完整的 WooCommerce 安全清單(2022 年指南)

已發表: 2021-03-23

安全性是任何電子商務商店最關心的問題。 畢竟,您不僅需要確保內容安全,還需要保護客戶信息和訂單數據。

因此,如果您正在考慮開一家網店,或者它已經構成您收入的一部分,那麼是時候確保您的業務得到充分保障了。

為什麼網上商店需要更高的安全性

當您在線銷售時,您會處理大量敏感信息:個人姓名、信用卡號、地址等。 活躍的商店一直在收集新信息,因此您需要負責的數據集不斷增長。

確保您的網站具有一流的安全性將使您能夠:

  • 保護客戶的個人信息免受黑客和攻擊者的侵害,讓客戶放心購物;
  • 保護您的收入流免受中斷和銷售損失;
  • 為稅務和法律目的保留所有每分鐘的銷售數據;
  • 保持您的品牌和聲譽作為值得信賴的企業; 和
  • 避免與黑客入侵後重建業務相關的成本,例如因停機導致的銷售損失、未完成的訂單導致的退款以及網站維修成本

如何識別黑客

黑客可以採取多種形式,您甚至可能沒有意識到您的網站已被立即入侵。

要識別黑客攻擊,請查找:

  • 不是您創建的新管理員帳戶。
  • 評論、產品描述或評論中指向惡意軟件的垃圾郵件鏈接。
  • 不尋常的警報框或重定向到第三方網站的鏈接。
  • 來自 Google 的關於您的商店已被標記的警報。
  • 奇怪、意外或丟失的客戶電子郵件。
  • 加載時間非常慢或超時錯誤。

但大多數企業主都忙於庫存、營銷或訂單履行,無法持續監控問題或黑客行為。 這就是為什麼您應該添加的第一件事是停機時間監控,它會自動檢查您的站點是否已啟動並運行,並在未啟動時提醒您。 這使您可以立即採取行動來修復和恢復您的在線商店。

您還可以從 Jetpack Scan 中受益,這是一款頂級惡意軟件掃描插件,可自動檢查您的商店是否存在黑客攻擊,因此您無需擔心! 如果發現任何錯誤,您會收到警報,您甚至可以一鍵修復大多數已知威脅。

Jetpack Scan 儀表板顯示當前惡意軟件掃描進度

WooCommerce 的完整安全清單(14 個步驟)

最好在黑客攻擊發生之前阻止它們。 如果您可以對以下問題回答“是”,那麼您將有一個良好的開端!

1. 您是否使用安全、信譽良好的提供商進行託管?

您的主機是抵禦攻擊的第一道防線。 如果他們沒有適當的安全措施,您的文件和數據庫可能容易受到攻擊,即使您做對了所有其他事情。

選擇主機時,請尋找具有以下條件的主機:

  • 內置防火牆。 防火牆控制誰可以訪問您的服務器,誰不能訪問,讓黑客和機器人遠離您的網站文件。
  • 安全掃描。 許多主機會定期掃描其服務器上的所有站點,如果他們發現任何可疑的東西,例如惡意軟件,就會通知您。 一些提供商甚至會為您解決這些問題,通常需要支付額外費用。
  • 備份。 雖然您還想製作自己的備份(稍後會詳細介紹),但擁有多個站點副本是個好主意。 許多託管公司在他們的計劃中包含備份,而其他公司則將它們作為付費升級提供。
  • 優秀的支持團隊。 如果您確實遇到問題,您希望專家可以幫助您確定後續步驟。 確保您的房東擁有一支強大的支持團隊,可以通過最方便的方式(實時聊天、電話等)與您取得聯繫
  • 口碑不錯。 查看真實客戶的評論並了解他們的體驗。 這是了解託管服務提供商的最準確方式。

不知道從哪裡開始? WooCommerce 匯總了一份經過全面審查的推薦託管公司列表。

2. 你有 SSL 證書嗎?

SSL(安全套接層)證書對從您的客戶發送到您網站的信息進行加密,並驗證您網站的身份。 這是對信用卡數據和地址等信息的關鍵保護。 谷歌在確定搜索引擎排名時也會考慮它。

大多數主機免費提供 SSL 證書,但有些主機收取的費用相對較低。

3. 您是否使用安全、安全的主題和插件版本?

無效插件和主題是高級插件和主題的盜版版本,免費或低價提供。 它們不僅不受支持,而且也沒有更新,因此它們可能與 WordPress 或其他插件發生衝突。 而且,更令人擔憂的是,它們通常充滿惡意軟件,可能會破壞您的網站和客戶數據。

始終從受信任的來源下載插件和主題,例如 WordPress 存儲庫或 WooCommerce 市場。

WooCommerce Marketplace 特色擴展集合
WooCommerce 市場中的特色擴展集合

4. 您的 WordPress 網站上的所有內容都更新了嗎?

WordPress、主題和插件更新並不總是只包含新功能; 他們經常修復黑客可以利用的錯誤和漏洞。 始終在可用時執行更新,以確保您的站點安全並避免衝突。

不想跟踪更新? Jetpack 可以選擇自動執行此過程。

5. 你使用的是最新版本的 PHP 嗎?

大部分 WordPress 核心是用 PHP 編寫的,這是一種編程語言。 您應該更新站點使用的 PHP 版本,原因與更新主題和插件的原因相同:以防止出現錯誤和漏洞。

您可以在您的主機設置中更新您的 PHP 版本,或者請您的主機提供商為您處理此問題。 查看最新的 WordPress 要求。

6. 您是否查看過您的用戶權限?

每個 WordPress 用戶都被分配了一個角色,其中包括一組允許他們在您的網站上執行某些任務的功能。 管理員可以完全訪問所有內容,並且可以進行他們想要的任何更改; 作為店主,這應該是你的角色。 但是,客戶無法訪問您網站的後端,但可以編輯自己的帳戶信息並查看當前和以前的訂單。 查看用戶角色和權限的完整列表。

不時檢查和清理您的用戶帳戶。 每個用戶都應該只擁有完成工作所需的最低權限,如果您不再與某人合作,請確保刪除他們的帳戶。 例如,如果您與 Web 開發機構合作構建您的網站並且項目已完成,您可能希望刪除他們的帳戶,除非將來需要持續更新。

7. 您是否使用安全的用戶名和密碼?

黑客經常使用機器人嘗試數千種不同的用戶名和密碼組合,直到找到正確的組合(這稱為蠻力攻擊)。您的密碼越容易猜到,黑客就越有可能訪問您的商店。

一個好的密碼有一個大寫字母、小寫字母、數字和符號,並且長度至少為 20 個字符。 確保至少每個管理員用戶都在實施這種類型的密碼。

當涉及到用戶名時,請避免使用“管理員”或“管理員”等常見標題。 相反,為每個人創建一個特定的用戶名。

8. 您是否考慮過更改您的登錄 URL?

默認情況下,可以通過您的 URL /wp-admin 訪問每個 WordPress 登錄頁面。 如果您想採取額外的安全措施,您可能需要更改 URL 以使攻擊者更難以猜測此 URL。 您可以通過編輯 .htaccess 文件來做到這一點,或者,如果您不習慣更改代碼,請使用 WP Hide Login 之類的插件。

9. 您是否為管理員啟用了雙重身份驗證?

雙重身份驗證為您的登錄頁面增加了一層額外的安全性。 要登錄,您不僅需要知道一些東西(用戶名和密碼),還必須實際擁有一些東西(您的移動設備)。 這大大降低了黑客進入您商店的可能性。

Jetpack 使兩因素身份驗證變得容易。 當您登錄您的網​​站時,您會在手機上收到一個特殊的一次性代碼,您必須輸入該代碼才能完成登錄過程。 您甚至可以要求所有用戶進行設置。 了解有關雙重身份驗證的更多信息。

10.你阻止暴力攻擊嗎?

正如我們之前所討論的,當黑客使用機器人一遍又一遍地測試用戶名和密碼的組合直到他們找到正確的組合時,就會發生暴力攻擊。 這不僅會使您的商店和客戶數據面臨風險,還會降低您的網站速度。

顯示站點上阻止的惡意攻擊總數的模塊

但是 Jetpack 會在這些攻擊到達您的站點之前自動阻止它們,因此您不必擔心。

11. 您是否正在掃描您的網站以查找惡意軟件?

如果有人確實訪問了您的網站並註入了惡意軟件怎麼辦? 您想立即知道,以便您可以刪除該惡意軟件並儘快解決問題。 但黑客是偷偷摸摸的——並不總是很明顯他們已經進入了。

Jetpack Scan 會立即提醒您任何可疑活動,並且由於掃描發生在 Jetpack 的服務器上,即使站點出現故障,您也可以訪問您的站點。 它還為大多數已知威脅提供一鍵修復。

12. 您是否設置了垃圾郵件過濾器?

垃圾評論不僅煩人; 它們還使您看起來不專業,並且可能包含將您的客戶引導至充滿惡意軟件的網站的鏈接。 但是每週整理數百條評論既費時又令人沮喪。

顯示 WordPress 網站上被阻止的垃圾郵件的圖表

這就是 Jetpack Anti-spam 的用武之地! 它會自動消除評論和表單中的垃圾郵件,因此您甚至不必查看它。 您將節省時間、保護您的網站並同時提供更好的用戶體驗。

13. 您是否正在監控您的站點是否有停機時間?

如果您的網站出現故障,則可能是黑客入侵的跡象。 而且,它下降的時間越長,你失去的銷售額就越多。 您希望盡快恢復並再次運行!

Jetpack 提供免費的停機時間監控,每五分鐘從世界各地檢查您的站點。 如果您的網站出現故障,您會收到即時通知,以便您立即解決問題。

14. 您是否設置了定期的異地備份?

如果您的站點出現問題,您可以擁有的最佳保護是可以快速輕鬆地恢復的完整備份。 即使您的主機提供備份,您也必須自己製作備份。 為什麼? 因為如果您的服務器受到威脅,則存儲在那裡的任何備份也可能受到損害。

在 WooCommerce 商店上進行備份

Jetpack Backup 是一個出色的解決方案。 有兩個計劃選項:

  1. 每日備份,每天保存一次您網站的副本。
  2. 實時備份,每次更新頁面、發布新帖子或進行銷售時都會保存您網站的副本。 這些對在線商店特別有用,因為您永遠不必擔心丟失訂單信息。

Jetpack 將備份文件存儲在多個位置,與您的站點完全分開。 這意味著如果您的服務器受到威脅,您的備份將不會受到影響。 在大多數情況下,如果您的站點完全關閉,您甚至可以恢復備份!

如何在最壞的情況下恢復

如果您的在線商店有惡意軟件並且您有 Jetpack Security,您將收到通知,以便您可以立即解決問題。 您的第一步應該是檢查您的活動日誌,在那裡您可以看到您網站上發生的所有事情的完整列表。 您可以使用此信息通過檢查可疑活動(例如不熟悉的登錄名和編輯的頁面)來確定黑客入侵的時間。

顯示 WordPress 網站上發生的一切的活動日誌

然後,最快的恢復方法是使用 Jetpack Backup。 只需單擊幾下,您的網站就可以重新啟動並再次運行,並且停機時間最短。 您所要做的就是從黑客攻擊之前選擇一個備份並等待它恢復。 對,就是這樣!

一旦您的商店的干淨版本啟動並運行,請使用 Jetpack Scan 確保您的網站上沒有剩餘的惡意軟件。 Jetpack 為您解決了大多數已知威脅,因此如果發現任何問題,您很可能無需擔心故障排除。

最後,花時間通過更改所有密碼並檢查您的主題、插件和核心文件是否為最新來保護您的網站。

需要幫助嗎? Jetpack Security 包括來自經驗豐富的技術團隊的優先支持,可以為您指明正確的方向。

確保您的 WooCommerce 商店安全

花時間完全保護您的 WooCommerce 商店將確保您的客戶可以放心購物,並且您無需擔心您的數據或聲譽。

做到這一點的最佳方法之一是將 Jetpack Security 和 WooCommerce 結合起來——這很有意義! 它們是兩個成熟的、受人尊敬的 WordPress 插件,它們同步工作以保護您的網站並添加功能。 總之,它們意味著更少的移動部件、更少的外部插件以及讓您作為企業主更加安心。

經常問的問題

WooCommerce 網站會被黑客入侵嗎?

是的,就像任何網站一樣,WooCommerce 商店可能會被黑客入侵。 但是,WordPress 和 WooCommerce 包含有助於保護您的內容和客戶數據的功能。 而且,當您採取了一些基本的安全措施時——比如選擇一個好的主機、保持更新以及安裝最好的安全插件——你可以高枕無憂,因為你知道你的網站在好人手中。

WooCommerce 網站是否需要 SSL?

SSL 證書會對您網站上提交的信息(如信用卡數據和地址)進行加密,以確保其免受惡意方的侵害。 如果黑客訪問了該信息,則可能會使您的業務面臨法律風險並損害您的聲譽。 而且,SSL 證書不僅可以保護您和您的客戶,而且對您的搜索引擎排名也很重要。

雖然建議任何網站都使用 SSL 證書,但對於在線商店來說更為重要,因為它們收集的數據類型是為了處理交易。

哪個 SSL 證書最適合 WooCommerce 網站?

大多數主要的託管服務提供商都在他們的計劃中包含 SSL 證書,而其他提供商則需要額外付費才能使用它們。 通常,只需單擊幾下即可輕鬆安裝。

但是,如果您的主機不提供此功能,我們建議您使用 Let's Encrypt。 這是一項值得信賴的服務,提供免費的 SSL 證書以支持更安全的網絡。 注意:託管計劃中包含的許多 SSL 證書來自 Let's Encrypt。

了解有關在您的 WooCommerce 商店安裝 SSL 證書的更多信息。

如何在 WooCommerce 網站上強制使用 HTTPS?

當您成功地將 SSL 證書添加到您的商店時,它會將您的 URL 從 http://example.com 更改為 https://example.com。 “https”中的“s”代表 SSL。

當您在商店中強制使用 HTTPS 時,鍵入您網站“http”版本的訪問者將自動重定向到“https”版本。 這可確保為每個購物者正確加密所有內容。

您可以通過在 .htaccess 文件中添加幾行代碼或使用 WordPress 插件來強制使用 HTTPS。 Kinsta 提供了一個很好的指南來做到這一點。

WooCommerce 比 Shopify 更安全嗎?

Shopify 是一個為您處理安全問題的託管平台。 雖然這有其好處 - 您不必擔心實施安全措施 - 這也意味著您幾乎無法控制自己的保護。

這也不意味著 Shopify 更安全。 畢竟,黑客和機器人不會歧視。 他們只是一個接一個地嘗試,直到他們找到一個他們可以進入的地方。 因此,如果您採取適當的安全措施,您的商店將與任何平台上的其他商店一樣安全——而且在許多情況下,安全。

同樣重要的是要注意,WordPress 和 WooCommerce 都由一個熱衷於幫助您成功的團隊提供支持。 他們不斷努力確保平台安全,這就是為什麼定期更新您的軟件如此重要。

WooCommerce 的本指南提供了有關其與 Shopify 比較的更多詳細信息。