安全 WooCommerce 商店的 9 點清單

WooCommerce 是一個流行的 WordPress 電子商務插件，為超過 28% 的在線商店提供支持。 作為可公開訪問的軟件，WordPress 可以定制和修改以構建一個獨特的 WooCommerce 網站。 另一方面，就像互聯網上的所有網站一樣，WordPress 網站也容易受到黑客攻擊。 而且它實際上與 WordPress 核心網站無關，而是由於可避免的安全問題。

在這篇文章中，我們將向您介紹最重要的 WooCommerce 安全提示，以防止您的電子商務商店被惡意用戶入侵。 您可以以不同的方式規劃和實施它們，但有一個簡單有效的解決方案可以優化您的站點的安全性，我們也在此處討論。

加強 WooCommerce 安全性的 9 點清單

以下是提高 WooCommerce 安全性的方法。 您可以輕鬆地自行實施其中一些安全措施，而其他安全措施則需要 WordPress 專家的干預。

1. 保持你的插件是最新的

更新你的插件和主題是必不可少的——原因如下：

• 黑客可以利用插件和主題中的漏洞，並通過這些插件/主題開始攻擊您的網站。 他們可能成功訪問業務和客戶數據，在暗網上進行銷售、轉移資金或實施欺詐等非法行為。

• 過時的插件造成 91% 的安全漏洞，因此需要更新。 此外，每天有數千個網站被黑客入侵。 如果黑客侵入您的商店，他們可能會將惡意代碼傳遞給毫無戒心的用戶訪問您的網站。 或者他們可能會發起 DDoS 攻擊以減慢或關閉您的網站，從而導致停機，平均每分鐘花費 5,600 美元。

• 插件和主題更新附帶錯誤修復和性能改進。 最新版本修復了以前軟件版本中發現的問題，甚至可能添加新功能。 維護插件/主題使它們保持可用和安全。

要更新 WordPress 主題或插件，請訪問 WordPress 管理員中的“更新”選項卡。 我們建議您首先更新臨時站點上的主題/插件（您的實時網站的克隆），以在將更改應用到您的實時站點之前對其進行測試。 這是因為更新插件有時會導致“致命錯誤”，因為插件代碼與核心 WP 文件中使用的代碼不兼容。

如果您具有技術背景，則可以更輕鬆地設置臨時站點。 如果沒有，專業人員可以為您設置，幫助確保更新可以安裝。 您可以照顧您的 WooCommerce 安全性，並避免因更新問題而產生的任何後果。

2. 選擇專門的 WooCommerce 託管服務提供商

您需要 WooCommerce 的特殊託管嗎？ 好吧，考慮到一般的 WooCommerce 網站是數據庫密集型的並且必須適應高流量，專門的 WooCommerce 託管公司比常規託管服務更適合。 從 WooCommerce 安全的角度來看，可以期望這樣的提供商提供涵蓋您網站上所有必要區域的專業支持。

以下是您在尋找託管服務提供商時需要查看的一些安全功能：

• SSL 證書可啟用加密連接並阻止黑客查看姓名、地址、密碼、信用卡號和其他敏感數據。

• 自動備份可讓您的站點在發生攻擊時恢復正常運行。

• 攻擊監控以實時檢測和緩解攻擊。

• 知識淵博的 WooCommerce 託管專家提供 24/7 全天候支持，以幫助您解決安全問題。

• 一個內置的暫存環境，可在您將插件上線之前安全地測試插件和對商店的更改。

在性能方面，您可能需要關注提供商承諾的正常運行時間保證。 如果您有一個包含許多產品的大型 WooCommerce 網站並每天吸引大量流量，那麼保證 99.9% 的正常運行時間就足夠了。

3. 使用 WordPress 安全插件設置防火牆

即使您的託管服務提供商為您提供防火牆，在網站級別設置防火牆也會增加另一層安全性，防止未經授權訪問您的計算機網絡。 如果您有高級技術知識，您可以使用插件來設置防火牆，並添加更多自定義。 WordFence 是一個值得信賴的 WordPress 防火牆。 它是一個完整的 WordPress 安全插件，提供了一套功能，例如：

• 用於識別和阻止惡意流量的 Web 應用程序防火牆 (WAF)

• 防止在定義數量的錯誤登錄嘗試後阻止用戶的暴力攻擊

• 惡意軟件掃描以識別黑客可能已在您的站點上安裝的惡意軟件

• 啟用登錄安全性，例如 reCAPTCHA 和雙因素身份驗證

免費版提供了許多最重要的 WordFence 功能。 升級到高級版本的費用為每年 99 美元，並附帶實時 IP 阻止和防火牆規則等高級功能，一旦 WordFence 團隊檢測到新威脅和惡意軟件，它們就會保護網站免受這些威脅和惡意軟件的侵害。

可以手動實現 WordFence 等一體化安全插件提供的功能。 有些很容易做到，但有特殊要求。 例如，如果您想設置自己的防火牆，則需要完全訪問您的服務器，除非您使用專用服務器，否則這是不可能的。 此外，您需要在命令行界面中工作，這只有在您具備 Web 開發技能的情況下才會簡單且令人愉快。

4. 讓您的登錄頁面更安全

您網站的管理區域受到暴力攻擊的威脅，這些攻擊試圖通過嘗試各種用戶名和密碼組合來訪問您的 WP-admin。 蠻力攻擊或使用被盜憑據佔黑客攻擊的 80% 以上。 您可以採取一些 WooCommerce 安全措施來提高商店管理員登錄頁面的安全性：

將您的用戶名從“管理員”更改為其他名稱

黑客的一個常見技巧是利用默認的 WordPress 管理員用戶名“admin”來嘗試登錄您的帳戶。 WordPress 的早期版本默認使用“管理員”用戶名，因此商店所有者可能習慣使用它。 將“admin”更改為另一個名稱對於降低 Wp-admin 攻擊的風險是必要的，而且沒有任何意義！ 以下是步驟：

1. 轉到 > 添加新用戶
2. 使用您想要的用戶名創建一個新用戶，並為其賦予“管理員”角色
3. 退出以前的“管理員”帳戶並登錄新帳戶
4. 返回用戶列表並刪除舊的“管理員”帳戶

啟用雙重身份驗證 (2FA)

雙因素身份驗證需要兩種方法來驗證您的身份。 它充當限制訪問您的 WordPress 管理員帳戶的第二道防線。 您可以使用身份驗證器應用程序啟用它，該應用程序將 2FA 添加到您要保護的帳戶中。

身份驗證器應用程序會生成一個一次性代碼，您可以使用該代碼來確認您正在登錄您的 WP 管理員帳戶。 您首先需要在智能手機或平板電腦上設置身份驗證設備。 在此過程中，該應用程序將生成一個密鑰，您可以通過掃描二維碼或手動輸入代碼（如果您的手機沒有攝像頭）將其保存到手機中。 有了這個，應用程序的服務器和您的手機就有了密鑰的副本。 此後，每次您輸入用戶名和密碼登錄時，該應用程序都會發送一個訪問代碼（通常是一個六位數字），您輸入該代碼以登錄您的管理員帳戶。

以下是如何使用 WordFence 設置 2FA 的示例：

1. 將 Google Authenticator 等身份驗證器應用程序下載到您的智能手機或平板電腦
2. 安裝並激活 WordFence
3. 轉到 WordFence 中的“登錄安全”頁面
4. 打開您的身份驗證器應用程序並掃描 WordFence 中顯示的 QR 碼
5. 單擊恢復代碼部分中的“下載” - 這將為您提供一組代碼，您可以在您無法訪問身份驗證器應用程序時使用這些代碼
6. 輸入驗證器應用程序中的 6 位數代碼
7. 點擊“激活”

5. 要求商店帳戶使用強密碼

WooCommerce 為您提供創建適合您的商業模式的商店的靈活性。 這包括在團隊內提供不同的訪問級別。 保護所有團隊成員的商店帳戶是加強 WooCommerce 安全性的一種簡單方法。

雖然員工明白他們的密碼應該是強密碼，但他們仍然傾向於使用可以在不到一秒的時間內被黑客入侵的弱密碼。 強密碼策略可以重申創建複雜密碼的必要性。 與其讓商店經理或管理員等角色創建安全密碼，不如為所有用戶實施密碼複雜性策略是更安全的選擇。

實現此目的的一種方法是使用 iThemes Security 插件強製商店帳戶為自己設置強密碼。 您可以這樣做：

1. 安裝並激活插件
2. 在設置頁面上，選擇“電子商務”作為網站類型
3. 選擇“自我”作為用戶
4. 當插件詢問“您想使用密碼策略保護您的用戶帳戶嗎？”時，將切換設置為“是”

6.為所有第三方電子商務平台創建唯一密碼

WooCommerce 安全性的一個經常被忽視的方面是您用於連接到 WooCommerce 商店的服務的不同帳戶存在密碼黑客攻擊的漏洞。 為您連接到 WooCommerce 商店的所有服務使用相同的密碼可以讓黑客的工作變得輕鬆。 以下是您應該考慮做的事情：

• 在您的所有支付網關（如 Stripe 和 PayPal）、您的主機以及您用於 WooCommerce 商店的任何其他第三方服務中設置不同的密碼。 即使您的其中一個密碼被洩露，您的其他帳戶也將是安全的。

• 確保密碼彼此足夠不同。 通過簡單地更改或添加數字或字符來重複使用密碼是無效的。

7. 定期備份您的商店

雖然備份不會保護您的網站免受黑客攻擊，但它們可以確保您在網站遭到入侵時能夠訪問您的寶貴數據。 擁有數據的備份副本有助於在網絡攻擊或其他事件（例如硬件故障或由於流量高峰導致的崩潰）後使您的站點重新上線。 每日備份可確保在發生意外事件時恢復您的客戶、訂單和產品信息，並保持業務連續性以避免失去客戶和收入。

一個方便的解決方案是使用像 BlogVault 這樣的實時 WordPress 備份插件。 實時備份提供了將數據恢復到任何時間點的能力，如果您擁有一個面臨安全相關問題的持續威脅的大型數據庫，則它尤其有用。

8. 保護您的數據庫

您的 WordPress 數據庫存儲您網站上的所有信息，使其成為一個有吸引力的目標。 WordPress 使用 MySQL 作為其數據庫管理系統。 WordPress 站點中的 PHP 代碼包含與數據庫通信的 SQL 命令。 SQL 被黑客入侵的一種方式是黑客使用一段 SQL 代碼來操作數據庫並獲得對有價值信息的訪問權限。 這種類型的攻擊是 SQL 注入，在數據庫驅動的網站中很常見。

幸運的是，有一些方法可以保護您的 WordPress 數據庫——這裡有兩種方法可以幫助您入門：

更改默認表前綴

WooCommerce 商店的默認表前綴是 wp_ 。 將此設置保留為默認設置會打開您的商店以進行 SQL 注入。 您可以在設置商店時在 PhpMyAdmin 中更改此設置，或使用 DB Prefix 之類的插件。 在對錶前綴進行任何更改之前，請務必備份您的 WP 數據庫。 如果您計劃進行大量 WordPress 維護和安全更新，您可以將網站訪問者引導至維護頁面或臨時頁面。

保護您的 wp-config 文件

wp-config.php 文件是 WooCommerce 商店中最重要的文件，因為它包含商店的所有數據庫信息——包括管理員密碼。 通過將此文件從根子目錄中的默認位置向上移動到更高的子目錄，潛在的黑客將更難找到它。

注意： Codeable 不隸屬於帖子中提到的任何（插件）建議。

9. 聘請經過審查的 WordPress 安全專家

確保 WooCommerce 商店安全的第一個最有效的措施是聘請 WordPress 安全專家。 從安裝基本 SSL 證書一直到實施防火牆以防止對大型電子商務網站的暴力攻擊，聘請安全專業人員可以讓您騰出時間專注於商店的其他部分，例如管理訂單和跟踪庫存。

如何找到 WooCommerce 安全專家

您有很多選擇，包括 DIY、聘請代理機構或在網絡上的眾多市場上尋找自由職業者。 提供 WordPress 安全專家的機構通常將不同的服務打包在一個包中，因此如果您選擇此選項，請注意您可能不需要的任何服務。

在自由職業者市場上，您可以支付額外費用來選擇經過審查的 WP 開發人員，或者您必須自己評估他們。 在這些網站上，您選擇最好的出價，並且不能保證自由職業者會對他們認為有能力的項目進行投標，僅僅是因為該網站沒有明確說明這一要求。

更好的選擇是在 Codeable 上找到安全專家：

• Codeable 是一個專門從事 WordPress 的自由職業者平台。
• 它將您的項目與經過審查的 WordPress/WooCommerce 專業人員相匹配，他們曾從事與您自己類似的安全項目。 這消除了猜測，並有助於確保您有合適的人選勝任這項工作。
• Codeable 與通用自由市場的不同之處在於，您只能與能夠成功執行您的項目的專家合作。 知道您可以訪問經過仔細考慮後同意該項目的 WooCommerce 安全專業人員，您可以高枕無憂。
• Codeable 是小型項目或一次性任務（如安全審計）的絕佳選擇。 它比聘請代理機構更便宜，並為您節省大量的戰略活動時間。
• 招聘過程很簡單，如果您改變對 WooCommerce 安全和維護計劃的看法，您沒有義務僱用。

保護您的 WooCommerce 商店免受新出現的威脅

制定 Woocommerce 安全計劃使您能夠有效地應對現有和新的網絡安全威脅。 主動管理 WordPress 和電子商務特定的安全問題對於無中斷地開展業務、避免因黑客攻擊造成的財務損失以及維護客戶的信任至關重要。

Codeable 的 WordPress 安全專家可以幫助您管理安全風險。

提交您的項目並及時緩解您的安全問題。 Codeable 成本低廉，並提供退款保證，因此您可以通過一個小任務對其進行測試，然後確定您是否願意將其用於更大的安全項目。