Полный контрольный список безопасности WooCommerce (Руководство по 2022 г.)

Опубликовано: 2021-03-23

Безопасность является главной заботой любого магазина электронной коммерции. В конце концов, вам нужно не просто обеспечить безопасность своего контента, вам также необходимо защитить информацию о клиентах и ​​данные о заказах.

Так что, если вы планируете открыть интернет-магазин или если он уже составляет часть вашего дохода, пришло время убедиться, что вы полностью обезопасили свой бизнес.

Почему интернет-магазины требуют большей безопасности

Когда вы продаете через Интернет, вы имеете дело с большим количеством конфиденциальной информации: личные имена, номера кредитных карт, адреса и многое другое. Активный магазин постоянно собирает новую информацию, поэтому у вас есть постоянно растущий набор данных, за которые вы несете ответственность.

Обеспечение первоклассной безопасности вашего сайта позволит вам:

  • Защитите личную информацию ваших клиентов от хакеров и злоумышленников, чтобы клиенты могли делать покупки с уверенностью;
  • Защитите свой поток доходов от сбоев и потерянных продаж;
  • Сохраняйте все поминутные данные о продажах для налоговых и юридических целей;
  • Поддерживайте свой бренд и репутацию бизнеса, которому можно доверять; и
  • Избегайте затрат, связанных с восстановлением вашего бизнеса после взлома, таких как потеря продаж из-за простоя, возврат средств из-за невыполненных заказов и расходы на ремонт веб-сайта.

Как определить взлом

Взлом может принимать разные формы, и вы можете даже не сразу понять, что ваш сайт был скомпрометирован.

Чтобы идентифицировать взлом, ищите:

  • Новые учетные записи администратора, которые вы не создавали.
  • Спам-ссылки на вредоносное ПО в комментариях, описаниях продуктов или обзорах.
  • Необычные окна предупреждений или ссылки, которые перенаправляют на сторонние сайты.
  • Оповещения от Google о том, что ваш магазин был помечен.
  • Странные, неожиданные или отсутствующие электронные письма клиентов.
  • Очень медленное время загрузки или ошибки тайм-аута.

Но большинство владельцев бизнеса слишком заняты инвентаризацией, маркетингом или выполнением заказов, чтобы постоянно отслеживать проблемы или взломы. Вот почему первое, что вы должны добавить, — это мониторинг простоев, который автоматически проверяет, работает ли ваш сайт, и предупреждает вас, если это не так. Это позволяет вам немедленно принять меры по ремонту и восстановлению вашего интернет-магазина.

Вы также можете воспользоваться Jetpack Scan, который является лучшим плагином для сканирования вредоносных программ, который автоматически проверяет ваш магазин на наличие взломов, поэтому вам не о чем беспокоиться! Вы получите предупреждение, если оно обнаружит что-то не так, и вы даже сможете исправить большинство известных угроз всего одним щелчком мыши.

Панель инструментов Jetpack Scan, показывающая текущий прогресс сканирования вредоносных программ

Полный контрольный список безопасности для WooCommerce (14 шагов)

Всегда лучше остановить взломы до того, как они произойдут. Если вы можете ответить «да» на следующие вопросы, то у вас отличное начало!

1. Хостинг у надежного и надежного провайдера?

Ваш хост — это первая линия защиты от атак. Если у них нет надлежащих мер безопасности, ваши файлы и база данных могут быть уязвимы, даже если вы все сделаете правильно.

При выборе хоста ищите тот, у которого:

  • Встроенный брандмауэр . Брандмауэр контролирует, кто может получить доступ к вашему серверу, а кто нет, защищая файлы вашего веб-сайта от хакеров и ботов.
  • Сканирует безопасность . Многие хосты регулярно сканируют все сайты на своих серверах и сообщат вам, если заметят что-нибудь подозрительное, например вредоносное ПО. Некоторые провайдеры даже решают эти проблемы за вас, часто за дополнительную плату.
  • Резервные копии . Хотя вы также хотите делать свои собственные резервные копии (подробнее об этом позже), рекомендуется иметь несколько копий вашего сайта. Многие хостинговые компании включают резервные копии в свои планы, в то время как другие предлагают их в качестве платного обновления.
  • Отличная группа поддержки . Если вы столкнулись с проблемой, вам нужны специалисты, которые помогут вам определить следующие шаги. Убедитесь, что у вашего хоста есть отличная команда поддержки, с которой можно связаться наиболее удобным для вас способом (живой чат, телефон и т. д.).
  • Хорошая репутация . Ознакомьтесь с отзывами реальных клиентов и узнайте об их опыте. Это самый точный способ узнать о хостинг-провайдере.

Не уверен, где начать? WooCommerce составил список рекомендуемых хостинговых компаний, которые были тщательно проверены.

2. Есть ли у вас SSL-сертификат?

Сертификат SSL (Secure Socket Layer) шифрует информацию, отправляемую вашими клиентами на ваш сайт, и подтверждает подлинность вашего сайта. Это служит важной защитой для такой информации, как данные кредитной карты и адреса. Google также учитывает это при определении рейтинга в поисковых системах.

Большинство хостингов предлагают SSL-сертификаты бесплатно, хотя некоторые взимают относительно минимальную плату.

3. Используете ли вы безопасные версии тем и плагинов?

Обнуленные плагины и темы — это пиратские версии премиальных плагинов и тем, которые предлагаются бесплатно или по низкой цене. Они не только не поддерживаются, но и не обновляются, поэтому могут конфликтовать с WordPress или другими плагинами. И, что более важно, они, как правило, полны вредоносных программ, которые могут поставить под угрозу ваш сайт и данные клиентов.

Всегда загружайте плагины и темы из надежных источников, таких как репозиторий WordPress или торговая площадка WooCommerce.

на WooCommerce Marketplace представлены коллекции расширений
Рекомендуемые коллекции расширений в WooCommerce Marketplace

4. Все ли обновляется на вашем сайте WordPress?

Обновления WordPress, тем и плагинов не всегда содержат только новые функции; они часто исправляют ошибки и уязвимости, которыми могут воспользоваться хакеры. Всегда выполняйте обновления, когда они доступны, чтобы обеспечить безопасность вашего сайта и избежать конфликтов.

Не хотите следить за обновлениями? В Jetpack есть возможность автоматизировать этот процесс.

5. Используете ли вы последнюю версию PHP?

Основная часть ядра WordPress написана на языке программирования PHP. Вы должны обновить версию PHP, которую использует ваш сайт, по той же причине, по которой вы должны обновлять темы и плагины: для защиты от ошибок и уязвимостей.

Вы можете обновить свою версию PHP в настройках вашего хоста или попросить вашего хостинг-провайдера позаботиться об этом за вас. Ознакомьтесь с последними требованиями WordPress.

6. Проверяли ли вы свои права доступа?

Каждому пользователю WordPress назначается роль, которая включает в себя набор возможностей, позволяющих ему выполнять определенные задачи на вашем сайте. Администраторы имеют полный доступ ко всему и могут вносить любые изменения по своему усмотрению; как владелец магазина, это должна быть ваша роль. Однако клиенты не имеют доступа к серверной части вашего сайта, но могут редактировать информацию своей учетной записи и просматривать текущие и предыдущие заказы. См. полный список ролей пользователей и разрешений.

Время от времени просматривайте и очищайте свои учетные записи пользователей. Каждый пользователь должен иметь только минимально необходимые разрешения для выполнения своей работы, и, если вы больше не работаете с кем-то, обязательно удалите его учетную запись. Например, если вы работали с агентством веб-разработки над созданием своего сайта, и проект завершен, вы, вероятно, захотите удалить их учетную запись, если в будущем не потребуются постоянные обновления.

7. Используете ли вы безопасное имя пользователя и пароль?

Хакеры часто используют ботов, чтобы перепробовать тысячи различных комбинаций имени пользователя и пароля, пока не найдут правильную (это называется атакой методом грубой силы). Чем легче угадать ваш пароль, тем выше вероятность того, что хакер сможет получить доступ к вашему магазину.

Хороший пароль состоит из прописной буквы, строчной буквы, цифры и символа и имеет длину не менее 20 символов. Убедитесь, что как минимум каждый пользователь с правами администратора использует этот тип пароля.

Когда дело доходит до имен пользователей, избегайте общих титулов, таких как «Администратор» или «Администратор». Вместо этого создайте конкретное имя пользователя для каждого человека.

8. Рассматривали ли вы возможность изменения URL-адреса для входа?

По умолчанию каждая страница входа в WordPress доступна по вашему URL-адресу /wp-admin. Если вы хотите принять дополнительные меры безопасности, вы можете изменить URL-адрес, чтобы злоумышленникам было труднее угадать этот URL-адрес. Вы можете сделать это, отредактировав файл .htaccess или, если вам неудобно изменять код, используйте плагин, такой как WP Hide Login.

9. Включили ли вы двухфакторную аутентификацию для администраторов?

Двухфакторная аутентификация добавляет дополнительный уровень безопасности вашей странице входа. Чтобы войти в систему, вам нужно не только что-то знать (имя пользователя и пароль), но и физически иметь что-то (ваше мобильное устройство). Это значительно снижает вероятность того, что хакер сможет проникнуть в ваш магазин.

Jetpack упрощает двухфакторную аутентификацию. Когда вы войдете на свой сайт, вы получите на свой телефон специальный одноразовый код, который вам нужно будет ввести, чтобы завершить процесс входа. Вы даже можете потребовать, чтобы все пользователи установили это. Узнайте больше о двухфакторной аутентификации.

10. Блокируете ли вы атаки грубой силы?

Как мы обсуждали ранее, атаки методом грубой силы происходят, когда хакеры используют ботов для проверки комбинаций имен пользователей и паролей снова и снова, пока не найдут правильную. Это не только подвергает риску ваш магазин и данные клиентов, но также может замедлить работу вашего веб-сайта.

модуль, показывающий общее количество заблокированных вредоносных атак на сайте

Но Jetpack автоматически блокирует эти атаки до того, как они достигнут вашего сайта, так что вам не о чем беспокоиться.

11. Проверяете ли вы свой сайт на наличие вредоносных программ?

Что, если кто-то получит доступ к вашему сайту и внедрит вредоносное ПО? Вы хотели бы узнать об этом сразу, чтобы удалить это вредоносное ПО и решить проблему как можно быстрее. Но хакеры коварны — не всегда сразу видно, что они проникли.

Jetpack Scan сразу предупреждает вас о любой подозрительной активности, и, поскольку сканирование происходит на серверах Jetpack, вы можете получить доступ к своему сайту, даже если он выйдет из строя. Он также предлагает исправления в один клик для большинства известных угроз.

12. У вас настроен спам-фильтр?

Спам-комментарии не просто раздражают; они также заставляют вас выглядеть непрофессионально и могут содержать ссылки, которые направляют ваших клиентов на сайты, заполненные вредоносным ПО. Но сортировка сотен комментариев в неделю отнимает много времени и разочаровывает.

график, показывающий заблокированный спам на сайте WordPress

Вот тут и приходит на помощь Jetpack Anti-spam! Он автоматически избавляется от спама из комментариев и форм, так что вам даже не придется его видеть. Вы сэкономите время, защитите свой сайт и одновременно обеспечите лучший пользовательский интерфейс.

13. Следите ли вы за своим сайтом на предмет простоев?

Если ваш сайт не работает, это может быть признаком взлома. И чем дольше он не работает, тем больше продаж вы теряете. Вы хотите, чтобы получить его обратно и снова работает как можно скорее!

Jetpack предлагает бесплатный мониторинг простоев, который проверяет ваш сайт из разных мест по всему миру каждые пять минут. Если ваш сайт не работает, вы получите мгновенное уведомление, чтобы сразу исправить проблему.

14. Настроены ли у вас регулярные резервные копии за пределами площадки?

Если что-то случится с вашим сайтом, лучшая защита, которую вы можете иметь, — это полная резервная копия, которую вы можете быстро и легко восстановить. Даже если ваш хост предлагает резервные копии, важно, чтобы вы также делали свои собственные. Почему? Потому что, если ваш сервер скомпрометирован, любые резервные копии, хранящиеся на нем, также могут быть скомпрометированы.

выполняется резервное копирование в магазине WooCommerce

Jetpack Backup — отличное решение. Есть два варианта плана:

  1. Ежедневные резервные копии, которые сохраняют копию вашего сайта один раз в день.
  2. Резервные копии в режиме реального времени , которые сохраняют копию вашего сайта каждый раз, когда вы обновляете страницу, публикуете новый пост или совершаете продажу. Это особенно полезно для интернет-магазинов, потому что вам никогда не придется беспокоиться о потере информации о заказе.

Jetpack хранит файлы резервных копий в нескольких местах, полностью отдельно от вашего сайта. Это означает, что если ваш сервер скомпрометирован, ваши резервные копии не будут взломаны. И в большинстве случаев вы даже можете восстановить резервную копию, если ваш сайт полностью не работает!

Как восстановиться в худшем случае

Если в вашем интернет-магазине есть вредоносное ПО, а у вас есть Jetpack Security, вы получите уведомление, чтобы вы могли немедленно решить проблему. Ваш первый шаг должен заключаться в проверке журнала активности, где вы можете увидеть полный список всего, что произошло на вашем сайте. Вы можете использовать эту информацию, чтобы определить, когда произошел взлом, проверив подозрительную активность, такую ​​как незнакомые логины и отредактированные страницы.

журнал активности, показывающий все, что произошло на сайте WordPress

Затем самый быстрый способ восстановления — с помощью Jetpack Backup. Всего за несколько кликов ваш сайт снова заработает с минимальным временем простоя. Все, что вам нужно сделать, это выбрать резервную копию до взлома и дождаться ее восстановления. Ага, вот оно!

Как только чистая версия вашего магазина будет запущена, используйте Jetpack Scan, чтобы убедиться, что на вашем сайте не осталось вредоносных программ. Jetpack устраняет большинство известных угроз за вас, поэтому, если что-то будет найдено, вам, скорее всего, не придется беспокоиться об устранении неполадок.

Наконец, найдите время, чтобы защитить свой сайт, изменив все пароли и проверив, что ваши темы, плагины и основные файлы обновлены.

Нужна помощь? Jetpack Security включает в себя приоритетную поддержку со стороны опытной технической команды, которая может указать вам правильное направление.

Обеспечьте безопасность своего магазина WooCommerce

Если вы потратите время на то, чтобы полностью защитить свой магазин WooCommerce, ваши клиенты смогут делать покупки с уверенностью, а вам не придется беспокоиться о своих данных или репутации.

И один из лучших способов сделать это — объединить Jetpack Security и WooCommerce — в этом есть смысл! Это два признанных, уважаемых плагина WordPress, которые работают синхронно, чтобы защитить ваш сайт и добавить новые функции. Вместе они означают меньше движущихся частей, меньше внешних плагинов и больше спокойствия для вас как владельца бизнеса.

Часто задаваемые вопросы

Можно ли взломать сайт WooCommerce?

Да, как и любой сайт, магазин WooCommerce можно взломать. Тем не менее, WordPress и WooCommerce включают функции, которые помогут защитить ваш контент и данные клиентов. И когда вы примете несколько основных мер безопасности, таких как выбор хорошего хостинга, постоянное обновление и установка лучшего плагина безопасности, вы можете быть спокойны, зная, что ваш сайт в надежных руках.

Вам нужен SSL для веб-сайта WooCommerce?

SSL-сертификат шифрует информацию (например, данные кредитной карты и адреса), которая отправляется на ваш сайт, защищая ее от злоумышленников. Если хакер получит доступ к этой информации, это может подвергнуть ваш бизнес юридическому риску и нанести ущерб вашей репутации. SSL-сертификат не только защищает вас и ваших клиентов, но и важен для вашего рейтинга в поисковых системах.

Хотя SSL-сертификат рекомендуется для любого веб-сайта, он еще более важен для интернет-магазинов из-за типа данных, которые они собирают для обработки транзакций.

Какой сертификат SSL лучше всего подходит для веб-сайтов WooCommerce?

Большинство крупных хостинг-провайдеров включают SSL-сертификаты в свои планы, в то время как другие предоставляют их за дополнительную плату. Как правило, их легко установить всего за несколько кликов.

Однако, если ваш хост не предлагает этого, мы рекомендуем Let's Encrypt. Это надежный сервис, предлагающий бесплатные SSL-сертификаты для поддержки более безопасной сети. Примечание. Многие SSL-сертификаты, включенные в планы хостинга, получены от Let's Encrypt.

Узнайте больше об установке SSL-сертификата в вашем магазине WooCommerce.

Как принудительно включить HTTPS на веб-сайте WooCommerce?

Когда вы успешно добавляете SSL-сертификат в свой магазин, он меняет ваш URL-адрес с http://example.com на https://example.com. «S» в «https» означает SSL.

Когда вы принудительно используете HTTPS в своем магазине, посетитель, который вводит «http» версию вашего сайта, будет автоматически перенаправлен на версию «https». Это гарантирует, что все будет зашифровано правильно для каждого покупателя.

Вы можете принудительно использовать HTTPS, добавив несколько строк кода в файл .htaccess или используя плагин WordPress. Kinsta предоставляет отличное руководство для этого.

WooCommerce безопаснее, чем Shopify?

Shopify — это размещенная платформа, которая обеспечивает безопасность для вас. Хотя это имеет свои преимущества — вам не нужно беспокоиться о реализации мер безопасности — это также означает, что вы практически не контролируете собственную защиту.

И это также не означает, что Shopify более безопасен. В конце концов, хакеры и боты не делают различий. Они просто пробуют сайт за сайтом, пока не найдут тот, на который они смогут попасть. Поэтому, если вы примете надлежащие меры безопасности, ваш магазин будет таким же безопасным, а во многих случаях и более безопасным, чем другие на любой платформе.

Также важно отметить, что и WordPress, и WooCommerce поддерживаются командой, которая стремится помочь вам добиться успеха. Они постоянно работают над обеспечением безопасности платформы, поэтому регулярное обновление программного обеспечения так важно.

Это руководство от WooCommerce содержит более подробную информацию о том, как он сравнивается с Shopify.