如果您經營在線商店，您可能會在假期期間看到客流量急劇增加。 隨著新客戶在您的網站上輸入他們的付款信息和個人地址，為假期做準備，保護您的在線商店比以往任何時候都更加重要。

11 月和 12 月是一年中購物最繁忙的月份，這使得與黑客或安全漏洞相關的任何停機時間比一年中的任何其他時間都要貴。 您網站的正常運行時間從未如此寶貴，這就是為什麼現在是對您的在線商店進行安全審核的最佳時機。

您網站安全的重要問題

在您的網站安全審計結束時，您應該能夠回答以下 10 個問題：

• 1. 我的店鋪在正確的平台上嗎？
• 2. 我的商店是否在正確的虛擬主機上？
• 3. 我的店舖是否符合 PCI-DSS 標準？
• 4. 我是否收集了過多的客戶數據？
• 5. 我是否對客戶和商店之間的通信進行了加密？
• 6. 我的客戶賬戶安全嗎？
• 7. 運行我的在線商店的軟件是否是最新的？
• 8. 我是否經常訪問我網站的前端？
• 9. 我使用的是 CDN 和 WAF 嗎？
• 10. 在公共場所工作時，我是否保護我的連接？

10 點網站安全審計

如果您不知道如何回答部分或全部問題，請不要擔心。 在本文結束時，您將知道如何回答所有這些問題。

在我們閱讀本文的其餘部分時，您可能需要記錄審核結果以及要採取的任何措施。 此審核也是為您的網頁設計客戶（一年中的任何時間）提供的一項出色服務。

讓我們開始您的網站安全審計，為假期做準備。

1. 我的店鋪在正確的平台上嗎？

Shopify、Magento 和 WordPress 是人們用來創建商店的三個最受歡迎的平台。 如果這些平台不安全，它們都不會成為流行的電子商務解決方案。 這三個平台都有其優點和缺點，因此您應該進行一些研究，以找出最適合您需求的平台。

對您當前平台的快速審核可能包括以下問題：

• 1. 平台是否經常推送更新以解決安全漏洞？
• 2. 平台是否僱傭/利用了一個致力於確保滿足安全標準的團隊？
• 3. 平台是否有大規模數據洩露或未解決的漏洞的歷史？
• 4. 該平台的安全聲譽如何？

要記住的一件事是將您的商店轉移到另一個平台或主機是多麼容易。 如果您需要離開 Shopify，您可以將 Shopify 遷移到 WooCommerce。 但是，這並不像將 WordPress 商店移動到新的網絡主機那麼容易。 WordPress 還允許對您可以使用的工具進行更多自定義和靈活性。

2. 我的商店是否在正確的虛擬主機上？

將您的網站與您朋友的博客放在同一個共享主機上是個壞主意。 為什麼？ 電子商務網站增加了很多複雜性，需要更高的專業知識才能正確保護。 您創建商店並不是因為您夢想成為網絡安全專家，因此您應該將這一責任推卸給您的主人。

投資於專注於電子商務的託管解決方案，如 Liquid Web 的託管 WooCommerce 託管或託管 WordPress 託管是要走的路。 完全披露，Liquid Web 是我們的母公司，但它對您來說是非常棒的託管服務。 去價格商店並找到另一家以該價格與該價值競爭的託管公司。 擁有託管電子商務主機將為您節省大量管理網站的時間和麻煩 - 您可以用這些時間來發展您的業務。

3. 我的店舖是否符合 PCI-DSS 標準？

如果您接受信用卡付款，則必須符合支付卡行業數據安全標準 (PCI-DSS)。 根據官方 PCI 安全標準委員會的說法，“如果您接受或處理支付卡，則 PCI 數據安全標準適用於您。” 這些標準包括 300 多種不同的安全要求，但以下是 PCI-DSS 最佳實踐的概述：

PCI 數據安全標準

當您選擇獲取人們的借記卡號碼時，滿足這些要求將大大有助於防止惡意攻擊者耗盡他們的銀行賬戶。 我強烈建議您獲得一些專家建議，以確保您符合 PCI-DSS 要求。

4. 我是否收集了過多的客戶數據？

您收集的有關客戶的信息越多，在違規期間可能洩露的信息就越多。 如今，我們幾乎每週都會聽到一些公司成為暴露客戶數據的數據洩露的受害者。 例如，在 Doordash 洩露事件中，客戶的電話號碼、電子郵件地址、家庭地址和散列密碼被洩露。 這種信息組合可能就是獲得欺詐性貸款所需的全部信息。

您永遠不應該收集比您需要的更多的客戶信息。 如果您銷售的數字產品不會自動續訂，您為什麼要收集和存儲郵寄地址？

您還應該考慮使用像 Stripe 這樣的支付網關。 支付網關允許您卸載信用卡支付，因此您的商店可以接受在線支付，而無需處理或存儲信用卡號。 Stripe 還將幫助您符合 PCI-DDS。

不幸的是，網絡上總會有攻擊者，並且不會缺少網站被入侵的報告。 限制您收集的有關客戶的信息將限制在違規期間暴露的信息量。 您不能丟失您沒有的敏感客戶數據。

5. 我是否對客戶和商店之間的通信進行了加密？

SSL 加密您的客戶在瀏覽器中鍵入並發送到您網站的通信。 使用 SLL，當有人輸入他們的帳戶名和密碼時，當該信息被發送到您站點的服務器進行確認時，它將受到保護。 加密用戶名和密碼將使攻擊者更難攔截從瀏覽器傳輸到您的服務器的用戶名和密碼。

我們不會在這上面花太多時間，因為我們假設每個人都已經在他們的站點上使用 SSL 證書。 如果您不熟悉 SSL，可以查看我們的 WordPress https 培訓。 如果您使用的是電子商務專用主機，則您的站點可能已經安全地使用 SSL。

6. 我的客戶賬戶安全嗎？

蠻力攻擊是對您的客戶帳戶最常見的攻擊類型。 蠻力是一種攻擊，黑客試圖猜測用戶名和密碼的隨機組合，直到找到正確的組合。 蠻力攻擊之所以如此流行，是因為入門的技能門檻非常低。 您可以通過快速的 Google 搜索找到大量免費的密碼破解工具。

好消息是，在您的 WordPress 網站上使用 iThemes Security Pro 等 WordPress 安全插件可以輕鬆防止對客戶登錄的攻擊成功。

根據 Google 安全博客的研究，您應該遵循以下 5 條規則來阻止 100% 的蠻力攻擊：

您可能認為您永遠不會讓您的客戶更難登錄。 我真的理解你來自哪裡，但讓我分享一個可能會改變你想法的簡短故事。

我有一個家庭成員的一個帳戶被黑了。 請記住，黑客只能下載家庭成員免費購買的產品。 他們的個人信息都沒有被存儲（見#4），所以他們什麼都沒有。 不過，這個家庭成員仍然不高興。 帳戶遭到破壞的公司向他們全額退款，並向他們保證，一旦他們更新密碼，他們的帳戶將是安全的。

所以聽到這個，我決定盡我最大的福爾摩斯印象並開始調查。 我能夠確定黑客可能在多個數據洩露轉儲之一中找到了家庭成員的電子郵件地址和密碼。 我的家人多年來一直使用相同的密碼和用戶名組合。 我向他們展示了他們在 haveibeenpwned.com 上的電子郵件地址所在的所有數據庫洩露事件，並鼓勵他們在所有帳戶被黑客入侵之前更新所有帳戶的密碼。

在得知他們的密碼可供任何人使用後，您認為他們是否將他們的帳戶被盜用歸咎於他們選擇了弱密碼或公司？ 如果你說責怪公司，你是對的。 當他們講述黑客的故事時，您是否認為他們更有可能對公司或他們糟糕的密碼實踐發表負面評論？ 即使是他們自己的錯，他們仍然認為公司有責任保護他們的帳戶。

那麼我們可以從中學到什麼呢？ 作為店主，我們有責任要求強密碼和兩因素身份驗證來保護客戶帳戶。 因為當客戶的帳戶被黑客入侵時，店主很可能會受到指責。

好消息是 iThemes Security Pro 插件有一個新的 WordPress 無密碼登錄功能，允許您要求用戶使用強密碼和雙因素身份驗證，而無需輸入密碼或額外的身份驗證代碼。 您現在可以在不犧牲任何可用性的情況下提供所有安全性。

7. 運行我的在線商店的軟件是否是最新的？

軟件更新不僅僅用於新功能或錯誤修復。 更新還可以包括針對已知安全漏洞的安全補丁。 運行具有已知漏洞的過時軟件是網站被黑的最常見原因之一。 擁有更新程序對於 WordPress 網站的安全性至關重要。 您應該每周至少登錄一次您的站點以執行更新。

使用 iThemes Security Pro 插件的版本管理功能，您可以啟用自動 WordPress 更新以確保您獲得最新的安全補丁。 更新您的軟件是幫助保護您的在線商店的最簡單的方法。

8. 我是否經常訪問我網站的前端？

您最後一次瀏覽網站前端甚至查看主頁是什麼時候？ 作為忙碌的網站所有者，我們通常直接登錄到我們網站的後端來添加新產品、內容並執行網站更新。 瀏覽您網站的頁面和產品可以幫助您找到感染跡象。 在檢查您網站的前端或詢問我的 WordPress 網站是否被黑時，您應該尋找這 3 個感染跡象。

1. 檢查您的主頁是否有變化——一些黑客的主要目標是控製網站或聲名狼藉。 因此，他們只會將您的主頁更改為他們覺得有趣的內容，或者留下電話卡被黑的內容。
2. 查找任何惡意彈出窗口或垃圾郵件– 您的網站上是否有任何您不銷售的產品做廣告？
3. 發現意外重定向——您是否只是點擊了其中一個產品鏈接，然後被重定向到試圖收集客戶數據的惡意商店？

使用 iThemes Security Pro 的文件更改檢測功能可以幫助您了解對您的站點所做的任何意外更改。 對您的網站成功攻擊發出警報至關重要，越早發現違規行為，您就越能減輕所造成的損害。

9. 我使用的是 CDN 和 WAF 嗎？

使用 Cloudflare CDN 等內容交付網絡 (CDN) 有助於保護您的商店免受 DDoS 攻擊。 CDN 與您的站點位於不同的服務器上，並且能夠在請求到達您的站點之前檢查對您站點的請求。 拒絕服務攻擊 (DDos) 是指攻擊者試圖通過大量互聯網流量破壞或關閉您的網站。 根據您的託管計劃，可能不需要太多額外流量就可以關閉您的網站。

CDN 可以通過幾種不同的方式幫助緩解 DDoS 攻擊。 CDN 要做的第一件事是主動監控並識別您的站點是否受到攻擊，這很關鍵。 您無法阻止無法檢測到的攻擊。 一旦識別出惡意 IP，CDN 將阻止來自 IP 的任何請求訪問您的站點。

您還應該考慮使用 Web 應用程序防火牆 (WAF)。 WAF 能夠在惡意流量到達您的站點之前識別並過濾掉它。 與 PHP Web 應用程序防火牆不同，Cloudflare WAF 提供的 WAF 與您的站點不在同一台服務器上。 所以所有的安全過濾都是在異地完成的，不會增加任何額外的負載或減慢您的站點的速度。

10. 在公共場所工作時，我是否保護我的連接？

經營網上商店的一大好處是您可以在任何地方工作。 不幸的是，眾所周知，公共 wifi 非常不安全，這使得公共圖書館、酒店、咖啡店和機場成為黑客攔截通信和獲取密碼的主要場所。

我曾經與一個 iThemes Security Pro 客戶合作過，他無法弄清楚即使在更改密碼後他們的管理員帳戶如何繼續被黑客入侵。 經過一番反復之後，我發現他們喜歡在本地圖書館工作，而且他們在不使用虛擬專用網絡 (VPN) 的情況下連接到 wifi。

虛擬專用網絡允許您通過加密您的互聯網流量來安全地與您的銀行或網上商店通信。 由於 iThemes Security Pro 客戶沒有使用 VPN，他們的流量沒有加密，他們的密碼不斷被惡意行為者攔截。 在我們建議他們在當地圖書館嘗試使用 VPN 後，他們向我們報告說，使用 VPN 阻止了黑客攻擊。

如果你需要更多關於公共 wifi 不安全的證據，這是今日美國的一篇很棒的文章，其中一位記者寫了他在使用飛行中 wifi 時被黑客入侵的經歷：我在寫 Apple-FBI 故事時在半空中被黑客入侵。

總結：在線安全最佳實踐

通過您的一些小動作，可以防止對您的在線商店的大多數攻擊都不會成功。 現在是進行安全審核以確保您的網站在假期期間安全的好時機！

WordPress 安全插件可以幫助保護您的 WordPress 網站

iThemes Security Pro 是我們的 WordPress 安全插件，提供 50 多種方法來保護您的網站免受常見 WordPress 安全漏洞的侵害。 借助 WordPress 雙重身份驗證、暴力破解保護、強密碼強制執行等功能，您可以為您的網站增加一層額外的安全保護。

獲取 iThemes 安全專業版

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。 作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子，喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。