WooCommerce 安全性:您应该首先做的八件事

已发表: 2021-03-26

虽然 WordPress 和 WooCommerce 中内置了安全措施,但新店主应该做一些基本的事情来确保他们的客户、团队和数据在最坏的情况下安全。

以下是所有 WooCommerce 新店主应该做的八件事。

1.选择有信誉的主机

您的托管服务提供商存储您的网站文件和数据库,让全世界的人都可以查看它们。 您的主机应采取措施保护这些文件免受黑客和恶意软件的侵害——选择错误的主机可能会使您和您的客户面临风险。

理想情况下,您应该找到一个非常了解 WordPress 并清楚说明他们为优先考虑您的安全和保障所做的工作的主机。 寻找以下功能:

  • SSL 证书,可保护地址和电话号码等客户数据。
  • 备份,以便如果出现任何问题,您可以完全恢复您的网站。
  • 攻击监控和预防,让您立即知道是否在您的文件或数据库中发现恶意软件。
  • 服务器防火墙,可防止黑客访问您的文件。
  • 24/7 全天候获得支持,以防万一。
  • 最新的服务器软件,如 PHP 和 MYSQL。

隔离恶意文件的能力,使病毒或恶意软件无法移动到同一服务器上的其他站点或文件夹。

WooCommerce 推荐的托管计划

您评估的主机应该在他们的网站上有一个关于安全性的页面,所以您应该能够确认您的主机是否提供这些功能。 如果您必须深入挖掘或发送电子邮件以获得答案,这可能是一个需要避开的迹象。 这个托管服务提供商列表是一个很好的起点。

2. 创建(并安全存储)强密码

虽然安全可能从您的主人开始,但您可以坚持到底。 为与您的商店关联的所有帐户选择安全密码。

这意味着:

  • 为您的每个帐户使用唯一的密码。
  • 创建包含大写字母、小写字母、数字和符号的密码。
  • 避免使用容易猜到的单词、纪念日、生日或其他短语。
  • 长度优先——密码越长越复杂,越难破解。

担心您的密码是否真正安全? 不要害怕:WordPress 有一个内置的安全密码生成器,可以轻松生成复杂、难以猜测的组合。

但是记住困难的密码可能会很棘手。 一个很好的解决方案是密码管理器,如 LastPass 或 1Password(我们在 Woo 的个人最爱)。 他们安全地存储您的密码并在您最喜欢的网站上安全地自动填写它们。

3.启用双重身份验证(2FA)

如果有人可以访问您的电子邮件或其他帐户,他们可能能够收集到足够的信息来重置您的密码并登录。

双重身份验证(通常缩写为 2FA)是保护您的在线帐户免受不受欢迎的入侵者的绝妙方法。 2FA 依靠第二步(通常是您的智能手机)来验证登录并验证您是所有者。

理想情况下,您应该在所有帐户上启用 2FA。 在正常情况下,成功访问您的电子邮件帐户的个人可能会找到您的商店和其他帐户的登录信息。 但是使用 2FA,他们将无法通过您的移动设备实际验证登录。

确实,添加第二步也会为您的登录过程增加一点时间。 但是,知道您的敏感数据是安全的,绝对值得高枕无忧。

您可以使用 Jetpack 免费实施双重身份验证。

4.防止暴力攻击

当黑客使用机器人猜测数以千计的用户名/密码组合,直到他们最终想出正确的组合时,就会发生暴力攻击。 这不仅可以让黑客访问您的网站,还可能由于商店流量的增加而对您的加载时间产生负面影响。

Jetpack 的免费暴力攻击保护功能是阻止他们前进的好方法。 它甚至会在恶意 IP 地址到达您的站点之前自动阻止它们,因此您不必担心它们。

5.添加额外的站点保护层

我们已经讨论了一些保护您的网站的方法,但为了更进一步,请考虑实施更多 Jetpack 的安全工具。 除了双重身份验证和暴力攻击保护之外,它还提供:

  • 恶意软件扫描(付费):如果在您的网站上发现恶意软件,则会立即获得警报,以便您可以一键排除并修复大多数已知威胁。 这就像有人 24/7 全天候守卫您的网站。
  • 垃圾邮件预防(付费):自动删除评论和联系表格垃圾邮件,这些邮件会让您看起来不专业,并将客户引导至恶意的第三方网站。
  • 活动日志(免费):密切关注您网站上发生的一切——从更新的页面和新产品到用户登录——以及执行每个操作的人员和时间。
  • 停机时间监控(免费):立即知道您的网站是否出现故障(这是黑客入侵的常见迹象),以便您可以快速恢复并运行。
  • 自动插件更新(免费):自动更新插件以保持您的网站顺利运行并免受黑客攻击。
Jetpack Scan 在网站上工作

详细了解 Jetpack 如何保护您的 WordPress 网站。

6. 检查并调整您的 FTP 设置

FTP(文件传输协议)用于在两个设备之间传输文件。 通过您的托管服务提供商,您可以创建 FTP 帐户,该帐户允许您从计算机连接到您的网站服务器。 如果恶意行为者访问这些帐户,他们将能够对您的网站进行任意数量的更改。

但是限制这些帐户的权限可以减少甚至完全消除损坏的可能性。 确保只有您的FTP 帐户可以访问以下文件夹:

  • 根目录
  • wp-管理员
  • wp-包括
  • wp-内容

有关锁定 FTP 的更多详细信息,请查看 WordPress Codex 的这一部分。 您的房东也应该能够帮助您采取这些预防措施。

7. 始终更新您的网站

更新 WordPress、WooCommerce 以及您的插件或扩展程序的过程绝对至关重要。 发布更新是有原因的,它们通常会使您的网站更加安全。 忽略它们,您可能会将自己和您的客户置于危险之中。

解决这个问题的最佳方法是什么? 留出定期时间来查看您的更新、进行备份并将这些更新部署到您的站点。 如果您不想担心,也可以打开 WordPress 中的自动更新功能。

8. 定期备份您的商店

如果您的网站曾经被黑客入侵,备份是让干净版本重新启动并运行的最快和最好的方法。

使用 Jetpack 恢复备份

选择一个自动为您处理此问题的 WooCommerce 备份插件——我们推荐 Jetpack Backup:

  • 从每 24 小时发生一次的每日备份和每次在您的站点上发生操作(购买的产品、更新的页面等)时发生的实时备份中进行选择。
  • 永远不用担心丢失订单信息。 无论您是从五分钟前还是五天前恢复备份,您的所有订单信息都会保存到当前。
  • 一键还原。 无需担心耗时、困难的恢复过程。 只需找到您要恢复到的日期和时间,然后单击一个按钮。

开店时,将安全放在首位

在开店的喧嚣中很容易忽视安全性,但这不是你应该掉以轻心的事情。 从一开始,保护客户数据的安全就应该是重中之重。

通过遵循这些简单的步骤,您将为安全、值得信赖的商店打下基础,该商店在发生罕见攻击时得到很好的保护。

对刚开始考虑 WordPress 和 WooCommerce 安全性话题的新店主有什么建议吗? 我们很乐意在评论中收到您的来信。