如何创建安全支付网关
已发表: 2021-10-07安全总比后悔好。 对于在线商店来说,这种说法更是如此。 保护您的支付流程对于保持客户信任和维持您的业务和收入流动至关重要。
您的支付系统是否处于锁定状态? 了解有关攻击的更多信息,并确保您受到我们的安全清单的保护。
支付网关攻击是什么样的?
当网络犯罪分子瞄准您的支付网关时,他们的目标是发现或窃取信用卡信息,然后他们可以在线销售这些信息。
支付网关攻击可能采取以下形式:
- 枚举攻击,测试信用卡组合的有效性以找到有效的组合。 在您的网站上,这可能看起来像是无数次尝试以小订单结帐的失败。
- 被盗的管理员凭据。 犯罪分子使用网络钓鱼技术或其他方法访问您的管理员帐户和支付网关,目的是窃取客户的信用卡信息。
- 克隆的 POS 设备。 不良行为者复制您的销售点设备(使用您的支付网关凭证)来生成虚假订单。
为什么要关心支付网关的安全性?
一旦您的商店启动并运行,您可能会认为自己已经足够安全了——尤其是如果您还没有成为黑客的焦点。 但是,当犯罪分子瞄准您的支付网关时,您可能会发现自己面临以下后果:
- 整理和处理违规行为所需的时间,使您无法将时间花在业务的创收部分上。
- 由于暴力攻击的流量导致网站性能问题。
- 与您的支付网关提供商的信任受到侵蚀,可能导致更高的费用或服务取消。
如何锁定您的网站
希望您永远不必担心实际的攻击。 但是为了安全起见,请对这些问题中的每一个问题进行一些思考、时间和投资,以确保您的网站被锁定。
对用户帐户和结帐流程使用 CAPTCHA
通过将验证码添加到您的注册和结帐页面,确保机器人无法进入您的系统。 尽管这对客户来说是一个额外的步骤,但它以简单有效的方式阻止机器人攻击您的网站是值得的。
您可以使用多种方法来简化合法客户的流程,同时仍然增加安全性。 考虑一下用于 WooCommerce 扩展的 ReCaptcha 的高级功能,以在易用性和安全性之间找到适当的平衡。
投资优质托管
您的主机是您在性能和安全方面的合作伙伴。 优质的提供商将包括关键的安全功能,例如:
- SSL 证书,用于加密客户信息,例如信用卡数据和地址。
- 遵循所有信用卡公司准则的 PCI 兼容服务器。
- 定期站点扫描、备份和暴力攻击监控。
但不要只依赖你的主机。 考虑在您的网站上添加防火墙,作为商店和黑客之间的屏障,防止他们进入。
而且,Jetpack Security 等工具提供恶意软件扫描、停机警报和异地备份。
使用反欺诈插件
使用反欺诈软件直接保护您的支付网关,该软件可监控您的订单并监视任何可疑活动。
WooCommerce Anti-Fraud 等扩展程序将寻找属于典型攻击模式的交易,并将可疑订单和可疑用户置于锁定状态。
您可以阻止以下活动:
- 许多小订单迅速接连下达
- 来自典型订单区域之外的地理位置的订单突然涌入
- 从电子邮件地址和 IP 地址的阻止列表中下的订单
- 帐单地址和送货地址之间的可疑差异
- 由未经验证的新 PayPal 账户付款
- 使用代理服务器和其他掩蔽活动
您可以设置要标记的订单的敏感度级别,以便为您的商店找到合适的风险级别。
确保密码安全
我们都知道密码安全的基础知识:使用各种字符,不要使用个人姓名或日期,不要跨网站重复使用密码。 但是您可以通过以下方式增加额外的安全性:
- 使用特殊字符等使您的管理员密码更加复杂。
- 添加密码锁定软件,这将限制登录尝试失败的次数
- 确保用户只有执行其工作或任务所需的最低权限
- 警惕网络钓鱼诈骗,切勿与可疑企业或个人分享您的密码信息
密码也可用于保护您网站的某些部分。 使用密码保护类别扩展来限制对常用区域的访问。 购物者需要有一个帐户来验证他们的身份,或者必须通过安全渠道直接从您那里访问密码。
限制支付卡信息存储
WooCommerce 的一大特色是您根本不需要存储信用卡信息——您的支付网关将处理最易受攻击和最重要的安全信息。
关键提示:确保您选择的支付网关使用标记来来回传递信用卡信息。 为了获得最大的安全性,请考虑WooCommerce Payments 。
但是,如果您想允许您的客户设置订阅或注册预订,那么您的系统可能会在您的网站上或通过您的支付网关存储一些有关支付选项的信息。 限制客户可以更新其信用卡信息的次数。 每天几次更新是暴力攻击的危险信号。
安全停用 POS 设备
当 POS 设备的使用寿命已过时,请确保将其安全停用。 这意味着擦除所有内存和设置,以确保删除任何访问代码或存储的密码并且无法克隆或复制。 这也意味着将这些设备归还给来源公司,以便安全处置; 不要让它们在您的商店后面聚集灰尘。
支付系统的所有部分都得到充分保护,您会知道自己已尽一切努力确保最重要的业务资产安全无虞。 将攻击者拒之门外,并确保您将精力花在创收和增长上,而不是处理安全漏洞。