电子商务网站的安全要求和最佳实践

电子商务网站的安全要求和9项最佳实践

如果您运行一个网站，特别是电子商务网站，您有责任确保交易安全进行，确保您的用户和客户的数据不被泄露。您的 WordPress 网站数据库中存储着个人数据、物理地址和电子地址、信用卡详细信息、交易日志等等，您有责任确保所有这些数据的安全性和完整性。

安全并不等同于不可侵犯。互联网上不存在绝对安全的东西，尤其是在涉及开源软件时。不过，您可以采取许多安全措施，最大限度地降低漏洞、数据盗窃和其他对网站或基础设施或多或少造成严重损害的风险。请记住，根据 GDPR，数据控制者有责任确保数据处理符合 GDPR 和数据保护法规。

数据控制者决定处理个人数据的目的和方式。因此，如果贵公司/组织决定 “为何 ”和 “如何 ”处理个人数据，那么它就是数据控制者。在你的组织内处理个人数据的员工是为了完成你作为数据控制者的任务。

一个网站的安全漏洞可能会危及公司的生命。谁会愿意将自己的信用卡信息委托给一个不安全的网站？如果客户的数据被窃取并用于非法目的，会对您的品牌声誉造成多大的损害？

简而言之，安全与性能同等重要，是电子商务网站和企业成功的关键因素。有鉴于此，我们在本文中收集了一份安全措施和最佳做法清单，每个电子商务所有者都应采取这些措施和做法，以保持在本地和国际市场上的竞争力，并避免严重的法律责任和对其在线业务的损害。

电子商务网站的 13 大安全风险

根据《2020 年 Trustwave 全球安全报告》，传统实体零售商和电子商务环境是面临网络安全风险最多的行业，在 2019 年发生的安全事件中约占总数的 24%。

这促使我们思考电子商务网站安全的重要性，找出笼罩在线业务的威胁，以及电子商务网站所有者为确保客户交易和数据安全必须采取的措施。

为了更好地了解在线企业所有者必须采取的行动和最佳实践，以确保网站和电子商店的安全，我们首先需要了解电子商务网站面临的最危险威胁。

根据 OWASP 的十大网络应用程序安全风险，我们编制了以下不完全清单，列出了电子商务网站目前必须面对的最普遍威胁。

OWASP 2021 年十大事件

OWASP 2021 年十大事件（图片来源：OWASP）

1. 恶意软件和勒索软件

恶意软件种类繁多，安全威胁程度不一。黑客利用它们入侵设备并窃取数据。恶意软件会造成严重的经济损失，甚至会摧毁整个公司。

虽然后果可能并不总是那么严重，但您的客户可能会收到 “要访问的网站包含恶意软件”或 “要访问的网站具有欺骗性 ”之类的错误信息，这会影响您的网站在 SERP 中的可见度，严重损害您的品牌形象。

勒索软件是恶意软件的一个亚种。简而言之，勒索软件会劫持设备或网站，在受害者为解密密钥支付赎金之前拒绝访问其文件。

由于恶意软件攻击对电子商务网站的风险很高，因此定期扫描电子商务网站以防恶意软件感染对您的业务至关重要。

2. 网络钓鱼

网络钓鱼是一种社会工程学攻击，网络犯罪分子通常通过电子邮件传播恶意软件。

网络钓鱼攻击示意图

网络钓鱼攻击示意图（图片来源：Cloudflare）

它是指企图窃取用户名、密码、信用卡或银行账户信息或其他重要数据等敏感信息，以恶意使用或出售。这类攻击通常通过垃圾邮件和其他形式的欺诈电子邮件或即时信息进行。

谷歌网络钓鱼警告标志

谷歌网络钓鱼警告标志（图片来源：FixMyWP）

3. DDoS 攻击

DDoS 是分布式拒绝服务的简称。这是一种用大量请求淹没网站，使服务器无法承受过多互联网流量并导致网站瘫痪的攻击类型。其后果是网站离线，带宽成本急剧增加。这还可能导致您的托管账户暂停。

仪表盘分析显示资源消耗情况

4. SQL 注入

SQL 注入是一种由恶意行为者实施的攻击，他们试图将 SQL 语句注入网络应用程序。如果攻击成功，他们就能访问网站数据库并读取、修改或删除数据。

SQL 注入示例

SQL 注入示例（图片来源：Cloudflare）

5. 跨站脚本

跨站脚本（XSS）是一种攻击，即在网站上附加恶意代码，以便在页面加载时执行。这种注入发生在用户的浏览器上，其目的通常是窃取敏感信息。

跨站脚本攻击的工作原理

跨站脚本攻击的工作原理（图片来源：Cloudflare）

6. 中间人攻击

中间人攻击（MitM）或路径上攻击是一种网络攻击，即有人置身于两个设备（如网络浏览器和网络服务器）之间的通信中间，旨在恶意窃取信息和/或冒充两个代理之一。

7. 凭证填充

凭据填充是一种网络攻击，攻击者使用从某一服务或网站的数据泄露中获得的凭据登录另一服务或网站。对于在家工作的专业人员和远程公司来说，这种攻击是一种常见风险。

凭据填充的工作原理

凭据填充的工作原理（图片来源：Cloudflare）

8. 零日漏洞

零日漏洞是一种尚未解决或以前未知的安全漏洞，没有任何修复措施。零日意味着，在该问题对您的业务造成严重损害之前，您有零天的时间来修复它。

黑客如何实施零日攻击

黑客如何实施零日攻击（来源：诺顿）

9. 电子盗刷

电子盗刷或数字盗刷是指在零售商的网站上插入恶意软件，目的是在结账时窃取支付数据。这也被称为 Magecart 攻击。

描述 MageCart 攻击如何工作的示意图

描述 MageCart 攻击如何工作的示意图（图片来源：Sucuri）

10. 暴力攻击

暴力攻击是一种试错方法，用于解码登录凭据、API 密钥和 SSH 凭据等敏感数据。密码一旦被破解，如果在多个网站上使用相同的凭证，就可以用来访问其他服务。(请参阅 “凭据填充”）。

使用强密码、启用多因素身份验证系统和使用强大的密码管理器都是防止此类网络攻击的最佳做法。

11. 后门

后门提供了一种绕过身份验证或加密系统自动登录网站、设备或服务的方法。一旦网站或服务被攻破，恶意行为者就可以创建自己的后门来访问您的网站、窃取数据，甚至可能破坏您的整个网站。

12. 社会工程学攻击

社会工程学攻击特别危险，因为它们利用了人性的特点：信任他人、缺乏知识、不喜欢违背命令、功利主义等。社会工程学的基础是对人的心理操纵，目的是泄露机密信息，如密码、银行账户信息和财务信息。

此类攻击最常用的渠道是电子邮件、聊天、电话、社交网络、网站等。攻击者可以利用这些信息进行其他类型的攻击，如跨站请求伪造（Cross-Site Request Forgery）。

13. 供应链攻击

通常情况下，在供应链攻击中，网络攻击者会将恶意代码渗透到供应商的软件中，随更新一起发布。

虽然供应链攻击不像其他后门攻击那样普遍，但最近在几个 WordPress 插件中发现了供应链攻击。

确保电子商务网站安全的 9 项最佳实践

如果没有合适的工具和技能，确保网站安全可能是一项艰巨的任务，但这并不一定是专职工程师的工作。最主要的是要了解网站的薄弱环节，并向自己和团队传授保护电子商务网站免受最常见威胁的最佳实践。

您的任务是双重的：一方面，您要负责 WordPress 和 WooCommerce 的安全，确定谁可以访问平台、要安装的插件、支付网关、身份验证系统，以及与 WordPress、插件和主题维护有关的一切。另一方面，您需要一个安全、先进的基础设施。这就是虚拟主机服务质量的重要性所在。

当然，您的虚拟主机提供商无法让您免受任何威胁。作为网站所有者，只有你自己才能采取一些安全措施。但是，一个认真对待网站安全的安全托管服务可以帮上大忙。以下是现代虚拟主机服务应具备的主要安全功能。

1. 选择先进的托管基础设施

托管基础设施的选择对网站安全、品牌声誉以及最终的业务成功至关重要。您有几种类型的服务可供选择，它们在基础设施和提供的服务方面差别很大：

共享主机
独立主机
VPS 托管
云主机
WordPress 托管

对于电子商务网站来说，依赖安全的基础设施至关重要。如果你关心自己的业务，那么共享主机就不是你的选择，因为它可能无法保证一个成功的电子商务网站所需的最低安全标准。

独立主机可以高度定制并优化安全性，但可能需要系统管理员技能，这对于中小型企业来说可能很难找到。

如果您需要控制主机，但又没有丰富的技术知识和/或资源，您可以选择虚拟专用服务器（VPS）主机，它介于共享主机和专用主机之间。但 VPS 也有一些缺点：它可能无法处理高流量或峰值，而且性能仍然会受到服务器上其他网站的影响。

云主机服务可能是一个不错的选择，因为它通常有多种安全措施来保护网站。不过，如果您不具备必要的技能，可能很难对其进行配置和管理。

WordPress 和 WooCommerce 托管服务让您高枕无忧，因为您无需负责服务器的配置和优化，而且还能获得专业的支持服务，简化网站的安装和维护。

基于云的托管 WordPress 托管服务融合了两个世界的优势，既有云服务高速安全的基础设施，又有托管 WordPress 托管服务的易用性。

2. 使用网络应用程序防火墙

网络应用程序防火墙（WAF）是一种防护装置，它可以过滤恶意连接，防止其进入您的网站，并确保 WordPress 网站的安全。

如果不在中间安装防火墙，互联网上两台计算机（如您的计算机和网络服务器）之间的直接连接是不安全的。恶意行为者可能会用某种恶意软件感染您的网站，或发起DDoS 攻击。

这就是网络应用程序防火墙的作用所在。它可以扫描网站的每个连接请求，阻止潜在的恶意访问尝试。

无论您是初涉博客还是成功的企业家，网络应用程序防火墙对您的网站都至关重要。对于电子商务网站来说，使用网络应用程序防火墙至关重要，因为不受保护的网站很容易成为黑客和其他恶意行为者的目标。

如果没有网络应用程序防火墙，黑客就能轻易控制你的网站，更改登录凭证，窃取或破坏数据，毁坏网站，并进行各种非法活动。有可能会完全摧毁你的网站。此外，您的网站还更容易受到 DDoS 和暴力攻击。

要使用 WAF 保护网站，您无需在服务器上安装和配置额外的软件。一些基于云的选项，如 Cloudflare、Sucuri 和 WordFence，可以在几分钟内安装到您的服务器上。

3. 安装 SSL 证书

SSL 是一种协议，用于加密和验证客户端应用程序与网络服务器之间发送的数据。如果你运行一个电子商务网站，SSL 证书对你的网站和业务至关重要，因为它能确保数据加密、网站验证、数据完整性和用户信任。

此外，SSL 证书还能提高搜索引擎排名，因为搜索引擎更喜欢 SSL 加密的网站。如果你想有机会在谷歌首页上排名，你需要一个有效的带有 HTTPS 加密功能的 SSL 证书。

4. 使用安全的 SFTP 和 SSH 连接

要对 WordPress 网站进行手动备份或手动上传插件或主题，您需要通过 FTP 客户端访问网站的文件系统。FTP 客户端通常支持 FTP 和 SFTP 连接，但您只应使用 SFTP，它使用安全通道通过 SSH 传输文件。这与标准 FTP 连接有很大不同。

在 Filezilla 中设置 SFTP 协议

5. 使用支持的 PHP 版本

每个 PHP 版本通常支持两年。只有受支持的版本才会收到性能和安全更新，因此使用不受支持的 PHP 版本会降低性能并增加安全漏洞的风险。

截至 2024 年 8 月，官方支持的 PHP 版本为 PHP 8.1、8.2 和 8.3。

支持的 PHP 版本

支持的 PHP 版本（来源：PHP.net）

在撰写本文时，8.1 之前的所有 PHP 版本都不会收到安全更新。这意味着，如果您使用的是 PHP 8.0 或更早的版本，您的网站将面临无法修复的安全漏洞。

WordPress 核心是用 PHP 构建的。插件也基于 PHP，WooCommerce 也不例外。如果您的电子商务是基于 WordPress 的，那么使用受支持的 PHP 版本对您的网上商店的成功至关重要。

除了提高安全性外，最新版本的 PHP 还能提供更好的性能。您只需升级到最新的 PHP 版本，就能提高网站速度。

6. 启用双因素身份验证

使用高强度密码来保护网站和托管账户的安全可能还不足以保护电子商务网站的安全。强烈建议使用多因素身份验证系统。

多因素身份验证是一种要求访问服务的用户提供两个或两个以上身份证明的身份验证系统。这可以通过不同方式实现：生物识别（如指纹）、验证器应用程序、电子邮件、短信、硬件令牌等。

说到电子商务网站，您应该在主机服务和 WordPress 网站上启用双因素身份验证(2FA)，以确保身份验证的安全性。

您可能还想在电子商务网站上启用双因素身份验证。WordPress 不支持开箱即用的 2FA，但您可以使用以下插件之一快速、轻松地为网站添加这一功能：

双因素身份验证
谷歌验证器

7. 核心、插件和主题更新

除了 WordPress 核心版本外，每当发现新的漏洞时，WordPress 都会定期发布新的安全更新。主题和插件也是如此。

为了保护您的 WordPress 网站，您需要对整个 WordPress 网站进行更新，以防止出现安全漏洞。

在 WordPress 仪表板中，在仪表盘>更新下，您可以启用所有 WordPress 版本的自动核心更新，也可以只启用维护和安全版本的自动核心更新。

您还可以管理主题和插件的自动更新。

启用/禁用插件自动更新

请注意，从 WordPress 6.6 开始，您可以在出现故障时回滚插件的自动更新。

如果您愿意，可以禁用此功能并自己进行更新，但更新大量网站可能是一项耗时而枯燥的任务。这就是为什么许多机构会求助于第三方工具，以便从一个外部环境管理所有 WordPress 网站的更新。

8. 备份

如果更新出错，或者由于安全漏洞导致网站受到威胁或完全被毁，备份可以救您一命。如果您的主机没有提供自动备份系统，您可以使用 WordPress 插件。我们建议使用能提供增量备份的 WordPress 插件：这样您就可以在不丢失磁盘空间或降低网站性能的情况下备份网站。

不过，真正关心您的电子商务网站的虚拟主机服务应该提供定期的 WordPress 备份。

9. 小心使用插件

您的 WordPress 网站通常需要很多插件。对于电子商务来说尤其如此，因为它往往需要一些 WordPress 或 WooCommerce 本身不具备的功能。我们有一个长长的推荐插件列表，你可以自己浏览查看：

但您绝不应安装弹出的第一个插件。在为 WooCommerce 网站选择插件时，您需要遵循一些最佳实践：

不要安装无效插件。这对电子商务业务至关重要。无效插件是被黑客攻击过的高级 WordPress 插件或主题，可能包含修改过的代码，旨在造成危害或收集信息。

首选由声誉良好的供应商定期更新的插件。相信社区，查看其他用户的评论和评分。尽可能避免使用评级较低和由未知供应商维护的插件。

WooCommerce 插件的技术细节

在生产环境中使用插件之前，请务必在暂存环境中进行测试。这样可以防止出现与其他插件或 WordPress 内核本身的兼容性问题。

在生产环境中安装插件之前，请务必备份您的网站。

不要安装不必要的插件或提供多余功能的插件。不必要的插件可能会产生不必要的安全漏洞、与其他插件冲突或降低网站性能。

检查插件是否存在任何已知漏洞。使用安全服务，如 WordPress 漏洞数据库或 WPScan。

不过，在定期更新的流行插件中也能检测到安全漏洞。WooCommerce 和 Easy Digital Downloads 等插件也不例外。

那么，虚拟主机如何帮助解决插件和主题漏洞问题呢？

WordPress 特有的威胁及如何防范

在本文的第一部分，我们列出了影响一般电子商务网站的一些主要安全威胁。其中一些威胁对 WordPress/WooCommerce 网站尤为严重。

虽然 WordPress 是开源软件，但值得指出的是，黑客入侵 WordPress 网站并不是因为内容管理系统本身存在漏洞，而是因为在任何事件发生之前本可以预测和修复的漏洞。

不更新内核、插件和主题会使您的电子商务网站受到攻击，就像使用弱密码和没有严格的网站访问策略一样。

以下是一份威胁和最佳防范措施的快速清单，可帮助您确保网站安全：

如需更全面的 WordPress 网站安全措施清单，请查看我们的《WordPress 安全指南》。

小结

要确保电子商务网站的安全，需要做很多工作。自己动手需要大量的技术技能，而这些技能可能是小型企业和初创企业所不具备的。

然而，想要开设网店、接受国际市场挑战的公司所有者不应放弃电子商务带来的发展机遇。这正是企业级托管 WordPress 和 WooCommerce 主机可以提供帮助的地方。

您每天都要面对哪些风险和漏洞？您的托管服务是否能为您的电子商务网站提供足够的保护，使其免受恶意代理的侵害？请在下面的评论中分享您的经验。

WordPress安全 WordPress风险网站安全

电子商务网站的安全要求和最佳实践