安全な支払いゲートウェイを作成する方法

後悔するより安全である方が良いです。 そして、その声明はオンラインストアにも当てはまります。 支払いプロセスを確保することは、顧客の信頼を維持し、ビジネスと収入の流れを維持するために重要です。

あなたの支払いシステムは鍵と鍵の下にありますか？ 攻撃の詳細を確認し、セキュリティチェックリストで保護されていることを確認してください。

ペイメントゲートウェイ攻撃はどのように見えますか？

サイバー犯罪者が支払いゲートウェイを標的にする場合、彼らの目標は、オンラインで販売できるクレジットカード情報を発見または盗むことです。

ペイメントゲートウェイ攻撃は、次の形式をとることがあります。

• 列挙型攻撃。クレジットカードの組み合わせの有効性をテストして、機能するものを見つけます。 あなたのサイトでは、これは小さな注文で何度もチェックアウトに失敗したように見えるかもしれません。
• 盗まれた管理者の資格情報。 犯罪者は、フィッシング手法やその他の方法を使用して、顧客のクレジットカード情報を盗むことを目的として、管理者アカウントと支払いゲートウェイにアクセスします。
• クローンPOSデバイス。 悪意のある人物は、POSデバイス（支払いゲートウェイの資格情報を使用）をコピーして、偽の注文を生成します。

なぜペイメントゲートウェイのセキュリティを気にするのですか？

ストアが稼働すると、特にハッカーの焦点になっていない場合は、十分に安全だと思いたくなるかもしれません。 しかし、犯罪者が支払いゲートウェイを標的にすると、次のような結果に直面する可能性があります。

• 違反を整理して対処するために必要な時間。これにより、ビジネスの収入を生み出す部分に時間を費やすことができなくなります。
• ブルートフォース攻撃からのトラフィックによるWebサイトのパフォーマンスの問題。
• ペイメントゲートウェイプロバイダーとの信頼が失われ、料金が高くなったり、サービスがキャンセルされたりする可能性があります。

あなたのサイトをロックダウンする方法

うまくいけば、実際の攻撃について心配する必要はありません。 しかし、安全を期して、サイトがロックダウンされていることを確認するために、これらの問題のそれぞれにいくつかの考え、時間、および投資を与えてください。

ユーザーアカウントとチェックアウトプロセスにCAPTCHAを使用する

登録ページとチェックアウトページにCAPTCHAを追加して、ボットがシステムに侵入できないようにします。 これは顧客にとっては追加のステップですが、ボットがサイトを攻撃するのを防ぐシンプルで効果的な方法としては価値があります。

セキュリティを追加しながら、正当な顧客のプロセスを合理化するために使用できるさまざまな方法があります。 ReCaptcha for WooCommerce拡張機能の高度な機能を検討して、使いやすさと安全性の適切なバランスを見つけてください。

質の高いホスティングに投資する

ホストは、パフォーマンスとセキュリティのパートナーです。 品質プロバイダーには、次のような重要なセキュリティ機能が含まれます。

• クレジットカードのデータや住所などの顧客情報を暗号化するSSL証明書。
• すべてのクレジットカード会社のガイドラインに従うPCI準拠のサーバー。
• 定期的なサイトスキャン、バックアップ、およびブルートフォース攻撃の監視。

ただし、ホストだけに依存しないでください。 サイトにファイアウォールを追加することを検討してください。ファイアウォールは、ストアとハッカーの間のバリアとして機能し、ハッカーの侵入を防ぎます。

また、Jetpack Securityなどのツールは、マルウェアスキャン、ダウンタイムアラート、およびオフサイトバックアップを提供します。

不正防止プラグインを使用する

注文を監視し、疑わしいアクティビティを監視する不正防止ソフトウェアを使用して、支払いゲートウェイを直接保護します。

WooCommerce Anti-Fraudのような拡張機能は、典型的な攻撃パターンに該当するトランザクションを探し、疑わしい注文や疑わしいユーザーをロックダウンします。

次のようなアクティビティをブロックできます。

• 多くの小さな注文がすばやく連続して行われました
• 通常の注文ゾーン外の地理的な場所からの突然の注文の流入
• メールアドレスとIPアドレスのブロックリストからの注文
• 請求先住所と配送先住所の不審な違い
• 新しい未確認のPayPalアカウントによる支払い
• プロキシサーバーの使用およびその他のマスキングアクティビティ

フラグを立てる注文の感度レベルを設定して、ショップの適切なリスクレベルを見つけることができます。

パスワードが安全であることを確認してください

パスワードのセキュリティに関しては、基本的なことは誰もが知っています。さまざまな文字を使用し、個人名や日付を使用せず、Webサイト間でパスワードを再利用しないでください。 ただし、次の方法でセキュリティを追加できます。

• 管理者パスワードを特殊文字などでさらに複雑にします。
• ログイン試行の失敗回数を制限するパスワードロックアウトソフトウェアを追加する
• ユーザーが自分の仕事やタスクを実行するために必要な最小限の権限のみを持っていることを確認する
• フィッシング詐欺に注意し、不審な企業や個人とパスワード情報を共有しないようにする

パスワードは、サイトの特定の部分を保護するためにも使用できます。 パスワードで保護されたカテゴリ拡張機能を使用して、一般的に悪用される領域へのアクセスを制限します。 買い物客は、本人確認のためにアカウントを持っているか、安全なチャネルを介してあなたから直接パスワードにアクセスする必要があります。

支払いカード情報の保存を制限する

WooCommerceの優れた機能の1つは、クレジットカード情報をまったく保存する必要がないことです。支払いゲートウェイは、最も脆弱で重要なセキュリティ情報を処理します。

重要なヒント：選択した支払いゲートウェイがトークン化を使用してクレジットカード情報をやり取りしていることを確認してください。 最大限のセキュリティを確保するには、 WooCommercePaymentsを検討してください。

ただし、顧客がサブスクリプションを設定したり、予約注文に登録したりできるようにする場合は、システムが支払いオプションに関する情報をサイトまたは支払いゲートウェイを介して保存することがあります。 顧客がクレジットカード情報を更新できる回数を制限します。 1日に数回の更新は、ブルートフォース攻撃の危険信号です。

POSデバイスを安全に廃止する

POSデバイスがその有用性を超えた場合は、安全に廃止するようにしてください。 つまり、すべてのメモリと設定を消去して、アクセスコードまたは保存されているパスワードが削除され、複製またはコピーできないようにします。 また、これらのデバイスを元の会社に返送して、安全に廃棄できるようにすることも意味します。 お店の裏にホコリを溜まらせないでください。

支払いシステムのすべての部分が完全に保護されているので、最も重要なビジネス資産を安全で健全な状態に保つためにできる限りのことをしたことがわかります。 攻撃者を寄せ付けず、セキュリティ違反に対処するのではなく、収入の創出と成長にエネルギーを費やしていることを確認してください。