WooCommerce-sajter har förvisso unika behov vad gäller webbsäkerhet, och i takt med att e-handeln ökar runt om i världen ökar risken för bedrägerier och säkerhetsintrång.
Säkerhet på nätet är verkligen ett grundläggande krav, precis som en restaurangs hälsokontrollbetyg, och alla problem som uppstår i din webbutik kan undergräva förtroendet för din webbbesökare.
Även om det inte finns någon 100 % garanti när det kommer till säkerhet, kan du skydda dina besökare och företag genom att implementera dessa nyckelprotokoll.
1. Genomförande av säkerhetsåtgärder på servernivå
När det kommer till webbplatssäkerhet är din värdserver den första försvarslinjen. Även om du har de bästa plugins och säkerhetsåtgärder på din WordPress-webbplats, kommer en lucka i värdnivån att göra dessa verktyg värdelösa.
När du utvärderar värdalternativ, kom ihåg att en mer dedikerad miljö innebär att det är mindre risk för att en annan webbplats på servern äventyrar din. Var mycket försiktig när du placerar en WooCommerce-webbplats på en budget, delad värdmiljö med minimal säkerhet.
Leta efter högkvalitativa WordPress-värdalternativ där säkerhetsåtgärder på servernivå är på plats, såsom skydd och diskskrivningsbegränsningar. Diskskrivskydd Det betyder att värdservern begränsar processerna som kan skriva till disken, vilket gör det svårt för en hackare att utnyttja ett tema eller plugins sårbarhet. På ett liknande sätt, begränsningar för diskskrivning Detta innebär att alla försök att skriva till disken loggas, vilket kan hjälpa till att upptäcka skadlig aktivitet.
Medan en SSL-certifikat Det är nu en bästa praxis för alla sajter, det är ett krav för WooCommerce-sajter för PCI-säkerhetsstandarder. Se därför till att ställa in (och förnya) ditt SSL-certifikat hos värdföretaget.
Slutligen bör din värdserver och webbplats uppdateras regelbundet till den senaste versionen av PHP. Äldre versioner av PHP har ofta säkerhetsbrister som inte längre är korrigerade. Precis som du uppdaterar WordPress och dess plugins bör din webbplats och server köra Senaste PHP både för säkerhet och prestanda. WordPress har börjat uppmuntra webbplatsägare att hålla koll på dessa uppdateringar genom att flagga föråldrade PHP-versioner i WordPress-webbplatsens hälsokontroll.
2. Håll koll på plugin- och säkerhetsuppdateringar
Att utföra regelbundna uppdateringar av plugin och hålla sig uppdaterad med större WordPress-versioner är ett av de viktigaste säkerhetsstegen. En vanlig infektionskälla för hackade webbplatser är en sårbarhet i ett föråldrat plugin eller tema. Under 2019 rapporterade Sucuri att 56 % av de hackade sajterna var föråldrade vid infektionstillfället.
För WooCommerce-webbplatser är det viktigt att hålla koll på de senaste uppdateringarna för WooCommerce eftersom de ofta inkluderar säkerhetskorrigeringar och underhållsfixar. Till exempel släpptes WooCommerce 4.6.2-uppdateringen i november 2020 och inkluderade en fix för en bugg som gjorde det möjligt för anonyma användare att skapa ett konto under kassan, även om den här inställningen var inaktiverad i instrumentpanelen. WooCommerce uppmuntrade webbplatsägare att implementera denna uppdatering omedelbart. Att försena dessa typer av uppdateringar kan göra att din e-handelswebbplats utsätts för sådana säkerhetsrisker.
Vissa webbplatsägare kan skjuta upp plugin-uppdateringar av rädsla för att dessa uppdateringar kan få saker att gå sönder på webbplatsen eller orsaka ett WooCommerce-underhållsproblem. Av denna anledning är det god praxis att utföra alla plugin-uppdateringar i ett uppsättningsområde eller produktionsmiljö innan du distribuerar dem till din live-webbplats.
Även om du aktivt underhåller dina plugins, är det möjligt att din utvecklare kan överge en av dessa installerade plugins. WordPress tar aktivt bort dessa typer av plugins från förvaret eftersom de kan utgöra en säkerhets- och prestandarisk.
Men med över 50 000 plugins tillgängliga i WordPress-förvaret och många WooCommerce-tillägg kan det vara svårt att upptäcka dessa raderingar. Det kostnadsfria eller betalda WordFence-pluginet kan vara en bra resurs och när det väl har installerats kommer WordFence att skicka meddelanden om något av plugin-programmen som installerats på din webbplats har tagits bort och utgör en säkerhetsrisk.
3. Ställ in säkerhetsövervakning
Även om säkerhet på värdnivå och regelbundet underhåll kommer att minska möjligheter för hackare, täcker det fortfarande inte alla baser. Tyvärr finns det ständigt nya hot vid horisonten, varav några är automatiserade attacker på WordPress- och WooCommerce-sajter. Det är omöjligt att blockera dem 24/7 på egen hand. Tack vare säkerhetsövervakningsverktyg behöver du inte göra det.
Överväg inställning 24/7 säkerhetsövervakning på din WooCommerce-webbplats för att upptäcka eventuella skadliga program eller webbplatsintrång. Både gratis- och premiumversionerna av WordFence-pluginet och Sucuris betaltjänster är populära alternativ för WordPress-webbplatser. Dessa lösningar erbjuder en skanning av skadlig programvara och varnar din dator om misstänkt aktivitet. Betaltjänster kan också inkludera automatisk borttagning av skadlig programvara, vilket kan hjälpa till att snabbt städa upp webbplatsen efter eventuella säkerhetsproblem.
Som en annan säkerhetspraxis är den bäst minimera antalet WordPress-administratörskonton. Granska konton med några månaders mellanrum och ta aktivt bort alla tidigare anställda eller leverantörer som inte längre borde ha tillgång till webbplatsen.
För en e-handelssida där eventuella driftstopp kan påverka försäljningen, kanske du också vill överväga ytterligare säkerhet med en webbapplikationsbrandvägg (WAF) genom tjänster som Cloudflare eller Sucuri. Detta kan skydda webbplatsen från skadlig bottrafik eller en DDoS-attack, som syftar till att göra din server eller webbplats oanvändbar genom att översvämma den med dåliga förfrågningar.
4. PCI-DSS-efterlevnad och bedrägeribekämpningsåtgärder
Även om ovanstående säkerhetsprotokoll också kan implementeras på informationswebbplatser, gäller denna åtgärd specifikt för e-handelssajter.
Varje webbplats som behandlar kreditkortstransaktioner måste följa PCI-DSS – Payment Card Industry Data Security Standard. Dessa globala standarder upprättades för att hjälpa till att minska kreditkortsbedrägerier.
Ett av de bästa sätten att uppfylla dessa krav är att använda en säker betalningsgateway. Stripe, PayPal och Authorize.Net är populära alternativ. WooCommerce stöder också dessa standarder genom att aldrig lagra kreditkortsuppgifter på webbplatsen. Om du skapar din egen e-handelswebbplats, se till att du aldrig ställer in ett grundläggande formulär som lagrar kreditkortsinformation på webbplatsen. Istället är det säkraste alternativet att använda en av de bästa WooCommerce gateway-plugins.
Tyvärr, även om du följer dessa standarder och använder en säker betalningsgateway, kan din webbutik påverkas negativt av e-handelsbedrägerier. Det är ganska vanligt att se användare som testar stulna kreditkortskonton på en e-handelssida. WooCommerce Anti-Fraud-tillägget är en utmärkt resurs för att upptäcka bedrägliga transaktioner. Insticksprogrammet taggar varje transaktion med en riskpoäng och kan konfigureras för att automatiskt avbryta eller pausa misstänkta transaktioner.
Slutligen är det viktigt att skydda din webbplats mot automatiska bots som kan skapa falska konton och gästorder på webbplatsen. Det bästa försvaret är att ställa in Google recaptcha på alla WooCommerce-utcheckningsformulär med tillägget Recaptcha for WooCommerce.
5. Ta dagliga säkerhetskopior av databasen
Detta sista säkerhetsprotokoll är ditt skyddsnät. Även om alla stegen ovan hjälper dig att undvika säkerhetsintrång, om det värsta scenariot inträffar och din webbplats hackas, är det en livräddare att ha en säkerhetskopia av din WordPress-webbplats och databas.
När en webbplats hackas går den vanligtvis igenom en rensningsprocess och tar bort all skadlig programvara och infekterade filer. Tyvärr finns det vissa fall där en webbplats hackas så illa att viktig information och filer går förlorade under processen. I det här scenariot är det viktigt att ha en ren säkerhetskopia av webbplatsen och det betyder att du inte behöver bygga om hela webbplatsen.
Det finns värdmiljöer som erbjuder automatisk daglig säkerhetskopiering av webbplatsen på servernivå. Om du inte har det här alternativet kan du också använda ett WordPress-plugin för att automatiskt säkerhetskopiera din webbplats dagligen eller varje vecka. Eller följ den här guiden om hur du säkerhetskopierar WooCommerce för att säkerställa att din e-handelssida är säker.
Beroende på din lösning, titta på inställningarna när det gäller hur länge filer lagras. Dessa säkerhetskopior är vanligtvis ganska stora. Om säkerhetskopior lagras på plats- eller servernivå kan detta öka storleken på din webbplats databas, vilket ökar värdkostnaderna. Ett sätt att mildra detta är att sätta upp kontrollpunkter och se till att äldre säkerhetskopior endast lagras under en viss tidsperiod.
Var dock försiktig när du automatiskt återställer en säkerhetskopia av WooCommerce-webbplatser, eftersom det kommer att skriva över alla transaktioner som har kommit in sedan säkerhetskopian togs. Ett utbildat webbutvecklingsteam kan se till att du använder filerna korrekt om du står inför ett säkerhetsproblem.
