Статьи

5 ключевых протоколов безопасности для сайтов WooCommerce

Сайты WooCommerce, безусловно, имеют уникальные потребности с точки зрения веб-безопасности, и по мере роста электронной коммерции во всем мире возрастает риск мошенничества и нарушений безопасности.

Интернет-безопасность действительно является основным требованием, так же как и оценка состояния здоровья ресторана, и любые проблемы, возникающие в вашем интернет-магазине, могут подорвать доверие вашего веб-посетителя.

Хотя в отношении безопасности нет 100% гарантии, вы можете защитить своих посетителей и бизнес, внедрив эти ключевые протоколы.

1. Реализация мер безопасности на уровне сервера

Начните с отличного хостинга

Когда дело доходит до безопасности веб-сайта, ваш хостинг-сервер является первой линией защиты. Даже если у вас есть лучшие плагины и меры безопасности на вашем сайте WordPress, нарушение на уровне хостинга сделает эти инструменты бесполезными.

При оценке вариантов хостинга учитывайте, что более выделенная среда означает меньший риск того, что другой сайт на сервере скомпрометирует ваш. Будьте очень осторожны, размещая сайт WooCommerce в рамках бюджета, среды общего хостинга с минимальной безопасностью.

Ищите качественные варианты хостинга WordPress, где есть меры безопасности на уровне сервера, такие как защита от записи на диск и ограничения. Защита от записи на диск означает, что хост-сервер ограничивает процессы, которые могут записывать на диск, что усложняет хакеру использование уязвимости темы или плагина. Подобным образом, ограничения записи на диск означают, что любые попытки записи на диск регистрируются, что может помочь в обнаружении вредоносной активности.

В то время как Сертификат SSL Теперь это лучшая практика для всех сайтов, это требование для сайтов WooCommerce по стандартам безопасности PCI. Поэтому не забудьте настроить (и обновить) свой SSL-сертификат у хостинговой компании.

Наконец, ваш хостинг-сервер и веб-сайт должны регулярно обновляться до последней версии PHP. В более старых версиях PHP часто есть уязвимости безопасности, которые больше не исправляются. Так же, как вы обновляете WordPress и свои плагины, ваш веб-сайт и сервер должны работать под управлением последний PHP как для безопасности, так и для производительности. WordPress начал поощрять владельцев веб-сайтов оставаться в курсе этих обновлений, отмечая устаревшие версии PHP в проверке работоспособности сайта WordPress.

2. Будьте в курсе обновлений плагинов и безопасности

Обновите плагины и темы

Регулярное обновление плагинов и постоянное отслеживание основных выпусков WordPress — один из наиболее важных шагов по обеспечению безопасности. Распространенным источником заражения взломанных сайтов является уязвимость в устаревшем плагине или теме. В 2019 году Sucuri сообщил, что 56% взломанных сайтов устарели на момент заражения.

Для сайтов WooCommerce критически важно оставаться в курсе последних обновлений WooCommerce, поскольку они часто включают исправления безопасности и исправления обслуживания. Например, обновление WooCommerce 4.6.2 было выпущено в ноябре 2020 года и включало исправление ошибки, которая позволяла анонимным пользователям создавать учетную запись во время оформления заказа, даже если этот параметр был отключен на панели управления. WooCommerce призвала владельцев сайтов немедленно внедрить это обновление. Задержка с этими типами обновлений может подвергнуть ваш сайт электронной коммерции таким рискам безопасности.

Некоторые владельцы сайтов могут отложить обновление плагинов из-за опасений, что эти обновления могут привести к поломке сайта или вызвать проблемы с обслуживанием WooCommerce. По этой причине рекомендуется сначала выполнять все обновления плагинов в промежуточной области или производственной среде, прежде чем внедрять их на своем действующем сайте.

Даже если вы активно поддерживаете свои плагины, возможно, что один из этих установленных плагинов может быть оставлен его разработчиком. WordPress активно удаляет эти типы плагинов из репозитория, поскольку они могут представлять риск для безопасности и производительности.

Однако с более чем 50 000 плагинов, доступных в репозитории WordPress, и многочисленными расширениями WooCommerce, может быть сложно отловить эти удаления. Бесплатный или платный плагин WordFence может быть отличным ресурсом, и после установки WordFence будет отправлять уведомления, если какие-либо установленные плагины на вашем сайте были удалены и представляют собой угрозу безопасности.

3. Настройте мониторинг безопасности.

Лучшие плагины безопасности WordPress

Хотя безопасность на уровне хостинга и регулярное обслуживание уменьшат возможности для хакеров, они все равно не охватят все основы. К сожалению, на горизонте постоянно появляются новые угрозы, некоторые из которых представляют собой автоматические атаки на сайты WordPress и WooCommerce. Самостоятельно заблокировать их 24/7 невозможно. Благодаря инструментам мониторинга безопасности вам не придется этого делать.

Рассмотрите возможность настройки 24/7 мониторинг безопасности на вашем сайте WooCommerce, чтобы обнаружить любые вредоносные программы или нарушения на сайте. И бесплатная, и премиальная версия плагина WordFence, и платные сервисы Sucuri являются популярным выбором для сайтов WordPress. Эти решения предлагают сканер вредоносных программ и предупреждают вашу команду о любой подозрительной активности. Платные услуги также могут включать автоматическое удаление вредоносных программ, что может помочь быстро очистить сайт после любых проблем с безопасностью.

В качестве еще одной меры безопасности лучше всего минимизировать количество учетных записей администратора WordPress. Проверяйте учетные записи каждые несколько месяцев и активно удаляйте всех предыдущих сотрудников или старых поставщиков, у которых больше не должно быть доступа к сайту.

Для сайта электронной коммерции, где любой простой может повлиять на продажи, вы также можете подумать о дополнительной безопасности с помощью брандмауэр веб-приложений (WAF) через такие сервисы, как Cloudflare или Sucuri. Это может защитить сайт от вредоносного трафика ботов или DDoS-атаки, которая предназначена для остановки вашего сервера или веб-сайта путем наводнения его ошибочными запросами.

4. Соответствие PCI-DSS и меры по борьбе с мошенничеством

Соответствие PCI-DSS и меры по борьбе с мошенничеством

Хотя предыдущие протоколы безопасности могут быть реализованы и на информационных сайтах, эта мера особенно применима к сайтам электронной коммерции.

Каждый веб-сайт, на котором обрабатываются транзакции по кредитным картам, должен соответствовать PCI-DSS — стандарту безопасности данных индустрии платежных карт. Эти глобальные стандарты были установлены, чтобы помочь снизить уровень мошенничества с кредитными картами.

Один из лучших способов выполнить эти требования — использовать безопасный платежный шлюз. Stripe, PayPal и Authorize.Net — популярные варианты. WooCommerce также поддерживает эти стандарты, никогда не храня данные кредитной карты на сайте. Если вы настраиваете свой собственный сайт электронной коммерции, никогда не устанавливайте на сайте базовую форму, в которой хранится информация о кредитной карте. Вместо этого более безопасным выбором будет использование одного из лучших плагинов шлюза WooCommerce.

К сожалению, даже если вы следуете этим стандартам и используете безопасный платежный шлюз, на ваш интернет-магазин может негативно повлиять мошенничество в электронной коммерции. Довольно часто можно увидеть, как пользователи тестируют украденные учетные записи кредитных карт на сайте электронной коммерции. Расширение WooCommerce Anti-Fraud — отличный ресурс для обнаружения мошеннических транзакций. Плагин присваивает каждой транзакции оценку риска и может быть настроен на автоматическую отмену или приостановку подозрительных транзакций.

Наконец, важно защитить ваш сайт от автоматических ботов, которые могут создавать поддельные учетные записи и гостевые заказы на сайте. Лучшая защита — настроить рекапчу Google на всех формах оформления заказа WooCommerce с помощью расширения Recaptcha для WooCommerce.

5. Ежедневное резервное копирование базы данных

Как сделать резервную копию магазина WooCommerce

Этот последний протокол безопасности — ваша подстраховка. Хотя все предыдущие шаги помогут вам избежать нарушений безопасности, если произойдет худший сценарий и ваш сайт будет взломан, наличие резервной копии вашего сайта и базы данных WordPress станет спасением.

Когда сайт взломан, вы обычно проходите процесс очистки и удаляете все вредоносные программы и зараженные файлы. К сожалению, бывают случаи, когда сайт взломан настолько сильно, что при этом теряется важная информация и файлы. В этом случае наличие чистой резервной копии сайта жизненно важно и означает, что вам не нужно перестраивать весь сайт.

Существуют среды хостинга, которые предлагают автоматическое ежедневное резервное копирование сайта на уровне сервера. Если у вас нет этой опции, вы также можете использовать плагин WordPress для ежедневного или еженедельного автоматического резервного копирования сайта. Или следуйте этому руководству о том, как сделать резервную копию WooCommerce, чтобы убедиться, что ваш сайт электронной коммерции безопасен.

В зависимости от вашего решения следите за настройками с точки зрения того, как долго хранятся файлы. Эти файлы резервных копий обычно довольно большие. Если резервные копии хранятся на уровне сайта или сервера, это может увеличить размер базы данных вашего сайта, что приведет к увеличению затрат на хостинг. Один из способов смягчить это — настроить контрольные точки и убедиться, что старые резервные копии хранятся только в течение определенного периода времени.

Однако будьте осторожны при автоматическом восстановлении резервной копии для сайтов WooCommerce, поскольку она перезапишет все транзакции, поступившие с момента создания резервной копии. Квалифицированная команда веб-разработчиков может убедиться, что вы правильно используете файлы, если вы столкнулись с проблемой безопасности.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Кнопка «Наверх»

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: