Сайты WooCommerce, безусловно, имеют уникальные потребности с точки зрения веб-безопасности, и по мере роста электронной коммерции во всем мире возрастает риск мошенничества и нарушений безопасности.
Любые проблемы, возникающие в вашем интернет-магазине, могут подорвать доверие посетителей и постоянных покупателей.
Хотя в отношении безопасности нет 100% гарантии, вы можете защитить своих посетителей и бизнес, внедрив эти ключевые протоколы.
1. Реализация мер безопасности на уровне сервера
Когда дело доходит до безопасности веб-сайта, ваш хостинг-сервер является первой линией защиты. Даже если у вас есть лучшие плагины и меры безопасности на вашем сайте WordPress, нарушение на уровне хостинга сделает эти инструменты бесполезными.
При оценке вариантов хостинга учитывайте, что выделенная среда обеспечивает меньший риск того, что другой сайт на сервере скомпрометирует ваш. Будьте очень осторожны, размещая сайт WooCommerce на бесплатном или подозрительном хостинге с минимальной безопасностью.
Ищите качественные варианты хостинга WordPress, где есть меры безопасности на уровне сервера, такие как защита от записи на диск и ограничения.
Защита от записи на диск означает, что хост-сервер ограничивает процессы, которые могут записывать на диск, что усложняет хакеру использование уязвимости темы или плагина.
Точно так же ограничения записи на диск означают, что любые попытки записи на диск регистрируются, что может помочь в обнаружении вредоносной активности.
Хотя сертификат SSL теперь является необходимым для всех сайтов, это требование для сайтов WooCommerce первостепенно важное в соответствии со стандартами безопасности PCI. Поэтому не забудьте настроить (и обновить) свой SSL-сертификат у хостинговой компании.
Наконец, ваш хостинг-сервер и веб-сайт должны регулярно обновляться до последней версии PHP. В более старых версиях PHP часто есть уязвимости безопасности, которые больше не исправляются. Так же, как вы обновляете WordPress и свои плагины, ваш веб-сайт и сервер должны работать с последней версией PHP для обеспечения безопасности и производительности. WordPress оповещает владельцев веб-сайтов об этих обновлениях, отмечая устаревшие версии PHP в проверке работоспособности сайта WordPress.
2. Будьте в курсе обновлений плагинов и безопасности
Регулярное обновление плагинов и постоянное отслеживание основных выпусков WordPress – один из наиболее важных шагов по обеспечению безопасности. Распространенным источником заражения взломанных сайтов является уязвимость в устаревшем плагине или теме. В 2019 году Sucuri сообщил, что 56% взломанных сайтов на момент заражения устарели.
Для сайтов WooCommerce критически важно оставаться в курсе последних обновлений WooCommerce, поскольку они часто включают исправления безопасности и обслуживания. Например, обновление WooCommerce 4.6.2 было выпущено в ноябре 2020 года и включало исправление ошибки, которая позволяла анонимным пользователям создавать учетную запись во время оформления заказа, даже если этот параметр был отключен на панели управления. WooCommerce призвала владельцев сайтов немедленно внедрить это обновление. Задержка с этими типами обновлений может подвергнуть ваш сайт электронной коммерции рискам безопасности.
Некоторые владельцы сайтов могут отложить обновление плагинов из-за опасений, что эти обновления могут привести к поломке сайта или вызвать проблемы с обслуживанием WooCommerce. По этой причине рекомендуется сначала выполнять все обновления плагинов в промежуточной области или производственной среде, прежде чем внедрять их на своем действующем сайте.
Даже если вы активно поддерживаете свои плагины, возможно, что один из установленных плагинов может быть оставлен его разработчиком. WordPress активно удаляет подобные плагины из репозитория, поскольку они могут представлять риск для безопасности и производительности сайтов.
Однако с более чем 50 000 плагинов, доступных в репозитории WordPress, и многочисленными расширениями WooCommerce, может быть сложно отловить эти удаления. В этом вам поможет плагин WordFence (есть бесплатная и премиум версии). После установки он будет отправлять уведомления, если какие-либо установленные плагины на вашем сайте были удалены и представляют собой угрозу безопасности.
Смотрите также:
Лучшие плагины для отслеживания заказов в магазинах WooCommerce.
3. Настройте мониторинг безопасности
Хотя безопасность на уровне хостинга и регулярное обслуживание уменьшат возможности для хакеров, они все равно не охватят все. К сожалению, на горизонте постоянно появляются новые угрозы, некоторые из которых представляют собой автоматические атаки на сайты WordPress и WooCommerce. Самостоятельно блокировать их 24/7 невозможно. Благодаря инструментам мониторинга безопасности вам не придется этого делать.
Подумайте о настройке круглосуточного мониторинга безопасности на своем сайте WooCommerce для обнаружения любых вредоносных программ или взломов сайта. Как бесплатная и премиум версии WordFence плагина, так и платные услуги Sucuri, являются популярным выбором для сайтов WordPress. Эти решения предлагают сканер вредоносных программ и предупреждают вашу команду о любой подозрительной активности. Платные услуги также могут включать автоматическое удаление вредоносных программ, что быстро очистит сайт после любых проблем с безопасностью.
В качестве еще одной меры безопасности лучше всего минимизировать количество учетных записей администратора WordPress. Проверяйте учетные записи каждые несколько месяцев и активно удаляйте всех предыдущих сотрудников, у которых больше не должно быть доступа к сайту.
Для сайта электронной коммерции, где простой (перерыв в работе) может повлиять на продажи, вы можете подумать о дополнительной безопасности на основе брандмауэра веб-приложений (WAF) с помощью таких сервисов, как Cloudflare или Sucuri. Они смогут защитить сайт от вредоносного трафика ботов или DDoS-атаки, которая предназначена для остановки вашего сервера или веб-сайта путем наводнения его ошибочными запросами.
4. Соответствие PCI-DSS и меры по борьбе с мошенничеством
Хотя предыдущие протоколы безопасности могут быть реализованы и на информационных сайтах, эта мера безопасности особенно важна на сайтах электронной коммерции.
Каждый веб-сайт, на котором обрабатываются транзакции по кредитным картам, должен соответствовать PCI-DSS - стандарту безопасности данных индустрии платежных карт. Эти глобальные стандарты были установлены для снижения уровня мошенничества с кредитными картами.
Один из лучших способов выполнить эти требования – использовать безопасный платежный шлюз. Stripe, PayPal и Authorize.Net – популярные варианты. WooCommerce поддерживает эти стандарты, не сохраняя данные кредитной карты на сайте. Если вы настраиваете свой собственный сайт электронной коммерции, никогда не устанавливайте на сайте базовую форму, в которой хранится информация о кредитной карте. Вместо этого более безопасным выбором будет использование одного из лучших плагинов шлюза WooCommerce.
К сожалению, даже если вы следуете этим стандартам и используете безопасный платежный шлюз, на ваш интернет-магазин может негативно повлиять мошенничество в электронной коммерции. Довольно часто можно увидеть, как пользователи тестируют украденные учетные записи кредитных карт на сайте электронной коммерции. Расширение WooCommerce Anti-Fraud – отличный ресурс для обнаружения мошеннических транзакций. Плагин присваивает каждой транзакции оценку риска и может быть настроен на автоматическую отмену или приостановку подозрительных транзакций.
Наконец, важно защитить ваш сайт от автоматических ботов, которые могут создавать поддельные учетные записи и гостевые заказы на сайте. Лучшая защита – настроить рекапчу Google на всех формах оформления заказа WooCommerce с помощью расширения Recaptcha для WooCommerce.
5. Ежедневное резервное копирование базы данных
Этот последний протокол безопасности – ваша подстраховка. Хотя все предыдущие шаги помогут вам избежать нарушений безопасности, если произойдет худший сценарий и ваш сайт будет взломан, наличие резервной копии вашего сайта и базы данных WordPress станет спасением.
Когда сайт взломан, необходимо пройти процесс очистки и удалить все вредоносные программы и зараженные файлы. К сожалению, бывают случаи, когда сайт взломан настолько сильно, что критически важная информация и файлы теряются. В этом случае наличие чистой резервной копии сайта жизненно важно и означает, что вам не нужно восстанавливать весь сайт.
Существуют хостинги, которые предлагают автоматическое ежедневное резервное копирование сайта на уровне сервера. Если у вас нет этой опции, вы можете использовать плагин WordPress для ежедневного или еженедельного автоматического резервного копирования сайта.
В зависимости от вашего решения следите за настройками с точки зрения того, как долго хранятся файлы. Эти файлы резервных копий обычно довольно большие. Если резервные копии хранятся на уровне сайта или сервера, это может увеличить размер базы данных вашего сайта, что приведет к увеличению затрат на хостинг. Один из способов смягчить это – настроить контрольные точки и убедиться, что старые резервные копии хранятся только в течение определенного периода времени.
Однако будьте осторожны при автоматическом восстановлении резервной копии для сайтов WooCommerce, поскольку она перезапишет все транзакции, поступившие с момента создания резервной копии.
Источник: wpexplorer.com
Комментарии к записи: 0