WooCommerce 商店的 5 个发布后安全提示

已发表: 2016-04-12

正如我们在 WooCommerce 安全性介绍中介绍的那样,为安全、受到良好保护的商店奠定基础只需要几个步骤。 但我们提供的大多数提示都是您在开设商店之前或之后立即要做的事情。

安全性不是您可以考虑一次就再也不会考虑的事情。 如果您不让您的商店保持最新状态,关注安全趋势,或者随着您的成长和扩展而加强您的防御,您可能会将自己置于非常脆弱的位置……同时也将您的客户置于危险之中。

让我们探索更多可以保护您的商店发布后的方法。

1.隐藏WordPress版本号

“好吧,”你可能会说,“什么? 如何保证我的安全?”

嗯 - 它没有,不是直接的。 但是,如果您有时更新 WordPress 有点慢,那么快速查看您的源代码很容易告诉潜在的攻击者您可能更容易受到其他攻击

当前版本的 WordPress 可以在三个位置找到:

  1. 标题中的生成器元标记
  2. RSS 提要中的生成器元标记
  3. 查询字符串

因此,如果您是那些想要在一两天内测试您的更新并且出于充分的理由需要隐藏版本号的好心人之一,您可以使用 Frankie Jarrett 的代码向所有人隐藏版本号其中三个景点。 前往他的帖子获取它,然后将其粘贴到您的 functions.php 文件中。

简要介绍一下代码,由 Frankie Jarrett 提供。
简要介绍一下代码,由 Frankie Jarrett 提供。

同样,单独隐藏版本并不能保护您——您绝对应该保持 WordPress、WooCommerce 以及所有插件和扩展的更新。 但我们也了解,测试和实施之间通常存在差距,因此这可以帮助您在此期间保持安全。

2. 在您的结帐页面上强制使用 SSL

安全始于安全连接。 通过遵循此提示,您可以绝对确保您的客户在结账时输入敏感的计费和运输信息时免受窥探。

在 WooCommerce 中启用“强制安全结帐”设置后,与结帐流程相关的所有页面在每次加载时都将被迫使用 HTTPS (即安全连接)。

因为只有客户的浏览器和您的商店才能解密通过 HTTPS 连接发送的信息,所以选中此框可确保您的结帐是安全的,并且没有恶意的人可以偷看信用卡号或其他流入的敏感信息并离开你的商店。

标题
强制安全结帐可确保您和您的客户的安全。 唯一的先决条件是 SSL 证书。

通过转到 WooCommerce > Checkout 并打开或关闭第二个复选框,可以在 WooCommerce 中打开和关闭此设置。

请注意,此设置需要有效的 SSL 证书才能在您的商店中正常运行。 如果您尚未获得 SSL 证书,请阅读本指南以了解有关它们为何重要以及如何以很少或免费获得证书的更多信息。

您可以通过阅读我们文档中的此页面来了解有关 WooCommerce 中此设置的更多信息。

3. 让备份和安全扫描成为日常活动

在我们关于安全的第一篇文章中,我们建议使用受信任的软件来扫描您的站点,以查找潜在的漏洞、暴力攻击或恶意软件。 现在您已经启动,是时候将事情提升到一个新的水平了。

随着您的商店启动并运行,备份和安全扫描都应该每天进行。 备份至关重要,因为它们为您提供了在数据丢失时可以依靠的东西,而安全扫描首先可以防止此类丢失(或感染)的发生。

您可以根据需要设置扫描、备份和通知的频率,但我们建议每天备份一次,至少每天扫描一次。 一些解决方案提供实时备份和更频繁的扫描 - Jetpack 的暴力登录保护也是实时的 - 但您可以根据需要向上或向下扩展频率。

如果您仍在市场上寻找可靠、有效的备份和安全解决方案, Jetpack Premium 计划与备份捆绑在一起 - WooCommerce 客户可以立即节省 15% 。 从第一天开始,让 Jetpack 让您高枕无忧。

4. 更改 WordPress 数据库中使用的默认前缀

看起来很奇怪,有一些讨厌的人为了自己的娱乐而对网站进行攻击。 虽然您可能认为您的商店是 100% 安全的,但如果有机会,这些垃圾邮件发送者和黑客会发现并利用一些小漏洞。

一个已知的潜在漏洞来自在设置和安装 WordPress 期间使用默认数据库表设置。 更改这些设置有助于防止恶意代码注入您的服务器。

用于存储 WordPress 信息的数据库表的默认前缀是 wp_。 因为大多数商店所有者在设置期间不会更改此前缀(或者甚至没有选择这样做,这取决于他们的主机/安装过程),使用默认值可能会使他们面临 SQL 注入攻击的风险(以及其他) ,都是因为黑客非常清楚这些默认表的名称。

当然,到目前为止,您可能已经设置了 WordPress 和 WooCommerce。 但现在更改这些设置还为时不晚。 在 phpMyAdmin 中运行一个或两个 SQL 查询将立即让您恢复正常。

使用一些适当的 SQL,您可以重命名表前缀并为您的 WordPress 安装添加另一层安全性。 (图片来源:深入研究 WP)
使用一些适当的 SQL,您可以重命名表前缀并为您的 WordPress 安装添加另一层安全性。 (图片来源:深入研究 WP)

看看这个来自 Digging Into WP 的详细且非常有用的分步教程,了解如何将您的数据库表前缀更改为更复杂且更安全的东西。

SQL 查询不是你的事? 周围有一些免费的插件可以完成同样的事情,但要小心——允许不受限制地访问你的 SQL 数据库可能是危险的。 至少,一旦你完成它,卸载这样的插件,这样就没有未来无意重命名的可能性。

5.摆脱您的“管理员”帐户

这最后一条建议对你们中的一些人来说可能看起来很烦人,或者对其他人来说甚至可能像是常识。 但这很关键,所以我们想花时间在这里强调一下。

当您运行在线商店时,不建议使用 WordPress 内置的默认管理员帐户。 就像数据库表前缀一样,黑客知道这个帐户(很可能)默认存在,这为他们提供了一个更好的机会来强行进入。

即使是听起来相似的帐户,例如“testadmin”、“administrator”或“owner”,也会让您的商店面临风险——它们也很容易被猜到。 正如 HackerTarget.com 上的 Attacking WordPress 页面所解释的(别担心,它是提供建议的资源,而不是黑客攻击的方法),一旦黑客知道帐户存在,他们就可以快速使用工具来猜测您的密码

[…]。 针对“testadmin”帐户(在用户枚举期间发现)测试了 500 个密码。 这 500 个密码在 1 分 16 秒内完成了测试! 在测试运行期间,站点仍在响应; 如果没有某种安全日志监控系统,Web 服务器管理员不会知道攻击发生了。

他们可能输入了错误的密码,但现在他们知道了另一件事:这个帐户存在。 (图片来源:HackerTarget.com)
他们可能输入了错误的密码,但现在他们知道了另一件事:这个帐户存在。 (图片来源:HackerTarget.com)

故事的寓意:您的管理员帐户应该被命名为独特的,并且不太可能被恶意的人猜到。 使用唯一的昵称、中间有多个首字母的全名或其他不易猜到的名称(例如,您的名字和姓氏或商店的名称)。

请记住使用安全密码,因此即使有人猜出了您的帐户名称,他们仍然会发现自己无法登录。如果您需要了解什么是安全的,什么不是,请参阅本文中的第 2 节。

一旦您的商店上线,请认真对待安全性

尽管您可以做很多事情来确保商店在开业前的安全,但安全性应该是商店所有者持续关注的问题,而不是“一劳永逸”的事情。 通过遵循这些提示并更新您的商店和 WordPress,您将处于一个很好的位置,可以让您的客户和您的团队保持安全和健全。

对本文推荐的安全提示有任何疑问吗? 或者更好的是,您可以分享任何高级技巧吗? 我们欢迎您在下面的评论中提供反馈和想法。