您想在常规 WordPress 安全措施之外保护您的 WooCommerce 商店吗?
你这样做是对的。WooCommerce 安全性是一个不同的球类游戏,因为您将处理敏感数据,例如付款和个人用户信息。
在线商店是黑客的一个有利可图的目标,而且由于大多数企业主不重视安全性,它们也很容易成为目标。更令人担忧的是,面临数据泄露的在线企业中有 60% 在 6 个月内倒闭。
一旦遭到黑客攻击,恢复之路将艰难而昂贵。因此,最好的前进方式是采取预防和主动措施。
在本指南中,我们将展示如何从各个方面保护您的 WooCommerce 网站,以免黑客有机会闯入。
WooCommerce 安全吗?
是的,WooCommerce 是电子商务商店的安全平台。它有许多内置的安全措施来确保您的网站及其数据安全。该插件还得到了专家团队的支持,并定期维护以确保它符合不断发展的安全标准。
但是,它无法保护您免受外部安全威胁,例如第三方主题和插件中的漏洞、暴力攻击和 DDoS 攻击。您需要自行采取措施来保护您的网站免受这些风险的影响。
为什么 WooCommerce 安全性如此重要
每个网站都面临网络威胁和被黑客入侵的风险。并且所有网站都需要采取充分的安全措施来保护他们的网站。
也就是说,WooCommerce 商店面临更大风险的原因有很多。
- 处理敏感的用户数据:客户共享您需要保密的付款信息、信用卡详细信息、送货地址和个人详细信息。如果此信息被盗,它可能会在黑市上出售,您的客户可能成为营销垃圾邮件和诈骗的受害者。
- 关键业务数据:当您收取产品款项时,您不能承受任何订单信息(例如商品、运输和联系方式)的删除或丢失。如果您付款但不交付,客户可以将您标记为欺诈。
- 欺诈和诈骗风险:黑客可能会劫持您的网站并出售欺诈性商品、转移您的流量并欺骗客户。
客户希望您采取正确的安全措施。当企业面临数据泄露时,他们会失去与客户建立的所有信任和信心。
最终,您将失去客户、声誉和业务。考虑到如此多的风险,理想情况下,安全应该是重中之重。
既然您知道 WooCommerce 安全性的重要性,让我们深入了解您需要采取的步骤,以确保您的电子商务网站安全。
如何使我的 WooCommerce 网站安全?
网络威胁不断演变,黑客正在寻找快速入侵网站的新方法。因此,传统的安全措施不再适用。
这里有 7 个 WooCommerce 安全提示,可立即保护您的在线商店。
- 使用信誉良好的主机
- 激活必要的安全工具
- 保护 WooCommerce 登录
- 安全的 WooCommerce 仪表板
- 使用安全的结账表格
- 管理 WooCommerce 主题和插件
- 保持实时 WooCommerce 备份
下面,我们详细介绍了如何实施这些措施。我们还告诉您 WooCommerce 安全性需要特别注意的事项。
1. 使用信誉良好的主机
您的网络托管服务提供商是第一个开始的地方,因为它是您网站文件和数据库的存储位置。
如果没有适当的托管安全性,您的整个网站可能会暴露在黑客和公众面前。
虽然便宜的托管计划可以让您节省几毛钱,但这并不值得。理想情况下,您需要一个负责 WooCommerce 特定的安全性、功能和托管需求的网络主机。
Bluehost是最好的网络托管公司,也是 WordPress.org 官方推荐的。
Bluehost提供专为 WooCommerce 商店设计的托管计划。他们的 WooCommerce 计划起价仅为每月 12.95 美元。您还将获得一个免费域名和 SSL 证书。除此之外,通过此计划,您将获得:
- 预装 WordPress 和 WooCommerce
- 预装 Storefont 主题
- 完全可定制的在线商店
- 安全支付网关
- 免费提速CDN
- 自动每日恶意软件扫描
- 免费每日网站备份
- 停机组装
- 网站流量分析
使用 Bluehost WooCommerce 计划,您的大部分安全细节都会得到处理。
此外,您将获得足够的带宽和存储空间来运行您的 WooCommerce 商店而不会出现任何问题。
有关 WooCommerce 托管的更多信息,请查看我们对最佳 WooCommerce 托管计划的综述,以比较市场上可用的产品。
2. 激活基本安全工具
黑客一直在四处游荡,试图入侵网站。他们通过编写恶意扫描程序和机器人来查找易受攻击的站点来实现此目的。
解决此问题的最佳方法是使用带有恶意软件扫描、防火墙和数据加密功能的安全工具。
1. 使用 WordPress 安全插件
首先,您需要在您的网站上激活一个安全插件。这些插件通常结合了防火墙、恶意软件扫描程序和恶意软件清理程序。
有很多安全插件,但并非所有插件都能为您提供所需的保护。您需要一个插件,它可以在潜在威胁访问您的站点之前自动扫描、监控和阻止它们。
市场上顶级的 WooCommerce 安全插件是Sucuri。
将这个多合一的安全插件添加到您的站点后,Sucuri 将:
- 添加强大的防火墙以过滤掉不良流量
- 定期扫描和监控垃圾邮件和恶意代码
- 使用搜索引擎和其他机构检查黑名单
- 监控网站正常运行时间
- 检测对 DNS(域名系统)和 SSL 所做的更改
- 通过电子邮件、短信、Slack 和 RSS 向您发送即时安全警报
使用 Sucuri,您还可以从仪表板添加推荐的安全措施。
您只需单击一下即可应用这些强化措施。这包括技术步骤,例如在不需要的目录中阻止 PHP 文件。
Sucuri 为您提供了强大的安全设置,但它的价格高达每年 199.99 美元。如果这超出了您的预算,您可以尝试其他安全插件,例如:
- iThemes 安全
- 防弹安全
- 网站锁
- 恶意关怀
在选择安全插件时,请确保它为您提供保护 WooCommerce 商店所需的所有功能。这项投资是值得的,因为恶意软件清理和恢复的成本会更高。
2.安装SSL证书
每次访问者访问您的网站时,您的 WordPress 网站都会在浏览器和服务器之间传输数据。SSL 证书将对这些数据进行加密,这样如果黑客在数据传输过程中设法窃取数据,他们将无法对它做任何事情,因为它看起来像是胡言乱语。
激活 SSL 后,您会在浏览器地址栏中的 URL 旁边看到一个挂锁。您的网站还将使用 HTTPS,这是一种安全的数据传输协议。
一些网络托管服务提供商会为您处理 SSL 或让您以合理的价格购买它。
您还可以从以下提供商处获取 SSL 证书:
- Lets Encrypt – 免费且经济实惠的证书
- SSL.com – 充足的保护,起价为每年 36.75 美元
- DigiCert – 各种价格的高安全性证书
另一个不错的选择是使用真正简单的 SSL 插件。它使您自己安装 SSL 证书变得非常容易。
3. 保护 WooCommerce 登录
WooCommerce 网站最有针对性的区域之一是您的登录页面。黑客使用一种称为蛮力攻击的方法来猜测您的凭据并简单地登录。
所以这是需要保护的最重要的领域之一,并且有很多方法可以做到这一点。
1. 始终强制使用安全凭证:黑客非常了解常见的用户名,例如“admin”或您自己的名字,这让他们很容易猜到。确保使用唯一的管理员名称和包含字母、数字和符号的强密码,使其难以破解。
创建密码时,WordPress 会针对弱密码显示警告。您可以按照强度级别来确保您创建一个强密码。
2. 定期使密码过期:对于任何在线帐户,您都应定期更改密码。您可以使用像Expire User Passwords这样的插件。
它会自动强制您网站上的每个用户在重新登录之前定期更改密码。
限制登录尝试:您可以限制用户必须输入正确凭据和登录的尝试次数。这意味着黑客只能尝试 3 次才能继续前进。
3. 使用两步验证:这会为您的登录添加一个两步验证过程,您需要提供一个一次性密码,该密码通过短信、电子邮件或身份验证器应用程序实时发送给您。
这使得黑客很难获得访问权限,因为他们将无法验证自己。
4. 限制访问登录页面:您可以隐藏您的登录页面,只允许受信任的用户访问它。所有其他用户将被自动阻止查看此页面。
如果您使用的是 Sucuri,则在仪表板的访问控制选项卡下,您可以添加列入白名单的 IP 地址。
通过选中此框,Sucuri 将自动仅允许您信任的用户访问登录页面。
5. 添加 HTTP 身份验证:HTTP 身份验证隐藏您的登录页面并显示一个空白页面,上面有一个登录框。用户需要先输入 HTTP 凭据才能访问登录页面。
要将其添加到您的站点,请登录您的网络托管帐户,访问 cPanel 并找到“目录隐私”。
在里面,从文件夹列表中,找到 wp-admin 文件夹并进行编辑。
在下一页上,首先启用“密码保护此目录”选项。现在 cPanel 会要求您添加用户名和密码。
请确保在退出此页面之前保存您的设置。现在您的 WordPress 管理目录受密码保护。
当您打开 wp-admin 页面时,您会看到一个登录提示,要求输入您刚刚创建的用户名和密码。
4. 安全的 WooCommerce 仪表板
现在,如果顽固的黑客仍然能够登录您的 WordPress 管理面板,您可以让他们难以用它做任何事情。
如果他们进行任何可疑活动,您的安全插件会记录并提醒您。除此之外,您还可以添加以下措施:
1. 应用用户角色权限
如果您有多个用户在您的 WordPress 网站上工作,您可以根据他们的角色限制他们拥有的权限。
如果黑客设法劫持了您团队成员的帐户,他们的行为就会受到限制。
WordPress 允许您为以下对象创建角色:
- 超级管理员
- 行政人员
- 编辑
- 作者
- 贡献者
- 订户
拥有所有访问权限的最强大角色是超级管理员和管理员。我们建议尽可能少的管理员。
2. 自动注销非活动用户
黑客使用的另一个技巧是劫持浏览会话并窃取 cookie。这使他们可以在您不知情的情况下通过活动用户帐户访问您的网站。
解决此问题的最佳方法是定期注销不活动的用户。
许多安全插件都有空闲会话注销功能,或者您可以使用非活动注销插件。
3.禁用插件和主题编辑器
如果黑客闯入了您的网站,他们会使用插件和主题编辑器直接访问您网站的代码。
在大多数情况下,您不需要此编辑器,因此您可以简单地禁用它。如果您使用的是 Sucuri,只需在 WordPress 强化措施下单击即可添加此措施。
要自行禁用它,我们建议遵循 WPBeginner 的本指南:如何从 WordPress 管理面板禁用主题和插件编辑器。
5. 使用安全结账表格
在您的站点上提交表单时,客户数据将发送到您的 MySQL 数据库进行处理。如果您的表单不安全,黑客可以在您的表单字段中输入恶意代码。这将渗透到您的数据库中,您的站点将感染恶意软件。
您可以使用安全的 Web 表单来确保不会发生这种情况。WPForms是排名第一的 WordPress 表单构建器,它为您创建的每个表单都内置了安全性。
无论是联系方式还是结账表格,反垃圾邮件保护都已启用。
如果您想添加额外的保护层,WPForms 可让您在表单上启用 CAPTCHA。
用户必须解决一个小难题或勾选一个方框以证明他们是人类。这可以阻止机器人提交您的表单。
6. 管理 WooCommerce 主题和插件
插件和主题由第三方开发人员创建,因此请务必仅使用受信任的软件。作为在线商店所有者,您永远不应该选择无效的插件和主题。它们几乎总是带有预装的恶意软件,会在您安装它们时感染您的网站
除此之外,插件、主题甚至您的 WordPress 核心安装都会定期更新。当它们可用时,您将在 WordPress 仪表板中看到它们:
更新通常包含错误修复、新功能和软件改进。但有时开发人员会发现漏洞和安全问题。他们修复了这些问题并发布了新的软件更新版本。这些被称为安全补丁。
您可以通过查看更新的详细信息来查看更新是否带有安全补丁。
如果您看到它是安全更新,请立即运行以更新到最新版本。通过这样做,您将避免该漏洞带来的任何风险。
如果您担心更新可能会破坏您的站点,您可以在临时站点上测试更新,然后在您的实时站点上运行它。
7. 保持实时 WooCommerce 备份
备份是您的安全网,绝对必不可少。当出现问题时,您可以使用 WordPress 备份副本来恢复您的站点。对于 WooCommerce 商店,我们不建议使用免费备份或网络主机备份。他们提供的功能还不够。
首先,您的备份解决方案需要支持 WooCommerce。有一些工具不备份 WooCommerce 数据库表。
接下来,您需要自动实时备份。这将确保每个新下的订单都会被立即存储,这样您就不会丢失任何交易信息。
另一个需要寻找的是增量技术。这意味着它将仅备份更改并将其添加到备份副本,而不是每次都运行整个备份。
这样,您的网站性能和速度将永远不会受到后台运行的繁重备份过程的影响。
除此之外,您还可以从以下几个功能中受益:
- 异地存储
- 多位置存储
- 加密备份
- 一键还原
- 独立仪表板
UpdraftPlus 是 WordPress 网站最好的备份插件。但我们建议使用提供实时增量备份和 365 天存档的备份插件。您可以通过Jetpack Backups或 BlogVault 获得。
他们有专门针对 WooCommerce 网站的计划,并确保您的 WooCommerce 文件和数据库始终得到备份。
有关更多选项,请参阅我们对最佳 WordPress 备份插件的比较。
这就是我们今天为您准备的全部内容。我们希望这篇文章为您提供了保护 WooCommerce 网站所需的一切。
有关 WooCommerce 安全性的更多信息,请参阅我们的资源:
- 完整的 WordPress 安全指南(初学者友好)
- 查找威胁的 5 个最佳 WordPress 漏洞扫描程序
- 用于跟踪和审核您的 WordPress 网站的 9 个最佳活动日志插件
这些帖子将为您提供更多机会来密封漏洞并保护您的网站,让您可以安心经营您的商店。