如何保护您的 WooCommerce 网站（步骤 + 安全工具）

您想在常规 WordPress 安全措施之外保护您的 WooCommerce 商店吗？

你这样做是对的。 WooCommerce 安全性是一个不同的球类游戏，因为您将处理敏感数据，如支付和个人用户信息。

在线商店是黑客的利润丰厚的目标，而且由于大多数企业主不重视安全，他们也很容易成为目标。 更令人不安的是，面临数据泄露的在线企业中有 60% 会在 6 个月内倒闭。

一旦被黑客入侵，这是一条艰难而昂贵的恢复之路。 因此，最好的前进方式是做好预防和积极措施的准备。

在本指南中，我们将展示如何从各个方面保护您的 WooCommerce 网站，以免黑客有机会入侵。

WooCommerce 安全吗？

是的，WooCommerce 是电子商务商店的安全平台。 它具有大量内置的安全措施，可确保您的网站及其数据安全。 该插件还得到专家团队的支持，并定期维护以确保其符合不断发展的安全标准。

但是，它无法保护您免受外部安全威胁，例如第三方主题和插件中的漏洞、暴力攻击和 DDoS 攻击。 您需要自行采取措施来保护您的网站免受这些风险的影响。

为什么 WooCommerce 安全性如此重要

每个网站都面临网络威胁和被黑客入侵的风险。 所有网站都需要采取充分的安全措施来保护他们的网站。

也就是说，WooCommerce 商店面临更大风险的原因有很多。

• 处理敏感的用户数据：客户共享您需要保密的付款信息、信用卡详细信息、送货地址和个人详细信息。 如果此信息被盗，它可以在黑市上出售，您的客户可能成为营销垃圾邮件和诈骗的受害者。
• 关键业务数据：当您为产品收取款项时，您不能承受任何订单信息（例如商品、运输和联系方式）被删除或丢失的后果。 如果您接受付款但不交付，客户可能会将您标记为欺诈。
• 欺诈和诈骗风险：黑客可能会劫持您的网站并出售欺诈性商品、转移您的流量并欺骗客户。

客户希望您采取正确的安全措施。 当企业面临数据泄露时，他们会失去与客户建立的所有信任和信心。

最终，您将失去客户、声誉和业务。 有这么多的利害关系，理想情况下，安全应该是重中之重。

既然您知道 WooCommerce 安全性的重要性，让我们深入了解您需要采取的步骤，以确保您的电子商务网站是安全的。

如何使我的 WooCommerce 网站安全？

网络威胁不断发展，黑客正在寻找新的方法来快速侵入网站。 因此，传统的安全措施不再适用。

这里有 7 个 WooCommerce 安全提示，可立即保护您的在线商店。

1. 使用信誉良好的主机
2. 激活必要的安全工具
3. 保护 WooCommerce 登录
4. 安全的 WooCommerce 仪表板
5. 使用安全的结帐表格
6. 管理 WooCommerce 主题和插件
7. 保持实时 WooCommerce 备份

下面，我们详细介绍了如何实施这些措施。 我们还会告诉您对于 WooCommerce 安全性需要特别注意的事项。

1.使用信誉良好的主机

您的网络托管服务提供商是第一个开始的地方，因为它是您网站文件和数据库的存储位置。

如果没有适当的托管安全性，您的整个网站可能会受到黑客和公众的关注。

虽然便宜的托管计划可以让您节省几毛钱，但这并不值得。 理想情况下，您需要一个负责 WooCommerce 特定的安全性、功能和托管需求的网络主机。

Bluehost 是最好的网络托管公司，也是 WordPress.org 官方推荐的。

Bluehost 提供专为 WooCommerce 商店设计的托管计划。 他们的 WooCommerce 计划起价仅为每月 12.95 美元。 您还将获得免费域名和 SSL 证书。 除此之外，通过此计划，您可以获得：

• 预装 WordPress 和 WooCommerce
• 预装 Storefont 主题
• 完全可定制的在线商店
• 安全支付网关
• 免费提速CDN
• 自动每日恶意软件扫描
• 每日免费网站备份
• 停机监控
• 网站流量分析

使用 Bluehost WooCommerce 计划，您的大部分安全细节都得到了照顾。

此外，您将获得足够的带宽和存储空间来运行您的 WooCommerce 商店，而不会出现任何问题。

有关 WooCommerce 托管的更多信息，请查看我们对最佳 WooCommerce 托管计划的综述，以比较市场上可用的内容。

2.激活基本安全工具

黑客不断地试图入侵网站。 他们通过编写恶意扫描程序和机器人程序来查找易受攻击的站点来做到这一点。

解决这个问题的最佳方法是使用带有恶意软件扫描、防火墙和数据加密的安全工具。

1. 使用 WordPress 安全插件

首先，您需要在您的站点上激活一个安全插件。 这些插件通常结合了防火墙、恶意软件扫描程序和恶意软件清理程序。

有很多安全插件，但并非所有插件都能为您提供所需的保护。 您需要一个能够在潜在威胁访问您的站点之前自动扫描、监控和阻止潜在威胁的插件。

市场上顶级的 WooCommerce 安全插件是 Sucuri。

将这个一体化安全插件添加到您的站点后，Sucuri 将：

• 添加强大的防火墙以过滤掉不良流量
• 定期扫描和监控垃圾邮件和恶意代码
• 通过搜索引擎和其他机构检查黑名单
• 监控网站正常运行时间
• 检测对 DNS（域名系统）和 SSL 所做的更改
• 通过电子邮件、SMS、Slack 和 RSS 向您发送即时安全警报

使用 Sucuri，您还可以从仪表板添加推荐的安全措施。

您只需单击一下即可应用这些强化措施。 这包括技术步骤，例如在不需要的目录中阻止 PHP 文件。

Sucuri 为您提供强大的安全设置，但其价格高达每年 199.99 美元。 如果这超出了您的预算，您可以尝试其他安全插件，例如：

1. iThemes 安全
2. 防弹安全
3. 站点锁定
4. 医疗保健

选择安全插件时，请确保它为您提供保护 WooCommerce 商店所需的所有功能。 这项投资是值得的，因为恶意软件清理和恢复将更加昂贵。

2.安装SSL证书

每次访问者访问您的网站时，您的 WordPress 网站都会在浏览器和服务器之间传输数据。 SSL 证书将对这些数据进行加密，因此如果黑客设法在数据传输过程中窃取数据，他们将无能为力，因为它看起来像胡言乱语。

激活 SSL 后，您会在浏览器地址栏中的 URL 旁边看到一个挂锁。 您的网站还将使用 HTTPS，这是一种安全协议来传输数据。

一些网络托管服务提供商会为您处理 SSL 或让您以合理的价格购买它。

您还可以从提供商处获取 SSL 证书，例如：

• Lets Encrypt – 免费且经济实惠的证书
• SSL.com – 每年 36.75 美元起的充足保护
• DigiCert – 各种价格的高安全性证书

另一个不错的选择是使用真正简单的 SSL 插件。 它使您自己安装 SSL 证书变得非常容易。

3. 保护 WooCommerce 登录

您的 WooCommerce 网站最具针对性的区域之一是您的登录页面。 黑客使用一种称为蛮力攻击的方法来猜测您的凭据并简单地登录。

所以这是最重要的安全领域之一，有很多方法可以做到这一点。

1. 始终强制执行安全凭证：黑客很清楚常见的用户名，如“admin”或您自己的名字，让他们很容易猜到。 确保使用唯一的管理员名称和带有字母、数字和符号的强密码，使其难以破解。

创建密码时，WordPress 将显示弱密码警告。 您可以按照强度级别来确保您创建了一个强密码。

2. 定期过期密码：使用任何在线帐户，您都应该定期更改密码。 您可以使用像过期用户密码这样的插件。

它会自动强制您网站上的每个用户定期更改密码，然后才能重新登录。

限制登录尝试：您可以限制用户输入正确凭据和登录的尝试次数。 这意味着黑客只能尝试 3 次才能继续前进。

3. 使用两步验证：这为您的登录添加了一个两步验证过程，您需要提供一次性密码，该密码通过短信、电子邮件或身份验证器应用程序实时发送给您。

这使得黑客很难获得访问权限，因为他们无法验证自己。

4. 限制对登录页面的访问：您可以隐藏您的登录页面并只允许受信任的用户访问它。 所有其他用户将被自动阻止查看此页面。

如果您使用 Sucuri，在仪表板的访问控制选项卡下，您可以添加列入白名单的 IP 地址。

通过选中此框，Sucuri 将自动只允许您信任的用户访问登录页面。

5. 添加 HTTP 身份验证： HTTP 身份验证隐藏您的登录页面并显示一个空白页面，其顶部有一个登录框。 用户需要先输入 HTTP 凭据才能访问登录页面。

要将其添加到您的站点，请登录您的网络托管帐户，访问 cPanel 并找到“目录隐私” 。

在里面，从文件夹列表中，找到 wp-admin 文件夹并对其进行编辑。

在下一页上，首先，启用“密码保护此目录”选项。 现在 cPanel 将要求您添加用户名和密码。

确保在退出此页面之前保存设置。 现在您的 WordPress 管理目录受密码保护。

当您打开 wp-admin 页面时，您会看到一个登录提示，输入您刚刚创建的用户名和密码。

4. 安全的 WooCommerce 仪表板

现在，如果一个顽固的黑客仍然能够登录到您的 WordPress 管理面板，您可以让他们很难用它做任何事情。

如果他们进行任何可疑活动，您的安全插件会将其记录下来并提醒您。 除此之外，您还可以添加以下措施：

1.应用用户角色权限

如果您有多个用户在您的 WordPress 网站上工作，您可以根据他们的角色限制他们拥有的权限。

如果黑客设法劫持了您团队成员的帐户，他们的行为将受到限制。

WordPress 允许您为以下对象创建角色：

• 超级管理员
• 行政人员
• 编辑
• 作者
• 贡献者
• 订户

具有所有访问权限的最强大的角色是超级管理员和管理员。 我们建议尽可能少的管理员。

2.自动注销非活动用户

黑客使用的另一个技巧是劫持浏览会话并窃取 cookie。 这使他们可以在您不知情的情况下通过活动用户帐户访问您的站点。

解决此问题的最佳方法是定期注销非活动用户。

许多安全插件具有空闲会话注销功能，或者您可以使用非活动注销插件。

3.禁用插件和主题编辑器

如果黑客侵入了您的网站，他们会使用插件和主题编辑器直接访问您网站的代码。

在大多数情况下，您不需要此编辑器，因此您可以简单地禁用它。 如果您使用的是 Sucuri，则只需在 WordPress 强化措施下单击即可添加此措施。

要自行禁用它，我们建议遵循 WPBeginner 的本指南：如何从 WordPress 管理面板禁用主题和插件编辑器。

5.使用安全结帐表格

在您的网站上提交表单时，客户数据将发送到您的 MySQL 数据库进行处理。 如果您的表单不安全，黑客可以在您的表单字段中输入恶意代码。 然后这将渗透到您的数据库中，您的网站将被恶意软件感染。

您可以通过使用安全的 Web 表单来确保不会发生这种情况。 WPForms 是排名第一的 WordPress 表单构建器，它为您创建的每个表单提供内置安全性。

无论是联系方式还是结帐表格，都已启用反垃圾邮件保护。

如果您想添加额外的保护层，WPForms 允许您在表单上启用 CAPTCHA。

用户必须解决一个小谜题或勾选一个框来证明他们是人类。 这可以阻止机器人提交您的表单。

6. 管理 WooCommerce 主题和插件

插件和主题是由第三方开发人员创建的，因此请务必仅使用受信任的软件。 作为在线商店所有者，您永远不应该选择无效的插件和主题。 它们几乎总是带有预装的恶意软件，在您安装它们的第二次就会感染您的网站

除此之外，插件、主题，甚至您的 WordPress 核心安装都会定期更新。 当它们可用时，您会在 WordPress 仪表板中看到它们：

更新通常包含错误修复、新功能和软件改进。 但有时开发人员会发现漏洞和安全问题。 他们修复它们并发布该软件的新更新版本。 这些被称为安全补丁。

您可以通过查看更新的详细信息来查看更新是否带有安全补丁。

如果您看到它是一个安全更新，请立即运行它以更新到最新版本。 这样做，您将避免该漏洞带来的任何风险。

如果您担心更新可能会破坏您的站点，您可以在临时站点上测试更新，然后在您的实时站点上运行它。

7. 保持实时 WooCommerce 备份

备份是您的安全网，也是绝对必要的。 当出现问题时，您可以使用 WordPress 备份副本来恢复您的网站。   对于 WooCommerce 商店，我们不建议使用免费备份或网络主机备份。 他们提供的功能根本不够。

首先，您的备份解决方案需要支持 WooCommerce。 有些工具不备份 WooCommerce 数据库表。

接下来，您需要自动实时备份。 这将确保下的每个新订单都会立即存储，因此您不会丢失任何交易信息。

另一个需要寻找的是增量技术。 这意味着它将仅备份更改并将其添加到备份副本中，而不是每次都运行整个备份。

这样，您的网站性能和速度将永远不会受到后台运行的繁重备份过程的影响。

除此之外，以下是您将从中受益的一些功能：

• 异地存储
• 多位置存储
• 加密备份
• 一键还原
• 独立仪表板

UpdraftPlus 是 WordPress 网站的最佳备份插件。 但我们建议使用提供实时增量备份和 365 天存档的备份插件。 您可以使用 Jetpack Backups 或 BlogVault 来获得它。

他们有专门针对 WooCommerce 网站的计划，并确保您的 WooCommerce 文件和数据库始终得到备份。

有关更多选项，请参阅我们对最佳 WordPress 备份插件的比较。

这就是我们今天为您准备的全部内容。 我们希望这篇文章为您提供了保护 WooCommerce 网站所需的一切。

有关 WooCommerce 安全性的更多信息，请参阅我们的资源：

• 完整的 WordPress 安全指南（适合初学者）
• 5 款最佳 WordPress 漏洞扫描程序来查找威胁
• 9 个最佳活动日志插件，用于跟踪和审核您的 WordPress 网站

这些帖子将为您提供更多机会来密封漏洞并保护您的网站，这样您就可以高枕无忧地经营您的商店。