关于 WordPress 的一个很好的细节是它的流行程度导致…
WooCommerce是最受欢迎、免费和灵活的电子商务解决方案之一,用于构建在线商店。它拥有超过 4800 万次下载,支持超过 28% 的电子商务网站。
这种广泛流行也使 WooCommerce 成为黑客和其他网络欺诈者的主要目标之一。如果您正在经营 WooCommerce 商店或计划建立一个商店,您可能想知道您可以在商店中做些什么来确保其安全。
尽管 WooCommerce 和 WordPress 带有内置的安全功能,但采取一些基本的安全措施将为您的 WooCommerce 商店增加一层额外的安全性。
本文列出了一些重要且最有效的安全提示,您可以将这些提示应用到您的网站上,以便为您的 WooCommerce 客户在您的商店提供安全可靠的购物环境。
让我们找出它们是什么以及它们是如何工作的。
选择可靠的托管服务提供商
选择可靠且安全的托管服务提供商是确保您的 WooCommerce 商店安全的第一步。安全性应该是您应该在托管服务提供商处寻找的重要事项之一。
您可以使用以下清单来了解您的潜在主机如何处理由其托管的网站的安全性。
网络监控——通过持续监控,它将能够密切关注可疑流量或事件,并及早阻止攻击。
防病毒和恶意软件扫描
安全 FTP –确保您的托管服务提供商支持 SFTP,即 FTP 的安全版本。
使用强密码
具有弱密码的帐户通常是暴力攻击的受害者。这使得为与您的 WooCommerce 商店关联的所有帐户选择强密码非常重要。
更强的密码是大写字母、小写字母、数字和符号的组合。如此复杂而冗长的密码将使黑客难以破解。
如果您不想花时间创建安全密码,WordPress 有一个内置功能“更好的密码”,可以为其用户生成一个强密码。您还可以使用chrome 安全密码生成器为您创建和管理您的密码。
避免使用“Admin”作为您的用户名
大多数网站都按照用户名密码组合登录网站。许多 WooCommerce 所有者使用管理员或他们的商店名称作为他们帐户的用户名。这使您的网站容易受到攻击,因为它们的目标是对您的网站拥有完全权限的管理员帐户。
因此,最好不要使用“admin”作为您的管理员用户名。您可以通过导航到 WordPress 仪表板上的用户 > 添加新来更改您的 WordPress 管理员名称。 输入所有必需的详细信息并选择一个唯一的用户名。现在,创建一个新帐户并从可用的 WordPress 用户角色中选择“管理员”。 单击添加新用户按钮。
现在您需要退出您的 wp-admin 并使用新创建的帐户登录。您可以删除以前的“管理员”用户帐户。
启用双因素身份验证 (2FA)
实施双因素身份验证是保护您的 WooCommerce 商店的又一大步。
在 WooCommerce 商店中启用此功能后,尝试登录 WordPress 仪表板的任何人都需要提供其凭据以及实时生成的安全密码。这可能是发送到手机号码或电子邮件 ID 的一次性密码。
此机制可防止未经授权的个人访问您的网站,即使他们拥有密码。此过程的唯一缺点是您登录商店需要更长的时间。
添加 SSL(安全套接字层)证书
大多数网站 URL 都包含 HTTPS 作为其前缀。但是有些网站的 URL 以 HTTP 作为前缀或在地址栏上显示不安全,这意味着什么? 这些网站被认为是不安全的,因为它们没有安装 SSL 证书。当您向网站添加 SSL 时,其 URL 前缀将从 HTTP 更改为 HTTPS,即;安全版本。
SSL 对于确保用户浏览器和您的 WooCommerce 商店之间数据的安全传输非常重要。大多数主机在他们的软件包中提供免费的 SSL,或者您可以购买一个并使用 WordPress 插件将其添加到您的网站。
在没有 SSL 证书的情况下运行您的 WooCommerce 商店可能会以多种方式影响您的业务。首先,人们不会相信你的网站有他们的支付信息来进行交易,谷歌也不会将你的网站排名为最佳结果,这两者都会严重影响你的流量和最终的销售。
限制登录尝试
这是防止暴力攻击的重要预防机制,暴力攻击是黑客入侵您网站的最常用方法之一。
如果由机器人执行,这种攻击将有很大的成功机会,因为机器人能够在一秒钟内尝试数千种组合。即使您创建的那些强密码也可能无法承受此类攻击。
因此,避免此类攻击的最佳方法是限制您网站登录页面上的失败登录尝试。由于 WordPress 的默认设置允许其用户根据需要多次登录,因此您必须寻找其他一些方法来为您的 WooCommerce 商店启用此功能。
您可以使用 Web 应用程序防火墙或 WordPress 插件为您的网站配置有限的登录尝试。
保持您的网站更新
WordPress 和 WooCommerce 推出频繁更新以解决以前版本中的安全问题并添加新功能。由于 WooCommerce 是基于 WordPress 构建的,因此给定的 WooCommerce 站点总体上与 WordPress 安装本身一样安全。这表明需要在发布新更新时更新您的 WordPress 版本。
如果您目前在 WordPress 4.3.x 上运行并且 4.4 版本已出,则不必更新到新版本。而如果发布了 4.4.2,您必须尽快更新到此版本,因为最后一位数字“2”表示这是一个安全更新。
在开始更新过程之前,建议为您的网站数据创建备份,以防更新出现问题。首先在临时站点上测试主要更新也是一种最佳做法。
因此,总而言之,保持您的 WooCommerce 商店正确更新将有助于您保持其安全。
执行常规 WooCommerce 备份
与常规网站不同,丢失 WooCommerce 商店的数据可能会产生灾难性的影响,因为它包含您的客户数据、订单数据等,这会对您网站的收入产生巨大影响。
因此,有必要对您的商店进行备份,以避免丢失所有宝贵的 WooCommerce 数据的风险。您可以通过 3 种不同的方式创建网站备份;手动备份,通过插件自动备份,并由您的主机备份。
您可以选择任何您觉得舒服的方式来创建备份。如果您打算使用插件,UpdraftPlus 将是一个不错的选择,因为它为您提供了多个存储位置,并允许使用其免费版本本身进行计划备份。
启用 Web 应用程序防火墙
运行 Web 应用程序防火墙有助于在恶意流量到达您的网站之前保护您的网站免受任何恶意流量的侵害。有两种类型的防火墙;DNS 级网站防火墙和应用程序级防火墙。您可以使用 WordPress 插件之一为您的网站添加防火墙。
Wordfence 插件是为您的网站添加防火墙的绝佳选择。最近的攻击活动旨在通过下载其配置文件从 130 万个站点获取数据库凭据,但在 Wordfence 免费或付费版本上运行的网站有效地阻止了这些攻击。
如果您希望保护您的 WooCommerce 商店免受针对它的任何类型的攻击,防火墙对于您的网站来说是必不可少的。
明智地选择您的插件和主题
未检测到的插件和主题漏洞可能为攻击者闯入您的网站并造成损害铺平道路。因此,您应该只选择定期更新的插件和主题。由于免费版本的更新频率可能不如高级版本,因此最好选择高级版本以确保更新和支持。
但是,如果这是不可能的,请确保您网站上的所有插件和主题都经常更新,并尽快停用和删除已从 WordPress 插件存储库中删除的任何插件。
ü知的安全数据库的密码和更改数据库前缀
如前所述,针对您的网站数据库的攻击也越来越多,在需要这点,以确保您的MySQL数据库的用户名和密码。如果您认为您网站的数据库密码较弱,请不要将其换成更强的密码。
数据库前缀也需要更改,因为 WordPress 默认使用 wp_ 作为 WordPress 数据库中所有表的前缀,这使得它容易受到攻击(因为黑客更容易猜测表名)。
使用安全插件
如果您无法手动处理商店的所有安全要求,您可以向您的站点添加一个安全插件,让它处理保持站点安全的所有任务。大多数安全插件都带有一些重要的功能,例如 Web 应用程序防火墙、恶意软件扫描程序、站点安全活动审计、限制登录尝试和黑名单监控等。
以下是一些最流行的 WordPress-WooCommerce 网站安全插件。
Wordfence
Sucuri 多
合一 WP 安全
iThemes 安全
所有这些插件都有免费和高级版本。根据您的要求和插件功能,您可以选择免费或高级版本。
实践最小特权原则
的最小特权原则是,任何用户应该有必要执行其功能中,只有最低限度的特权思想。这消除了对用户权限的滥用,并减少了发生攻击时的损害。
如果您不需要使用系统并在登录与商店关联的帐户时阻止自己单击电子邮件、聊天等中的链接,则最好退出系统。
禁用 Pingbacks 和 Trackbacks
Pingbacks 和 trackbacks 是用于提醒博客您已链接到它们的方法。但最好在您的 WooCommerce 商店中禁用它们,因为这可能会导致您的网站收到大量垃圾邮件。
您可以通过从 WordPress 仪表板导航到设置 > 讨论来取消选择该功能,从而轻松地在您的网站中禁用此功能。
使用安全支付网关
支付网关是 WooCommerce 商店不可或缺的一部分。在您的商店中添加最安全的支付网关非常重要,以确保您和您客户的数据安全。Stripe、PayPal、Authorize.net 等是安全支付网关的绝佳选择。
总结
本文列出了 15 种重要且最有效的方法,您可以在 WooCommerce 商店中尝试以确保其安全。以下是对它们中的每一个的快速浏览。
- 选择可靠的托管服务提供商
- 使用强密码
- 避免使用 admin 作为您的用户名
- 启用两因素身份验证
- 添加 SSL(安全套接字层)证书
- 限制登录尝试
- 保持您的网站更新
- 执行定期备份
- 启用 Web 应用程序防火墙
- 明智地选择插件和主题
- 使用安全的数据库密码并更改数据库前缀
- 使用安全插件
- 最小权限实践原则
- 禁用 Pingbacks 和 Trackbacks
- 使用安全支付网关
如果您对保护 WooCommerce 商店有任何更好的建议,请在评论部分分享,并帮助确保所有 WooCommerce 商店的安全性更高。