Câu ngắn gọn: có rủi ro, nhưng mức độ nhiều hay ít phụ thuộc nguồn theme bạn upload.
Chi tiết dễ hiểu nhé 👇
1. Theme “ngoài luồng” (crack / nulled) → rủi ro CAO ⚠️
Nếu bạn upload theme tải từ:
- Web chia sẻ theme lậu
- Group Telegram / forum không rõ nguồn
- File ZIP đã bị chỉnh sửa
👉 Nguy cơ thường gặp:
- Cài mã độc ẩn (JS gửi data về server khác)
- Ăn cắp thông tin: email khách hàng, đơn hàng, token
- Gắn link ẩn / SEO spam
- Backdoor → sau này bị hack lại
- Shopify có thể khóa store nếu phát hiện vi phạm bản quyền
Shopify không cho PHP tùy ý, nhưng Liquid + JS vẫn đủ nguy hiểm.
2. Theme mua chính hãng / Theme free chính thức → an toàn CAO ✅
Ví dụ:
- Shopify Theme Store
- Theme free do Shopify phát hành
- Theme từ nhà phát triển uy tín (có website, support)
Ưu điểm:
- Được Shopify review
- Không có code độc
- Update đều
- Ít lỗi bảo mật
3. Theme custom / chỉnh sửa bởi dev → phụ thuộc dev
Nếu:
- Dev tự code theme
- Chỉnh JS nhiều (tracking, checkout, upsell…)
Rủi ro có thể đến từ:
- Chèn script ngoài (CDN lạ)
- Gọi API không cần thiết
- Lưu data không đúng cách (localStorage, cookies)
👉 Không phải hack, nhưng dễ rò rỉ dữ liệu.
4. Shopify có bảo vệ sẵn, nhưng không phải tuyệt đối
Shopify KHÔNG cho:
- Truy cập server
- Chạy PHP, SQL tùy ý
Nhưng theme vẫn có thể:
- Gửi data ra ngoài bằng JS
- Inject code tracking xấu
- Gây lỗi checkout / redirect
5. Cách giảm rủi ro khi vẫn muốn upload theme ngoài
Nếu bắt buộc phải dùng theme upload:
✅ Checklist an toàn nhanh:
- Chỉ dùng 1–2 file JS, tránh file nặng bất thường
- Search trong code:
fetch(XMLHttpRequest- Domain lạ
- Tránh theme yêu cầu:
- Nhập token lạ
- Kết nối server riêng
- Dùng Shopify Theme Inspector kiểm tra performance


