5 เคล็ดลับความปลอดภัยหลังเปิดตัวสำหรับร้านค้า WooCommerce

เผยแพร่แล้ว: 2016-04-12

ตามที่เราได้กล่าวถึงในบทนำเกี่ยวกับความปลอดภัยของ WooCommerce การสร้างรากฐานสำหรับร้านค้าที่ปลอดภัยและได้รับการป้องกันอย่างดีนั้นใช้เวลาเพียงไม่กี่ขั้นตอน แต่เคล็ดลับส่วนใหญ่ที่เรานำเสนอคือสิ่งที่คุณควรทำ ก่อน เปิดตัวร้านค้าของคุณ หรืออาจจะหลังจากนั้นทันที

การรักษาความปลอดภัยไม่ใช่สิ่งที่คุณจะนึกถึงครั้งแล้วครั้งเล่า หากคุณไม่ดูแลร้านของคุณให้ทันสมัยอยู่เสมอ ใส่ใจกับแนวโน้มด้านความปลอดภัย หรือเพิ่มการป้องกันให้แข็งแกร่งเมื่อคุณเติบโตและขยายขนาด คุณอาจกำลังตกอยู่ในสถานะที่เปราะบาง... และยังทำให้ลูกค้าของคุณตกอยู่ในความเสี่ยง

มาสำรวจวิธีอื่นๆ อีกสองสามวิธีในการรักษาความปลอดภัยให้กับการเปิดตัวโพสต์ในร้านค้าของคุณ

1. ซ่อนหมายเลขเวอร์ชันของ WordPress

“โอเค” คุณอาจจะพูดว่า “อะไรนะ? สิ่งนี้ ทำให้ฉันปลอดภัยได้อย่างไร”

ก็ไม่ได้ ไม่ได้โดยตรง แต่หากคุณอัปเดต WordPress ได้ช้าในบางครั้ง การดูซอร์สโค้ดของคุณแบบคร่าวๆ อาจบอกผู้โจมตีที่อาจเป็นไปได้ว่าคุณมีความเสี่ยงต่อการโจมตี อื่นๆ มากกว่า

WordPress เวอร์ชันปัจจุบันสามารถพบได้ในสามจุด:

  1. เมตาแท็กของตัวสร้างในส่วนหัวของคุณ
  2. เมตาแท็กของตัวสร้างในฟีด RSS ของคุณ
  3. สตริงการสืบค้น

ดังนั้น หากคุณเป็นบุคคลที่มีเจตนาดีที่ต้องการทดสอบการอัปเดตของคุณเป็นเวลาหนึ่งหรือสองวัน และต้องการซ่อนหมายเลขเวอร์ชันด้วยเหตุผลที่ดี คุณสามารถใช้รหัสของ Frankie Jarrett เพื่อซ่อนหมายเลขเวอร์ชันจากทุกคนได้ สามจุดเหล่านี้ ไปที่โพสต์ของเขาเพื่อรับมัน แล้ววางลงในไฟล์ functions.php ของคุณ

เหลือบสั้น ๆ เกี่ยวกับโค้ดนี้ โดยได้รับความอนุเคราะห์จาก Frankie Jarrett
เหลือบสั้น ๆ เกี่ยวกับโค้ดนี้ โดยได้รับความอนุเคราะห์จาก Frankie Jarrett

อีกครั้ง การ ซ่อนเวอร์ชันด้วยตัวเอง จะไม่ ป้องกันคุณ — คุณควรปรับปรุง WordPress, WooCommerce และปลั๊กอินและส่วนขยายทั้งหมดของคุณให้อัปเดต อยู่เสมอ แต่เรายังเข้าใจด้วยว่ามักจะมีช่องว่างระหว่างการทดสอบและการนำไปใช้งาน ดังนั้นสิ่งนี้จึงสามารถช่วยให้คุณปลอดภัยในระหว่างนี้

2. บังคับใช้ SSL ในหน้าชำระเงินของคุณ

ความปลอดภัยเริ่มต้นด้วยการเชื่อมต่อที่ปลอดภัย เมื่อทำตามเคล็ดลับนี้ คุณจะมั่นใจได้อย่างแน่นอนว่าคุณกำลังปกป้องลูกค้าของคุณจากการสอดแนมในขณะที่พวกเขาป้อนข้อมูลการเรียกเก็บเงินและการจัดส่งที่ละเอียดอ่อนที่จุดชำระเงิน

ด้วยการตั้งค่า "บังคับการชำระเงินที่ปลอดภัย" ที่เปิดใช้งานใน WooCommerce หน้าทั้งหมดที่เกี่ยวข้องกับกระบวนการเช็คเอาต์ของคุณจะถูกบังคับให้ใช้ HTTPS (นั่นคือการเชื่อมต่อที่ปลอดภัย) ทุกครั้งที่โหลด

เนื่องจากมีเพียงเบราว์เซอร์ของลูกค้าและร้านค้าของคุณสามารถถอดรหัสข้อมูลที่ส่งผ่านการเชื่อมต่อ HTTPS ได้ การเลือกช่องนี้จะช่วยให้การชำระเงินของคุณปลอดภัย และไม่มีใครที่มีเจตนาร้ายแอบดูหมายเลขบัตรเครดิตหรือข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่ส่งเข้ามาได้ และออกจากร้านของคุณ

คำบรรยาย
การบังคับการชำระเงินที่ปลอดภัยจะรักษาทั้งคุณและลูกค้าของคุณให้ปลอดภัย ข้อกำหนดเบื้องต้นเพียงอย่างเดียวคือใบรับรอง SSL

การตั้งค่านี้สามารถเปิดหรือปิดได้ใน WooCommerce โดยไปที่ WooCommerce > Checkout และเปิดหรือปิดช่องทำเครื่องหมายที่สอง

โปรดทราบว่า จำเป็นต้องมีใบรับรอง SSL ที่ถูกต้องเพื่อให้การตั้งค่านี้ทำงานได้อย่างถูกต้อง ในร้านค้าของคุณ หากคุณยังไม่ได้รับใบรับรอง SSL โปรดอ่านคู่มือนี้เพื่อเรียนรู้เพิ่มเติมว่าเหตุใดจึงสำคัญและวิธีรับใบรับรอง SSL เพียงเล็กน้อยหรือไม่มีค่าใช้จ่าย

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับการตั้งค่านี้ใน WooCommerce โดยการอ่านหน้านี้ในเอกสารของเรา

3. ทำการสำรองข้อมูลและการสแกนความปลอดภัยเป็นประจำทุกวัน

ในโพสต์เกี่ยวกับความปลอดภัยครั้งแรกของเรา เราแนะนำให้ใช้ซอฟต์แวร์ที่เชื่อถือได้เพื่อสแกนไซต์ของคุณเพื่อหาช่องโหว่ที่อาจเกิดขึ้น การโจมตีแบบเดรัจฉาน หรือมัลแวร์ เมื่อคุณเปิดตัวแล้ว ก็ถึงเวลาที่จะก้าวไปอีกระดับ

เมื่อร้านค้าของคุณเริ่มทำงาน ทั้งการสำรองข้อมูลและการสแกนความปลอดภัยควรทำเป็นประจำทุกวัน การสำรองข้อมูลมีความสำคัญเนื่องจากจะทำให้คุณมีบางสิ่งบางอย่างสำรองในกรณีที่ข้อมูลสูญหาย ในขณะที่การสแกนความปลอดภัยจะป้องกันการสูญเสีย (หรือการติดเชื้อ) ดังกล่าวไม่ให้เกิดขึ้นตั้งแต่แรก

คุณสามารถกำหนดความถี่ของการสแกน การสำรองข้อมูล และการแจ้งเตือนได้ตามต้องการ แต่เราขอแนะนำ การสำรองข้อมูลรายวันและการสแกนรายวันเป็นอย่างน้อย โซลูชันบางตัวมีการสำรองข้อมูลแบบเรียลไทม์และการสแกนบ่อยครั้ง — การป้องกันการเข้าสู่ระบบแบบเดรัจฉานของ Jetpack นั้นเป็นแบบเรียลไทม์เช่นกัน — แต่คุณสามารถปรับขนาดความถี่ขึ้นหรือลงได้ตามที่คุณต้องการ

หากคุณยังอยู่ในตลาดสำหรับโซลูชันการสำรองข้อมูลและการรักษาความปลอดภัยที่เชื่อถือได้ มีประสิทธิภาพ แผน Jetpack Premium จะมาพร้อมกับการสำรองข้อมูล — และลูกค้า WooCommerce สามารถประหยัดได้ 15% ทันที รับ Jetpack เพื่อความสบายใจตั้งแต่วันแรก

4. เปลี่ยนคำนำหน้าเริ่มต้นที่ใช้ในฐานข้อมูล WordPress ของคุณ

ดูเหมือนว่าแปลกมีคนที่น่ารังเกียจบางคนที่โจมตีเว็บไซต์เพื่อความบันเทิงของตนเอง แม้ว่าคุณอาจคิดว่าร้านค้าของคุณปลอดภัย 100% แต่ก็มีช่องโหว่เล็กๆ น้อยๆ ที่นักส่งสแปมและแฮ็กเกอร์เหล่านี้จะค้นหาและใช้ประโยชน์ หากมีโอกาส

ช่องโหว่หนึ่งที่ทราบกันดีอยู่แล้วนั้นมาจากการใช้การตั้งค่าตารางฐานข้อมูลเริ่มต้นระหว่างการติดตั้งและการติดตั้ง WordPress การเปลี่ยนการตั้งค่าเหล่านี้สามารถช่วยป้องกันไม่ให้โค้ดที่เป็นอันตรายถูกแทรกเข้าไปในเซิร์ฟเวอร์ของคุณ

คำนำหน้าเริ่มต้นสำหรับตารางฐานข้อมูลที่ใช้เก็บข้อมูล WordPress คือ wp_ เนื่องจากเจ้าของร้านค้าส่วนใหญ่ไม่เปลี่ยนคำนำหน้านี้ระหว่างการตั้งค่า (หรือไม่มีตัวเลือกในการดำเนินการดังกล่าว ทั้งนี้ขึ้นอยู่กับโฮสต์/ขั้นตอนการติดตั้ง) การ ใช้ค่าเริ่มต้นอาจทำให้พวกเขาเสี่ยงต่อการถูกโจมตีด้วยการฉีด SQL (รวมถึงอื่นๆ ) ทั้งหมดเป็นเพราะแฮกเกอร์รู้ดีว่าตารางเริ่มต้นเหล่านี้มีชื่อว่าอะไร

ถึงตอนนี้ คุณคงตั้งค่า WordPress และ WooCommerce เรียบร้อยแล้ว แต่ยังไม่สายเกินไปที่จะเปลี่ยนการตั้งค่าเหล่านี้ แบบสอบถาม SQL หรือเรียกใช้สองครั้งใน phpMyAdmin จะทำให้คุณตรงในเวลาไม่นาน

ด้วย SQL ที่อยู่ในตำแหน่งที่ดี คุณสามารถเปลี่ยนชื่อคำนำหน้าตารางของคุณ และเพิ่มความปลอดภัยอีกชั้นหนึ่งให้กับการติดตั้ง WordPress ของคุณ (เครดิตรูปภาพ: ขุดลงไปใน WP)
ด้วย SQL ที่อยู่ในตำแหน่งที่ดี คุณสามารถเปลี่ยนชื่อคำนำหน้าตารางของคุณ และเพิ่มความปลอดภัยอีกชั้นหนึ่งให้กับการติดตั้ง WordPress ของคุณ (เครดิตรูปภาพ: ขุดลงไปใน WP)

ดูบทช่วยสอนทีละขั้นตอนอย่างละเอียดและมีประโยชน์อย่างเหลือเชื่อจาก Digging Into WP เพื่อเรียนรู้วิธีเปลี่ยนคำนำหน้าตารางฐานข้อมูลของคุณ เป็นสิ่งที่ซับซ้อนกว่ามาก — ไกลและปลอดภัยกว่ามาก

แบบสอบถาม SQL ไม่ใช่ของคุณ? มีปลั๊กอินฟรีอยู่สองสามตัวที่จะทำสิ่งเดียวกันให้สำเร็จ แต่โปรดใช้ความระมัดระวัง การ อนุญาตให้เข้าถึงฐานข้อมูล SQL ของคุณได้อย่างไม่จำกัดอาจเป็นอันตราย ได้ อย่างน้อยที่สุด ให้ถอนการติดตั้งปลั๊กอินแบบนี้เมื่อคุณทำเสร็จแล้ว ดังนั้นจึงไม่มีการเปลี่ยนชื่อโดยไม่ได้ตั้งใจในอนาคต

5. กำจัดบัญชี “ผู้ดูแลระบบ” ของคุณ

คำแนะนำสุดท้ายนี้อาจดูน่ารำคาญสำหรับพวกคุณบางคน หรือแม้กระทั่งอาจดูเหมือนความรู้ทั่วไปสำหรับคนอื่นๆ แต่มันสำคัญมาก เราจึงต้องการใช้เวลาในการเน้นย้ำที่นี่

ไม่แนะนำให้ใช้บัญชีผู้ดูแลระบบเริ่มต้นที่สร้างขึ้นใน WordPress เมื่อคุณใช้งานร้านค้าออนไลน์ เช่นเดียวกับคำนำหน้าตารางฐานข้อมูล แฮ็กเกอร์รู้ว่าบัญชีนี้ (มีแนวโน้มมาก) มีอยู่โดยค่าเริ่มต้น ซึ่งให้โอกาสที่ดีกว่าสำหรับพวกเขาในการรุกล้ำเข้ามา

แม้แต่ บัญชีที่ฟังดูคล้ายคลึงกัน เช่น "testadmin" "administrator" หรือ "owner" ก็ยังทำให้ร้านค้าของคุณตกอยู่ในความเสี่ยง — พวกเขาสามารถเดาได้ง่ายเช่นเดียวกัน ตามที่หน้า Attacking WordPress บน HackerTarget.com อธิบาย (ไม่ต้องกังวล มันเป็นแหล่งข้อมูลสำหรับคำแนะนำ ไม่ใช่วิธีการแฮ็ก) เมื่อแฮ็กเกอร์รู้ว่ามีบัญชีอยู่แล้ว พวกเขาสามารถใช้เครื่องมือในการเดารหัสผ่านของคุณได้อย่างรวดเร็ว :

[…]. มีการทดสอบรหัสผ่าน 500 รายการกับบัญชี "testadmin" (ซึ่งถูกค้นพบระหว่างการแจงนับผู้ใช้) รหัสผ่าน 500 อันได้รับการทดสอบใน 1 นาที 16 วินาที! ขณะทำการทดสอบ ไซต์ยังคงตอบสนอง ผู้ดูแลระบบเว็บเซิร์ฟเวอร์จะไม่ทราบว่าการโจมตีเกิดขึ้นหากไม่มีระบบตรวจสอบบันทึกความปลอดภัย

พวกเขาอาจได้รับรหัสผ่านผิด แต่ตอนนี้พวกเขารู้อย่างอื่นแล้ว: บัญชีนี้มีอยู่แล้ว (เครดิตรูปภาพ: HackerTarget.com)
พวกเขาอาจได้รับรหัสผ่านผิด แต่ตอนนี้พวกเขารู้อย่างอื่นแล้ว: บัญชีนี้มีอยู่แล้ว (เครดิตรูปภาพ: HackerTarget.com)

คุณธรรมของเรื่องราว: บัญชีผู้ดูแลระบบของคุณควรมีชื่อที่มีลักษณะเฉพาะและไม่น่าจะมีใครเดาได้โดยเจตนามุ่งร้าย ใช้ชื่อเล่นเฉพาะ ชื่อเต็มที่มีชื่อย่อหลายตัวคั่นกลาง หรืออย่างอื่นที่คาดเดาได้ยาก (เช่น ชื่อและนามสกุลของคุณ หรือชื่อร้านค้าของคุณ)

และอย่าลืม ใช้รหัสผ่านที่ปลอดภัย ดังนั้นแม้ว่า จะ มีคนคาดเดาชื่อบัญชีของคุณ แต่ก็ยังไม่สามารถเข้าสู่ระบบได้ หากคุณต้องการทบทวนว่าอะไรปลอดภัยและไม่ปลอดภัย โปรดดูหัวข้อ #2 ในโพสต์นี้

รักษาความปลอดภัยอย่างจริงจังเมื่อร้านค้าของคุณออนไลน์

แม้ว่าจะมีหลายสิ่งที่คุณสามารถทำได้เพื่อทำให้ร้านค้าปลอดภัยก่อนเปิดตัว แต่การ รักษาความปลอดภัยควรเป็นปัญหาอย่างต่อเนื่องสำหรับเจ้าของร้านค้า ไม่ใช่สิ่งที่ "ทำเสร็จแล้ว" การปฏิบัติตามเคล็ดลับเหล่านี้และทำให้ร้านค้าและ WordPress อัปเดตอยู่เสมอ คุณจะอยู่ในตำแหน่งที่ดีที่จะรักษาลูกค้าและทีมของคุณให้ปลอดภัย

มีคำถามเกี่ยวกับเคล็ดลับด้านความปลอดภัยที่แนะนำในโพสต์นี้หรือไม่? หรือดีกว่ายังมีเคล็ดลับขั้นสูงของคุณเองที่จะแบ่งปัน? เรายินดีรับข้อเสนอแนะและความคิดของคุณในความคิดเห็นด้านล่าง