您想在常規 WordPress 安全措施之外保護您的 WooCommerce 商店嗎?
你這樣做是對的。WooCommerce 安全性是一個不同的球類遊戲,因為您將處理敏感數據,例如付款和個人用戶信息。
在線商店是黑客的一個有利可圖的目標,而且由於大多數企業主不重視安全性,它們也很容易成為目標。更令人擔憂的是,面臨數據泄露的在線企業中有 60% 在 6 個月內倒閉。
一旦遭到黑客攻擊,恢復之路將艱難而昂貴。因此,最好的前進方式是採取預防和主動措施。
在本指南中,我們將展示如何從各個方面保護您的 WooCommerce 網站,以免黑客有機會闖入。
WooCommerce 安全嗎?
是的,WooCommerce 是電子商務商店的安全平台。它有許多內置的安全措施來確保您的網站及其數據安全。該插件還得到了專家團隊的支持,並定期維護以確保它符合不斷發展的安全標準。
但是,它無法保護您免受外部安全威脅,例如第三方主題和插件中的漏洞、暴力攻擊和 DDoS 攻擊。您需要自行採取措施來保護您的網站免受這些風險的影響。
為什麼 WooCommerce 安全性如此重要
每個網站都面臨網路威脅和被黑客入侵的風險。並且所有網站都需要採取充分的安全措施來保護他們的網站。
也就是說,WooCommerce 商店面臨更大風險的原因有很多。
- 處理敏感的用戶數據:客戶共享您需要保密的付款信息、信用卡詳細信息、送貨地址和個人詳細信息。如果此信息被盜,它可能會在黑市上出售,您的客戶可能成為營銷垃圾郵件和詐騙的受害者。
- 關鍵業務數據:當您收取產品款項時,您不能承受任何訂單信息(例如商品、運輸和聯繫方式)的刪除或丟失。如果您付款但不交付,客戶可以將您標記為欺詐。
- 欺詐和詐騙風險:黑客可能會劫持您的網站並出售欺詐性商品、轉移您的流量並欺騙客戶。
客戶希望您採取正確的安全措施。當企業面臨數據泄露時,他們會失去與客戶建立的所有信任和信心。
最終,您將失去客戶、聲譽和業務。考慮到如此多的風險,理想情況下,安全應該是重中之重。
既然您知道 WooCommerce 安全性的重要性,讓我們深入了解您需要採取的步驟,以確保您的電子商務網站安全。
如何使我的 WooCommerce 網站安全?
網路威脅不斷演變,黑客正在尋找快速入侵網站的新方法。因此,傳統的安全措施不再適用。
這裡有 7 個 WooCommerce 安全提示,可立即保護您的在線商店。
- 使用信譽良好的主機
- 激活必要的安全工具
- 保護 WooCommerce 登錄
- 安全的 WooCommerce 儀錶板
- 使用安全的結賬表格
- 管理 WooCommerce 主題和插件
- 保持實時 WooCommerce 備份
下面,我們詳細介紹了如何實施這些措施。我們還告訴您 WooCommerce 安全性需要特別注意的事項。
1. 使用信譽良好的主機
您的網路託管服務提供商是第一個開始的地方,因為它是您網站文件和資料庫的存儲位置。
如果沒有適當的託管安全性,您的整個網站可能會暴露在黑客和公眾面前。
雖然便宜的託管計劃可以讓您節省幾毛錢,但這並不值得。理想情況下,您需要一個負責 WooCommerce 特定的安全性、功能和託管需求的網路主機。
Bluehost是最好的網路託管公司,也是 WordPress.org 官方推薦的。
Bluehost提供專為 WooCommerce 商店設計的託管計劃。他們的 WooCommerce 計划起價僅為每月 12.95 美元。您還將獲得一個免費域名和 SSL 證書。除此之外,通過此計劃,您將獲得:
- 預裝 WordPress 和 WooCommerce
- 預裝 Storefont 主題
- 完全可定製的在線商店
- 安全支付網關
- 免費提速CDN
- 自動每日惡意軟體掃描
- 免費每日網站備份
- 停機組裝
- 網站流量分析
使用 Bluehost WooCommerce 計劃,您的大部分安全細節都會得到處理。
此外,您將獲得足夠的帶寬和存儲空間來運行您的 WooCommerce 商店而不會出現任何問題。
有關 WooCommerce 託管的更多信息,請查看我們對最佳 WooCommerce 託管計劃的綜述,以比較市場上可用的產品。
2. 激活基本安全工具
黑客一直在四處遊盪,試圖入侵網站。他們通過編寫惡意掃描程序和機器人來查找易受攻擊的站點來實現此目的。
解決此問題的最佳方法是使用帶有惡意軟體掃描、防火牆和數據加密功能的安全工具。
1. 使用 WordPress 安全插件
首先,您需要在您的網站上激活一個安全插件。這些插件通常結合了防火牆、惡意軟體掃描程序和惡意軟體清理程序。
有很多安全插件,但並非所有插件都能為您提供所需的保護。您需要一個插件,它可以在潛在威脅訪問您的站點之前自動掃描、監控和阻止它們。
市場上頂級的 WooCommerce 安全插件是Sucuri。
將這個多合一的安全插件添加到您的站點後,Sucuri 將:
- 添加強大的防火牆以過濾掉不良流量
- 定期掃描和監控垃圾郵件和惡意代碼
- 使用搜索引擎和其他機構檢查黑名單
- 監控網站正常運行時間
- 檢測對 DNS(域名系統)和 SSL 所做的更改
- 通過電子郵件、簡訊、Slack 和 RSS 向您發送即時安全警報
使用 Sucuri,您還可以從儀錶板添加推薦的安全措施。
您只需單擊一下即可應用這些強化措施。這包括技術步驟,例如在不需要的目錄中阻止 PHP 文件。
Sucuri 為您提供了強大的安全設置,但它的價格高達每年 199.99 美元。如果這超出了您的預算,您可以嘗試其他安全插件,例如:
在選擇安全插件時,請確保它為您提供保護 WooCommerce 商店所需的所有功能。這項投資是值得的,因為惡意軟體清理和恢復的成本會更高。
2.安裝SSL證書
每次訪問者訪問您的網站時,您的 WordPress 網站都會在瀏覽器和伺服器之間傳輸數據。SSL 證書將對這些數據進行加密,這樣如果黑客在數據傳輸過程中設法竊取數據,他們將無法對它做任何事情,因為它看起來像是胡言亂語。
激活 SSL 後,您會在瀏覽器地址欄中的 URL 旁邊看到一個掛鎖。您的網站還將使用 HTTPS,這是一種安全的數據傳輸協議。
一些網路託管服務提供商會為您處理 SSL 或讓您以合理的價格購買它。
您還可以從以下提供商處獲取 SSL 證書:
- Lets Encrypt – 免費且經濟實惠的證書
- SSL.com – 充足的保護,起價為每年 36.75 美元
- DigiCert – 各種價格的高安全性證書
另一個不錯的選擇是使用真正簡單的 SSL 插件。它使您自己安裝 SSL 證書變得非常容易。
3. 保護 WooCommerce 登錄
WooCommerce 網站最有針對性的區域之一是您的登錄頁面。黑客使用一種稱為蠻力攻擊的方法來猜測您的憑據並簡單地登錄。
所以這是需要保護的最重要的領域之一,並且有很多方法可以做到這一點。
1. 始終強制使用安全憑證:黑客非常了解常見的用戶名,例如「admin」或您自己的名字,這讓他們很容易猜到。確保使用唯一的管理員名稱和包含字母、數字和符號的強密碼,使其難以破解。
創建密碼時,WordPress 會針對弱密碼顯示警告。您可以按照強度級別來確保您創建一個強密碼。
2. 定期使密碼過期:對於任何在線帳戶,您都應定期更改密碼。您可以使用像Expire User Passwords這樣的插件。
它會自動強制您網站上的每個用戶在重新登錄之前定期更改密碼。
限制登錄嘗試:您可以限制用戶必須輸入正確憑據和登錄的嘗試次數。這意味著黑客只能嘗試 3 次才能繼續前進。
3. 使用兩步驗證:這會為您的登錄添加一個兩步驗證過程,您需要提供一個一次性密碼,該密碼通過簡訊、電子郵件或身份驗證器應用程序實時發送給您。
這使得黑客很難獲得訪問許可權,因為他們將無法驗證自己。
4. 限制訪問登錄頁面:您可以隱藏您的登錄頁面,只允許受信任的用戶訪問它。所有其他用戶將被自動阻止查看此頁面。
如果您使用的是 Sucuri,則在儀錶板的訪問控制選項卡下,您可以添加列入白名單的 IP 地址。
通過選中此框,Sucuri 將自動僅允許您信任的用戶訪問登錄頁面。
5. 添加 HTTP 身份驗證:HTTP 身份驗證隱藏您的登錄頁面並顯示一個空白頁面,上面有一個登錄框。用戶需要先輸入 HTTP 憑據才能訪問登錄頁面。
要將其添加到您的站點,請登錄您的網路託管帳戶,訪問 cPanel 並找到「目錄隱私」。
在裡面,從文件夾列表中,找到 wp-admin 文件夾並進行編輯。
在下一頁上,首先啟用「密碼保護此目錄」選項。現在 cPanel 會要求您添加用戶名和密碼。
請確保在退出此頁面之前保存您的設置。現在您的 WordPress 管理目錄受密碼保護。
當您打開 wp-admin 頁面時,您會看到一個登錄提示,要求輸入您剛剛創建的用戶名和密碼。
4. 安全的 WooCommerce 儀錶板
現在,如果頑固的黑客仍然能夠登錄您的 WordPress 管理面板,您可以讓他們難以用它做任何事情。
如果他們進行任何可疑活動,您的安全插件會記錄並提醒您。除此之外,您還可以添加以下措施:
1. 應用用戶角色許可權
如果您有多個用戶在您的 WordPress 網站上工作,您可以根據他們的角色限制他們擁有的許可權。
如果黑客設法劫持了您團隊成員的帳戶,他們的行為就會受到限制。
WordPress 允許您為以下對象創建角色:
- 超級管理員
- 行政人員
- 編輯
- 作者
- 貢獻者
- 訂戶
擁有所有訪問許可權的最強大角色是超級管理員和管理員。我們建議儘可能少的管理員。
2. 自動註銷非活動用戶
黑客使用的另一個技巧是劫持瀏覽會話並竊取 cookie。這使他們可以在您不知情的情況下通過活動用戶帳戶訪問您的網站。
解決此問題的最佳方法是定期註銷不活動的用戶。
許多安全插件都有空閑會話註銷功能,或者您可以使用非活動註銷插件。
3.禁用插件和主題編輯器
如果黑客闖入了您的網站,他們會使用插件和主題編輯器直接訪問您網站的代碼。
在大多數情況下,您不需要此編輯器,因此您可以簡單地禁用它。如果您使用的是 Sucuri,只需在 WordPress 強化措施下單擊即可添加此措施。
要自行禁用它,我們建議遵循 WPBeginner 的本指南:如何從 WordPress 管理面板禁用主題和插件編輯器。
5. 使用安全結賬表格
在您的站點上提交表單時,客戶數據將發送到您的 MySQL 資料庫進行處理。如果您的表單不安全,黑客可以在您的表單欄位中輸入惡意代碼。這將滲透到您的資料庫中,您的站點將感染惡意軟體。
您可以使用安全的 Web 表單來確保不會發生這種情況。WPForms是排名第一的 WordPress 表單構建器,它為您創建的每個表單都內置了安全性。
無論是聯繫方式還是結賬表格,反垃圾郵件保護都已啟用。
如果您想添加額外的保護層,WPForms 可讓您在表單上啟用 CAPTCHA。
用戶必須解決一個小難題或勾選一個方框以證明他們是人類。這可以阻止機器人提交您的表單。
6. 管理 WooCommerce 主題和插件
插件和主題由第三方開發人員創建,因此請務必僅使用受信任的軟體。作為在線商店所有者,您永遠不應該選擇無效的插件和主題。它們幾乎總是帶有預裝的惡意軟體,會在您安裝它們時感染您的網站
除此之外,插件、主題甚至您的 WordPress 核心安裝都會定期更新。當它們可用時,您將在 WordPress 儀錶板中看到它們:
更新通常包含錯誤修復、新功能和軟體改進。但有時開發人員會發現漏洞和安全問題。他們修復了這些問題並發布了新的軟體更新版本。這些被稱為安全補丁。
您可以通過查看更新的詳細信息來查看更新是否帶有安全補丁。
如果您看到它是安全更新,請立即運行以更新到最新版本。通過這樣做,您將避免該漏洞帶來的任何風險。
如果您擔心更新可能會破壞您的站點,您可以在臨時站點上測試更新,然後在您的實時站點上運行它。
7. 保持實時 WooCommerce 備份
備份是您的安全網,絕對必不可少。當出現問題時,您可以使用 WordPress 備份副本來恢復您的站點。對於 WooCommerce 商店,我們不建議使用免費備份或網路主機備份。他們提供的功能還不夠。
首先,您的備份解決方案需要支持 WooCommerce。有一些工具不備份 WooCommerce 資料庫表。
接下來,您需要自動實時備份。這將確保每個新下的訂單都會被立即存儲,這樣您就不會丟失任何交易信息。
另一個需要尋找的是增量技術。這意味著它將僅備份更改並將其添加到備份副本,而不是每次都運行整個備份。
這樣,您的網站性能和速度將永遠不會受到後台運行的繁重備份過程的影響。
除此之外,您還可以從以下幾個功能中受益:
- 異地存儲
- 多位置存儲
- 加密備份
- 一鍵還原
- 獨立儀錶板
UpdraftPlus 是 WordPress 網站最好的備份插件。但我們建議使用提供實時增量備份和 365 天存檔的備份插件。您可以通過Jetpack Backups或 BlogVault 獲得。
他們有專門針對 WooCommerce 網站的計劃,並確保您的 WooCommerce 文件和資料庫始終得到備份。
有關更多選項,請參閱我們對最佳 WordPress 備份插件的比較。
這就是我們今天為您準備的全部內容。我們希望這篇文章為您提供了保護 WooCommerce 網站所需的一切。
有關 WooCommerce 安全性的更多信息,請參閱我們的資源:
這些帖子將為您提供更多機會來密封漏洞並保護您的網站,讓您可以安心經營您的商店。