WooCommerce 商店的 5 個發布後安全提示

已發表: 2016-04-12

正如我們在 WooCommerce 安全性介紹中介紹的那樣,為安全、受到良好保護的商店奠定基礎只需要幾個步驟。 但我們提供的大多數提示都是您在開設商店之前或之後立即要做的事情。

安全性不是您可以考慮一次就再也不會考慮的事情。 如果您不讓您的商店保持最新狀態,關注安全趨勢,或者隨著您的成長和擴展而加強您的防禦,您可能會將自己置於非常脆弱的位置……同時也將您的客戶置於危險之中。

讓我們探索更多可以保護您的商店發布後的方法。

1.隱藏WordPress版本號

“好吧,”你可能會說,“什麼? 如何保證我的安全?”

嗯 - 它沒有,不是直接的。 但是,如果您有時更新 WordPress 有點慢,那麼快速查看您的源代碼很容易告訴潛在的攻擊者您可能更容易受到其他攻擊

當前版本的 WordPress 可以在三個位置找到:

  1. 標題中的生成器元標記
  2. RSS 提要中的生成器元標記
  3. 查詢字符串

因此,如果您是那些想要在一兩天內測試您的更新並且出於充分的理由需要隱藏版本號的好心人之一,您可以使用 Frankie Jarrett 的代碼向所有人隱藏版本號其中三個景點。 前往他的帖子獲取它,然後將其粘貼到您的 functions.php 文件中。

簡要介紹一下代碼,由 Frankie Jarrett 提供。
簡要介紹一下代碼,由 Frankie Jarrett 提供。

同樣,單獨隱藏版本並不能保護您——您絕對應該保持 WordPress、WooCommerce 以及所有插件和擴展的更新。 但我們也了解,測試和實施之間通常存在差距,因此這可以幫助您在此期間保持安全。

2. 在您的結帳頁面上強制使用 SSL

安全始於安全連接。 通過遵循此提示,您可以絕對確保您的客戶在結賬時輸入敏感的計費和運輸信息時免受窺探。

在 WooCommerce 中啟用“強制安全結帳”設置後,與結帳流程相關的所有頁面在每次加載時都將被迫使用 HTTPS (即安全連接)。

因為只有客戶的瀏覽器和您的商店才能解密通過 HTTPS 連接發送的信息,所以選中此框可確保您的結帳是安全的,並且沒有惡意的人可以偷看信用卡號或其他流入的敏感信息並離開你的商店。

標題
強制安全結帳可確保您和您的客戶的安全。 唯一的先決條件是 SSL 證書。

通過轉到 WooCommerce > Checkout 並打開或關閉第二個複選框,可以在 WooCommerce 中打開和關閉此設置。

請注意,此設置需要有效的 SSL 證書才能在您的商店中正常運行。 如果您尚未獲得 SSL 證書,請閱讀本指南以了解有關它們為何重要以及如何以很少或免費獲得證書的更多信息。

您可以通過閱讀我們文檔中的此頁面來了解有關 WooCommerce 中此設置的更多信息。

3. 讓備份和安全掃描成為日常活動

在我們關於安全的第一篇文章中,我們建議使用受信任的軟件來掃描您的站點,以查找潛在的漏洞、暴力攻擊或惡意軟件。 現在您已經啟動,是時候將事情提升到一個新的水平了。

隨著您的商店啟動並運行,備份和安全掃描都應該每天進行。 備份至關重要,因為它們為您提供了在數據丟失時可以依靠的東西,而安全掃描首先可以防止此類丟失(或感染)的發生。

您可以根據需要設置掃描、備份和通知的頻率,但我們建議每天備份一次,至少每天掃描一次。 一些解決方案提供實時備份和更頻繁的掃描 - Jetpack 的暴力登錄保護也是實時的 - 但您可以根據需要向上或向下擴展頻率。

如果您仍在市場上尋找可靠、有效的備份和安全解決方案, Jetpack Premium 計劃與備份捆綁在一起 - WooCommerce 客戶可以立即節省 15% 。 從第一天開始,讓 Jetpack 讓您高枕無憂。

4. 更改 WordPress 數據庫中使用的默認前綴

看起來很奇怪,有一些討厭的人為了自己的娛樂而對網站進行攻擊。 雖然您可能認為您的商店是 100% 安全的,但如果有機會,這些垃圾郵件發送者和黑客會發現並利用一些小漏洞。

一個已知的潛在漏洞來自在設置和安裝 WordPress 期間使用默認數據庫表設置。 更改這些設置有助於防止惡意代碼注入您的服務器。

用於存儲 WordPress 信息的數據庫表的默認前綴是 wp_。 因為大多數商店所有者在設置期間不會更改此前綴(或者甚至沒有選擇這樣做,這取決於他們的主機/安裝過程),使用默認值可能會使他們面臨 SQL 注入攻擊的風險(以及其他) ,都是因為黑客非常清楚這些默認表的名稱。

當然,到目前為止,您可能已經設置了 WordPress 和 WooCommerce。 但現在更改這些設置還為時不晚。 在 phpMyAdmin 中運行一個或兩個 SQL 查詢將立即讓您恢復正常。

使用一些適當的 SQL,您可以重命名表前綴並為您的 WordPress 安裝添加另一層安全性。 (圖片來源:深入研究 WP)
使用一些適當的 SQL,您可以重命名表前綴並為您的 WordPress 安裝添加另一層安全性。 (圖片來源:深入研究 WP)

看看這個來自 Digging Into WP 的詳細且非常有用的分步教程,了解如何將您的數據庫表前綴更改為更複雜且更安全的東西。

SQL 查詢不是你的事? 周圍有一些免費的插件可以完成同樣的事情,但要小心——允許不受限制地訪問你的 SQL 數據庫可能是危險的。 至少,一旦你完成它,卸載這樣的插件,這樣就沒有未來無意重命名的可能性。

5.擺脫您的“管理員”帳戶

這最後一條建議對你們中的一些人來說可能看起來很煩人,或者對其他人來說甚至可能像是常識。 但這很關鍵,所以我們想花時間在這裡強調一下。

當您運行在線商店時,不建議使用 WordPress 內置的默認管理員帳戶。 就像數據庫表前綴一樣,黑客知道這個帳戶(很可能)默認存在,這為他們提供了一個更好的機會來強行進入。

即使是聽起來相似的帳戶,例如“testadmin”、“administrator”或“owner”,也會讓您的商店面臨風險——它們也很容易被猜到。 正如 HackerTarget.com 上的 Attacking WordPress 頁面所解釋的(別擔心,它是提供建議的資源,而不是黑客攻擊的方法),一旦黑客知道帳戶存在,他們就可以快速使用工具來猜測您的密碼

[…]。 針對“testadmin”帳戶(在用戶枚舉期間發現)測試了 500 個密碼。 這 500 個密碼在 1 分 16 秒內完成了測試! 在測試運行期間,站點仍在響應; 如果沒有某種安全日誌監控系統,Web 服務器管理員不會知道攻擊發生了。

他們可能輸入了錯誤的密碼,但現在他們知道了另一件事:這個帳戶存在。 (圖片來源:HackerTarget.com)
他們可能輸入了錯誤的密碼,但現在他們知道了另一件事:這個帳戶存在。 (圖片來源:HackerTarget.com)

故事的寓意:您的管理員帳戶應該被命名為獨特的,並且不太可能被惡意的人猜到。 使用唯一的暱稱、中間有多個首字​​母的全名或其他不易猜到的名稱(例如,您的名字和姓氏或商店的名稱)。

請記住使用安全密碼,因此即使有人猜出了您的帳戶名稱,他們仍然會發現自己無法登錄。如果您需要了解什麼是安全的,什麼不是,請參閱本文中的第 2 節。

一旦您的商店上線,請認真對待安全性

儘管您可以做很多事情來確保商店在開業前的安全,但安全性應該是商店所有者持續關注的問題,而不是“一勞永逸”的事情。 通過遵循這些提示並更新您的商店和 WordPress,您將處於一個很好的位置,可以讓您的客戶和您的團隊保持安全和健全。

對本文推薦的安全提示有任何疑問嗎? 或者更好的是,您可以分享任何高級技巧嗎? 我們歡迎您在下面的評論中提供反饋和想法。