安全 WooCommerce 商店的 9 点清单

WooCommerce 是一个流行的 WordPress 电子商务插件，为超过 28% 的在线商店提供支持。 作为可公开访问的软件，WordPress 可以定制和修改以构建一个独特的 WooCommerce 网站。 另一方面，就像互联网上的所有网站一样，WordPress 网站也容易受到黑客攻击。 而且它实际上与 WordPress 核心网站无关，而是由于可避免的安全问题。

在这篇文章中，我们将向您介绍最重要的 WooCommerce 安全提示，以防止您的电子商务商店被恶意用户入侵。 您可以以不同的方式规划和实施它们，但有一个简单有效的解决方案可以优化您的站点的安全性，我们也在此处讨论。

加强 WooCommerce 安全性的 9 点清单

以下是提高 WooCommerce 安全性的方法。 您可以轻松地自行实施其中一些安全措施，而其他安全措施则需要 WordPress 专家的干预。

1. 保持你的插件是最新的

更新你的插件和主题是必不可少的——原因如下：

• 黑客可以利用插件和主题中的漏洞，并通过这些插件/主题开始攻击您的网站。 他们可能成功访问业务和客户数据，在暗网上进行销售、转移资金或实施欺诈等非法行为。

• 过时的插件造成 91% 的安全漏洞，因此需要更新。 此外，每天有数千个网站被黑客入侵。 如果黑客侵入您的商店，他们可能会将恶意代码传递给毫无戒心的用户访问您的网站。 或者他们可能会发起 DDoS 攻击以减慢或关闭您的网站，从而导致停机，平均每分钟花费 5,600 美元。

• 插件和主题更新附带错误修复和性能改进。 最新版本修复了以前软件版本中发现的问题，甚至可能添加新功能。 维护插件/主题使它们保持可用和安全。

要更新 WordPress 主题或插件，请访问 WordPress 管理员中的“更新”选项卡。 我们建议您首先更新临时站点上的主题/插件（您的实时网站的克隆），以在将更改应用到您的实时站点之前对其进行测试。 这是因为更新插件有时会导致“致命错误”，因为插件代码与核心 WP 文件中使用的代码不兼容。

如果您具有技术背景，则可以更轻松地设置临时站点。 如果没有，专业人员可以为您设置，帮助确保更新可以安装。 您可以照顾您的 WooCommerce 安全性，并避免因更新问题而产生的任何后果。

2. 选择专门的 WooCommerce 托管服务提供商

您需要 WooCommerce 的特殊托管吗？ 好吧，考虑到一般的 WooCommerce 网站是数据库密集型的并且必须适应高流量，专门的 WooCommerce 托管公司比常规托管服务更适合。 从 WooCommerce 安全的角度来看，可以期望这样的提供商提供涵盖您网站上所有必要区域的专业支持。

以下是您在寻找托管服务提供商时需要查看的一些安全功能：

• SSL 证书可启用加密连接并阻止黑客查看姓名、地址、密码、信用卡号和其他敏感数据。

• 自动备份可让您的站​​点在发生攻击时恢复正常运行。

• 攻击监控以实时检测和缓解攻击。

• 知识渊博的 WooCommerce 托管专家提供 24/7 全天候支持，以帮助您解决安全问题。

• 一个内置的暂存环境，可在您将插件上线之前安全地测试插件和对商店的更改。

在性能方面，您可能需要关注提供商承诺的正常运行时间保证。 如果您有一个包含许多产品的大型 WooCommerce 网站并每天吸引大量流量，那么保证 99.9% 的正常运行时间就足够了。

3. 使用 WordPress 安全插件设置防火墙

即使您的托管服务提供商为您提供防火墙，在网站级别设置防火墙也会增加另一层安全性，防止未经授权访问您的计算机网络。 如果您有高级技术知识，您可以使用插件来设置防火墙，并添加更多自定义。 WordFence 是一个值得信赖的 WordPress 防火墙。 它是一个完整的 WordPress 安全插件，提供了一套功能，例如：

• 用于识别和阻止恶意流量的 Web 应用程序防火墙 (WAF)

• 防止在定义数量的错误登录尝试后阻止用户的暴力攻击

• 恶意软件扫描以识别黑客可能已在您的站点上安装的恶意软件

• 启用登录安全性，例如 reCAPTCHA 和双因素身份验证

免费版提供了许多最重要的 WordFence 功能。 升级到高级版本的费用为每年 99 美元，并附带实时 IP 阻止和防火墙规则等高级功能，一旦 WordFence 团队检测到新威胁和恶意软件，就可以保护站点免受新威胁和恶意软件的侵害。

可以手动实现 WordFence 等一体化安全插件提供的功能。 有些很容易做到，但有特殊要求。 例如，如果您想设置自己的防火墙，则需要完全访问您的服务器，除非您使用专用服务器，否则这是不可能的。 此外，您需要在命令行界面中工作，这只有在您具备 Web 开发技能的情况下才会简单且令人愉快。

4. 让您的登录页面更安全

您网站的管理区域受到暴力攻击的威胁，这些攻击试图通过尝试各种用户名和密码组合来访问您的 WP-admin。 蛮力攻击或使用被盗凭据占黑客攻击的 80% 以上。 您可以采取一些 WooCommerce 安全措施来提高商店管理员登录页面的安全性：

将您的用户名从“管理员”更改为其他名称

黑客的一个常见技巧是利用默认的 WordPress 管理员用户名“admin”来尝试登录您的帐户。 WordPress 的早期版本默认使用“管理员”用户名，因此商店所有者可能习惯使用它。 将“admin”更改为另一个名称对于降低 Wp-admin 攻击的风险是必要的，而且没有任何意义！ 以下是步骤：

1. 转到 > 添加新用户
2. 使用您想要的用户名创建一个新用户，并为其赋予“管理员”角色
3. 退出以前的“管理员”帐户并登录新帐户
4. 返回用户列表并删除旧的“管理员”帐户

启用双重身份验证 (2FA)

双因素身份验证需要两种方法来验证您的身份。 它充当限制访问您的 WordPress 管理员帐户的第二道防线。 您可以使用身份验证器应用程序启用它，该应用程序将 2FA 添加到您要保护的帐户中。

身份验证器应用程序会生成一个一次性代码，您可以使用该代码来确认您正在登录您的 WP 管理员帐户。 您首先需要在智能手机或平板电脑上设置身份验证设备。 在此过程中，该应用程序将生成一个密钥，您可以通过扫描二维码或手动输入代码（如果您的手机没有摄像头）将其保存到手机中。 有了这个，应用程序的服务器和您的手机就有了密钥的副本。 此后，每次您输入用户名和密码登录时，该应用程序都会发送一个访问代码（通常是一个六位数字），您输入该代码以登录您的管理员帐户。

以下是如何使用 WordFence 设置 2FA 的示例：

1. 将 Google Authenticator 等身份验证器应用程序下载到您的智能手机或平板电脑
2. 安装并激活 WordFence
3. 转到 WordFence 中的“登录安全”页面
4. 打开您的身份验证器应用程序并扫描 WordFence 中显示的 QR 码
5. 单击恢复代码部分中的“下载” - 这将为您提供一组代码，您可以在您无法访问身份验证器应用程序时使用这些代码
6. 输入验证器应用程序中的 6 位数代码
7. 点击“激活”

5. 要求商店帐户使用强密码

WooCommerce 为您提供创建适合您的商业模式的商店的灵活性。 这包括在团队内提供不同的访问级别。 保护所有团队成员的商店帐户是加强 WooCommerce 安全性的一种简单方法。

虽然员工明白他们的密码应该是强密码，但他们仍然倾向于使用可以在不到一秒的时间内被黑客入侵的弱密码。 强密码策略可以重申创建复杂密码的必​​要性。 与其让商店经理或管理员等角色创建安全密码，不如为所有用户实施密码复杂性策略是更安全的选择。

实现此目的的一种方法是使用 iThemes Security 插件强制商店帐户为自己设置强密码。 您可以这样做：

1. 安装并激活插件
2. 在设置页面上，选择“电子商务”作为网站类型
3. 选择“自我”作为用户
4. 当插件询问“您想使用密码策略保护您的用户帐户吗？”时，将切换设置为“是”

6.为所有第三方电子商务平台创建唯一密码

WooCommerce 安全性的一个经常被忽视的方面是您用于连接到 WooCommerce 商店的服务的不同帐户存在密码黑客攻击的漏洞。 为您连接到 WooCommerce 商店的所有服务使用相同的密码可以让黑客的工作变得轻松。 以下是您应该考虑做的事情：

• 在您的所有支付网关（如 Stripe 和 PayPal）、您的主机以及您用于 WooCommerce 商店的任何其他第三方服务中设置不同的密码。 即使您的其中一个密码被泄露，您的其他帐户也将是安全的。

• 确保密码彼此足够不同。 通过简单地更改或添加数字或字符来重复使用密码是无效的。

7. 定期备份您的商店

虽然备份不会保护您的网站免受黑客攻击，但它们可以确保您在网站遭到入侵时能够访问您的宝贵数据。 拥有数据的备份副本有助于在网络攻击或其他事件（例如硬件故障或由于流量高峰导致的崩溃）后使您的站点重新上线。 每日备份可确保在发生意外事件时恢复您的客户、订单和产品信息，并保持业务连续性以避免失去客户和收入。

一个方便的解决方案是使用像 BlogVault 这样的实时 WordPress 备份插件。 实时备份提供了将数据恢复到任何时间点的能力，如果您拥有一个面临安全相关问题的持续威胁的大型数据库，则它尤其有用。

8. 保护您的数据库

您的 WordPress 数据库存储您网站上的所有信息，使其成为一个有吸引力的目标。 WordPress 使用 MySQL 作为其数据库管理系统。 WordPress 站点中的 PHP 代码包含与数据库通信的 SQL 命令。 SQL 被黑客入侵的一种方式是黑客使用一段 SQL 代码来操作数据库并获得对有价值信息的访问权限。 这种类型的攻击是 SQL 注入，在数据库驱动的网站中很常见。

幸运的是，有一些方法可以保护您的 WordPress 数据库——这里有两种方法可以帮助您入门：

更改默认表前缀

WooCommerce 商店的默认表前缀是 wp_ 。 将此设置保留为默认设置会打开您的商店以进行 SQL 注入。 您可以在设置商店时在 PhpMyAdmin 中更改此设置，或使用 DB Prefix 之类的插件。 在对表前缀进行任何更改之前，请务必备份您的 WP 数据库。 如果您计划进行大量 WordPress 维护和安全更新，您可以将网站访问者引导至维护页面或临时页面。

保护您的 wp-config 文件

wp-config.php 文件是 WooCommerce 商店中最重要的文件，因为它包含商店的所有数据库信息——包括管理员密码。 通过将此文件从根子目录中的默认位置向上移动到更高的子目录，潜在的黑客将更难找到它。

注意： Codeable 不隶属于帖子中提到的任何（插件）建议。

9. 聘请经过审查的 WordPress 安全专家

确保 WooCommerce 商店安全的第一个最有效的措施是聘请 WordPress 安全专家。 从安装基本 SSL 证书一直到实施防火墙以防止对大型电子商务网站的暴力攻击，聘请安全专业人员可以让您腾出时间专注于商店的其他部分，例如管理订单和跟踪库存。

如何找到 WooCommerce 安全专家

您有很多选择，包括 DIY、聘请代理机构或在网络上的众多市场上寻找自由职业者。 提供 WordPress 安全专家的机构通常将不同的服务打包在一个包中，因此如果您选择此选项，请注意您可能不需要的任何服务。

在自由职业者市场上，您可以支付额外费用来选择经过审查的 WP 开发人员，或者您必须自己评估他们。 在这些网站上，您选择最好的出价，并且不能保证自由职业者会对他们认为有能力的项目进行投标，仅仅是因为该网站没有明确说明这一要求。

更好的选择是在 Codeable 上找到安全专家：

• Codeable 是一个专门从事 WordPress 的自由职业者平台。
• 它将您的项目与经过审查的 WordPress/WooCommerce 专业人员相匹配，他们曾从事与您自己类似的安全项目。 这消除了猜测，并有助于确保您有合适的人选胜任这项工作。
• Codeable 与通用自由市场的不同之处在于，您只能与能够成功执行您的项目的专家合作。 知道您可以访问经过仔细考虑后同意该项目的 WooCommerce 安全专业人员，您可以高枕无忧。
• Codeable 是小型项目或一次性任务（如安全审计）的绝佳选择。 它比聘请代理机构更便宜，并为您节省大量的战略活动时间。
• 招聘过程很简单，如果您改变对 WooCommerce 安全和维护计划的看法，您没有义务雇用。

保护您的 WooCommerce 商店免受新出现的威胁

制定 Woocommerce 安全计划使您能够有效地应对现有和新的网络安全威胁。 主动管理 WordPress 和电子商务特定的安全问题对于无中断地开展业务、避免因黑客攻击造成的财务损失以及维护客户的信任至关重要。

Codeable 的 WordPress 安全专家可以帮助您管理安全风险。

提交您的项目并及时缓解您的安全问题。 Codeable 成本低廉，并提供退款保证，因此您可以通过一个小任务对其进行测试，然后确定您是否愿意将其用于更大的安全项目。