您是否希望在常规 WordPress 安全措施之外,进一步保护您的 WooCommerce 商店?
你这样做是对的。WooCommerce 的安全问题截然不同,因为你需要处理支付信息和用户个人信息等敏感数据。
网上商店是黑客眼中的肥肉,而且由于大多数企业主并不重视安全,因此也很容易成为攻击目标。更令人担忧的是,遭遇数据泄露的在线企业中,有60%会在6个月内倒闭。
一旦遭受黑客攻击,恢复之路将异常艰难且代价高昂。因此,最佳应对之策是做好预防和主动防御措施。
在本指南中,我们将展示如何从各个方面保护您的WooCommerce网站,使黑客没有机会入侵。
WooCommerce安全吗?
是的,WooCommerce 是一个安全的电商平台。它内置了多种安全措施,可以保护您的网站及其数据安全。此外,该插件还由专家团队提供支持,并定期维护,以确保其符合不断更新的安全标准。
但是,它无法保护您免受外部安全威胁,例如第三方主题和插件中的漏洞、暴力破解攻击和DDoS攻击。您需要自行采取措施来保护您的网站免受这些风险的侵害。
为什么 WooCommerce 安全性如此重要
每个网站都面临网络威胁和被黑客攻击的风险。因此,所有网站都需要采取充分的安全措施来保护自身安全。
也就是说,WooCommerce 商店面临更大风险的原因有很多。
1.处理敏感用户数据:客户会分享支付信息、信用卡详情、收货地址以及其他需要保密的个人信息。如果这些信息被盗,可能会在黑市上出售,您的客户也可能成为营销垃圾邮件和诈骗的受害者。
2.关键业务数据:在您收取产品款项时,任何订单信息(例如商品、发货信息和联系方式)都不能丢失或被删除。如果您收款后不发货,客户可能会将您视为欺诈商家。
3.欺诈和诈骗风险:黑客可能会劫持您的网站并销售假冒商品、转移您的流量并欺骗客户。
客户期望您采取适当的安全措施。一旦企业遭遇数据泄露,就会失去所有与客户建立的信任和信心。
最终,你可能会失去客户、声誉和业务。事关重大,安全理应是重中之重。
既然您已经了解了 WooCommerce 安全性的重要性,那么让我们深入了解一下您需要采取哪些步骤来确保您的电子商务网站安全。
如何确保我的 WooCommerce 网站安全?
网络威胁不断演变,黑客也在不断寻找快速入侵网站的新方法。因此,传统的安全措施已经远远不够用了。
以下是7个WooCommerce安全技巧,可立即保护您的在线商店。
1. 使用信誉良好的主机商
首先应该从您的网站托管服务提供商入手,因为您的网站文件和数据库都存储在那里。
如果没有适当的托管安全措施,您的整个网站都可能暴露在黑客和公众的视线之下。
虽然廉价的虚拟主机方案可以帮你省下一些钱,但这真的不值得。理想情况下,你需要的是一个能够满足 WooCommerce 特定安全、功能和托管需求的虚拟主机服务商。
Bluehost是最好的网站托管公司,也是 WordPress.org 官方推荐的公司。
Bluehost提供专为 WooCommerce 商店设计的虚拟主机方案。他们的 WooCommerce 方案起价仅为每月 9.95 美元。您还将获得免费域名和 SSL 证书。此外,此方案还包含:
1.预装了 WordPress 和 WooCommerce
2.预装了 Storefont 主题
3.完全可定制的在线商店
4.安全的支付网关
5.免费提升 CDN 速度
6.每日自动恶意软件扫描
7.免费每日网站备份
8.停机时间监控
9.网站流量分析
使用 Bluehost WooCommerce 套餐,您的大部分安全细节都将得到妥善处理。
此外,您还将获得足够的带宽和存储空间,让您的 WooCommerce 商店流畅运行,不会出现任何故障。
2. 激活必要的安全工具
黑客时刻伺机入侵网站。他们通过编写恶意扫描程序和机器人程序来寻找存在漏洞的网站。
应对这种情况的最佳方法是使用具有恶意软件扫描、防火墙和数据加密功能的安全工具。
1. 使用 WordPress 安全插件
首先,您需要在网站上启用安全插件。这些插件通常集成了防火墙、恶意软件扫描器和恶意软件清理器的功能。
市面上有很多安全插件,但并非所有插件都能提供您所需的保护。您需要一款能够自动扫描、监控并阻止潜在威胁访问您网站的插件。
市场上最好的 WooCommerce 安全插件是Sucuri。
将这款一体化安全插件添加到您的网站后,Sucuri 将:
1.添加强大的防火墙来过滤恶意流量
2.定期扫描和监控垃圾邮件和恶意代码
3.请通过搜索引擎和其他权威机构查询黑名单。
4.监控网站正常运行时间
5.检测对 DNS(域名系统)和 SSL 所做的更改
6.通过电子邮件、短信、Slack 和 RSS 向您发送即时安全警报
借助 Sucuri,您还可以从控制面板添加推荐的安全措施。
只需单击一下即可应用这些加固措施。这包括一些技术步骤,例如阻止在不必要的目录中放置 PHP 文件。
Sucuri 提供强大的安全防护,但价格不菲,每年 199.99 美元。如果超出您的预算,您可以尝试其他安全插件,例如:
1.iThemes 安全
2.防弹安保
3.SiteLock
4.医疗事故
在选择安全插件时,请确保它具备保护 WooCommerce 商店所需的所有功能。这项投资绝对物有所值,因为恶意软件清理和恢复的成本会高得多。
2. 安装 SSL 证书
每次有访客访问您的网站时,您的 WordPress 网站都会在浏览器和服务器之间传输数据。SSL 证书会对这些数据进行加密,这样即使黑客在传输过程中窃取了数据,也无法利用这些数据,因为加密后的数据看起来就像乱码。
启用 SSL后,您会在浏览器地址栏的网址旁边看到一个挂锁图标。您的网站还将使用 HTTPS,这是一种安全的数据传输协议。
有些网站托管服务商会为你处理 SSL 证书,或者让你以合理的价格购买 SSL 证书。
您还可以从以下提供商处获取 SSL 证书:
Let’s Encrypt – 免费且价格实惠的证书
SSL.com – 每年仅需 36.75 美元起,即可获得全面的安全保护
DigiCert – 提供价格范围广泛的高安全性证书
另一个不错的选择是使用Really Simple SSL 插件。它可以让您非常轻松地自行安装 SSL 证书。
3. 保护 WooCommerce 登录
WooCommerce网站最容易受到攻击的区域之一就是登录页面。黑客会使用一种叫做暴力破解攻击的方法来猜测你的登录凭据,从而轻松登录。
所以这是最需要保障的领域之一,而且有很多方法可以做到这一点。
1. 始终强制使用安全凭证:黑客非常清楚诸如“admin”或您自己的名字之类的常见用户名,因此很容易猜到您的用户名。请确保使用唯一的管理员用户名和包含字母、数字和符号的强密码,以增加破解难度。
创建密码时,WordPress 会显示弱密码警告。您可以参考强度等级,确保创建强密码。
2. 定期更改密码:任何在线账户都应该定期更改密码。您可以使用类似“Expire User Passwords”的插件。
它将自动强制您网站上的每个用户定期更改密码才能重新登录。
限制登录尝试次数:您可以限制用户输入正确凭据并登录的尝试次数。这意味着黑客只有 3 次尝试机会,之后就必须放弃。
3.使用双因素身份验证:这会在您的登录过程中添加两步验证流程,您需要提供一次性密码,该密码会通过短信、电子邮件或身份验证器应用程序实时发送给您。
这使得黑客极难获得访问权限,因为他们无法验证自己的身份。
4.限制登录页面访问:您可以隐藏登录页面,仅允许受信任的用户访问。所有其他用户将被自动阻止查看此页面。
如果您使用的是 Sucuri,可以在控制面板的“访问控制”选项卡下添加白名单 IP 地址。
选中此框后,Sucuri 将自动仅允许您信任的用户访问登录页面。
5. 添加 HTTP 身份验证: HTTP 身份验证会隐藏您的登录页面,并显示一个带有登录框的空白页面。用户需要先输入 HTTP 凭据才能访问登录页面。
要将此功能添加到您的网站,请登录您的网站托管帐户,访问 cPanel 并找到“目录隐私”。
在文件夹列表中找到 wp-admin 文件夹并对其进行编辑。
在下一页中,首先启用“密码保护此目录”选项。然后 cPanel 会要求您添加用户名和密码。
请务必在退出此页面前保存您的设置。现在您的 WordPress 管理目录已受密码保护。
打开 wp-admin 页面时,您会看到一个登录提示,要求您输入刚刚创建的用户名和密码。
4. 安全的 WooCommerce 控制面板
如果一个执着的黑客仍然能够登录你的 WordPress 管理面板,你可以采取一些措施来阻止他们进行任何操作。
如果他们进行任何可疑活动,您的安全插件会记录下来并向您发出警报。除此之外,您还可以添加以下措施:
1. 应用用户角色权限
如果您的 WordPress 网站有多个用户同时工作,您可以根据他们的角色限制他们的权限。
如果黑客成功劫持了你团队成员的账号,他们的操作将会受到限制。
WordPress 允许您创建以下角色:
超级管理员
行政人员
编辑
作者
贡献者
订户
拥有最高权限的角色是超级管理员和管理员。我们建议尽可能减少管理员的数量。
2. 自动注销不活跃用户
黑客常用的另一个伎俩是劫持浏览会话并窃取 cookie。这样他们就能在您不知情的情况下,通过活跃的用户帐户访问您的网站。
解决此问题的最佳方法是定期注销不活跃用户。
许多安全插件都具有空闲会话注销功能,或者您可以使用Inactive Logout插件。
3. 禁用插件和主题编辑器
如果黑客入侵了你的网站,他们会使用插件和主题编辑器直接访问你网站的代码。
大多数情况下,您不需要此编辑器,因此可以将其禁用。如果您使用的是 Sucuri,只需单击一下即可在 WordPress 安全加固措施下添加此措施。
5. 管理 WooCommerce 主题和插件
插件和主题均由第三方开发者创建,因此务必使用可信赖的软件。作为网店店主,切勿选择破解版插件和主题。它们几乎都预装了恶意软件,一旦安装就会感染您的网站。
此外,插件、主题甚至 WordPress 核心程序都会定期更新。更新可用时,您会在 WordPress 控制面板中看到它们:
更新通常包含漏洞修复、新功能和软件改进。但有时开发人员会发现漏洞和安全问题。他们会修复这些问题并发布新的软件更新版本。这些更新版本被称为安全补丁。
查看更新详情即可了解更新是否包含安全补丁。
如果看到是安全更新,请立即运行更新到最新版本。这样做可以避免漏洞带来的任何风险。
如果您担心更新可能会导致网站崩溃,您可以先在测试网站上测试更新,然后再在正式网站上运行。
6. 使用安全的结账表单
当用户在您的网站上提交表单时,客户数据会被发送到您的 MySQL 数据库进行处理。如果您的表单不安全,黑客可以在表单字段中输入恶意代码。这将入侵您的数据库,并使您的网站感染恶意软件。
您可以使用安全的网页表单来避免这种情况发生。WPForms是排名第一的 WordPress 表单构建器,它为创建的每个表单都内置了安全功能。
无论是联系表单还是结账表单,反垃圾邮件保护功能均已启用。
如果您想增加额外的保护措施,WPForms 允许您在表单上启用 CAPTCHA。
用户需要完成一个小谜题或勾选一个方框来证明自己是真人。这可以阻止机器人提交表单。
7. 保留 WooCommerce 的实时备份
备份是您的安全保障,绝对必不可少。一旦出现问题,您可以使用 WordPress 备份副本恢复您的网站。 对于 WooCommerce 商店,我们不建议使用免费备份或虚拟主机提供的备份。它们提供的功能远远不够。
首先,您的备份方案需要支持 WooCommerce。有些工具无法备份 WooCommerce 数据库表。
接下来,您需要自动实时备份。这将确保每个新订单都能立即保存,避免丢失任何交易信息。
另一个值得关注的技术是增量备份。这意味着它只会备份更改的部分并将其添加到备份副本中,而不是每次都运行完整的备份。
这样一来,您的网站性能和速度就不会受到后台运行的大型备份进程的影响。
除此之外,您还将受益于以下几个功能:
异地存储
多位置存储
加密备份
一键恢复
独立仪表盘
Duplicator是 WordPress 网站最好的备份插件。但我们建议使用提供实时增量备份和 365 天存档功能的备份插件。Jetpack Backups或 BlogVault就能满足这些需求。
他们有专门针对 WooCommerce 网站的方案,并确保您的 WooCommerce 文件和数据库始终得到备份。
如需更多选择,请参阅我们对最佳 WordPress 备份插件的比较。
