WooCommerce Security: แปดสิ่งที่คุณควรทำก่อน

เผยแพร่แล้ว: 2021-03-26

แม้ว่ามาตรการความปลอดภัยจะถูกสร้างขึ้นใน WordPress และ WooCommerce แต่ก็มีสิ่งพื้นฐานบางประการที่เจ้าของร้านค้ารายใหม่ควรทำเพื่อรักษาลูกค้า ทีมงาน และข้อมูลให้ปลอดภัยในกรณีที่เกิดสถานการณ์ที่เลวร้ายที่สุด

ต่อไปนี้คือสิ่งที่เจ้าของร้านค้า WooCommerce ใหม่ควรทำแปดประการ

1. เลือกโฮสต์ที่มีชื่อเสียง

ผู้ให้บริการโฮสต์ของคุณจัดเก็บไฟล์เว็บไซต์และฐานข้อมูลของคุณ ซึ่งช่วยให้ผู้คนทั่วโลกสามารถเข้าชมได้ โฮสต์ของคุณควรมีมาตรการในการป้องกันไฟล์เหล่านั้นจากแฮกเกอร์และมัลแวร์ การเลือกโฮสต์ที่ไม่ถูกต้องอาจทำให้คุณและลูกค้าของคุณตกอยู่ในความเสี่ยง

ตามหลักการแล้ว คุณควรหาโฮสต์ที่เข้าใจ WordPress เป็นอย่างดีและระบุอย่างชัดเจนว่าพวกเขาทำอะไรเพื่อจัดลำดับความสำคัญด้านความปลอดภัยและความปลอดภัยของคุณ มองหาคุณสมบัติเช่น:

  • ใบรับรอง SSL ซึ่งปกป้องข้อมูลลูกค้า เช่น ที่อยู่และหมายเลขโทรศัพท์
  • การสำรองข้อมูล เพื่อที่ว่าหากมีสิ่งใดผิดพลาด คุณสามารถกู้คืนไซต์ของคุณได้อย่างสมบูรณ์
  • การตรวจสอบและป้องกันการโจมตี เพื่อให้คุณทราบได้ทันทีหากพบมัลแวร์ในไฟล์หรือฐานข้อมูลของคุณ
  • ไฟร์วอลล์ของเซิร์ฟเวอร์ ซึ่งป้องกันไม่ให้แฮกเกอร์เข้าถึงไฟล์ของคุณ
  • เข้าถึงการสนับสนุนได้ทุกวันตลอด 24 ชั่วโมง ในกรณีที่คุณต้องการ
  • ซอฟต์แวร์เซิร์ฟเวอร์ที่ทันสมัย ​​เช่น PHP และ MYSQL

ความสามารถในการแยกไฟล์ที่เป็นอันตราย เพื่อให้ไวรัสหรือมัลแวร์ไม่สามารถย้ายไปยังไซต์หรือโฟลเดอร์อื่นบนเซิร์ฟเวอร์เดียวกันได้

แผนการโฮสต์ที่แนะนำโดย WooCommerce

เจ้าของที่พักที่คุณประเมินควรมีหน้าเกี่ยวกับความปลอดภัยในเว็บไซต์ของตน ดังนั้นคุณควรสามารถยืนยันได้ว่าโฮสต์ของคุณเสนอคุณลักษณะเหล่านี้หรือไม่ หากคุณต้องเจาะลึกหรือส่งอีเมลเพื่อหาคำตอบ อาจเป็นสัญญาณบอกให้หลีกเลี่ยง รายชื่อผู้ให้บริการโฮสติ้งนี้เป็นจุดเริ่มต้นที่ดี

2. สร้าง (และจัดเก็บอย่างปลอดภัย) รหัสผ่านที่รัดกุม

แม้ว่าความปลอดภัยอาจเริ่มต้นที่โฮสต์ของคุณ แต่ก็ขึ้นอยู่กับคุณที่จะปฏิบัติตาม เลือกรหัสผ่านที่ปลอดภัยสำหรับบัญชีใดๆ และทั้งหมดที่เชื่อมโยงกับร้านค้าของคุณ

ซึ่งหมายความว่า:

  • การใช้รหัสผ่านเฉพาะสำหรับแต่ละบัญชีของคุณ
  • การสร้างรหัสผ่านที่ประกอบด้วยอักษรตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์
  • หลีกเลี่ยงคำ วันครบรอบ วันเกิด หรือวลีอื่นๆ ที่คาดเดาได้ง่าย
  • จัดลำดับความสำคัญของความยาว — ยิ่งรหัสผ่านยาวและซับซ้อนมากขึ้นเท่าไหร่ ก็ยิ่งถอดรหัสยากขึ้นเท่านั้น

กังวลว่ารหัสผ่านของคุณจะปลอดภัยจริงหรือ? ไม่ต้องกลัว: WordPress มีตัวสร้างรหัสผ่านที่ปลอดภัยในตัว ซึ่งทำให้ง่ายต่อการสร้างชุดค่าผสมที่ซับซ้อนและคาดเดายาก

แต่การจำรหัสผ่านที่ยากอาจเป็นเรื่องยาก ทางออกหนึ่งที่ยอดเยี่ยมคือตัวจัดการรหัสผ่านเช่น LastPass หรือ 1Password (รายการโปรดส่วนตัวของเราที่ Woo) พวกเขาจัดเก็บรหัสผ่านของคุณอย่างปลอดภัยและป้อนรหัสผ่านอัตโนมัติบนเว็บไซต์โปรดของคุณอย่างปลอดภัย

3. เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA)

หากมีคนเข้าถึงอีเมลของคุณหรือบัญชีอื่น พวกเขาอาจรวบรวมข้อมูลได้เพียงพอเพื่อรีเซ็ตรหัสผ่านของคุณและเข้าสู่ระบบ

การรับรองความถูกต้องด้วยสองปัจจัย ซึ่งโดยทั่วไปมักย่อว่า 2FA เป็นวิธีที่ยอดเยี่ยมในการปกป้องบัญชีออนไลน์ของคุณจากผู้บุกรุกที่ไม่ต้องการ 2FA อาศัยขั้นตอนที่สอง — โดยปกติคือสมาร์ทโฟนของคุณ — เพื่อตรวจสอบการเข้าสู่ระบบและยืนยันว่าคุณเป็นเจ้าของ

คุณควรเปิดใช้งาน 2FA ใน ทุก บัญชีของคุณ ภายใต้สถานการณ์ปกติ บุคคลที่เข้าถึงบัญชีอีเมลของคุณได้สำเร็จอาจพบข้อมูลการเข้าสู่ระบบสำหรับร้านค้าของคุณและบัญชีอื่นๆ แต่ด้วย 2FA พวกเขาจะไม่สามารถตรวจสอบการเข้าสู่ระบบทางกายภาพผ่านอุปกรณ์มือถือของคุณได้

การเพิ่มขั้นตอนที่ 2 นี้ยังช่วยเพิ่มเวลาให้กับกระบวนการเข้าสู่ระบบของคุณอีกด้วย แต่ก็คุ้มค่าอย่างยิ่งที่จะสบายใจเมื่อรู้ว่าข้อมูลที่ละเอียดอ่อนของคุณปลอดภัย

คุณสามารถใช้การรับรองความถูกต้องด้วยสองปัจจัยได้ฟรีด้วย Jetpack

4. ป้องกันการโจมตีด้วยกำลังเดรัจฉาน

การโจมตีด้วยกำลังดุร้ายเกิดขึ้นเมื่อแฮ็กเกอร์ใช้บอทเพื่อเดาชื่อผู้ใช้/รหัสผ่านหลายพันชุด จนกว่าจะได้ชุดที่ถูกต้อง การทำเช่นนี้ไม่เพียงแต่จะทำให้แฮ็กเกอร์เข้าถึงไซต์ของคุณได้ แต่ยังส่งผลเสียต่อเวลาในการโหลดของคุณเนื่องจากการเข้าชมร้านค้าที่เพิ่มขึ้นอีกด้วย

ฟีเจอร์ป้องกันการโจมตีด้วยกำลังเดรัจฉานฟรีของ Jetpack เป็นวิธีที่ยอดเยี่ยมในการหยุดยั้งพวกมัน โดยจะบล็อกที่อยู่ IP ที่เป็นอันตรายโดยอัตโนมัติก่อนที่จะเข้าถึงไซต์ของคุณ ดังนั้นคุณไม่ต้องกังวลกับมัน

5. เพิ่มการป้องกันไซต์อีกชั้นหนึ่ง

เราได้พูดคุยถึงวิธีการสองสามวิธีในการรักษาความปลอดภัยให้กับเว็บไซต์ของคุณแล้ว แต่เพื่อให้ไปได้ไกลยิ่งขึ้น ให้พิจารณาใช้เครื่องมือรักษาความปลอดภัยของ Jetpack ให้มากขึ้น นอกเหนือจากการรับรองความถูกต้องด้วยสองปัจจัยและการป้องกันการโจมตีแบบเดรัจฉานแล้ว ยังมี:

  • การสแกนมัลแวร์ (ชำระเงิน): รับการแจ้งเตือนทันทีหากพบมัลแวร์ในไซต์ของคุณ คุณจึงสามารถแก้ไขปัญหาและแก้ไขภัยคุกคามส่วนใหญ่ที่ทราบได้ในคลิกเดียว เหมือนกับมีคนคอยดูแลไซต์ของคุณตลอด 24 ชั่วโมงทุกวันไม่เว้นวันหยุด
  • การป้องกันสแปม (ชำระเงิน): กำจัดความคิดเห็นและแบบฟอร์มติดต่อสแปมโดยอัตโนมัติ ซึ่งจะทำให้คุณดูไม่เป็นมืออาชีพและส่งลูกค้าไปยังไซต์บุคคลที่สามที่เป็นอันตราย
  • บันทึกกิจกรรม (ฟรี): ติดตามทุกสิ่งที่เกิดขึ้นบนไซต์ของคุณ ตั้งแต่หน้าที่อัปเดตและผลิตภัณฑ์ใหม่ ไปจนถึงการเข้าสู่ระบบของผู้ใช้ ตลอดจนผู้ที่ดำเนินการแต่ละครั้งและเมื่อใด
  • การตรวจสอบการหยุดทำงาน (ฟรี): ทราบทันทีว่าเว็บไซต์ของคุณหยุดทำงานหรือไม่ ซึ่งเป็นสัญญาณบ่งชี้ว่ามีการแฮ็ก คุณจึงสามารถกลับมาใช้งานได้อย่างรวดเร็ว
  • อัปเดตปลั๊กอินอัตโนมัติ (ฟรี): อัปเดตปลั๊กอินโดยอัตโนมัติเพื่อให้ไซต์ของคุณทำงานได้อย่างราบรื่นและได้รับการปกป้องจากแฮกเกอร์
Jetpack Scan ที่ทำงานบนเว็บไซต์

เรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่ Jetpack ปกป้องไซต์ WordPress ของคุณ

6. ตรวจสอบและปรับการตั้งค่า FTP ของคุณ

FTP (โปรโตคอลการถ่ายโอนไฟล์) ใช้ในการถ่ายโอนไฟล์ระหว่างอุปกรณ์สองเครื่อง คุณสามารถสร้างบัญชี FTP ผ่านผู้ให้บริการโฮสต์ของคุณ ซึ่งอนุญาตให้คุณเชื่อมต่อจากคอมพิวเตอร์ของคุณไปยังเซิร์ฟเวอร์เว็บไซต์ของคุณ หากผู้มุ่งร้ายเข้าถึงบัญชีเหล่านั้น พวกเขาจะทำการเปลี่ยนแปลงใดๆ ในไซต์ของคุณได้

แต่การจำกัดสิทธิ์ในบัญชีเหล่านี้สามารถลดหรือขจัดความเสียหายที่อาจเกิดขึ้นได้โดยสิ้นเชิง ตรวจสอบให้แน่ใจว่า เฉพาะ บัญชี FTP ของคุณ เท่านั้นที่สามารถเข้าถึงโฟลเดอร์ต่อไปนี้:

  • ไดเรกทอรีราก
  • wp-admin
  • wp-includes
  • wp-เนื้อหา

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับการล็อค FTP ของคุณ โปรดดูส่วนนี้ของ WordPress Codex โฮสต์ของคุณควรสามารถช่วยคุณใช้มาตรการป้องกันเหล่านี้ได้เช่นกัน

7. อัปเดตเว็บไซต์ของคุณเสมอ

กระบวนการอัปเดต WordPress, WooCommerce และปลั๊กอินหรือส่วนขยายของคุณมีความสำคัญอย่างยิ่ง การอัปเดตเกิดขึ้นด้วยเหตุผล และมักจะทำให้ไซต์ของคุณปลอดภัยยิ่งขึ้น การเพิกเฉยต่อพวกเขาอาจทำให้ตัวคุณเองและลูกค้าของคุณตกอยู่ในความเสี่ยง

วิธีที่ดีที่สุดในการเข้าใกล้สิ่งนี้? จัดสรรเวลาเป็นประจำเพื่อตรวจสอบการอัปเดต สำรองข้อมูล และปรับใช้การอัปเดตเหล่านั้นในไซต์ของคุณ หากคุณไม่ต้องการกังวลเกี่ยวกับเรื่องนี้ คุณสามารถเปิดคุณลักษณะการอัปเดตอัตโนมัติใน WordPress ได้

8. สำรองข้อมูลร้านค้าของคุณเป็นประจำ

หากไซต์ของคุณเคยถูกแฮ็ก การสำรองข้อมูลเป็นวิธีที่เร็วและดีที่สุดในการทำให้เวอร์ชันสะอาดกลับมาทำงานอีกครั้ง

กู้คืนข้อมูลสำรองด้วย Jetpack

เลือกปลั๊กอินสำรองของ WooCommerce ที่จะดูแลคุณโดยอัตโนมัติ เราขอแนะนำ Jetpack Backup:

  • เลือกจากการสำรองข้อมูลรายวันที่เกิดขึ้นทุกๆ 24 ชั่วโมง และการสำรองข้อมูลแบบเรียลไทม์ ซึ่งเกิดขึ้นทุกครั้งที่มีการดำเนินการ (ผลิตภัณฑ์ที่ซื้อ หน้าที่อัปเดต ฯลฯ) เกิดขึ้นบนไซต์ของคุณ
  • ไม่ต้องกังวลกับการสูญเสียข้อมูลการสั่งซื้อ ไม่ว่าคุณจะกู้คืนข้อมูลสำรองจากเมื่อห้านาทีที่แล้วหรือห้าวันก่อน ข้อมูลคำสั่งซื้อทั้งหมดของคุณจะถูกบันทึกไว้จนถึงนาทีที่
  • กู้คืนได้ด้วยคลิกเดียว ไม่ต้องกังวลกับกระบวนการกู้คืนที่ใช้เวลานานและยาก เพียงค้นหาวันที่และเวลาที่คุณต้องการกู้คืนและคลิกปุ่ม

เมื่อเริ่มต้นร้านค้าของคุณ ให้ความสำคัญกับความปลอดภัยเป็นหลัก

เป็นเรื่องง่ายที่คุณจะสูญเสียความปลอดภัยในการเปิดร้านที่เร่งรีบและคึกคัก แต่ก็ไม่ใช่สิ่งที่คุณควรทำอย่างไม่ใส่ใจ การรักษาข้อมูลของลูกค้าให้ปลอดภัยควรมีความสำคัญสูงสุดตั้งแต่เริ่มต้น

เมื่อทำตามขั้นตอนง่าย ๆ เหล่านี้ คุณจะสร้างรากฐานสำหรับร้านค้าที่ปลอดภัยและเชื่อถือได้ ซึ่งได้รับการปกป้องอย่างดีในกรณีที่เกิดการโจมตีได้ยาก

มีข้อเสนอแนะใด ๆ สำหรับเจ้าของร้านค้ารายใหม่ที่เพิ่งเริ่มคิดเกี่ยวกับความปลอดภัยของ WordPress และ WooCommerce หรือไม่? เราชอบที่จะได้ยินจากคุณในความคิดเห็น