W artykule:
Podczas konfigurowania witryny e-commerce na WordPress, bezpieczeństwo musi być priorytetem numer jeden. Za każdym razem, gdy masz do czynienia z danymi osobowymi lub danymi finansowymi, musisz być podwójnie ostrożny. Nie pokazanie, że jesteś godnym zaufania dostawcą za pomocą rozpoznawalnych logo bezpieczeństwa i takie mogą stracić klientów. Ale brak uwzględnienia bezpieczeństwa może skutkować znacznie gorszym rezultatem: kradzieżą i utratą danych.
To najgorszy koszmar właściciela witryny e-commerce. Na szczęście nie musisz na to pozwolić. Tutaj omówię niektóre z najczęstszych problemów związanych z bezpieczeństwem, z którymi spotykają się witryny e-commerce oparte na WordPress i przeprowadzę Cię przez kroki, które musisz podjąć, aby raz na zawsze zatkać te luki bezpieczeństwa.
Krok 1: SSL
Pracując w przestrzeni e-commerce, jedną rzeczą, na którą absolutnie nie możesz iść na kompromis, jest SSL. To Secure Sockets Layer dla niewtajemniczonych i chroni poufne informacje (zarówno twoje, jak i Twoich klientów) podczas przesyłania ich do przetwarzania. Dobrym sposobem na zapewnienie bezpieczeństwa płatności na twojej stronie jest użycie popularnego systemu, takiego jak PayPal. Dzięki temu wszystkie informacje finansowe pozostają poza Twoją witryną i są w rękach firmy, która specjalizuje się w ochronie takich transakcji.
Podczas gdy wildcard SSL może być kosztowny, wiele najlepszych opcji hostingu WordPress oferuje bezpłatny SSL za pośrednictwem Let ’ s Encrypt. Jest to szybkie, łatwe i całkowicie bezpłatne.
Krok 2: użyj gotowej platformy
Jednym ze sposobów na zwiększenie bezpieczeństwa witryny jest użycie gotowej platformy e-commerce. Eliminuje to zgadywanie, co powinieneś, a czego nie powinieneś uwzględniać, i znacznie ułatwia rozpoczęcie pracy. Istnieje kilka platform, takich jak WooCommerce, Shopify i inne. Zrób więc swoje badania, aby znaleźć platformę e-commerce, która odpowiednio dopasuje się do Twoich potrzeb.
Jeśli zdecydujesz się zamiast tego użyć motywu WordPress, najlepiej używać tylko tych, które znajdziesz w katalogu WordPress lub na renomowanych stronach tematycznych. Niskiej jakości motywy często nie mają odpowiednich środków bezpieczeństwa, które zagrażają Twojej witrynie i informacjom Twoich klientów.
Krok 3: Zmodyfikuj .htaccess
Innym sposobem na rozwiązanie potencjalnych problemów z bezpieczeństwem WordPress jest zmodyfikowanie .plik htaccess. Wiele ataków na Witryny są wykonywane na bazie danych, która obsługuje platformę. Jeśli baza danych zostanie zaatakowana, nie będzie w stanie uruchomić skryptów PHP, które sprawiają, że witryna działa.
SQL injection to jeden ze sposobów, w jaki hakerzy infiltrują Twoją witrynę. Robią to, umieszczając własne polecenia w adresie URL w bazie danych. Polecenia te mogą zmusić bazę danych do wyświetlania informacji o Twojej witrynie, w tym informacji logowania. Wariacje na temat tej metody hakowania mogą powodować uruchamianie określonych skryptów PHP, które instalują złośliwe oprogramowanie w Twojej witrynie. Zasadniczo wszystko to jest złą wiadomością dla kogoś, kto próbuje uruchomić bezpieczną witrynę, za pomocą której klienci mogą czuć się pewnie.
Na szczęście można temu zaradzić poprzez modyfikację .plik htaccess w plikach witryny WordPress. Jest wspaniała kolekcja .fragmenty kodu htaccess można umieścić w pliku, aby zwiększyć bezpieczeństwo witryny. Po wprowadzeniu tych zasad możesz uniemożliwić niektórym osobom dostęp do twojej witryny, w tym określonym adresom IP i określonym żądaniom adresu URL.
Możesz także ograniczyć pliki, które użytkownicy mogą zobaczyć. Polecenia te można również dodać do .htaccess i umożliwiają zablokowanie dostępu do prywatnych plików na serwerze każdej starej osobie. Zazwyczaj można to osiągnąć, blokując dostęp do ofert katalogów. Nie ma potrzeby, aby odwiedzający witrynę widzieli listę wszystkich plików w naszej witrynie, więc blokowanie dostępu uniemożliwi złośliwym użytkownikom zmontowanie ataku za pomocą tych informacji.
Krok 4: Pomiń administratora
Kolejną rzeczą, którą zdecydowanie chcesz zrobić podczas konfigurowania witryny e-commerce WordPress, jest upewnienie się, że Twoja nazwa użytkownika i hasło składają się z kombinacji liter, cyfr i znaków. Nigdy nie należy zachować nazwy użytkownika jako domyślnej ” admin.”To jest to, co hakerzy „odgadują” jako nazwę Użytkownika najczęściej podczas montowania ataków brute-force (patrz poniżej). I zdecydowanie nie chcesz ułatwiać życia hakerom. Więc utwórz swoją nazwę użytkownika oraz hasło skomplikowane.
Możesz również zainstalować dwustopniowe uwierzytelnianie w swojej witrynie. Coś w stylu Keyy Two Factor może załatwić sprawę.
Krok 5: Ogranicz Próby Logowania
Jak wspomniałem powyżej, ludzie mogą uzyskać dostęp do twojej witryny poprzez ataki brute force. Ataki te są przeprowadzane przez zautomatyzowane skrypty, które wielokrotnie próbują zalogować się do witryny w kółko. Ponieważ skrypty działają tysiące razy, szanse są dobre, że w końcu odniosą sukces.
To znaczy, chyba że zastosujesz środki bezpieczeństwa. Jednym z takich failsafe jest ogranicznik logowania. Ogranicznik logowania to narzędzie, które zapobiega logowaniu się określonych adresów IP lub nazw użytkowników do określonej liczby razy w określonym przedziale czasowym. Typowy limit 10 razy w ciągu kilku minut spowoduje, że użytkownik lub IP poniesie limit czasu na godzinę. Atakujący Brute force nie są skuteczni w obliczu ogranicznika logowania, ponieważ nie mogą wykonać tysięcy lub milionów prób logowania niezbędnych do powodzenia. Często będą wtedy przechodzić z twojej witryny i szukać łatwiejszego terytorium.
Dostępnych jest wiele wtyczek ogranicznika logowania, ale pozwól, że opowiem ci o kilku, które osobiście lubię. Po pierwsze, istnieje iThemes Security, która jest solidną wtyczką zaprojektowaną w celu ochrony Twojej witryny przed różnymi atakami. W rzeczywistości in zawiera ponad 30 sposobów zapobiegania atakom na witrynę, w tym taktykę zaciemnienia, ograniczenie logowania, wykrywanie botów i wiele innych.
Jest też Limit prób logowania, co zapobiega atakom brute force, pozwalając ograniczyć liczbę prób logowania. Jest również w pełni konfigurowalny i zapewnia opcjonalne logowanie i powiadomienia e-mail, gdy wystąpią blokady witryny.
Są oczywiście inne opcje, ale to tylko dwie, które uznałem za wiarygodne.
Niezależnie od rodzaju strony, którą prowadzisz, ważne jest, aby mieć na uwadze bezpieczeństwo. Ale jest to jeszcze ważniejsze dla tych, którzy prowadzą witryny e-commerce. Kiedy jesteś odpowiedzialny za informacje innych ludzi, ważne jest, abyś zrobił wszystko, co w twojej mocy, aby je chronić. Może to oznaczać korzystanie z gotowej platformy e-commerce lub decydowanie się na przetwarzanie wszystkich transakcji poza siedzibą za pośrednictwem bezpiecznej usługi. Może też wymagać ręcznego przejścia do plików witryny WordPress i dodania kodu, aby chronić ją przed złośliwymi atakującymi. A gdy upewnienie się, że Twoja nazwa użytkownika i hasło są zgodne z tabaką, nie wystarczy, możesz nawet ograniczyć próby logowania, aby zapobiec atakom typu brute-force.
Wszystkie te metody stosowane w połączeniu mogą pomóc zwiększyć bezpieczeństwo witryny i zapewnić bardziej bezpieczne zakupy dla klientów. I o to właśnie chodzi, nie sądzisz?
Teraz twoja kolej. Jakich metod używasz, aby poprawić bezpieczeństwo witryny WordPress dla sklepów internetowych? Jakie narzędzia lub wtyczki są dla Ciebie niezbędne? Chętnie usłyszę o tym w komentarzach!
