado. Para mí, soy extremadamente cuidadoso con a quién le doy mis credenciales de Amazon.
Y, de hecho, hago un poco de diligencia debida sobre quién está detrás de la empresa antes de entregar mis claves API de Amazon.
En concreto pregunto…
- Quiénes son sus principales clientes
- Cuánto tiempo ha estado en existencia su software
- ¿Cuántos ingenieros hay en el proyecto?
- Cómo prueban y realizan el control de calidad de su producto
Debido a que diseñar hardware y software fue mi trabajo durante más de 20 años, soy extremadamente sensible a los errores y al control de calidad 🙂
Y cualquiera que haya trabajado conmigo en el pasado sabe que soy súper anal sobre la introducción de puntos adicionales de falla en mi sitio. Como resultado, mantengo todo el código de terceros al mínimo absoluto.
Hablando de manera realista, la mayoría de las empresas de renombre no intente dañar su sitio intencionalmente pero cada complemento o fragmento de código que instalas es otro punto de falla que está más allá de su control.
Ahora no tienes que ser tan anal como yo, pero al menos deberías entender las ramificaciones de tus acciones. Solo asegúrese de saber en qué se está metiendo cuando usa el código de otra persona y asegúrese de confiar en la persona detrás de la empresa.
¿Listo para tomarse en serio el inicio de un negocio en línea?
Si realmente está considerando comenzar su propio negocio en línea, entonces debe consultar mi mini curso gratuito sobre Cómo crear una tienda en línea de nicho en 5 sencillos pasos.
En este mini curso de 6 días, revelo los pasos que mi esposa y yo tomamos para ganar 100 mil dolares en el lapso de apenas un año. ¡Lo mejor de todo es que es gratis y recibirá consejos y estrategias de comercio electrónico semanalmente!
Publicaciones relacionadas en la optimización de conversiones
Sobre Steve Chou
Steve Chou es una persona influyente muy reconocida en el espacio de comercio electrónico y ha enseñado miles de estudiantes cómo vender efectivamente productos físicos en línea en RentableOnlineStore.com.
su blog, MyWifeQuitHerJob.comha aparecido en Forbes, Inc, The New York Times, Entrepreneur y MSNBC.
Él también es un autor colaborador para BigCommerce, Klaviyo, ManyChat, Printful, Privy, CXL, Ecommerce Fuel, GlockApps, Privy, Social Media Examiner, Web Designer Depot, Sumo y otras publicaciones comerciales líderes.
Además, dirige un popular podcast de comercio electrónicomi esposa renunció a su trabajo, que es una Los 25 mejores programas de marketing en todos los Podcasts de Apple.
Para mantenerse actualizado con las últimas tendencias de comercio electrónico, Steve ejecuta un tienda de comercio electrónico de 7 cifrasBumblebeeLinens.com, con su esposa y se pone un conferencia anual de comercio electrónico llamado La cumbre de vendedores.
Steve tiene una licenciatura y una maestría en ingeniería eléctrica de Universidad Stanford. A pesar de especializarse en ingeniería eléctrica, pasó una buena parte de su educación de posgrado estudiando el espíritu empresarial y la mecánica de la gestión de pequeñas empresas.