WooCommerce 网站的 5 个关键安全协议

WooCommerce 网站在网络安全方面当然有独特的需求，随着全球电子商务的增长，欺诈和安全漏洞的风险也在增加。

在线安全确实是一项基本要求，就像餐厅的健康检查评级一样，您的在线商店中出现的任何问题都会破坏您的网络访问者的信任。

虽然在安全性方面没有 100% 的保证，但您可以通过实施这些关键协议来保护您的访客和企业。

1. 实施服务器级安全措施

在网站安全方面，您的托管服务器是第一道防线。 即使您在 WordPress 网站上拥有最好的安全插件和措施，托管级别的漏洞也会使这些工具变得无用。

在评估托管选项时，请考虑更专用的环境意味着服务器上的另一个站点损害您的站点的风险较小。 将 WooCommerce 网站放置在安全性最低的预算、共享托管环境中时要非常小心。

寻找有服务器级别安全措施的优质 WordPress 托管选项，例如磁盘写保护和限制。 磁盘写保护 意味着托管服务器限制了可以写入磁盘的进程，使黑客更难利用主题或插件漏洞。 以类似的方式， 磁盘写入限制 意味着记录任何写入磁盘的尝试，这有助于发现恶意活动。

虽然一个 SSL证书 现在是所有站点的最佳实践，它是 WooCommerce 站点对 PCI 安全标准的要求。 因此，请确保通过托管公司配置（并更新）您的 SSL 证书。

最后，您的托管服务器和网站应该定期 更新到最新的 PHP 版本. 旧版本的 PHP 通常存在不再修补的安全漏洞。 就像您升级 WordPress 和插件一样，您的网站和服务器应该运行 最新的 PHP 为了安全和性能。 WordPress 已开始鼓励网站所有者通过在 WordPress 网站健康检查.

2. 掌握插件和安全更新

执行定期插件更新并掌握 WordPress 核心版本是最重要的安全步骤之一。 被黑网站的常见感染源是过时插件或主题中的漏洞。 2019 年，Sucuri 报告称 56% 的被黑网站 在感染时已过时。

对于 WooCommerce 网站，掌握 WooCommerce 的最新更新至关重要，因为这些更新通常包括安全补丁和维护修复。 例如， WooCommerce 4.6.2 更新 于 2020 年 11 月发布，其中修复了允许匿名用户在结帐期间创建帐户的错误，即使此设置在仪表板中已关闭。 WooCommerce 鼓励网站所有者立即实施此更新。 延迟这些类型的更新可能会使您的电子商务网站面临此类安全风险。

一些网站所有者可能会推迟进行插件更新，因为担心这些更新可能会导致网站出现问题或导致 WooCommerce 维护问题. 出于这个原因，最好先在暂存区域或生产环境中执行所有插件更新，然后再在您的实时站点上实施它们。

即使您正在积极维护您的插件，其中一个已安装的插件也可能被其开发人员放弃。 WordPress 会主动从存储库中删除这些类型的插件，因为它们可能会带来安全和性能风险。

但是，由于 WordPress 存储库中有超过 50,000 个插件和众多 WooCommerce 扩展，因此很难捕捉到这些删除。 免费或付费的 WordFence 插件可能是一个很好的资源，一旦安装，如果您网站上任何已安装的插件已被删除并且存在安全风险，WordFence 将发送通知。

3. 设置安全监控

虽然托管级别的安全性和定期维护会减少黑客的机会，但它仍然不会涵盖所有基础。 不幸的是，不断出现新的威胁，其中一些是对 WordPress 和 WooCommerce 网站的自动攻击。 靠自己阻止那些 24/7 是不可能的。 多亏了安全监控工具，您不必这样做。

考虑设置 24/7安全监控 在您的 WooCommerce 网站上检测任何恶意软件或对该网站的破坏。 免费版和高级版 WordFence 插件 和 苏库里的付费服务是 WordPress 网站的热门选择。 这些解决方案提供恶意软件扫描程序，并会提醒您的团队任何可疑活动。 付费服务还可以包括自动删除恶意软件，这可以帮助在出现任何安全问题后快速清理网站。

作为另一种安全实践，最好 尽量减少 WordPress 管理员帐户的数量. 每隔几个月检查一次帐户，并积极删除不应再访问该站点的任何以前的员工或旧供应商。

对于任何停机时间都会影响销售的电子商务网站，您可能还需要考虑额外的安全性 Web 应用程序防火墙 (WAF) 通过服务，例如 Cloudflare 或苏库里。 这可以保护站点免受恶意 bot 流量或 DDoS 攻击，这些攻击旨在通过向您的服务器或网站发送错误请求来关闭您的服务器或网站。

4. PCI-DSS 合规与反欺诈措施

虽然以前的安全协议也可以在信息网站上实施，但该措施特别适用于电子商务网站。

每个处理信用卡交易的网站都必须遵守 PCI-DSS – 支付卡行业数据安全标准. 这些全球标准旨在帮助减少信用卡欺诈。

遵守这些要求的最佳方法之一是使用安全支付网关。 Stripe、PayPal 和 Authorize.Net 都是流行的选择。 WooCommerce 还通过从不在网站内存储信用卡详细信息来支持这些标准。 如果您要建立自己的电子商务网站，请确保永远不要在网站内设置存储信用卡信息的基本表单。 相反，使用最好的 WooCommerce 网关插件之一是更安全的选择。

不幸的是，即使您遵循这些标准并使用安全的支付网关，您的在线商店也可能受到电子商务欺诈的负面影响。 看到用户在电子商务网站上测试被盗的信用卡账户是很常见的。 这 WooCommerce 反欺诈 扩展是检测欺诈交易的重要资源。 该插件用风险评分标记每笔交易，并且可以将其配置为自动取消或暂停可疑交易。

最后，保护您的网站免受可能在网站上创建虚假帐户和访客订单的自动机器人的攻击非常重要。 最好的防御方法是通过使用 WooCommerce 扩展的验证码.

5. 进行每日数据库备份

最后一个安全协议是您的安全网。 虽然前面的所有步骤都将帮助您避免安全漏洞，但如果发生最坏的情况并且您的网站被黑客入侵，那么备份您的 WordPress 网站和数据库将是救命稻草。

当网站被黑客入侵时，您通常会进行清理过程并删除所有恶意软件和受感染的文件。 可悲的是，在某些情况下，网站遭到严重黑客攻击，以至于关键信息和文件在此过程中丢失。 在这种情况下，对站点进行干净备份至关重要，这意味着您不必重建整个站点。

有一些托管环境可以在服务器级别提供站点的每日自动备份。 如果您没有此选项，您还可以使用 WordPress 插件每天或每周自动备份网站。 或按照本指南了解如何备份 WooCommerce 以确保您的电子商务网站是安全的。

根据您的解决方案，查看文件存储时间方面的设置。 这些备份文件通常很大。 如果备份存储在站点或服务器级别，这可能会增加站点的数据库大小，从而导致更高的托管成本。 缓解这种情况的一种方法是设置检查点并确保旧备份仅存储一段时间。

但是，在自动恢复 WooCommerce 网站的备份时要小心，因为它会覆盖自备份以来进入的任何事务。 如果您遇到安全问题，熟练的 Web 开发团队可以确保正确使用这些文件。