完整的 WooCommerce 安全清单(2022 年指南)

已发表: 2021-03-23

安全性是任何电子商务商店最关心的问题。 毕竟,您不仅需要确保内容安全,还需要保护客户信息和订单数据。

因此,如果您正在考虑开一家网店,或者它已经构成了您收入的一部分,那么是时候确保您的业务得到充分保障了。

为什么网上商店需要更高的安全性

当您在线销售时,您会处理大量敏感信息:个人姓名、信用卡号、地址等。 活跃的商店一直在收集新信息,因此您需要负责的数据集不断增长。

确保您的网站具有一流的安全性将使您能够:

  • 保护客户的个人信息免受黑客和攻击者的侵害,让客户放心购物;
  • 保护您的收入流免受中断和销售损失;
  • 为税务和法律目的保留所有每分钟的销售数据;
  • 保持您的品牌和声誉作为值得信赖的企业; 和
  • 避免与黑客入侵后重建业务相关的成本,例如因停机导致的销售损失、未完成的订单导致的退款以及网站维修成本

如何识别黑客

黑客可以采取多种形式,您甚至可能没有意识到您的网站已被立即入侵。

要识别黑客攻击,请查找:

  • 不是您创建的新管理员帐户。
  • 评论、产品描述或评论中指向恶意软件的垃圾邮件链接。
  • 不寻常的警报框或重定向到第三方网站的链接。
  • 来自 Google 的关于您的商店已被标记的警报。
  • 奇怪、意外或丢失的客户电子邮件。
  • 加载时间非常慢或超时错误。

但大多数企业主都忙于库存、营销或订单履行,无法持续监控问题或黑客行为。 这就是为什么您应该添加的第一件事是停机时间监控,它会自动检查您的站点是否已启动并运行,并在未启动时提醒您。 这使您可以立即采取行动来修复和恢复您的在线商店。

您还可以从 Jetpack Scan 中受益,这是一款顶级恶意软件扫描插件,可自动检查您的商店是否存在黑客攻击,因此您无需担心! 如果发现任何错误,您会收到警报,您甚至可以一键修复大多数已知威胁。

Jetpack Scan 仪表板显示当前恶意软件扫描进度

WooCommerce 的完整安全清单(14 个步骤)

最好在黑客攻击发生之前阻止它们。 如果您可以对以下问题回答“是”,那么您将有一个良好的开端!

1. 您是否使用安全、信誉良好的提供商进行托管?

您的主机是抵御攻击的第一道防线。 如果他们没有适当的安全措施,您的文件和数据库可能容易受到攻击,即使您做对了所有其他事情。

选择主机时,请寻找具有以下条件的主机:

  • 内置防火墙。 防火墙控制谁可以访问您的服务器,谁不能访问,让黑客和机器人远离您的网站文件。
  • 安全扫描。 许多主机会定期扫描其服务器上的所有站点,如果他们发现任何可疑的东西,例如恶意软件,就会通知您。 一些提供商甚至会为您解决这些问题,通常需要支付额外费用。
  • 备份。 虽然您还想制作自己的备份(稍后会详细介绍),但拥有多个站点副本是个好主意。 许多托管公司在他们的计划中包含备份,而其他公司则将它们作为付费升级提供。
  • 优秀的支持团队。 如果您确实遇到问题,您希望专家可以帮助您确定后续步骤。 确保您的房东拥有一支强大的支持团队,可以通过最方便的方式(实时聊天、电话等)与您取得联系
  • 口碑不错。 查看真实客户的评论并了解他们的体验。 这是了解托管服务提供商的最准确方式。

不知道从哪里开始? WooCommerce 汇总了一份经过全面审查的推荐托管公司列表。

2. 你有 SSL 证书吗?

SSL(安全套接层)证书对从您的客户发送到您网站的信息进行加密,并验证您网站的身份。 这是对信用卡数据和地址等信息的关键保护。 谷歌在确定搜索引擎排名时也会考虑它。

大多数主机免费提供 SSL 证书,但有些主机收取的费用相对较低。

3. 您是否使用安全、安全的主题和插件版本?

无效插件和主题是高级插件和主题的盗版版本,免费或低价提供。 它们不仅不受支持,而且也没有更新,因此它们可能与 WordPress 或其他插件发生冲突。 而且,更令人担忧的是,它们通常充满恶意软件,可能会破坏您的网站和客户数据。

始终从受信任的来源下载插件和主题,例如 WordPress 存储库或 WooCommerce 市场。

WooCommerce Marketplace 特色扩展集合
WooCommerce 市场中的特色扩展集合

4. 您的 WordPress 网站上的所有内容都更新了吗?

WordPress、主题和插件更新并不总是只包含新功能; 他们经常修复黑客可以利用的错误和漏洞。 始终在可用时执行更新,以确保您的站点安全并避免冲突。

不想跟踪更新? Jetpack 可以选择自动执行此过程。

5. 你使用的是最新版本的 PHP 吗?

大部分 WordPress 核心是用 PHP 编写的,这是一种编程语言。 您应该更新站点使用的 PHP 版本,原因与更新主题和插件的原因相同:以防止出现错误和漏洞。

您可以在您的主机设置中更新您的 PHP 版本,或者请您的主机提供商为您处理此问题。 查看最新的 WordPress 要求。

6. 您是否查看过您的用户权限?

每个 WordPress 用户都被分配了一个角色,其中包括一组允许他们在您的网站上执行某些任务的功能。 管理员可以完全访问所有内容,并且可以进行他们想要的任何更改; 作为店主,这应该是你的角色。 但是,客户无法访问您网站的后端,但可以编辑自己的帐户信息并查看当前和以前的订单。 查看用户角色和权限的完整列表。

不时检查和清理您的用户帐户。 每个用户都应该只拥有完成工作所需的最低权限,如果您不再与某人合作,请确保删除他们的帐户。 例如,如果您与 Web 开发机构合作构建您的网站并且项目已完成,您可能希望删除他们的帐户,除非将来需要持续更新。

7. 您是否使用安全的用户名和密码?

黑客经常使用机器人尝试数千种不同的用户名和密码组合,直到找到正确的组合(这称为暴力攻击。)您的密码越容易猜到,黑客就越有可能访问您的商店。

一个好的密码有一个大写字母、小写字母、数字和符号,并且长度至少为 20 个字符。 确保至少每个管理员用户都在实施这种类型的密码。

当涉及到用户名时,请避免使用“管理员”或“管理员”等常见标题。 相反,为每个人创建一个特定的用户名。

8. 您是否考虑过更改您的登录 URL?

默认情况下,可以通过您的 URL /wp-admin 访问每个 WordPress 登录页面。 如果您想采取额外的安全措施,您可能需要更改 URL 以使攻击者更难以猜测此 URL。 您可以通过编辑 .htaccess 文件来做到这一点,或者,如果您不习惯更改代码,请使用 WP Hide Login 之类的插件。

9. 您是否为管理员启用了双重身份验证?

双重身份验证为您的登录页面增加了一层额外的安全性。 要登录,您不仅需要知道一些东西(用户名和密码),还必须实际拥有一些东西(您的移动设备)。 这大大降低了黑客进入您商店的可能性。

Jetpack 使两因素身份验证变得容易。 当您登录您的网站时,您会在手机上收到一个特殊的一次性代码,您必须输入该代码才能完成登录过程。 您甚至可以要求所有用户进行设置。 了解有关双重身份验证的更多信息。

10.你阻止暴力攻击吗?

正如我们之前所讨论的,当黑客使用机器人一遍又一遍地测试用户名和密码的组合直到他们找到正确的组合时,就会发生暴力攻击。 这不仅会使您的商店和客户数据面临风险,还会降低您的网站速度。

显示站点上阻止的恶意攻击总数的模块

但是 Jetpack 会在这些攻击到达您的站点之前自动阻止它们,因此您不必担心。

11. 您是否正在扫描您的网站以查找恶意软件?

如果有人确实访问了您的网站并注入了恶意软件怎么办? 您想立即知道,以便您可以删除该恶意软件并尽快解决问题。 但黑客是偷偷摸摸的——并不总是很明显他们已经进入了。

Jetpack Scan 会立即提醒您任何可疑活动,并且由于扫描发生在 Jetpack 的服务器上,即使站点出现故障,您也可以访问您的站点。 它还为大多数已知威胁提供一键修复。

12. 您是否设置了垃圾邮件过滤器?

垃圾评论不仅烦人; 它们还使您看起来不专业,并且可能包含将您的客户引导至充满恶意软件的网站的链接。 但是每周整理数百条评论既费时又令人沮丧。

显示 WordPress 网站上被阻止的垃圾邮件的图表

这就是 Jetpack Anti-spam 的用武之地! 它会自动消除评论和表单中的垃圾邮件,因此您甚至不必查看它。 您将节省时间、保护您的网站并同时提供更好的用户体验。

13. 您是否正在监控您的站点是否有停机时间?

如果您的网站出现故障,则可能是黑客入侵的迹象。 而且,它下降的时间越长,你失去的销售额就越多。 您希望尽快恢复并再次运行!

Jetpack 提供免费的停机时间监控,每五分钟从世界各地检查您的站点。 如果您的网站出现故障,您会收到即时通知,以便您立即解决问题。

14. 您是否设置了定期的异地备份?

如果您的站点出现问题,您可以拥有的最佳保护是可以快速轻松地恢复的完整备份。 即使您的主机提供备份,您也必须自己制作备份。 为什么? 因为如果您的服务器受到威胁,则存储在那里的任何备份也可能受到损害。

在 WooCommerce 商店上进行备份

Jetpack Backup 是一个出色的解决方案。 有两个计划选项:

  1. 每日备份,每天保存一次您网站的副本。
  2. 实时备份,每次更新页面、发布新帖子或进行销售时都会保存您网站的副本。 这些对在线商店特别有用,因为您永远不必担心丢失订单信息。

Jetpack 将备份文件存储在多个位置,与您的站点完全分开。 这意味着如果您的服务器受到威胁,您的备份将不会受到影响。 在大多数情况下,如果您的站点完全关闭,您甚至可以恢复备份!

如何在最坏的情况下恢复

如果您的在线商店有恶意软件并且您有 Jetpack Security,您将收到通知,以便您可以立即解决问题。 您的第一步应该是检查您的活动日志,在那里您可以看到您网站上发生的所有事情的完整列表。 您可以使用此信息通过检查可疑活动(例如不熟悉的登录名和编辑的页面)来确定黑客入侵的时间。

显示 WordPress 网站上发生的一切的活动日志

然后,最快的恢复方法是使用 Jetpack Backup。 只需单击几下,您的网站就可以重新启动并再次运行,并且停机时间最短。 您所要做的就是从黑客攻击之前选择一个备份并等待它恢复。 对,就是这样!

一旦您的商店的干净版本启动并运行,请使用 Jetpack Scan 确保您的网站上没有剩余的恶意软件。 Jetpack 为您解决了大多数已知威胁,因此如果发现任何问题,您很可能无需担心故障排除。

最后,花时间通过更改所有密码并检查您的主题、插件和核心文件是否为最新来保护您的网站。

需要帮助吗? Jetpack Security 包括来自经验丰富的技术团队的优先支持,可以为您指明正确的方向。

确保您的 WooCommerce 商店安全

花时间完全保护您的 WooCommerce 商店将确保您的客户可以放心购物,并且您无需担心您的数据或声誉。

做到这一点的最佳方法之一是将 Jetpack Security 和 WooCommerce 结合起来——这很有意义! 它们是两个成熟的、受人尊敬的 WordPress 插件,它们同步工作以保护您的网站并添加功能。 总之,它们意味着更少的移动部件、更少的外部插件以及让您作为企业主更加安心。

经常问的问题

WooCommerce 网站会被黑客入侵吗?

是的,就像任何网站一样,WooCommerce 商店可能会被黑客入侵。 但是,WordPress 和 WooCommerce 包含有助于保护您的内容和客户数据的功能。 而且,当您采取一些基本的安全措施时——比如选择一个好的主机、保持更新以及安装最好的安全插件——你可以高枕无忧,因为你知道你的网站在好人手中。

WooCommerce 网站是否需要 SSL?

SSL 证书会对您网站上提交的信息(如信用卡数据和地址)进行加密,以确保其免受恶意方的侵害。 如果黑客访问了该信息,则可能会使您的业务面临法律风险并损害您的声誉。 而且,SSL 证书不仅可以保护您和您的客户,而且对您的搜索引擎排名也很重要。

虽然建议任何网站都使用 SSL 证书,但对于在线商店来说更为重要,因为它们收集的数据类型是为了处理交易。

哪个 SSL 证书最适合 WooCommerce 网站?

大多数主要的托管服务提供商都在他们的计划中包含 SSL 证书,而其他提供商则需要额外付费才能使用它们。 通常,只需单击几下即可轻松安装。

但是,如果您的主机不提供此功能,我们建议您使用 Let's Encrypt。 这是一项值得信赖的服务,提供免费的 SSL 证书以支持更安全的网络。 注意:托管计划中包含的许多 SSL 证书来自 Let's Encrypt。

了解有关在您的 WooCommerce 商店安装 SSL 证书的更多信息。

如何在 WooCommerce 网站上强制使用 HTTPS?

当您成功地将 SSL 证书添加到您的商店时,它会将您的 URL 从 http://example.com 更改为 https://example.com。 “https”中的“s”代表 SSL。

当您在商店中强制使用 HTTPS 时,键入您网站“http”版本的访问者将自动重定向到“https”版本。 这可确保为每个购物者正确加密所有内容。

您可以通过在 .htaccess 文件中添加几行代码或使用 WordPress 插件来强制使用 HTTPS。 Kinsta 提供了一个很好的指南来做到这一点。

WooCommerce 比 Shopify 更安全吗?

Shopify 是一个为您处理安全问题的托管平台。 虽然这有其好处 - 您不必担心实施安全措施 - 这也意味着您几乎无法控制自己的保护。

这也不意味着 Shopify 更安全。 毕竟,黑客和机器人不会歧视。 他们只是一个接一个地尝试,直到他们找到一个他们可以进入的地方。 因此,如果您采取适当的安全措施,您的商店将与任何平台上的其他商店一样安全——而且在许多情况下,安全。

同样重要的是要注意,WordPress 和 WooCommerce 都由一个热衷于帮助您成功的团队提供支持。 他们不断努力确保平台安全,这就是为什么定期更新您的软件如此重要。

WooCommerce 的本指南提供了有关其与 Shopify 比较的更多详细信息。