在网络安全方面,WooCommerce 网站当然有独特的需求,而且随着电子商务在全球范围内的发展,欺诈和安全漏洞的风险也在增加。
就像餐厅的健康检查评级一样,在线安全确实是一项基本要求,在线商店的任何问题都可能破坏网络访问者的信任。
虽然无法保证安全性,但可以通过实施这些关键协议来保护您的访客和您的企业。
1.实施服务器级安全措施
当谈到网站安全时,托管服务器是第一道防线。即使您在 WordPress 网站上拥有最好的安全插件和措施,主机级别的漏洞也会使这些工具失效。
在评估托管选项时,请考虑更专用的环境,这意味着服务器上的其他站点损害您的站点的风险较小。小心将您的 WooCommerce 网站放置在预算最少且共享安全性最低的共享托管环境中。
寻找在服务器级别具有安全措施(例如磁盘写保护和节流)的高级 WordPress 托管选项。磁盘写保护意味着托管服务器限制可以写入磁盘的进程,使黑客更难利用主题或插件漏洞。以类似的方式,磁盘写入限制意味着所有写入磁盘的尝试都将被记录下来,这有助于发现恶意活动。
虽然 SSL 证书现在是所有站点的最佳实践,但它是 WooCommerce 站点对 PCI 安全标准的要求。因此,请确保与您的托管公司一起配置(并更新)您的 SSL 证书。
最后,您的托管服务器和网站应该定期更新到最新的 PHP 版本。旧版本的 PHP 通常具有不再修补的安全漏洞。升级 WordPress 和插件时,您的网站和服务器应运行最新的 PHP,以提高安全性和性能。 WordPress 已开始通过在其网站上注明过时的 PHP 版本来鼓励网站所有者坚持这些更新。 WordPress 网站健康检查。
2.跟上插件和安全更新
p>执行定期插件更新并保持在 WordPress 核心版本之上是最重要的安全步骤之一。被黑网站的常见感染源是过时的插件或主题中的漏洞。 Sucuri 在 2019 年报告说,56% 的被黑网站在被感染时已经过时。
对于 WooCommerce 网站,及时了解 WooCommerce 更新至关重要,因为这些更新通常包括安全补丁和维护修复程序。例如,2020 年 11 月发布的 WooCommerce 4.6.2 更新修复了允许匿名用户在结账时创建帐户的错误,即使该设置在仪表板中已关闭。 WooCommerce 鼓励网站所有者立即实施此更新。延迟这些类型的更新会使您的电子商务网站面临此类安全风险。
一些网站所有者可能会推迟插件更新,因为担心这些更新可能会破坏网站上的内容或导致网站更新。 WooCommerce 维护问题。因此,最好先在临时区域或生产环境中执行所有插件更新,然后再在实时站点上实施它们。
即使您正在积极维护插件,其中一个已安装的插件也可能会被其开发者放弃。 WordPress 主动从存储库中删除这些类型的插件,因为它们会带来安全和性能风险。
但是,由于 WordPress 存储库中有超过 50,000 个可用的插件,以及大量的 WooCommerce 扩展,可能很难捕捉到这些删除。免费或付费的 WordFence 插件可能是一个很好的资源,安装后,如果您站点上安装的任何插件已被删除并构成安全风险,WordFence 将发送通知。
3.设置安全监控
同时托管级别的安全性和定期维护将减少黑客攻击的机会,但它仍未涵盖所有基础。不幸的是,新的威胁不断出现,其中一些是对 WordPress 和 WooCommerce 网站的自动攻击。单独阻止这些 24/7 是不可能的。使用安全监控工具,您不必这样做。
考虑在您的 WooCommerce 网站上设置 24/7 全天候安全监控,以检测网站上的任何恶意软件或漏洞。 WordFence 插件的免费版和付费版以及 Sucuri 的付费服务是 WordPress 网站的热门选项。这些解决方案提供了一个恶意软件扫描程序,可以提醒您的团队注意任何可疑活动。付费服务还可以包括自动删除恶意软件,这可以帮助您在出现任何安全问题后快速清理您的网站。
作为另一种安全措施,最好尽量减少 WordPress 管理员帐户的数量。每隔几个月审查一次帐户,并主动删除任何不应再访问该站点的前雇员或旧供应商。
对于任何停机都可能影响销售的电子商务网站,您可能还需要考虑通过 Cloudflare 或 Sucuri 等服务通过 Web 服务防火墙 (WAF) 提高安全性。这可以保护网站免受恶意机器人流量或 DDoS 攻击,这些攻击旨在通过向服务器或网站发送大量错误请求来关闭服务器或网站。
4. PCI-DSS合规与反欺诈措施
虽然以前的安全协议也可以在信息网站上实施,但此措施尤其适用于电子商务网站。
每个处理信用卡交易的网站都必须遵守 PCI-DSS – 支付卡行业数据安全标准。这些全球标准旨在帮助减少信用卡欺诈。
满足这些要求的最佳方法之一是使用安全的支付网关。 Stripe、PayPal 和 Authorize.Net 都是流行的选择。 WooCommerce 还通过从不在网站内存储信用卡详细信息来支持这些标准。如果您要构建自己的电子商务网站,请确保您没有构建用于在网站内存储信用卡信息的基本表单。相反,使用最好的 WooCommerce 网关插件之一是更安全的选择。
不幸的是,即使您遵循这些标准并使用安全的支付网关,您的在线商店也可能受到电子商务欺诈的负面影响。看到用户在电子商务网站上测试被盗的信用卡帐户是相当普遍的。这个 WooCommerce 反欺诈扩展是检测欺诈交易的重要资源。该插件用风险评分标记每笔交易,并且可以配置为自动取消或暂停可疑交易。
最后,重要的是要保护您的网站免受可能在网站上创建虚假帐户和访客订单的自动机器人的侵害。最好的防御措施是使用以下方法在所有 WooCommerce 结帐表单上设置 Google Recaptcha:Recaptcha for WooCommerce Extension。
5.执行每日数据库备份
最后一个安全协议是您的安全网。虽然上述所有步骤都将帮助您避免安全漏洞,但如果发生最坏的情况并且您的网站被黑客入侵,则 WordPress 网站的备份数据库将是您的救星。
网站遭到黑客攻击后,通常会进行清除过程,以删除所有恶意软件和受感染的文件。可悲的是,在某些情况下,网站遭到严重黑客攻击,导致重要信息和文件在此过程中丢失。在这种情况下,对站点进行干净备份至关重要,这意味着您不必重建整个站点。
有些托管环境可以在服务器级别为您的网站提供每日自动备份。如果您没有此选项,您还可以利用 WordPress 插件每天或每周自动备份您的网站。或者按照我们关于如何备份 WooCommerce 的指南来确保您的电子商务网站是安全的。
根据您的解决方案,请注意文件存储时间的设置。这些备份文件通常非常大。如果备份存储在站点或服务器级别,它会增加站点的数据库大小,从而导致更高的托管成本。缓解这种情况的一种方法是设置检查点并确保旧备份仅存储一定时间。
但是,在自动恢复 WooCommerce 网站的备份时要小心,因为它会覆盖自备份以来发生的所有交易。如果您有安全顾虑,熟练的 Web 开发团队可以确保正确使用这些文件。