今天來聊聊關於WooCommerce安全的事情!保護您的網站非常重要,尤其對於電子商務店來說更是如此。畢竟,您正在收集客戶信息,像姓名、地址和付款信息。
儘管WordPress和WooCommerce中內建了安全措施,但商店擁有者應該採取一些基本措施,以在最壞的情況下保護他們的客戶、團隊和數據安全。
在這個關於WooCommerce安全的指南中,我們將無特定次序地探討您應該採取的步驟,以保護您的商店和客戶。我們還將看看其中一個最佳的WooCommerce安全插件,來幫助處理大部分的重活兒。讓我們開始吧!
為什麼您應該保護您的WooCommerce商店
也許對您來說並不奇怪,您應該保護您的WooCommerce商店。
但是,讓我們看看一些讓安全應該是首要事項的原因:
- 保護您的辛勤工作
您為網站的設計、功能和內容付出了很多心血。您最不希望的事情之一就是將這些努力付諸流水,因為遭受了安全漏洞的攻擊。如果您的WooCommerce網站未得到妥善的保護和備份,一旦遭受黑客攻擊,您可能需要花費大量的時間、金錢和心力才能恢復正常。 - 保持客戶信息的安全
當您經營一個電子商務業務時,您會捕獲客戶的數據,如地址、姓名、電話號碼和信用卡號碼。您的買家依賴您保護這些信息,不讓它們落入不正當手中。 - 避免法律和財務問題
如果客戶的信息遭到侵害,您可能會面臨真正的法律和財務問題,至少也可能是繁瑣和耗時的解決過程。 - 保持品牌聲譽
如果您的網站發生問題或受到侵害,可能會損害您與客戶和追隨者之間建立的信任。 - 保護搜索引擎排名
您的網站在遭受黑客攻擊後,排名可能會下降,尤其如果您無法快速恢復。畢竟,搜索引擎不想將用戶導向存在安全問題的網站!
總之,WooCommerce安全對於保護您和您的客戶都非常重要,這不是可以偷懶的地方。
需要技術支持嗎?請聘請我們認證的WooExpert代理來幫助構建、管理和自定義您的網站。從我們的WooExpert市場中選擇一家代理機構,或根據您的需求向聯繫我們的團隊尋求建議。
如何保護您的WooCommerce商店
既然我們已經討論了為什麼安全如此重要,讓我們來看看您可以立即實施的一些WooCommerce安全提示。
1.選擇一家安全的主機提供商
您的主機存儲您的網站內容、WordPress核心文件和數據庫,這使它們可以被全世界的人查看。這實際上是網站安全的基礎——您的主機應該有措施來保護您的文件和數據庫,以免受到黑客和惡意軟件的攻擊。
理想情況下,您應該找到一家了解WordPress和WooCommerce安全的主機提供商,並清楚地說明他們採取了什麼措施來保護您的商店的安全。
尋找以下功能:
- SSL證書,用於保護客戶數據,如地址和電話號碼。
- 備份,以便在出現問題時可以還原您的網站。
- 攻擊監控和防護,這樣您將立即知道是否在文件或數據庫中發現了惡意軟件。
- 伺服器防火牆,防止黑客訪問您的文件。
- 全天候支持,以防萬一需要幫助。
- 最新的伺服器軟件,如PHP和MYSQL。
- 能夠隔離惡意文件,以防病毒或惡意軟件傳播到同一伺服器上的其他站點或文件夾。
您評估的主機應該在其網站上有一個關於安全性的頁面,因此您應該能夠確認您的主機是否提供這些功能。如果您不得不深入挖掘或發送郵件以獲得答案,那可能是一個不建議的跡象。
您還應該花時間閱讀現有客戶的評論。尋找特定於安全問題的反饋——無論好壞。這通常是主機的質量的最佳指示之一。
想要更多信息?這個WooCommerce主機提供商列表是一個很好的起點。
2.要求用戶帳戶使用強密碼
雖然安全可能始於您的主機,但遵循措施取決於您。所以,請確保為與您的WooCommerce商店相關的任何帳戶選擇安全的密碼,包括您的WordPress網站、主機工具和域名提供商的帳戶。
這意味著:
- 為您的每個帳戶使用唯一的密碼,尤其是WordPress管理員帳戶。
- 創建包含大寫字母、小寫字母、數字和符號的密碼。
- 避免使用可以輕松猜測的詞語、紀念日、生日或其他短語。
- 優先考慮密碼的長度——密碼越長越複雜,破解起來就越難。
擔心您的密碼是否真正安全?
別擔心:WordPress內建了一個安全的密碼生成器,可幫助您輕松創建複雜且難以猜測的密碼。
但是,記住困難的密碼可能會有些麻煩。一個很好的解決方案是使用像1Password這樣的密碼管理器。這些工具安全地存儲您的密碼,並在您最喜歡的網站上安全地自動填充它們。
此外,確保您將密碼要求擴展到所有具有訪問權限的WordPress網站用戶,特別是管理員。您可以使用像Password Policy Manager這樣的插件來設置密碼規則,例如要求使用安全密碼,並要求用戶定期重設密碼。
3.啟用雙因素驗證(2FA)
如果有人獲得了您的電子郵件或其他帳戶,他們可能能夠收集足夠的信息來重設您的密碼並登錄。
雙因素驗證,通常縮寫為2FA,是保護您的在線帳戶免受不受歡迎的侵入者入侵的絕佳方式。2FA依賴第二步驟——通常是您的智能手機——來驗證登錄並確認您是帳戶的所有者。
理想情況下,您應該為每個管理員帳戶啟用2FA。在正常情況下,成功獲得您的電子郵件帳戶的訪問權的個人可能會找到您的WooCommerce商店和其他帳戶的登錄信息。
但是,使用2FA,他們將無法通過您的移動設備物理驗證登錄。
確實,添加這個第二步也會在登錄過程中多花一些時間。但是,知道您的敏感數據是安全的,絕對是值得的。
您可以免費使用Jetpack實施雙重驗證,甚至可以選擇對您的網站上的所有用戶都要求它。
4.阻止暴力破解攻擊
暴力破解攻擊發生在黑客使用機器人猜測成千上萬個用戶名和密碼組合,直到最終找到正確的組合時。這不僅會允許黑客訪問您的網站,還可能由於流量增加而對您的加載時間產生負面影響。在開始時防止暴力破解攻擊對於保持網站安全非常有效。
Jetpack的免費暴力破解攻擊保護功能是阻止它們的一種絕佳方法。它甚至在它們達到您的網站之前就自動封鎖惡意IP地址,因此您無需擔心它們。
您還可以使用WordPress插件來限制您的網站上的登錄嘗試次數。由於大多數合法用戶不需要多次嘗試登錄,這可以是另一種對抗暴力破解攻擊的有效保護措施。例如,您可以決定在一定時間內嘗試並失敗登錄三次的人。
5.定期掃描惡意軟件
惡意軟件是具有惡意目的的軟件,它是最常見的黑客形式之一。它可以完成各種任務,包括將網站訪客重定向到可疑網站,以及竊取客戶的信用卡信息。
如果黑客成功獲得對您的網站或伺服器的訪問權並注入惡意軟件,您希望立即知道。盡快處理這個問題可以降低您或您的客戶遭受損害的可能性,並幫助您迅速恢復運行。
但是,您無法始終手動監視您的網站以查找惡意軟件!這就是像Jetpack Scan這樣的惡意軟件掃描解決方案的用武之地。它就像有人24/7守護您的網站一樣,定期搜索惡意軟件和漏洞。
如果在您的網站上找到惡意軟件,它會立即向您發送警報,以便您可以點擊一下來排除大多數已知的威脅。
6.防止評論和聯繫表單垃圾郵件
垃圾郵件可以以各種方式出現在您的WordPress網站上,從博客文章留言到產品評論,甚至聯繫表單提交。
而且,它不僅僅是對訪客的困擾 – 不肖份子可以使用垃圾郵件將客戶引導到惡意網站,使用您的網站來操縱他們的搜索引擎排名(同時降低您的排名),還可以使用您的聯繫表單欺騙網站訪客。
防止垃圾郵件的第一步在於您的WordPress設置。在WordPress儀表板中,前往”設定”→”討論”。
在這裡,您可以進行以下更改:
- 要求作者在提交評論之前登錄
- 每次有人留下評論時啟用電子郵件通知
- 對網站上的每個評論進行手動批准
- 根據特定標準(例如鏈接數量和特定詞語)自動將評論標記為垃圾郵件
您還可以通過前往WordPress儀表板中的WooCommerce→”設定”→”產品”來編輯有關產品評論的設置。例如,您可以僅允許經過驗證的產品擁有者留下評論。
但防止垃圾郵件的最佳防禦工具是像Akismet這樣的插件。它可以自動擺脫垃圾郵件,無需手動審查每一條評論和表單提交。
Akismet的垃圾郵件過濾器有99.9%的準確度,而且不使用令人討厭和具有挑戰性的解決方案,例如CAPTCHA,這樣可以保持網站訪問者的愉快和參與。
7.使用活動日誌
使用像Jetpack這樣的WordPress活動日誌,您可以隨時關注您網站上的一切 – 從更新的頁面和新產品到用戶登錄,以及執行每個操作的人和時間。
這有助於您識別可能已發生的任何可疑情況,例如被刪除的安全工具、您毫不知情的已發布頁面,或者您不知道的用戶登錄。它還使您能夠追溯其他網站用戶對您的WooCommerce網站所採取的行動,以便追責。
8.更新您的網站軟件
更新WordPress、WooCommerce和您的插件或擴展的過程絕對至關重要。更新之所以被釋放,通常是為了增強您的網站安全性。如果忽略它們,您可能會將自己 – 以及您的客戶 – 放在風險之中。
事實上,52%的WordPress漏洞都是由於過時的插件引起的。而這個問題非常容易解決!
最佳的處理方法是:定期檢查您的更新,進行備份,然後將這些更新部署到您的網站上。如果您不想操心,您還可以在WordPress中啟用自動更新功能。
9.使用Web應用程序防火墻
Web應用程序防火墻(WAF)就像您網站門口的24/7守衛。它在幕後審查每位訪客,並根據某些規則決定是否允許或禁止他們。
Jetpack Firewall是一個優秀的工具,您可以使用它。儘管它起初使用包含已知威脅的數據庫,但它還根據您網站上正在發生的情況實時適應。當它感知到威脅時,它會自動調整規則,因此您的網站始終受到保護。
您還可以手動封鎖IP地址,如果您了解特定威脅,也可以允許某些IP地址,以便管理員永遠不會被封鎖。
10.檢查並調整您的FTP設置
FTP(文件傳輸協議)用於在兩個設備之間傳輸文件。通過您的主機提供商,您可以創建FTP帳戶,允許您從您的計算機連接到您的網站服務器。
您可以使用這些帳戶對您的網站文件進行更改,或者與承包商或團隊成員分享對您網站的訪問權限,而無需提供他們您的主機登錄信息。
但是,如果惡意的行為者訪問這些帳戶,他們將能夠對您的網站進行任何數量的更改。
限制這些帳戶的權限可以減少或完全消除損害的可能性。
確保只有您的FTP帳戶可以訪問以下文件夾:
- 根目錄
- wp-admin
- wp-includes
- wp-content
有關鎖定FTP的詳細信息,請查看WordPress Codex的這一部分。您的主機也應該能夠幫助您採取這些預防措施。
11.定期備份您的WooCommerce商店
如果您的網站被入侵,備份是快速且最好的恢復清潔版本的方式。但不是所有的備份插件都能完成這項工作。
您需要一個經常保存您網站的備份(最好是實時保存),存儲多個副本,並將這些副本完全與您的服務器分離,以防被入侵。
當然,您還需要一種快速恢復備份的方法,即使您的網站無法訪問也可以恢復。
Jetpack VaultPress Backup是一個優秀的解決方案,符合所有這些要求。以下是它成為最佳WooCommerce備份插件的一些原因:
- 它進行實時備份,每當網站上發生操作(購買產品、更新頁面等)時都會發生。
- 您永遠不必擔心失去訂單信息。無論您是從五分鐘前還是五天前的備份恢復,您的訂單信息都將保存到分鐘。
- 您只需單擊一下即可恢復。不必擔心耗時耗力的恢復過程。只需找到要恢復到的日期和時間,然後單擊一個按鈕,即使您的網站完全關閉也可以。
- 它使您可以使用活動日誌來恢復備份。過濾您的網站活動,找到發生的特定操作,然後恢復到發生之前的時間點。
- 它在與WordPress.com使用的相同安全服務器上保存了您網站的多個冗余副本。
- 您可以使用Jetpack Mobile應用程序幾乎從任何地方恢復您的網站。
12.獲取SSL證書
安全套接字層(SSL)證書加密了客戶在您的電子商務網站上傳輸的信息,例如聯繫表單提交和信用卡信息。不僅對於您的電子商務商店的安全性是絕對必要的,而且對於SEO也是一個重要因素。
有多種方法可以獲得SSL證書,但大多數主機都包括在其計劃中。如果由於某種原因您的主機未包括在內,您始終可以使用免費的開放證書提供者Let’s Encrypt免費獲得一個。
13.查看並調整您的用戶權限
盡管要求強密碼和雙因子身份驗證是保護用戶帳戶的優秀方法,但還有一個步驟您應該採取:查看用戶權限。默認情況下,WordPress和WooCommerce都包括多種用戶角色,每個角色都帶有一組權限。
例如,管理員角色是最強大的,包括對網站的每個元素的完全訪問權限。然而,店鋪經理只有管理您的線上商店所需的功能,而無法編輯文件和代碼。您可以在這裡查看所有的用戶角色。
請花些時間檢查每個用戶,確保他們擁有執行其工作所需的最低權限。如果您不再與某人合作,考慮完全刪除他們的帳戶。
注意:刪除用戶帳戶時,您將有選擇將其內容刪除或歸因給另一個用戶。請確保將其歸因給另一個帳戶,否則將永久刪除您的網站上的內容!
哪個是最佳的WooCommerce安全插件?
高質量的WooCommerce安全插件是開始保護您的網站的絕佳方式。Jetpack Security – 也有官方的WooCommerce擴展 – 對於任何規模的商店都是一個出色的解決方案。它是由WordPress.com團隊專門為WordPress構建的。
雖然我們已經談到了它的一些功能,但以下是使它成為WooCommerce安全插件之一的安全功能列表:
- 實時備份:您的網站實時保存,這樣您始終擁有文件、訂單等的最新版本。即使您的網站從桌面或移動應用程序完全關閉,您也可以恢復備份。
- 惡意軟件掃描:自動掃描惡意軟件和可能使您的網站處於風險中的漏洞。您還可以使用此工具以一鍵方式修復大多數已知威脅。
- 停機監控:立即了解您的網站是否停機 – 這是入侵的常見跡象 – 以便您可以迅速恢復它的運行。
- 反垃圾郵件工具:為評論和聯繫表單實施垃圾郵件保護。
- 活動日誌:跟蹤您網站上採取的每一個操作,並了解誰執行了每一個操作以及何時執行。
- 網站防火墻:保護您的網站免受不良行為者和不潔的流量。
- 暴力攻擊防護:防止暴力攻擊,這可能會危及您的網站和客戶信息。
- 雙重身份驗證:在您的登錄頁面上添加一個額外的安全層,要求除密碼外還需一次性代碼。
您還將從真正的WordPress專家那裡獲得一流的支持。了解有關Jetpack Security的更多信息。
想要僅使用其中一些安全功能嗎?您可以安裝許多它們作為個別插件,而且一些功能,如防暴力攻擊保護,完全免費。請參閱套件選項。
關於WooCommerce安全性的常見問題
還有問題嗎?讓我們回答一些常見問題。
WooCommerce網站可以被入侵嗎?
就像任何網站一樣,WooCommerce商店也有可能被入侵。然而,WordPress和WooCommerce的開發人員不斷致力於改進軟件並保持WooCommerce的安全性。
如果您使用值得信賴的工具(例如主機、主題和插件),並實施本文中討論的最佳WooCommerce安全提示,那麼您的網站應該處於良好狀態。
哪種SSL證書最適合WooCommerce網站?
有多種不同類型的SSL證書,包括:
- 域驗證(DV):只需證明您擁有域名的所有權即可通過驗證。DV證書是最經濟實惠且最常見的SSL證書類型。
- 組織驗證(OV):OV證書要求您提供有關您組織的進一步信息。這使得它成本更高,但更可信。
- 擴展驗證(EV):EV證書需要更多的信息和文件來證明您的身份。它是最昂貴和可信度最高的證書類型。
- 泛域證書:這些允許您保護單個域名下無限數量的子域名。
對於您的網上業務,最適合的證書取決於您的具體需求。DV證書是一個出色的起點,對於大多數商店來說已經足夠。但隨著您的成長,您可能希望升級到OV或EV證書,以進一步保護您的數據並增強您作為品牌的聲譽。
如果我的WooCommerce網站被入侵,應該怎麼辦?
如果您的網上商店被駭客入侵,首先,冷靜下來。深呼吸,我們來告訴您如何處理:
- 弄清楚事情的來龍去脈。
如果有可能,試圖搞清楚駭客是怎麼入侵的。如果您使用了活動日誌,這將使整個過程變得輕鬆許多。此外,您的主機或開發人員可能會提供指導和信息,就像尋找失蹤的拼圖一樣。 - 掃描和修復您的網站。
使用Jetpack Scan等WordPress安全插件來掃描您的網站,看看是否有惡意軟件。如果可能,使用Jetpack提供的一鍵修復功能來清除和修復問題。如果您感覺自己的能力有限,您也可以手動刪除惡意軟件,或者考慮聘請一位專業開發人員來幫助您,他們就像網站的超級英雄。 - 恢復備份。
如果您無法清除惡意軟件,或者對您的網站是否完全乾淨感到懷疑,那麼恢復備份是個不錯的選擇。如果您使用Jetpack VaultPress Backup,即使您恢復的備份是幾天前的,也可以恢復所有訂單和客戶信息。最重要的是,即使您的網站不可訪問,也能輕鬆完成。 - 重設所有密碼。
一旦您確定您的網站已經淨化,請記得重設所有密碼。這包括WordPress用戶帳戶、cpanel、主機提供商、FTP、數據庫以及與您的網站相關的任何其他帳戶。如果存在任何可疑的用戶,請立即將其刪除。在網絡中,密碼就像糖果,不安全的密碼就像牙痛,不想再忍受了。 - 重新提交您的網站給Google。
如果Google將您的WooCommerce網站列入黑名單,請在確定它已經潔净之後重新提交您的網站。詳細了解有關Google黑名單的更多信息,別讓網站變成”失蹤者”。 - 採取額外的安全措施。
現在,按照這篇文章中提到的WooCommerce安全提示,進一步保護您的網站,避免未來的入侵。因為,預防勝於治療,對嗎?
如果您自己處理起來不太自在,別擔心,您可以聘請一位可信賴的WooExpert,他們就像駭客的克星,能夠徹底清除惡意痕跡。
想獲得更多信息嗎?閱讀Jetpack的這篇文章,學習如何識別入侵,以及如何修復網站。學無止境,就像尋找寶藏一樣,每一篇文章都是一個寶藏地圖。
讓WooCommerce安全成為您的首要任務
在忙於啟動或管理您的網店的繁忙中,很容易忽略安全性,但這是一個不能輕視的問題。保護客戶的數據安全應該是從一開始就要考慮的首要任務。
通過遵循這些簡單的步驟,您將為一個安全、值得信賴的在網上經營的企業打下堅實的基礎,以備不時之需,就像準備好了抵擋入侵的城堡一樣。
