วิธีรักษาความปลอดภัยร้านค้าออนไลน์ของคุณในช่วงวันหยุด: การตรวจสอบความปลอดภัยของเว็บไซต์ 10 จุด

เผยแพร่แล้ว: 2020-12-09

หากคุณกำลังเปิดร้านค้าออนไลน์ คุณมีแนวโน้มว่าจะมีการเข้าชมเพิ่มขึ้นอย่างมากในช่วงเทศกาลวันหยุด เมื่อลูกค้าใหม่ป้อนข้อมูลการชำระเงินและที่อยู่ส่วนบุคคลลงในเว็บไซต์ของคุณ การรักษาความปลอดภัยของร้านค้าออนไลน์ให้ปลอดภัยเพื่อเตรียมพร้อมสำหรับวันหยุดจึงมีความสำคัญมากกว่าที่เคย

พฤศจิกายนและธันวาคมเป็นเดือนแห่งการช็อปปิ้งที่คึกคักที่สุดของปี ซึ่งทำให้การหยุดทำงานที่เกี่ยวข้องกับการแฮ็กหรือการละเมิดความปลอดภัยมีราคาแพงกว่าช่วงเวลาอื่นๆ ของปี เวลาทำงานของเว็บไซต์ของคุณไม่เคยมีค่าเท่านี้มาก่อน และนั่นเป็นเหตุผลว่าทำไมจึงเป็นเวลาที่เหมาะสมที่สุดในการตรวจสอบความปลอดภัยของร้านค้าออนไลน์ของคุณ

คำถามสำคัญสำหรับการรักษาความปลอดภัยเว็บไซต์ของคุณ

เมื่อสิ้นสุดการตรวจสอบความปลอดภัยของเว็บไซต์ของคุณ คุณควรสามารถตอบคำถาม 10 ข้อเหล่านี้ได้:

1. ร้านค้าของฉันอยู่บนแพลตฟอร์มที่ถูกต้องหรือไม่?
2. ร้านค้าของฉันอยู่บนโฮสต์เว็บที่ถูกต้องหรือไม่?
3. ร้านค้าของฉันเป็นไปตามมาตรฐาน PCI-DSS หรือไม่?
4. ฉันรวบรวมข้อมูลของลูกค้ามากเกินไปหรือไม่?
5. ฉันกำลังเข้ารหัสการสื่อสารระหว่างลูกค้าและร้านค้าของฉันหรือไม่?
6. บัญชีลูกค้าของฉันปลอดภัยหรือไม่?
7. ซอฟต์แวร์ที่ใช้ร้านค้าออนไลน์ของฉันเป็นปัจจุบันหรือไม่?
8. ฉันเข้าเยี่ยมชมส่วนหน้าของไซต์ของฉันเป็นประจำหรือไม่?
9. ฉันกำลังใช้ CDN และ WAF อยู่หรือไม่
10. ฉันจะปกป้องการเชื่อมต่อของฉันเมื่อทำงานในพื้นที่สาธารณะหรือไม่?

การตรวจสอบความปลอดภัยของเว็บไซต์ 10 จุด

อย่ากังวลหากคุณไม่ทราบวิธีตอบคำถามเหล่านี้บางส่วนหรือทั้งหมด คุณจะรู้วิธีตอบคำถามเหล่านี้ทั้งหมดในตอนท้ายของโพสต์นี้

ขณะที่เราดำเนินการในส่วนอื่นๆ ของโพสต์นี้ คุณอาจต้องการจดบันทึกผลการตรวจสอบของคุณ รวมทั้งการดำเนินการใดๆ ที่ต้องทำ การตรวจสอบนี้ยังเป็นบริการที่ยอดเยี่ยมสำหรับไคลเอ็นต์การออกแบบเว็บของคุณ (ทุกช่วงเวลาของปี)

เริ่มต้นการตรวจสอบความปลอดภัยของเว็บไซต์ของคุณในการเตรียมการสำหรับช่วงเทศกาลวันหยุด

ดาวน์โหลด PDF: การตรวจสอบความปลอดภัยของเว็บไซต์อีคอมเมิร์ซ 10 จุด

ดาวน์โหลดเดี๋ยวนี้

1. ร้านค้าของฉันอยู่บนแพลตฟอร์มที่ถูกต้องหรือไม่?

Shopify, Magento และ WordPress เป็นสามแพลตฟอร์มยอดนิยมที่ผู้คนใช้เพื่อสร้างร้านค้าของตน ไม่มีแพลตฟอร์มใดที่จะเป็นโซลูชันอีคอมเมิร์ซยอดนิยมหากพวกเขาไม่ปลอดภัย ทั้งสามแพลตฟอร์มมีจุดแข็งและจุดอ่อน ดังนั้นคุณควรทำวิจัยเล็กน้อยเพื่อค้นหาว่าแพลตฟอร์มใดเหมาะกับความต้องการของคุณมากที่สุด

การตรวจสอบอย่างรวดเร็วของแพลตฟอร์มปัจจุบันของคุณอาจรวมถึงคำถามต่อไปนี้:

1. แพลตฟอร์มมักเผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยหรือไม่
2. แพลตฟอร์มนี้จ้าง/ใช้งานทีมงานที่ทุ่มเทเพื่อให้มั่นใจว่าได้มาตรฐานความปลอดภัยหรือไม่?
3. แพลตฟอร์มมีประวัติการละเมิดข้อมูลขนาดใหญ่หรือช่องโหว่ที่เปิดทิ้งไว้หรือไม่?
4. ชื่อเสียงของแพลตฟอร์มมีความปลอดภัยอย่างไร?

สิ่งหนึ่งที่ควรคำนึงถึงคือการย้ายร้านค้าของคุณไปยังแพลตฟอร์มหรือโฮสต์อื่นนั้นง่ายเพียงใด หากคุณต้องการย้ายออกจาก Shopify คุณสามารถย้าย Shopify ไปยัง WooCommerce ได้ อย่างไรก็ตาม การย้ายร้าน WordPress ไปที่โฮสต์เว็บใหม่นั้นไม่ใช่เรื่องง่าย WordPress ยังให้การปรับแต่งและความยืดหยุ่นมากขึ้นสำหรับเครื่องมือที่คุณสามารถใช้ได้

2. ร้านค้าของฉันอยู่บนโฮสต์เว็บที่ถูกต้องหรือไม่?

การวางเว็บไซต์ของคุณบนโฮสติ้งที่ใช้ร่วมกันเดียวกันกับบล็อกของเพื่อนของคุณเป็นความคิดที่ไม่ดี ทำไม? เว็บไซต์อีคอมเมิร์ซเพิ่มความซับซ้อนอย่างมากซึ่งต้องใช้ความเชี่ยวชาญที่สูงขึ้นเพื่อรักษาความปลอดภัยอย่างเหมาะสม คุณไม่ได้สร้างร้านค้าเพราะคุณใฝ่ฝันที่จะเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ดังนั้นคุณควรลดภาระความรับผิดชอบนั้นให้กับโฮสต์ของคุณ

การลงทุนในโซลูชันโฮสติ้งที่เน้นอีคอมเมิร์ซเช่นโฮสติ้ง WooCommerce ที่มีการจัดการของ Liquid Web หรือโฮสติ้ง WordPress ที่มีการจัดการเป็นวิธีที่จะไป การเปิดเผยโดยสมบูรณ์ Liquid Web คือบริษัทแม่ของเรา แต่มันเป็นโฮสติ้งที่ยอดเยี่ยมมากสำหรับคุณ ไปที่ร้านราคาและหาบริษัทโฮสติ้งอื่นที่แข่งขันกับมูลค่านั้นในราคานั้น การมีโฮสต์อีคอมเมิร์ซที่มีการจัดการจะช่วยคุณประหยัดเวลาและความยุ่งยากในการจัดการไซต์ของคุณ—เวลาที่คุณสามารถใช้เพื่อทำให้ธุรกิจของคุณเติบโตแทน

3. ร้านค้าของฉันเป็นไปตามมาตรฐาน PCI-DSS หรือไม่?

หากคุณยอมรับการชำระเงินด้วยบัตรเครดิต คุณต้องปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลอุตสาหกรรมบัตรชำระเงิน (PCI-DSS) ตาม PCI Security Standards Council อย่างเป็นทางการ “ หากคุณยอมรับหรือดำเนินการกับบัตรชำระเงิน มาตรฐานความปลอดภัยของข้อมูล PCI จะมีผลบังคับใช้กับคุณ” มาตรฐานเหล่านี้มีข้อกำหนดด้านความปลอดภัยมากกว่า 300 รายการ แต่นี่คือภาพรวมของแนวทางปฏิบัติที่ดีที่สุดสำหรับ PCI-DSS:

มาตรฐานความปลอดภัยของข้อมูล PCI

เป้าหมาย	ข้อกำหนด PCI DSS
สร้างและดูแลเครือข่ายที่ปลอดภัย	1. ติดตั้งและบำรุงรักษาการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลผู้ถือบัตร 2. อย่าใช้ค่าเริ่มต้นที่ผู้ขายจัดหาให้สำหรับรหัสผ่านระบบและพารามิเตอร์ความปลอดภัยอื่นๆ
ปกป้องข้อมูลผู้ถือบัตร	3. ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้ 4. เข้ารหัสการส่งข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะที่เปิดอยู่
รักษาโปรแกรมการจัดการช่องโหว่	5. ใช้และอัปเดตซอฟต์แวร์หรือโปรแกรมป้องกันไวรัสเป็นประจำ 6. พัฒนาและบำรุงรักษาระบบและแอพพลิเคชั่นที่ปลอดภัย
ใช้มาตรการควบคุมการเข้าออกอย่างเข้มงวด	7. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรตามความจำเป็นทางธุรกิจ 8. กำหนด ID ที่ไม่ซ้ำกันให้กับแต่ละคนที่มีการเข้าถึงคอมพิวเตอร์ 9. จำกัดการเข้าถึงข้อมูลของผู้ถือบัตร
ตรวจสอบและทดสอบเครือข่ายอย่างสม่ำเสมอ	10. ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด 11. ทดสอบระบบและกระบวนการรักษาความปลอดภัยเป็นประจำ
รักษานโยบายการรักษาความปลอดภัยของข้อมูล	12. รักษานโยบายที่เน้นการรักษาความปลอดภัยของข้อมูลสำหรับพนักงานและผู้รับเหมา

เมื่อคุณเลือกที่จะใช้หมายเลขบัตรเดบิตของผู้อื่น การปฏิบัติตามข้อกำหนดเหล่านี้จะช่วยป้องกันผู้โจมตีที่ประสงค์ร้ายไม่ให้ใช้บัญชีธนาคารของพวกเขา เราขอแนะนำให้คุณขอคำแนะนำจากผู้เชี่ยวชาญเพื่อให้แน่ใจว่าคุณปฏิบัติตามข้อกำหนด PCI-DSS

4. ฉันรวบรวมข้อมูลของลูกค้ามากเกินไปหรือไม่?

ยิ่งคุณรวบรวมข้อมูลเกี่ยวกับลูกค้าของคุณมากเท่าไร ข้อมูลก็จะยิ่งถูกบุกรุกมากขึ้นในระหว่างการละเมิด ทุกวันนี้ เราแทบจะเป็นไปไม่ได้เลยที่จะผ่านไปหนึ่งสัปดาห์โดยไม่ได้ยินว่าบริษัทบางแห่งตกเป็นเหยื่อของการละเมิดข้อมูลที่เปิดเผยข้อมูลลูกค้า ตัวอย่างเช่น ในการละเมิด Doordash หมายเลขโทรศัพท์ของลูกค้า ที่อยู่อีเมล ที่อยู่บ้าน และรหัสผ่านที่แฮชถูกบุกรุก การรวมกันของข้อมูลนั้นอาจเป็นสิ่งที่จำเป็นในการกู้ยืมเงินที่ฉ้อฉล

คุณไม่ควรรวบรวมข้อมูลเกี่ยวกับลูกค้าของคุณมากเกินความจำเป็น หากคุณขายผลิตภัณฑ์ดิจิทัลที่ไม่ต่ออายุอัตโนมัติ คุณจะรวบรวมและจัดเก็บที่อยู่ทางไปรษณีย์ไว้ทำไม

คุณควรพิจารณาใช้เกตเวย์การชำระเงินเช่น Stripe เกตเวย์การชำระเงินช่วยให้คุณสามารถลดการชำระเงินด้วยบัตรเครดิตได้ ดังนั้นร้านค้าของคุณสามารถยอมรับการชำระเงินออนไลน์โดยไม่ต้องประมวลผลหรือจัดเก็บหมายเลขบัตรเครดิต Stripe จะช่วยให้คุณปฏิบัติตามข้อกำหนด PCI-DDS

น่าเสียดายที่มีผู้โจมตีออนไลน์อยู่เสมอ และจะไม่มีรายงานใด ๆ เกี่ยวกับไซต์ที่ถูกบุกรุก การจำกัดข้อมูลที่คุณรวบรวมจากลูกค้าของคุณจะจำกัดปริมาณข้อมูลที่เปิดเผยระหว่างการละเมิด คุณไม่สามารถสูญเสียข้อมูลลูกค้าที่ละเอียดอ่อนที่คุณไม่มีได้

5. ฉันกำลังเข้ารหัสการสื่อสารระหว่างลูกค้าและร้านค้าของฉันหรือไม่?

SSL เข้ารหัสการสื่อสารที่ลูกค้าของคุณพิมพ์ในเบราว์เซอร์และส่งไปยังเว็บไซต์ของคุณ ด้วย SLL เมื่อมีคนป้อนชื่อบัญชีและรหัสผ่านของพวกเขา ข้อมูลนั้นจะได้รับการปกป้องเมื่อข้อมูลนั้นถูกส่งไปยังเซิร์ฟเวอร์ของเว็บไซต์ของคุณเพื่อยืนยัน การเข้ารหัสชื่อผู้ใช้และรหัสผ่านจะทำให้ผู้โจมตีสามารถสกัดกั้นชื่อผู้ใช้และรหัสผ่านระหว่างการส่งผ่านจากเบราว์เซอร์ไปยังเซิร์ฟเวอร์ของคุณได้ยากขึ้น

เราจะไม่ใช้เวลามากเกินไปกับเรื่องนี้เพราะเราจะถือว่าทุกคนใช้ใบรับรอง SSL บนเว็บไซต์ของตนอยู่แล้ว คุณสามารถตรวจสอบการฝึกอบรม WordPress https ของเราได้ หากคุณไม่คุ้นเคยกับ SSL หากคุณกำลังใช้โฮสต์เฉพาะด้านอีคอมเมิร์ซ ไซต์ของคุณน่าจะใช้ SSL ได้อย่างปลอดภัยแล้ว

6. บัญชีลูกค้าของฉันปลอดภัยหรือไม่?

การโจมตีด้วยกำลังเดรัจฉานเป็นการโจมตีประเภททั่วไปที่สุดในบัญชีลูกค้าของคุณ กำลังดุร้ายเป็นการโจมตีประเภทหนึ่งเมื่อแฮ็กเกอร์พยายามเดาชื่อผู้ใช้และรหัสผ่านแบบสุ่มจนกว่าจะพบรหัสที่ถูกต้อง เหตุผลที่การโจมตีด้วยกำลังเดรัจฉานเป็นที่นิยมมากคือความสามารถในการเข้าใช้งานต่ำมาก คุณสามารถค้นหาเครื่องมือถอดรหัสรหัสผ่านฟรีมากมายด้วยการค้นหาโดย Google อย่างรวดเร็ว

ข่าวดีก็คือการใช้ปลั๊กอินความปลอดภัย WordPress เช่น iThemes Security Pro บนไซต์ WordPress ของคุณ ทำให้ง่ายต่อการป้องกันการโจมตีจากการเข้าสู่ระบบของลูกค้าของคุณไม่ให้ประสบความสำเร็จ

จากการวิจัยโดยบล็อกความปลอดภัยของ Google คุณควรปฏิบัติตามกฎ 5 ข้อเหล่านี้เพื่อหยุดการโจมตีแบบเดรัจฉาน 100%:

คำแนะนำ	คำอธิบาย	สารละลาย
จำกัดความพยายามในการเข้าสู่ระบบล้มเหลว	จำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ไม่ถูกต้องที่บอทสามารถลองได้ก่อนที่จะถูกล็อค	คุณลักษณะ iThemes Security Pro WordPress Brute Force Protection ช่วยให้คุณสามารถกำหนดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวก่อนที่ชื่อผู้ใช้หรือ IP จะถูกล็อก การล็อกจะปิดใช้งานความสามารถของผู้โจมตีในการพยายามเข้าสู่ระบบชั่วคราว เมื่อผู้โจมตีถูกล็อคสามครั้ง พวกเขาจะถูกแบนจากการดูเว็บไซต์
บังคับรหัสผ่านที่รัดกุม	รหัสผ่านที่มีความยาวอย่างน้อย 12 อักขระ โดยสุ่มและประกอบด้วยกลุ่มอักขระขนาดใหญ่ เช่น “ISt8XXa!28X3” จะทำให้ถอดรหัสได้ยาก	กำหนดให้ผู้ใช้ที่แก้ไข WordPress ได้ต้องใช้รหัสผ่านที่รัดกุม การใช้ปลั๊กอินความปลอดภัย WordPress เช่น iThemes Security Pro เพื่อบังคับให้ผู้ใช้ที่มีสิทธิพิเศษใช้รหัสผ่านที่คาดเดายากจะช่วยเพิ่มความปลอดภัยในการเข้าสู่ระบบ WordPress
ปฏิเสธรหัสผ่านที่ถูกบุกรุก	ยิ่งคุณมีผู้ใช้ที่ใช้รหัสผ่านซ้ำมากเท่าไหร่ ความปลอดภัยในการเข้าสู่ระบบ WordPress ของคุณก็จะยิ่งอ่อนแอลงเท่านั้น	ป้องกันไม่ให้ลูกค้าของคุณใช้รหัสผ่านที่เป็นที่รู้จัก iThemes Security Pro ใช้ประโยชน์จาก HaveIBeenPwned API เพื่อตรวจสอบว่ารหัสผ่านปรากฏในการละเมิดข้อมูลหรือไม่ หากพบรหัสผ่านในการละเมิดข้อมูล iThemes Security จะขอให้คุณอัปเดตรหัสผ่านบัญชีของคุณทันที
ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย	ไม่มีวิธีใดที่ดีไปกว่าการรักษาความปลอดภัยบัญชีลูกค้าของคุณโดยต้องมีการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress การรับรองความถูกต้องด้วยสองปัจจัยต้องใช้รหัสพิเศษพร้อมกับชื่อผู้ใช้และรหัสผ่าน WordPress ของคุณเพื่อเข้าสู่ระบบ	การใช้ปลั๊กอินการรักษาความปลอดภัยของ WordPress เช่น iThemes Security Pro คุณสามารถเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress ไปยังไซต์ WordPress ของคุณได้ เปิดใช้งานอีเมลหรือวิธีแอพมือถือของสองปัจจัย คุณยังสามารถใช้คุณลักษณะการเข้าสู่ระบบแบบไม่มีรหัสผ่านของ WordPress เพื่อให้ง่ายต่อการเข้าสู่ระบบด้วยความปลอดภัยแบบสองปัจจัย
จำกัดความพยายามในการตรวจสอบสิทธิ์ภายนอก	มีวิธีอื่นในการเข้าสู่ไซต์ WordPress นอกเหนือจากการใช้แบบฟอร์มการเข้าสู่ระบบ การใช้ XML-RPC ผู้โจมตีสามารถสร้างชื่อผู้ใช้และรหัสผ่านได้หลายร้อยครั้งในคำขอ HTTP เดียว วิธีการขยายกำลังเดรัจฉานช่วยให้ผู้โจมตีสามารถพยายามชื่อผู้ใช้และรหัสผ่านได้หลายพันครั้งโดยใช้ XML-RPC ในคำขอ HTTP เพียงไม่กี่ครั้ง	เมื่อใช้การตั้งค่า WordPress Tweaks ของ iThemes Security Pro คุณสามารถบล็อกการพยายามตรวจสอบสิทธิ์ได้หลายครั้งต่อคำขอ XML-RPC การจำกัดจำนวนชื่อผู้ใช้และรหัสผ่านสำหรับคำขอแต่ละครั้งจะช่วยรักษาความปลอดภัยการเข้าสู่ระบบ WordPress ของคุณได้อย่างมาก

คุณอาจกำลังคิดว่าคุณจะไม่ทำให้การเข้าสู่ระบบของลูกค้ายากขึ้น ฉันเข้าใจดีว่าคุณมาจากไหน แต่ให้ฉันแบ่งปันเรื่องราวสั้นๆ ที่อาจทำให้คุณเปลี่ยนใจ

ฉันมีสมาชิกในครอบครัวที่ถูกแฮ็กบัญชีของตน โปรดทราบว่าแฮ็กเกอร์สามารถดาวน์โหลดเฉพาะผลิตภัณฑ์ที่สมาชิกในครอบครัวซื้อได้ฟรีเท่านั้น ไม่มีข้อมูลส่วนบุคคลของพวกเขาถูกเก็บไว้ (ดู # 4) ดังนั้นพวกเขาจึงไม่ทำอะไรเลย อย่างไรก็ตาม สมาชิกในครอบครัวคนนี้ยังคงอารมณ์เสีย บริษัทที่บัญชีถูกละเมิดให้เงินคืนเต็มจำนวนและรับรองว่าบัญชีของพวกเขาจะปลอดภัยเมื่อพวกเขาอัปเดตรหัสผ่าน

เมื่อได้ฟังเรื่องนี้ ฉันจึงตัดสินใจทำให้ดีที่สุดของเชอร์ล็อก โฮล์มส์ และเริ่มการสอบสวน ฉันสามารถระบุได้ว่าแฮ็กเกอร์น่าจะพบที่อยู่อีเมลและรหัสผ่านของสมาชิกในครอบครัวในการทิ้งข้อมูลการละเมิดหลายครั้ง สมาชิกในครอบครัวของฉันใช้รหัสผ่านและชื่อผู้ใช้เดียวกันมาหลายปีแล้ว ฉันได้แสดงการละเมิดฐานข้อมูลทั้งหมดที่ที่อยู่อีเมลของพวกเขาเคยเป็นส่วนหนึ่งของ haveibeenpwned.com และสนับสนุนให้พวกเขาอัปเดตรหัสผ่านในบัญชีทั้งหมดก่อนที่บัญชีเหล่านั้นจะถูกแฮ็กด้วย

หลังจากที่รู้ว่ารหัสผ่านของพวกเขามีให้ทุกคนใช้ คุณคิดว่าพวกเขาตำหนิการเลือกรหัสผ่านที่ไม่รัดกุมหรือบริษัทเป็นผู้บุกรุกบัญชี ถ้าคุณบอกว่าตำหนิบริษัท คุณจะพูดถูก เมื่อพวกเขาเล่าเรื่องของการแฮ็ก คุณคิดว่าพวกเขามีแนวโน้มที่จะพูดในแง่ลบเกี่ยวกับบริษัทหรือแนวทางปฏิบัติเกี่ยวกับรหัสผ่านที่ไม่ดีของพวกเขามากกว่าหรือไม่ แม้ว่าความผิดจะเป็นของตัวเองทั้งหมด แต่พวกเขาก็ยังคิดว่าเป็นความรับผิดชอบของบริษัทเพื่อปกป้องบัญชีของตน

แล้วเราจะเรียนรู้อะไรจากสิ่งนี้ได้บ้าง? ในฐานะเจ้าของร้านค้า จะต้องกำหนดรหัสผ่านที่รัดกุมและการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อรักษาความปลอดภัยบัญชีลูกค้า เพราะเมื่อบัญชีของลูกค้าถูกแฮ็ก เจ้าของร้านก็มักจะได้รับโทษ

ข่าวดีก็คือ ปลั๊กอิน iThemes Security Pro มีคุณสมบัติการเข้าสู่ระบบแบบไม่มีรหัสผ่านของ WordPress แบบใหม่ ที่ให้คุณกำหนดให้ผู้ใช้ต้องใช้รหัสผ่านที่คาดเดายาก และ การตรวจสอบสิทธิ์แบบสองปัจจัย โดยไม่ต้องป้อนรหัสผ่านหรือรหัสการตรวจสอบสิทธิ์ เพิ่มเติม ตอนนี้คุณสามารถเสนอการรักษาความปลอดภัยทั้งหมดโดยไม่ต้องเสียสละการใช้งานใดๆ

7. ซอฟต์แวร์ที่ใช้ร้านค้าออนไลน์ของฉันเป็นปัจจุบันหรือไม่?

การอัปเดตซอฟต์แวร์ไม่ได้มีไว้สำหรับคุณลักษณะใหม่หรือการแก้ไขข้อบกพร่องเท่านั้น การอัปเดตยังสามารถรวมแพตช์ความปลอดภัยสำหรับช่องโหว่ด้านความปลอดภัยที่รู้จัก การเรียกใช้ซอฟต์แวร์ที่ล้าสมัยด้วยช่องโหว่ที่ทราบเป็นหนึ่งในสาเหตุที่พบบ่อยที่สุดที่เว็บไซต์ถูกแฮ็ก เป็นสิ่งสำคัญสำหรับความปลอดภัยของไซต์ WordPress ที่คุณมีรูทีนการอัปเดต คุณควรลงชื่อเข้าใช้ไซต์ของคุณอย่างน้อยสัปดาห์ละครั้งเพื่อทำการอัปเดต

การใช้คุณลักษณะการจัดการเวอร์ชันของปลั๊กอิน iThemes Security Pro ทำให้คุณสามารถเปิดใช้งานการอัปเดต WordPress อัตโนมัติเพื่อให้แน่ใจว่าคุณได้รับแพตช์ความปลอดภัยล่าสุด การอัปเดตซอฟต์แวร์เป็นสิ่งที่ง่ายที่สุดที่คุณสามารถทำได้เพื่อช่วยปกป้องร้านค้าออนไลน์ของคุณ

8. ฉันเข้าเยี่ยมชมส่วนหน้าของไซต์ของฉันเป็นประจำหรือไม่?

ครั้งสุดท้ายที่คุณวิ่งผ่านส่วนหน้าของไซต์ของคุณหรือแม้แต่ดูหน้าแรกของคุณคือเมื่อใด ในฐานะเจ้าของไซต์ที่มีงานยุ่ง โดยปกติเราจะเข้าสู่ระบบส่วนหลังของไซต์ของเราโดยตรงเพื่อเพิ่มผลิตภัณฑ์ เนื้อหา และดำเนินการอัปเดตไซต์ใหม่ การดูหน้าและผลิตภัณฑ์ในไซต์ของคุณสามารถช่วยให้คุณพบสัญญาณของการติดเชื้อได้ คุณควรมองหาสัญญาณของการติดไวรัส 3 อย่างนี้เมื่อตรวจสอบส่วนหน้าของไซต์ของคุณหรือเมื่อถามว่าไซต์ WordPress ของฉันถูกแฮ็กหรือไม่

ตรวจสอบการเปลี่ยนแปลงในหน้าแรกของคุณ – เป้าหมายหลักของการแฮ็กคือการหลอกลวงเว็บไซต์หรือสร้างความอื้อฉาว ดังนั้นพวกเขาจึงเปลี่ยนหน้าแรกของคุณเป็นสิ่งที่พวกเขาคิดว่าตลกหรือปล่อยให้ถูกแฮ็กด้วยบัตรโทรศัพท์
มองหาป๊อปอัปหรือสแปม ที่เป็น อันตราย – มีผลิตภัณฑ์ใดบ้างที่โฆษณาบนไซต์ของคุณที่คุณไม่ได้ขาย
ค้นหาการเปลี่ยนเส้นทางที่ไม่คาดคิด – คุณคลิกลิงก์ผลิตภัณฑ์ใดลิงก์หนึ่งเพื่อเปลี่ยนเส้นทางไปยังร้านค้าที่เป็นอันตรายซึ่งพยายามรวบรวมข้อมูลของลูกค้าหรือไม่

การใช้คุณลักษณะการตรวจจับการเปลี่ยนแปลงไฟล์ของ iThemes Security Pro สามารถช่วยให้คุณทราบถึงการเปลี่ยนแปลงที่ไม่คาดคิดที่เกิดขึ้นกับไซต์ของคุณ สิ่งสำคัญคือต้องได้รับการแจ้งเตือนถึงการโจมตีที่ประสบความสำเร็จในไซต์ของคุณ ยิ่งตรวจพบการละเมิดได้เร็วเท่าใด คุณก็ยิ่งสามารถบรรเทาความเสียหายที่เกิดขึ้นได้มากเท่านั้น

9. ฉันกำลังใช้ CDN และ WAF อยู่หรือไม่

การใช้เครือข่ายการจัดส่งเนื้อหา (CDN) เช่น Cloudflare CDN สามารถช่วยปกป้องร้านค้าของคุณจากการโจมตี DDoS CDN อยู่บนเซิร์ฟเวอร์ที่แตกต่างจากไซต์ของคุณ และสามารถตรวจสอบคำขอที่ส่งไปยังไซต์ของคุณก่อนที่จะส่งมายังไซต์ของคุณ การโจมตีแบบปฏิเสธการให้บริการ (DDos) คือเมื่อผู้โจมตีพยายามขัดขวางหรือทำให้ไซต์ของคุณล่มด้วยปริมาณการใช้อินเทอร์เน็ตจำนวนมาก ขึ้นอยู่กับแผนการโฮสต์ของคุณ อาจไม่ต้องใช้ทราฟฟิกพิเศษมากนักเพื่อทำให้ไซต์ของคุณล่ม

CDN สามารถช่วยลดการโจมตี DDoS ได้สองสามวิธี สิ่งแรกที่ CDN จะทำคือตรวจสอบและระบุว่าไซต์ของคุณถูกโจมตี ซึ่งเป็นสิ่งสำคัญ คุณไม่สามารถหยุดการโจมตีที่คุณไม่ได้ตั้งค่าให้ตรวจจับได้ เมื่อระบุ IP ที่เป็นอันตรายแล้ว CDN จะป้องกันคำขอใดๆ จาก IP ไม่ให้กระทบไซต์ของคุณ

คุณควรพิจารณาใช้ Web Application Firewall (WAF) ด้วย WAF สามารถระบุและกรองทราฟฟิกที่เป็นอันตรายก่อนที่จะเข้าสู่ไซต์ของคุณ ไม่เหมือนกับ PHP Web Application Firewall เพราะ WAF เช่น Cloudflare WAF ไม่ได้อยู่บนเซิร์ฟเวอร์เดียวกันกับเว็บไซต์ของคุณ ดังนั้นการกรองความปลอดภัยทั้งหมดจึงดำเนินการนอกสถานที่และไม่เพิ่มภาระงานเพิ่มเติมหรือทำให้ไซต์ของคุณช้าลง

10. ฉันจะปกป้องการเชื่อมต่อของฉันเมื่อทำงานในพื้นที่สาธารณะหรือไม่?

ข้อดีอย่างหนึ่งของการทำร้านค้าออนไลน์คือคุณสามารถทำงานได้ทุกที่ เป็นที่ทราบกันดีว่า wifi สาธารณะนั้นไม่ปลอดภัยอย่างมาก ทำให้ห้องสมุดสาธารณะ โรงแรม ร้านกาแฟ และสนามบินเป็นสถานที่สำคัญสำหรับแฮ็กเกอร์ในการสกัดกั้นการสื่อสารและเก็บเกี่ยวรหัสผ่าน

ครั้งหนึ่งฉันเคยทำงานกับลูกค้า iThemes Security Pro ซึ่งไม่รู้ว่าบัญชีผู้ดูแลระบบถูกแฮ็กได้อย่างไร แม้จะเปลี่ยนรหัสผ่านแล้วก็ตาม หลังจากกลับมาอีกครั้ง ฉันพบว่าพวกเขาชอบทำงานจากห้องสมุดท้องถิ่นของพวกเขา และพวกเขาเชื่อมต่อกับ wifi โดยไม่ต้องใช้เครือข่ายส่วนตัวเสมือน (VPN)

เครือข่ายส่วนตัวเสมือนช่วยให้คุณสื่อสารกับธนาคารหรือร้านค้าออนไลน์ได้อย่างปลอดภัยโดยเข้ารหัสการรับส่งข้อมูลทางอินเทอร์เน็ตของคุณ เนื่องจากลูกค้า iThemes Security Pro ไม่ได้ใช้ VPN การรับส่งข้อมูลจึงไม่ได้รับการเข้ารหัสและรหัสผ่านก็ถูกดักฟังโดยผู้มุ่งร้าย หลังจากที่เราแนะนำให้พวกเขาลองใช้ VPN ที่ห้องสมุดท้องถิ่น พวกเขากลับมารายงานเราว่าการใช้ VPN เป็นการหยุดการแฮ็ก

หากคุณต้องการหลักฐานเพิ่มเติมเกี่ยวกับความไม่ปลอดภัยของ wifi สาธารณะ นี่คือบทความยอดเยี่ยมใน USA Today ที่นักข่าวเขียนเกี่ยวกับประสบการณ์ของเขาที่ถูกแฮ็กขณะใช้ wifi บนเครื่องบิน: ฉันถูกแฮ็กกลางอากาศขณะเขียนเรื่องราวของ Apple-FBI

สรุป: แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยออนไลน์

การโจมตีร้านค้าออนไลน์ของคุณส่วนใหญ่สามารถป้องกันได้ไม่สำเร็จด้วยการดำเนินการเพียงเล็กน้อยจากคุณ ตอนนี้เป็นเวลาที่ดีในการตรวจสอบความปลอดภัยเพื่อให้แน่ใจว่าเว็บไซต์ของคุณปลอดภัยสำหรับช่วงเทศกาลวันหยุด!

ปลั๊กอินความปลอดภัยเวิร์ดเพรส

ปลั๊กอินความปลอดภัยของ WordPress สามารถช่วยให้เว็บไซต์ WordPress ของคุณปลอดภัย

iThemes Security Pro ปลั๊กอินความปลอดภัย WordPress ของเรามีมากกว่า 50 วิธีในการรักษาความปลอดภัยและปกป้องเว็บไซต์ของคุณจากช่องโหว่ด้านความปลอดภัยทั่วไปของ WordPress ด้วยการรับรองความถูกต้องด้วยสองปัจจัยของ WordPress การป้องกันแบบเดรัจฉาน การบังคับใช้รหัสผ่านที่รัดกุม และอื่นๆ คุณสามารถเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งให้กับเว็บไซต์ของคุณได้

รับ iThemes Security Pro

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน