電子商務網站的安全要求和最佳實踐

如果您執行一個網站，特別是電子商務網站，您有責任確保交易安全進行，確保您的使用者和客戶的資料不被洩露。您的 WordPress 網站資料庫中儲存著個人資料、實體地址和電子地址、信用卡詳細資訊、交易日誌等等，您有責任確保所有這些資料的安全性和完整性。

安全並不等同於不可侵犯。網際網路上不存在絕對安全的東西，尤其是在涉及開源軟體時。不過，您可以採取許多安全措施，最大限度地降低漏洞、資料盜竊和其他對網站或基礎設施或多或少造成嚴重損害的風險。請記住，根據 GDPR，資料控制者有責任確保資料處理符合 GDPR 和資料保護法規。

資料控制者決定處理個人資料的目的和方式。因此，如果貴公司/組織決定 “為何 ”和 “如何 ”處理個人資料，那麼它就是資料控制者。在你的組織內處理個人資料的員工是為了完成你作為資料控制者的任務。

一個網站的安全漏洞可能會危及公司的生命。誰會願意將自己的信用卡資訊委託給一個不安全的網站？如果客戶的資料被竊取並用於非法目的，會對您的品牌聲譽造成多大的損害？

簡而言之，安全與效能同等重要，是電子商務網站和企業成功的關鍵因素。有鑑於此，我們在本文中收集了一份安全措施和最佳做法清單，每個電子商務所有者都應採取這些措施和做法，以保持在本地和國際市場上的競爭力，並避免嚴重的法律責任和對其線上業務的損害。

電子商務網站的 13 大安全風險

根據《2020 年 Trustwave 全球安全報告》，傳統實體零售商和電子商務環境是面臨網路安全風險最多的行業，在 2019 年發生的安全事件中約佔總數的 24%。

這促使我們思考電子商務網站安全的重要性，找出籠罩線上業務的威脅，以及電子商務網站所有者為確保客戶交易和資料安全必須採取的措施。

為了更好地瞭解線上企業所有者必須採取的行動和最佳實踐，以確保網站和電子商店的安全，我們首先需要了解電子商務網站面臨的最危險威脅。

根據 OWASP 的十大網路應用程式安全風險，我們編制了以下不完全清單，列出了電子商務網站目前必須面對的最普遍威脅。

OWASP 2021 年十大事件（圖片來源：OWASP）

1. 惡意軟體和勒索軟體

惡意軟體種類繁多，安全威脅程度不一。黑客利用它們入侵裝置並竊取資料。惡意軟體會造成嚴重的經濟損失，甚至會摧毀整個公司。

雖然後果可能並不總是那麼嚴重，但您的客戶可能會收到 “要訪問的網站包含惡意軟體”或 “要訪問的網站具有欺騙性 ”之類的錯誤資訊，這會影響您的網站在 SERP 中的可見度，嚴重損害您的品牌形象。

勒索軟體是惡意軟體的一個亞種。簡而言之，勒索軟體會劫持裝置或網站，在受害者為解密金鑰支付贖金之前拒絕訪問其檔案。

由於惡意軟體攻擊對電子商務網站的風險很高，因此定期掃描電子商務網站以防惡意軟體感染對您的業務至關重要。

2. 網路釣魚

網路釣魚是一種社會工程學攻擊，網路犯罪分子通常通過電子郵件傳播惡意軟體。

網路釣魚攻擊示意圖（圖片來源：Cloudflare）

它是指企圖竊取使用者名稱、密碼、信用卡或銀行賬戶資訊或其他重要資料等敏感資訊，以惡意使用或出售。這類攻擊通常通過垃圾郵件和其他形式的欺詐電子郵件或即時資訊進行。

谷歌網路釣魚警告標誌 （圖片來源：FixMyWP）

3. DDoS 攻擊

DDoS 是分散式拒絕服務的簡稱。這是一種用大量請求淹沒網站，使伺服器無法承受過多網際網路流量並導致網站癱瘓的攻擊型別。其後果是網站離線，頻寬成本急劇增加。這還可能導致您的託管賬戶暫停。

儀表盤分析顯示資源消耗情況

4. SQL 注入

SQL 注入是一種由惡意行為者實施的攻擊，他們試圖將 SQL 語句注入網路應用程式。如果攻擊成功，他們就能訪問網站資料庫並讀取、修改或刪除資料。

SQL 注入示例（圖片來源：Cloudflare）

5. 跨站指令碼

跨站指令碼（XSS）是一種攻擊，即在網站上附加惡意程式碼，以便在頁面載入時執行。這種注入發生在使用者的瀏覽器上，其目的通常是竊取敏感資訊。

跨站指令碼攻擊的工作原理（圖片來源：Cloudflare）

6. 中間人攻擊

中間人攻擊（MitM）或路徑上攻擊是一種網路攻擊，即有人置身於兩個裝置（如網路瀏覽器和網路伺服器）之間的通訊中間，旨在惡意竊取資訊和/或冒充兩個代理之一。

7. 憑證填充

憑據填充是一種網路攻擊，攻擊者使用從某一服務或網站的資料洩露中獲得的憑據登入另一服務或網站。對於在家工作的專業人員和遠端公司來說，這種攻擊是一種常見風險。

憑據填充的工作原理（圖片來源：Cloudflare）

8. 零日漏洞

零日漏洞是一種尚未解決或以前未知的安全漏洞，沒有任何修復措施。零日意味著，在該問題對您的業務造成嚴重損害之前，您有零天的時間來修復它。

黑客如何實施零日攻擊（來源：諾頓）

9. 電子盜刷

電子盜刷或數字盜刷是指在零售商的網站上插入惡意軟體，目的是在結賬時竊取支付資料。這也被稱為 Magecart 攻擊。

描述 MageCart 攻擊如何工作的示意圖（圖片來源：Sucuri）

10. 暴力攻擊

暴力攻擊是一種試錯方法，用於解碼登入憑據、API 金鑰和 SSH 憑據等敏感資料。密碼一旦被破解，如果在多個網站上使用相同的憑證，就可以用來訪問其他服務。(請參閱 “憑據填充”）。

使用強密碼、啟用多因素身份驗證系統和使用強大的密碼管理器都是防止此類網路攻擊的最佳做法。

11. 後門

後門提供了一種繞過身份驗證或加密系統自動登入網站、裝置或服務的方法。一旦網站或服務被攻破，惡意行為者就可以建立自己的後門來訪問您的網站、竊取資料，甚至可能破壞您的整個網站。

12. 社會工程學攻擊

社會工程學攻擊特別危險，因為它們利用了人性的特點：信任他人、缺乏知識、不喜歡違背命令、功利主義等。社會工程學的基礎是對人的心理操縱，目的是洩露機密資訊，如密碼、銀行賬戶資訊和財務資訊。

此類攻擊最常用的渠道是電子郵件、聊天、電話、社交網路、網站等。攻擊者可以利用這些資訊進行其他型別的攻擊，如跨站請求偽造（Cross-Site Request Forgery）。

13. 供應鏈攻擊

通常情況下，在供應鏈攻擊中，網路攻擊者會將惡意程式碼滲透到供應商的軟體中，隨更新一起釋出。

雖然供應鏈攻擊不像其他後門攻擊那樣普遍，但最近在幾個 WordPress 外掛中發現了供應鏈攻擊。

確保電子商務網站安全的 9 項最佳實踐

如果沒有合適的工具和技能，確保網站安全可能是一項艱鉅的任務，但這並不一定是專職工程師的工作。最主要的是要了解網站的薄弱環節，並向自己和團隊傳授保護電子商務網站免受最常見威脅的最佳實踐。

您的任務是雙重的：一方面，您要負責 WordPress 和 WooCommerce 的安全，確定誰可以訪問平臺、要安裝的外掛、支付閘道器、身份驗證系統，以及與 WordPress、外掛和主題維護有關的一切。另一方面，您需要一個安全、先進的基礎設施。這就是虛擬主機服務質量的重要性所在。

當然，您的虛擬主機提供商無法讓您免受任何威脅。作為網站所有者，只有你自己才能採取一些安全措施。但是，一個認真對待網站安全的安全託管服務可以幫上大忙。以下是現代虛擬主機服務應具備的主要安全功能。

1. 選擇先進的託管基礎設施

託管基礎設施的選擇對網站安全、品牌聲譽以及最終的業務成功至關重要。您有幾種型別的服務可供選擇，它們在基礎設施和提供的服務方面差別很大：

• 共享主機
• 獨立主機
• VPS 託管
• 雲主機
• WordPress 託管

對於電子商務網站來說，依賴安全的基礎設施至關重要。如果你關心自己的業務，那麼共享主機就不是你的選擇，因為它可能無法保證一個成功的電子商務網站所需的最低安全標準。

獨立主機可以高度定製並優化安全性，但可能需要系統管理員技能，這對於中小型企業來說可能很難找到。

如果您需要控制主機，但又沒有豐富的技術知識和/或資源，您可以選擇虛擬專用伺服器（VPS）主機，它介於共享主機和專用主機之間。但 VPS 也有一些缺點： 它可能無法處理高流量或峰值，而且效能仍然會受到伺服器上其他網站的影響。

雲主機服務可能是一個不錯的選擇，因為它通常有多種安全措施來保護網站。不過，如果您不具備必要的技能，可能很難對其進行配置和管理。

WordPress 和 WooCommerce 託管服務讓您高枕無憂，因為您無需負責伺服器的配置和優化，而且還能獲得專業的支援服務，簡化網站的安裝和維護。

基於雲的託管 WordPress 託管服務融合了兩個世界的優勢，既有云服務高速安全的基礎設施，又有託管 WordPress 託管服務的易用性。

2. 使用網路應用程式防火牆

網路應用程式防火牆（WAF）是一種防護裝置，它可以過濾惡意連線，防止其進入您的網站，並確保 WordPress 網站的安全。

如果不在中間安裝防火牆，網際網路上兩臺計算機（如您的計算機和網路伺服器）之間的直接連線是不安全的。惡意行為者可能會用某種惡意軟體感染您的網站，或發起DDoS 攻擊。

這就是網路應用程式防火牆的作用所在。它可以掃描網站的每個連線請求，阻止潛在的惡意訪問嘗試。

無論您是初涉部落格還是成功的企業家，網路應用程式防火牆對您的網站都至關重要。對於電子商務網站來說，使用網路應用程式防火牆至關重要，因為不受保護的網站很容易成為黑客和其他惡意行為者的目標。

如果沒有網路應用程式防火牆，黑客就能輕易控制你的網站，更改登入憑證，竊取或破壞資料，毀壞網站，並進行各種非法活動。有可能會完全摧毀你的網站。此外，您的網站還更容易受到 DDoS 和暴力攻擊。

要使用 WAF 保護網站，您無需在伺服器上安裝和配置額外的軟體。一些基於雲的選項，如 Cloudflare、Sucuri 和 WordFence，可以在幾分鐘內安裝到您的伺服器上。

3. 安裝 SSL 證書

SSL 是一種協議，用於加密和驗證客戶端應用程式與網路伺服器之間傳送的資料。如果你執行一個電子商務網站，SSL 證書對你的網站和業務至關重要，因為它能確保資料加密、網站驗證、資料完整性和使用者信任。

此外，SSL 證書還能提高搜尋引擎排名，因為搜尋引擎更喜歡 SSL 加密的網站。如果你想有機會在谷歌首頁上排名，你需要一個有效的帶有 HTTPS 加密功能的 SSL 證書。

4. 使用安全的 SFTP 和 SSH 連線

要對 WordPress 網站進行手動備份或手動上傳外掛或主題，您需要通過 FTP 客戶端訪問網站的檔案系統。FTP 客戶端通常支援 FTP 和 SFTP 連線，但您只應使用 SFTP，它使用安全通道通過 SSH 傳輸檔案。這與標準 FTP 連線有很大不同。

在 Filezilla 中設定 SFTP 協議

5. 使用支援的 PHP 版本

每個 PHP 版本通常支援兩年。只有受支援的版本才會收到效能和安全更新，因此使用不受支援的 PHP 版本會降低效能並增加安全漏洞的風險。

截至 2024 年 8 月，官方支援的 PHP 版本為 PHP 8.1、8.2 和 8.3。

支援的 PHP 版本（來源：PHP.net）

在撰寫本文時，8.1 之前的所有 PHP 版本都不會收到安全更新。這意味著，如果您使用的是 PHP 8.0 或更早的版本，您的網站將面臨無法修復的安全漏洞。

WordPress 核心是用 PHP 構建的。外掛也基於 PHP，WooCommerce 也不例外。如果您的電子商務是基於 WordPress 的，那麼使用受支援的 PHP 版本對您的網上商店的成功至關重要。

除了提高安全性外，最新版本的 PHP 還能提供更好的效能。您只需升級到最新的 PHP 版本，就能提高網站速度。

6. 啟用雙因素身份驗證

使用高強度密碼來保護網站和託管賬戶的安全可能還不足以保護電子商務網站的安全。強烈建議使用多因素身份驗證系統。

多因素身份驗證是一種要求訪問服務的使用者提供兩個或兩個以上身份證明的身份驗證系統。這可以通過不同方式實現： 生物識別（如指紋）、驗證器應用程式、電子郵件、簡訊、硬體令牌等。

說到電子商務網站，您應該在主機服務和 WordPress 網站上啟用雙因素身份驗證(2FA)，以確保身份驗證的安全性。

您可能還想在電子商務網站上啟用雙因素身份驗證。WordPress 不支援開箱即用的 2FA，但您可以使用以下外掛之一快速、輕鬆地為網站新增這一功能：

• 雙因素身份驗證
• 谷歌驗證器

7. 核心、外掛和主題更新

除了 WordPress 核心版本外，每當發現新的漏洞時，WordPress 都會定期釋出新的安全更新。主題和外掛也是如此。

為了保護您的 WordPress 網站，您需要對整個 WordPress 網站進行更新，以防止出現安全漏洞。

在 WordPress 儀表板中，在儀表盤>更新下，您可以啟用所有 WordPress 版本的自動核心更新，也可以只啟用維護和安全版本的自動核心更新。

您還可以管理主題和外掛的自動更新。

啟用/禁用外掛自動更新

啟用/禁用外掛自動更新

請注意，從 WordPress 6.6 開始，您可以在出現故障時回滾外掛的自動更新。

如果您願意，可以禁用此功能並自己進行更新，但更新大量網站可能是一項耗時而枯燥的任務。這就是為什麼許多機構會求助於第三方工具，以便從一個外部環境管理所有 WordPress 網站的更新。

8. 備份

如果更新出錯，或者由於安全漏洞導致網站受到威脅或完全被毀，備份可以救您一命。如果您的主機沒有提供自動備份系統，您可以使用 WordPress 外掛。我們建議使用能提供增量備份的 WordPress 外掛： 這樣您就可以在不丟失磁碟空間或降低網站效能的情況下備份網站。

不過，真正關心您的電子商務網站的虛擬主機服務應該提供定期的 WordPress 備份。

9. 小心使用外掛

您的 WordPress 網站通常需要很多外掛。對於電子商務來說尤其如此，因為它往往需要一些 WordPress 或 WooCommerce 本身不具備的功能。我們有一個長長的推薦外掛列表，你可以自己瀏覽檢視：

• 20+ 最佳 WooCommerce 外掛
• 10 個用於在 WooCommerce 中新增產品的外掛
• WooCommerce 多供應商外掛
• WooCommerce 商品收藏夾外掛
• WooCommerce 產品篩選外掛
• WooCommerce 基於重量的發貨外掛

但您絕不應安裝彈出的第一個外掛。在為 WooCommerce 網站選擇外掛時，您需要遵循一些最佳實踐：

不要安裝無效外掛。這對電子商務業務至關重要。無效外掛是被黑客攻擊過的高階 WordPress 外掛或主題，可能包含修改過的程式碼，旨在造成危害或收集資訊。

首選由聲譽良好的供應商定期更新的外掛。相信社羣，檢視其他使用者的評論和評分。儘可能避免使用評級較低和由未知供應商維護的外掛。

WooCommerce 外掛的技術細節

在生產環境中使用外掛之前，請務必在暫存環境中進行測試。這樣可以防止出現與其他外掛或 WordPress 核心本身的相容性問題。

在生產環境中安裝外掛之前，請務必備份您的網站。

不要安裝不必要的外掛或提供多餘功能的外掛。不必要的外掛可能會產生不必要的安全漏洞、與其他外掛衝突或降低網站效能。

檢查外掛是否存在任何已知漏洞。使用安全服務，如 WordPress 漏洞資料庫或 WPScan。

不過，在定期更新的流行外掛中也能檢測到安全漏洞。WooCommerce 和 Easy Digital Downloads 等外掛也不例外。

那麼，虛擬主機如何幫助解決外掛和主題漏洞問題呢？

WordPress 特有的威脅及如何防範

在本文的第一部分，我們列出了影響一般電子商務網站的一些主要安全威脅。其中一些威脅對 WordPress/WooCommerce 網站尤為嚴重。

雖然 WordPress 是開源軟體，但值得指出的是，黑客入侵 WordPress 網站並不是因為內容管理系統本身存在漏洞，而是因為在任何事件發生之前本可以預測和修復的漏洞。

不更新核心、外掛和主題會使您的電子商務網站受到攻擊，就像使用弱密碼和沒有嚴格的網站訪問策略一樣。

以下是一份威脅和最佳防範措施的快速清單，可幫助您確保網站安全：

• 謹慎選擇使用者名稱和密碼
• 保持網站更新
• 不要使用無效的 WordPress 外掛和主題
• 鎖定 WordPress 儀表盤
• 在 WordPress 中啟用雙因素身份驗證
• 加固 wp-config.php
• 禁用 XML-RPC
• 隱藏 WordPress 版本
• 新增 HTTP 安全標頭
• 使用 WordPress 安全外掛
• 為 WordPress 檔案和資料夾設定正確的許可權
• 禁用 WordPress 儀表板中的檔案編輯功能
• 防止盜鏈
• 定期備份 WordPress
• 測試 WordPress 網站的安全性
• 使用 WordPress 活動日誌

如需更全面的 WordPress 網站安全措施清單，請檢視我們的《WordPress 安全指南》。

小結

要確保電子商務網站的安全，需要做很多工作。自己動手需要大量的技術技能，而這些技能可能是小型企業和初創企業所不具備的。

然而，想要開設網店、接受國際市場挑戰的公司所有者不應放棄電子商務帶來的發展機遇。這正是企業級託管 WordPress 和 WooCommerce 主機可以提供幫助的地方。

您每天都要面對哪些風險和漏洞？您的託管服務是否能為您的電子商務網站提供足夠的保護，使其免受惡意代理的侵害？請在下面的評論中分享您的經驗。