保護 WooCommerce 網站的指南

已發表: 2021-04-13

保護woocommerce網站
WooCommerce 是最受歡迎、免費和靈活的電子商務解決方案之一,用於構建在線商店。 它擁有超過 4800 萬次下載,支持超過 28% 的電子商務網站。

這種廣泛流行也使 WooCommerce 成為黑客和其他網絡欺詐者的主要目標之一。 如果您正在經營 WooCommerce 商店或計劃建立一個商店,您可能想知道您可以在商店中做什麼以確保其安全。

儘管 WooCommerce 和 WordPress 具有內置的安全功能,但採取一些基本的安全措施將為您的 WooCommerce 商店增加一層額外的安全性。

本文列出了一些重要且最有效的安全提示,您可以將這些提示應用到您的網站上,以便為您的 WooCommerce 客戶在您的商店提供安全可靠的購物環境。

讓我們找出它們是什麼以及它們是如何工作的。

選擇可靠的託管服務提供商
選擇可靠且安全的託管服務提供商是確保 WooCommerce 商店安全的第一步。 安全性應該是您應該在託管服務提供商處尋找的重要事項之一。

您可以使用以下清單來了解您的潛在主機如何處理由其託管的網站的安全性。

網絡監控——通過持續監控,它將能夠密切關注可疑流量或事件,並及早阻止攻擊。
防病毒和惡意軟件掃描
安全 FTP –確保您的託管服務提供商支持 SFTP,即 FTP 的安全版本。
使用強密碼

具有弱密碼的帳戶通常是暴力攻擊的受害者。 這使得為與您的 WooCommerce 商店關聯的所有帳戶選擇強密碼非常重要。

更強的密碼是大寫字母、小寫字母、數字和符號的組合。 如此復雜而冗長的密碼將使黑客難以破解。

如果您不想花時間創建安全密碼,WordPress 有一個內置功能“更好的密碼”,可以為其用戶生成一個強密碼。 您還可以使用 chrome 安全密碼生成器為您創建和管理您的密碼。

避免使用“管理員”作為您的用戶名
大多數網站都按照用戶名密碼組合登錄網站。 許多 WooCommerce 所有者使用管理員或他們的商店名稱作為他們帳戶的用戶名。 這使您的網站容易受到攻擊,因為它們的目標是對您的網站擁有完全權限的管理員帳戶。

因此,最好不要使用“admin”作為您的管理員用戶名。 您可以通過導航到 WordPress 儀表板上的用戶 > 添加新來更改您的 WordPress 管理員名稱。
添加用戶
輸入所有必需的詳細信息並選擇一個唯一的用戶名。 現在,創建一個新帳戶並從可用的 WordPress 用戶角色中選擇“管理員”。
選擇一個新的用戶角色
單擊添加新用戶按鈕。

現在您需要退出您的 wp-admin 並使用新創建的帳戶登錄。 您可以刪除以前的“管理員”用戶帳戶。

啟用雙因素身份驗證 (2FA)
實施雙因素身份驗證是保護您的 WooCommerce 商店的又一大步。
在 WooCommerce 商店中啟用此功能後,任何嘗試登錄 WordPress 儀表板的人都需要提供其憑據以及實時生成的安全密碼。 這可能是發送到手機號碼或電子郵件 ID 的一次性密碼。

此機制可防止未經授權的個人訪問您的網站,即使他們擁有密碼。 此過程的唯一缺點是您登錄商店需要更長的時間。

添加 SSL(安全套接字層)證書
大多數網站 URL 都包含 HTTPS 作為其前綴。 但是有些網站的 URL 以 HTTP 作為前綴或在地址欄上顯示不安全,這意味著什麼?
截屏
這些網站被認為是不安全的,因為它們沒有安裝 SSL 證書。 當您向網站添加 SSL 時,其 URL 前綴將從 HTTP 更改為 HTTPS,即; 安全版本。

SSL 對於確保用戶瀏覽器和您的 WooCommerce 商店之間數據的安全傳輸非常重要。 大多數主機在他們的軟件包中提供免費的 SSL,或者您可以購買一個並使用 WordPress 插件將其添加到您的網站。

在沒有 SSL 證書的情況下運行您的 WooCommerce 商店可能會以多種方式影響您的業務。 首先,人們不會相信你的網站有他們的支付信息來進行交易,谷歌也不會將你的網站排名為最佳結果,這兩者都會嚴重影響你的流量和最終的銷售。

限制登錄嘗試
這是防止暴力攻擊的重要預防機制,暴力攻擊是黑客入侵您網站最常用的方法之一。

如果由機器人執行,這種攻擊將有很大的成功機會,因為機器人能夠在一秒鐘內嘗試數千種組合。 即使您創建的那些強密碼也可能無法承受此類攻擊。

因此,避免此類攻擊的最佳方法是限制您網站登錄頁面上的失敗登錄嘗試。 由於 WordPress 的默認設置允許其用戶根據需要多次登錄,因此您必須尋找其他一些方法來為您的 WooCommerce 商店啟用此功能。

您可以使用 Web 應用程序防火牆或 WordPress 插件為您的網站配置有限的登錄嘗試。

保持您的網站更新
WordPress 和 WooCommerce 推出頻繁更新以解決以前版本中的安全問題並添加新功能。 由於 WooCommerce 是基於 WordPress 構建的,因此給定的 WooCommerce 站點總體上與 WordPress 安裝本身一樣安全。 這表明需要在發布新更新時更新您的 WordPress 版本。

如果您當前運行的是 WordPress 4.3.x 並且 4.4 版本已出,則不必更新到新版本。 而如果發布了 4.4.2,您必須盡快更新到此版本,因為最後一位數字“2”表示這是一個安全更新。

在開始更新過程之前,建議為您的網站數據創建備份,以防更新出現問題。 首先在臨時站點上測試主要更新也是一種最佳做法。

因此,總而言之,保持您的 WooCommerce 商店正確更新將有助於您保持其安全。

執行定期 WooCommerce 備份
與常規網站不同,丟失 WooCommerce 商店的數據可能會產生災難性的影響,因為它包含您的客戶數據、訂單數據等,這會對您網站的收入產生巨大影響。

因此,有必要對您的商店進行備份,以避免丟失所有寶貴的 WooCommerce 數據的風險。 您可以通過 3 種不同的方式創建網站備份; 手動備份,通過插件自動備份,並由您的主機備份。

您可以選擇任何您覺得舒服的方式來創建備份。 如果您打算使用插件,UpdraftPlus 將是一個不錯的選擇,因為它為您提供了多個存儲位置,並允許使用其免費版本本身進行計劃備份。

啟用 Web 應用程序防火牆
運行 Web 應用程序防火牆有助於在惡意流量到達您的網站之前保護您的網站免受任何惡意流量的侵害。 有兩種類型的防火牆; DNS 級網站防火牆和應用程序級防火牆。 您可以使用 WordPress 插件之一為您的網站添加防火牆。

Wordfence 插件是為您的網站添加防火牆的絕佳選擇。 最近的攻擊活動旨在通過下載其配置文件從 130 萬個站點獲取數據庫憑據,但在 Wordfence 免費或付費版本上運行的網站有效地阻止了這些攻擊活動。

如果您希望保護您的 WooCommerce 商店免受針對它的任何類型的攻擊,防火牆對於您的網站來說是必不可少的。

明智地選擇您的插件和主題
未檢測到的插件和主題漏洞可能為攻擊者闖入您的網站並造成損害鋪平道路。 因此,您應該只選擇定期更新的插件和主題。 由於免費版本的更新頻率可能不如高級版本,因此最好選擇高級版本以確保更新和支持。

但是,如果這是不可能的,請確保您網站上的所有插件和主題都經常更新,並儘快停用和刪除已從 WordPress 插件存儲庫中刪除的任何插件。

使用安全數據庫密碼並更改數據庫前綴
如上所述,針對您網站數據庫的攻擊也在增加,這表明需要保護您的 MySQL 數據庫密碼和用戶名。 如果您認為您網站的數據庫密碼較弱,請不要將其換成更強的密碼。

數據庫前綴也需要更改,因為 WordPress 默認使用 wp_ 作為 WordPress 數據庫中所有表的前綴,這使其容易受到攻擊(因為黑客更容易猜測表名)。

使用安全插件
如果您無法手動處理商店的所有安全要求,您可以向您的站點添加一個安全插件,讓它處理保持站點安全的所有任務。 大多數安全插件都帶有一些重要功能,例如 Web 應用程序防火牆、惡意軟件掃描程序、站點安全活動審核、有限登錄嘗試和黑名單監控等。

以下是一些最流行的 WordPress-WooCommerce 網站安全插件。

文字圍欄
蘇庫裡
多合一 WP 安全
iThemes 安全

所有這些插件都有免費和高級版本。 根據您的要求和插件功能,您可以選擇免費或高級版本。

實踐最小權限原則
最小權限原則是指任何用戶都應該只擁有執行其功能所需的最低限度的權限。 這消除了用戶權限的濫用並減少了發生攻擊時的損害。

如果您不需要使用系統,最好退出系統,並在登錄與商店關聯的帳戶時阻止自己點擊電子郵件、聊天等中的鏈接。

禁用 Pingbacks 和 Trackbacks
Pingbacks 和 trackbacks 是用於提醒已鏈接到它們的博客的方法。 但最好在您的 WooCommerce 商店中禁用它們,因為這可能會導致您的網站收到大量垃圾郵件。

您可以通過從 WordPress 儀表板導航到設置 > 討論來取消選擇該功能,從而輕鬆地在您的網站中禁用此功能。

使用安全支付網關
支付網關是 WooCommerce 商店不可或缺的一部分。 在您的商店中添加最安全的支付網關非常重要,以確保您和您客戶的數據安全。 Stripe、PayPal、Authorize.net 等是安全支付網關的絕佳選擇。

概括
本文列出了您可以在 WooCommerce 商店中嘗試以確保其安全的 15 種重要且最有效的方法。 以下是對它們中的每一個的快速瀏覽。

  • 選擇可靠的託管服務提供商
  • 使用強密碼
  • 避免使用 admin 作為您的用戶名
  • 啟用兩因素身份驗證
  • 添加 SSL(安全套接字層)證書
  • 限制登錄嘗試
  • 保持您的網站更新
  • 執行定期備份
  • 啟用 Web 應用程序防火牆
  • 明智地選擇插件和主題
  • 使用安全的數據庫密碼並更改數據庫前綴
  • 使用安全插件
  • 實踐最小權限原則
  • 禁用 Pingbacks 和 Trackbacks
  • 使用安全支付網關

如果您對保護 WooCommerce 商店有任何更好的建議,請在評論部分分享,並幫助確保所有 WooCommerce 商店的安全性更高。