Руководство по защите сайтов WooCommerce

WooCommerce - одно из самых популярных, бесплатных и гибких решений для электронной коммерции для создания интернет-магазинов. Имея более 48 миллионов загрузок, он обслуживает более 28% всех сайтов электронной коммерции.

Эта огромная популярность также сделала WooCommerce одной из основных целей для хакеров и других кибермошенников. Если у вас есть магазин WooCommerce или вы планируете его построить, возможно, вы захотите узнать, что вы можете делать в своем магазине, чтобы обеспечить его безопасность.

Хотя WooCommerce и WordPress имеют встроенные функции безопасности, практика некоторых базовых мер безопасности добавит дополнительный уровень безопасности в ваш магазин WooCommerce.

В этой статье перечислены некоторые из важных и наиболее эффективных советов по безопасности, которые вы можете применить на своем веб-сайте, чтобы предоставить своим клиентам WooCommerce безопасную и безопасную среду покупок в вашем магазине.

Давайте узнаем, что это такое и как они работают.

Выберите надежного хостинг-провайдера
Выбор надежного и безопасного хостинг-провайдера - это первый шаг к обеспечению безопасности вашего магазина WooCommerce. Безопасность должна быть одной из важных вещей, которую вы должны искать у своего хостинг-провайдера.

Вы можете использовать приведенный ниже контрольный список, чтобы понять, как ваш потенциальный хост обеспечивает безопасность веб-сайтов, размещенных на нем.

Мониторинг сети - благодаря постоянному мониторингу он сможет отслеживать подозрительный трафик или инциденты и предотвращать атаки на ранней стадии.
Антивирусное и вредоносное сканирование
Безопасный FTP - убедитесь, что ваш хостинг-провайдер поддерживает SFTP, безопасную версию FTP.
Используйте надежные пароли

Учетные записи со слабыми паролями часто становятся жертвами атак грубой силы. Поэтому важно выбрать надежный пароль для всех учетных записей, связанных с вашим магазином WooCommerce.

Более надежные пароли представляют собой комбинацию заглавных и строчных букв, цифр и символов. Такие сложные и длинные пароли затруднят взломать их хакерам.

Если вы не хотите тратить время на создание безопасных паролей, WordPress имеет встроенную функцию «Лучшие пароли», которая генерирует надежные пароли для своих пользователей. Вы также можете использовать генератор паролей Chrome Secure для создания паролей и управления ими за вас.

Избегайте использования «Admin» в качестве имени пользователя
Большинство веб-сайтов используют комбинацию имени пользователя и пароля для входа на веб-сайты. И многие владельцы WooCommerce используют Admin или имя своего магазина в качестве имени пользователя для своей учетной записи. Это делает ваш веб-сайт уязвимым для атак, поскольку они нацелены на учетные записи администраторов, обладающие полной властью над вашим сайтом.

Следовательно, лучше не использовать «admin» в качестве имени пользователя с правами администратора. Вы можете изменить свое имя администратора WordPress, перейдя в раздел «Пользователь»> «Добавить новый» на панели управления WordPress.

Введите все необходимые данные и выберите уникальное имя пользователя. Теперь создайте новую учетную запись и выберите « Администратор » из доступных пользовательских ролей WordPress.

Нажмите кнопку « Добавить нового пользователя» .

Теперь вам нужно выйти из своего wp-admin и войти в новую учетную запись. Вы можете удалить предыдущую учетную запись пользователя «admin».

Включить двухфакторную аутентификацию (2FA)
Внедрение двухфакторной аутентификации - еще один большой шаг к защите вашего магазина WooCommerce.
После того, как вы включите эту функцию в своем магазине WooCommerce, любой, кто попытается войти в панель управления WordPress, должен будет предоставить свои учетные данные, а также безопасный пароль, который создается в режиме реального времени. Это может быть одноразовый пароль, отправленный на номер мобильного телефона или адрес электронной почты.

Этот механизм предотвращает несанкционированный доступ к вашему сайту, даже если у них есть пароль. Единственным недостатком этой процедуры является то, что вам требуется больше времени для входа в свой магазин.

Добавить сертификат SSL (Secure Socket Layer)
Большинство URL-адресов веб-сайтов содержат префикс HTTPS. Но есть некоторые URL-адреса веб-сайтов, у которых в качестве префикса используется HTTP или которые отображаются в адресной строке как небезопасные, что это означает?

Эти веб-сайты считаются небезопасными, поскольку на них не установлен сертификат SSL. Когда вы добавляете SSL на свой веб-сайт, его префикс URL меняется с HTTP на HTTPS, т.е. безопасная версия.

SSL важен для обеспечения безопасной передачи данных между браузером пользователя и вашим магазином WooCommerce. Большинство хостов предлагают бесплатный SSL в своем пакете, или вы можете приобрести его и добавить на свой веб-сайт с помощью плагина WordPress.

Запуск вашего магазина WooCommerce без сертификата SSL может повлиять на ваш бизнес несколькими способами. Прежде всего, люди не будут доверять вашему веб-сайту свою платежную информацию для совершения транзакций, и Google не будет оценивать ваш веб-сайт по самым высоким результатам, что сильно повлияет на ваш трафик и, в конечном итоге, на продажи.

Ограничить попытки входа в систему
Это важный механизм предотвращения атак методом грубой силы, который является одним из наиболее распространенных методов, используемых хакерами для взлома вашего веб-сайта.

Этот вид атаки будет иметь огромные шансы на успех, если будет проведен ботами, поскольку боты способны испробовать тысячи комбинаций всего за секунду. Даже созданные вами надежные пароли могут не выдержать таких атак.

Следовательно, лучший способ избежать таких атак - это ограничить количество неудачных попыток входа на страницу входа на ваш сайт. Поскольку настройка WordPress по умолчанию позволяет пользователям входить в систему столько раз, сколько они хотят, вам придется искать другие способы включить это для вашего магазина WooCommerce.

Вы можете использовать брандмауэр веб-приложения или плагин WordPress для настройки ограниченных попыток входа на свой сайт.

Обновляйте свой сайт
WordPress и WooCommerce выпускают частые обновления для решения проблем безопасности в предыдущих версиях и для добавления новых функций. Поскольку WooCommerce построен на WordPress, данный сайт WooCommerce в целом так же безопасен, как и сама установка WordPress. Это указывает на необходимость обновления вашей версии WordPress при выходе нового обновления.

Если вы в настоящее время используете WordPress 4.3.x, а версия 4.4 отсутствует, обновление до новой версии не является обязательным. Если же выпущена версия 4.4.2, вам необходимо как можно скорее обновить ее до этой версии, поскольку последняя цифра «2» указывает на то, что это обновление для системы безопасности.

Перед началом процесса обновления рекомендуется создать резервную копию данных вашего сайта на случай, если с обновлением что-то пойдет не так. Также рекомендуется сначала протестировать основные обновления на промежуточном сайте.

Таким образом, в целом, постоянное обновление вашего магазина WooCommerce в значительной степени поможет вам сохранить его в безопасности.

Регулярное резервное копирование WooCommerce
В отличие от обычных веб-сайтов, потеря данных вашего магазина WooCommerce может иметь катастрофические последствия, поскольку он содержит данные ваших клиентов, данные о заказах и т. Д., Которые имеют огромное влияние на доход вашего веб-сайта.

Таким образом, необходимо сохранить резервную копию вашего магазина, чтобы избежать риска потери всех ваших ценных данных WooCommerce. Вы можете создавать резервные копии веб-сайтов 3 различными способами; резервное копирование вручную, автоматическое резервное копирование через плагины и резервное копирование с вашего хоста.

Вы можете выбрать любой удобный для вас способ создания резервных копий. Если вы планируете использовать плагин, UpdraftPlus будет отличным выбором, так как он предлагает вам несколько мест хранения и позволяет выполнять запланированное резервное копирование с самой бесплатной версией.

Включить брандмауэр веб-приложений
Запуск брандмауэра веб-приложений помогает защитить ваш сайт от вредоносного трафика еще до того, как он попадет на ваш сайт. Существует два типа межсетевых экранов; Брандмауэр веб-сайта на уровне DNS и брандмауэр на уровне приложений. Вы можете добавить брандмауэр на свой сайт с помощью одного из плагинов WordPress.

Плагин Wordfence - отличный вариант для добавления брандмауэра на ваш сайт. Недавняя кампания по атаке, направленная на сбор учетных данных базы данных с 1,3 миллиона сайтов путем загрузки их файлов конфигурации, была эффективно заблокирована веб-сайтами, работающими как в бесплатной, так и в премиальной версиях Wordfence.

Брандмауэр необходим для вашего веб-сайта, если вы хотите защитить свой магазин WooCommerce от любого вида атак, нацеленных на него.

Выбирайте плагины и темы с умом
Необнаруженные уязвимости плагинов и тем могут дать злоумышленникам возможность проникнуть на ваш сайт и нанести ему ущерб. Таким образом, вы должны выбрать только те плагины и темы, которые регулярно обновляются. Поскольку бесплатные версии могут обновляться не так часто, как их премиум-версии, лучше всего переходить на премиум-версии, чтобы обеспечить обновления и поддержку.

Но, если это невозможно, убедитесь, что все плагины и темы на ваших веб-сайтах часто обновляются, а также как можно скорее деактивируйте и удалите все плагины, которые были удалены из репозитория плагинов WordPress.

Используйте безопасный пароль базы данных и измените префикс базы данных
Как упоминалось выше, количество атак, нацеленных на базу данных вашего веб-сайта, также увеличивается, что указывает на необходимость защиты пароля и имени пользователя базы данных MySQL. Если вы считаете, что у базы данных вашего сайта слабый пароль, замените его на более надежный.

Префикс базы данных также необходимо изменить, поскольку WordPress по умолчанию использует wp_ в качестве префикса для всех таблиц в вашей базе данных WordPress, что делает его уязвимым для атак (так как хакерам легче угадать имя таблицы).

Используйте плагин безопасности
Если вы не можете вручную выполнить все требования безопасности вашего магазина, вы можете добавить плагин безопасности на свой сайт и позволить ему выполнять все задачи по обеспечению безопасности вашего сайта. Большинство подключаемых модулей безопасности имеют некоторые важные функции, такие как брандмауэр веб-приложений, сканер вредоносных программ, аудит активности безопасности сайта, ограниченные попытки входа в систему, мониторинг черного списка и т. Д.

Вот некоторые из самых популярных плагинов безопасности для вашего сайта WordPress-WooCommerce.

Wordfence
Сукури
Все в одном WP Security
iThemes Безопасность

Все эти плагины поставляются как с бесплатными, так и с премиум-версиями. В зависимости от ваших требований и возможностей плагина вы можете выбрать бесплатную или премиальную версию.

Практикуйте принцип наименьших привилегий
Принцип минимальных привилегий заключается в том, что любой пользователь должен иметь только минимальные привилегии, необходимые для выполнения своей функции. Это исключает злоупотребление привилегиями пользователей и снижает ущерб в случае атаки.

Также рекомендуется выйти из системы, если она вам не нужна, и не переходить по ссылкам в электронных письмах, чатах и ​​т. Д., Пока вы вошли в свою учетную запись, связанную с вашим магазином.

Отключить пингбеки и трекбэки
Пингбэки и обратные ссылки - это методы оповещения блогов, которые вы связали с ними. Но лучше отключить их в магазинах WooCommerce, так как это может привести к тому, что ваш сайт получит огромное количество спама.

Вы можете легко отключить это на своем веб-сайте, отменив выбор функции, перейдя в Настройки> Обсуждения на панели инструментов WordPress.

Используйте безопасные платежные шлюзы
Платежные шлюзы являются неотъемлемой частью магазинов WooCommerce. Очень важно добавить в свой магазин самые безопасные платежные шлюзы, чтобы обеспечить безопасность как ваших данных, так и данных ваших клиентов. Stripe, PayPal, Authorize.net и т. Д. - отличные варианты безопасных платежных шлюзов.

Резюме
В статье перечислены 15 важных и наиболее эффективных способов, которые вы можете попробовать в своем магазине WooCommerce, чтобы обеспечить его безопасность. Вот краткий обзор каждого из них.

• Выберите надежного хостинг-провайдера
• Используйте надежные пароли
• Избегайте использования admin в качестве имени пользователя
• Включить двухфакторную аутентификацию
• Добавить сертификат SSL (Secure Socket Layer)
• Ограничить попытки входа в систему
• Держите свой сайт в актуальном состоянии
• Регулярно выполняйте резервное копирование
• Включить брандмауэр веб-приложений
• Выбирайте плагины и темы с умом
• Используйте безопасный пароль базы данных и измените префикс базы данных
• Используйте плагины безопасности
• Практический принцип наименьших привилегий
• Отключить пингбеки и трекбэки
• Используйте безопасные платежные шлюзы

Если у вас есть лучшие предложения по защите магазинов WooCommerce, поделитесь ими в разделе комментариев и помогите обеспечить лучшую безопасность для всех магазинов WooCommerce.