Сайти WooCommerce, безумовно, мають унікальні потреби з погляду веб-безпеки, і в міру зростання електронної комерції у всьому світі зростає ризик шахрайства та порушень безпеки.
Будь-які проблеми, що виникають у вашому інтернет-магазині, можуть підірвати довіру відвідувачів та постійних покупців.
Хоча щодо безпеки немає 100% гарантії, ви можете захистити своїх відвідувачів та бізнес, впровадивши ці ключові протоколи.
1. Реалізація заходів безпеки лише на рівні сервера
Коли справа доходить до безпеки веб-сайту, ваш хостинг-сервер є першою лінією захисту. Навіть якщо у вас є найкращі плагіни та заходи безпеки на вашому сайті WordPress, порушення на рівні хостингу зробить ці інструменти марними.
Оцінюючи варіанти хостингу, враховуйте, що виділене середовище забезпечує менший ризик того, що інший сайт на сервері скомпрометує ваш. Будьте обережні, розміщуючи сайт WooCommerce на безкоштовному або підозрілому хостингу з мінімальною безпекою.
Шукайте якісні варіанти хостингу WordPress, де є заходи безпеки на рівні сервера, такі як захист від запису на диск та обмеження.
Захист від запису на диск означає, що хост-сервер обмежує процеси, які можуть записувати на диск, що ускладнює хакеру використання вразливості теми або плагіна.
Так само обмеження запису на диск означають, що будь-які спроби запису на диск реєструються, що може допомогти у виявленні шкідливої активності.
Хоча сертифікат SSL тепер є необхідною для всіх сайтів, ця вимога для сайтів WooCommerce є першочергово важливою відповідно до стандартів безпеки PCI. Тому не забудьте налаштувати (і оновити) свій SSL сертифікат у хостингової компанії.
Нарешті ваш хостинг-сервер і веб-сайт повинні регулярно оновлюватися до останньої версії PHP. У старіших версіях PHP часто є вразливості безпеки, які не виправляються. Так само, як ви оновлюєте WordPress та свої плагіни, ваш веб-сайт та сервер повинні працювати з останньою версією PHP для забезпечення безпеки та продуктивності. WordPress повідомляє власників веб-сайтів про ці оновлення, відзначаючи застарілі версії PHP у перевірці працездатності сайту WordPress.
2. Будьте в курсі оновлень плагінів та безпеки
Регулярне оновлення плагінів та постійне відстеження основних випусків WordPress – один із найважливіших кроків щодо забезпечення безпеки. Поширеним джерелом зараження зламаних сайтів є вразливість у застарілому плагіні чи темі. У 2019 році Sucuri повідомив, що 56% зламаних сайтів на момент зараження застаріли.
Для сайтів WooCommerce важливо залишатися в курсі останніх оновлень WooCommerce, оскільки вони часто включають виправлення безпеки та обслуговування. Наприклад, оновлення WooCommerce 4.6.2 було випущено в листопаді 2020 року та включало виправлення помилки, що дозволяло анонімним користувачам створювати обліковий запис під час оформлення замовлення, навіть якщо цей параметр було вимкнено на панелі керування. WooCommerce закликала власників сайтів негайно запровадити це оновлення. Затримка з цими типами оновлень може піддати ваш сайт електронної комерції ризикам безпеки.
Деякі власники сайтів можуть відкласти оновлення плагінів через побоювання, що ці оновлення можуть призвести до поломки сайту або викликати проблеми з обслуговуванням WooCommerce. Тому рекомендується спочатку виконувати всі оновлення плагінів у проміжній області або виробничому середовищі, перш ніж впроваджувати їх на своєму діючому сайті.
Навіть якщо ви активно підтримуєте свої плагіни, можливо, один із встановлених плагінів може бути залишений його розробником. WordPress активно видаляє подібні плагіни з репозиторію, оскільки вони можуть становити ризик безпеки та продуктивності сайтів.
Однак з більш ніж 50 000 плагінів, доступних у репозиторії WordPress, та численними розширеннями WooCommerce, може бути складно відловити ці видалення. У цьому вам допоможе плагін WordFence (є безкоштовна та преміум версії). Після встановлення він буде відправляти повідомлення, якщо будь-які встановлені плагіни на вашому сайті були видалені і становлять загрозу безпеці.
Дивіться також:
Найкращі плагіни для відстеження замовлень у магазинах WooCommerce.
3. Налаштуйте моніторинг безпеки
Хоча безпека на рівні хостингу та регулярне обслуговування зменшать можливості для хакерів, вони все одно не охоплять усі. На жаль, на горизонті постійно з'являються нові загрози, деякі з яких є автоматичними атаками на сайти WordPress і WooCommerce. Самостійно блокувати їх 24/7 неможливо. Завдяки інструментам моніторингу безпеки вам не доведеться цього робити.
Подумайте про налаштування цілодобового моніторингу безпеки на своєму сайті WooCommerce для виявлення будь-яких шкідливих програм чи зламів сайту. Як безкоштовна та преміум версії WordFence плагіна, так і платні послуги Sucuriє популярним вибором для сайтів WordPress. Ці рішення пропонують сканер шкідливих програм і попереджають вашу команду про будь-яку підозрілу активність. Платні послуги також можуть включати автоматичне видалення шкідливих програм, що швидко очистить сайт після будь-яких проблем безпеки.
В якості ще одного заходу безпеки найкраще мінімізувати кількість облікових записів адміністратора WordPress. Перевіряйте облікові записи кожні кілька місяців та активно видаляйте всіх попередніх співробітників, які не мають більше доступу до сайту.
Для сайту електронної комерції, де простий (перерва в роботі) може вплинути на продаж, ви можете подумати про додаткову безпеку на основі брандмауера веб-застосунків (WAF) за допомогою таких сервісів, як Cloudflare або Sucuri. Вони зможуть захистити сайт від шкідливого трафіку ботів або DDoS-атаки, яка призначена для зупинки вашого сервера або веб-сайту шляхом повені його помилковими запитами.
4. Відповідність PCI-DSS та заходи щодо боротьби з шахрайством
Хоча попередні протоколи безпеки можуть бути реалізовані і на інформаційних сайтах, цей захід безпеки особливо важливий на сайтах електронної комерції.
Кожен веб-сайт, на якому обробляються транзакції кредитними картками, повинен відповідати PCI-DSS – стандарту безпеки даних промисловості платіжних карт. Ці глобальні стандарти були встановлені зниження рівня шахрайства з кредитними картками.
Один із найкращих способів виконати ці вимоги – використовувати безпечний платіжний шлюз. Stripe, PayPal та Authorize.Net – популярні варіанти. WooCommerce підтримує ці стандарти, не зберігаючи дані кредитної картки на сайті. Якщо ви налаштовуєте свій власний сайт електронної комерції, ніколи не встановлюйте на сайті базову форму, де зберігається інформація про кредитну картку. Натомість безпечнішим вибором буде використання одного з кращих плагінів. шлюзу WooCommerce.
На жаль, навіть якщо ви дотримуєтеся цих стандартів і використовуєте безпечний платіжний шлюз, на ваш інтернет-магазин може негативно вплинути шахрайство в електронній комерції. Досить часто можна побачити, як користувачі тестують вкрадені облікові записи кредитних карток на сайті електронної комерції. Розширення WooCommerce Anti-Fraud - Відмінний ресурс для виявлення шахрайських транзакцій. Плагін надає кожній транзакції оцінку ризику і може бути налаштований на автоматичне скасування або призупинення підозрілих транзакцій.
Нарешті важливо захистити ваш сайт від автоматичних ботів, які можуть створювати підроблені облікові записи та гостьові замовлення на сайті. Найкращий захист – налаштувати рекапчу Google на всіх формах оформлення замовлення WooCommerce за допомогою розширення Recaptcha для WooCommerce.
5. Щоденне резервне копіювання бази даних
Цей останній протокол безпеки – ваше підстрахування. Хоча всі попередні кроки допоможуть вам уникнути порушень безпеки, якщо станеться найгірший сценарій і ваш сайт буде зламаний, наявність резервної копії вашого сайту та бази даних WordPress стане порятунком.
Коли сайт зламаний, необхідно пройти процес очищення та видалити всі шкідливі програми та заражені файли. На жаль, бувають випадки, коли сайт зламаний настільки сильно, що критично важлива інформація та файли губляться. У цьому випадку наявність чистої резервної копії сайту є життєво важливою і означає, що вам не потрібно відновлювати весь сайт.
Існують хостинги, які пропонують автоматичне щоденне резервне копіювання сайту на рівні сервера. Якщо у вас немає цієї опції, ви можете використовувати плагін WordPress для щоденного або щотижневого автоматичного резервного копіювання сайту.
Залежно від вашого рішення, слідкуйте за налаштуваннями з точки зору того, як довго зберігаються файли. Ці файли резервних копій зазвичай досить великі. Якщо резервні копії зберігаються на рівні сайту або сервера, це може збільшити розмір бази даних вашого сайту, що призведе до збільшення витрат на хостинг. Один із способів пом'якшити це – налаштувати контрольні точки та переконатися, що старі резервні копії зберігаються лише протягом певного періоду часу.
Однак будьте обережні при автоматичному відновленні резервної копії для сайтів WooCommerce, оскільки вона перезапише всі транзакції, що надійшли з моменту створення резервної копії.
Джерело: wpexplorer.com
Коментарі до запису: 0