WooCommerce 垃圾订单是机器人或欺诈者下的假订单。这些订单会扰乱您 WordPress 商店的数据库,浪费您的时间,甚至导致退款造成经济损失。与用户注册垃圾邮件不同,这些垃圾订单会直接影响您的销售和运营。
这个问题通常源于薄弱的安全设置,如开放式访客结账、缺乏僵尸保护和验证不力。
由于 WooCommerce 没有内置防止垃圾订单的工具,因此您需要采取额外的措施来阻止它们。让我们直接进入阻止垃圾订单的最佳方法。
1. 设置Cloudflare:您的第一道防线
说到阻止 WooCommerce 订单垃圾邮件,Cloudflare 是您最有效的工具,因为它可以在垃圾邮件到达您的网站之前就将其拦截。
其他解决方案(如验证码、反垃圾邮件插件和欺诈预防工具)的工作原理是在机器人与您的商店互动后过滤垃圾邮件,而 Cloudflare 则在边缘拦截不良流量,防止机器人到达您的结账和注册页面。
Cloudflare 不仅仅是一个内容分发网络(CDN),它还是一个安全强国。它提供打击僵尸模式、Web 应用程序防火墙(WAF)规则和 IP 阻断功能,所有这些功能都能减轻您商店的负载,保护您的资源,防止欺诈性订单漏网。
如何为WooCommerce设置Cloudflare垃圾邮件防护功能
第一步是注册一个免费的 Cloudflare 账户(如果您还没有)。登录后,您将进入 Cloudflare 面板。
首先,点击“+ Add”下拉菜单,点击“Existing domain”,然后输入您 WooCommerce 商店的域。这样,Cloudflare 就可以管理流量并为您的网站应用安全规则。
将您的 WooCommerce 商店添加到 Cloudflare 以启用安全功能。
输入域名后,Cloudflare 会要求您选择一个计划。免费计划足以满足大多数 WooCommerce 商店的需求,因为该计划包括 Bot Fight Mode、基本 DDoS 保护和安全规则。选择 Free Plan,然后点击 Continue。
选择 Cloudflare 的基本安全和僵尸保护免费计划。
接下来,Cloudflare 会扫描您当前的 DNS 记录。您会看到从现有托管提供商处自动提取的记录列表。确保您的主域名和子域被正确列出。单击“Continue”继续。
在继续之前验证 Cloudflare 中的 DNS 记录。
Cloudflare 将为您提供新的 nameservers。要激活 Cloudflare 的安全功能,您需要在域名注册商处更新域名服务器。
更新域名服务器后,返回 Cloudflare 并单击“Done”、“Check Nameservers”。Cloudflare 可能需要几分钟时间来检测更改。一旦您的网站在 Cloudflare 上激活,您就可以设置僵尸保护规则。
启用 Bot Fight Mode 阻止恶意僵尸
Cloudflare 的内置安全功能之一是 Bot Fight Mode,它可以在已知的恶意僵尸与您的 WooCommerce 商店互动之前阻止它们。
要启用该功能,请在 Cloudflare 仪表板中导航至 Security > Bots。找到 Bot Fight Mode 并将其切换为“ON”。
启用 Cloudflare Bot Fight Mode 可阻止恶意机器人。
这将防止机器人访问您的结账和注册页面,从而立即帮助减少自动垃圾订单。
在启用“Bot Fight Mode”的同时,最好也打开 “阻止人工智能机器人”(Block AI Bots),它就在旁边。我们的支持工程师指出,虽然 WooCommerce 垃圾邮件防范严格意义上并不需要这一设置,但它可以帮助解决人工智能机器人对你的网站进行攻击所造成的性能峰值问题。这些机器人通常会发送大量未缓存请求,从而导致网站运行速度减慢。启用阻止人工智能机器人功能后,您就可以减少与垃圾邮件相关的流量,避免服务器承受不必要的负载,从而保持 WooCommerce 商店的平稳运行。
为WooCommerce垃圾邮件保护创建自定义WAF规则
Cloudflare 的 WAF 允许您设置规则,在垃圾流量到达 WooCommerce 商店之前将其过滤掉。我们的支持工程师分享了两个有用的规则示例:一个是在关键页面上挑战可疑访客,另一个是阻止来自特定国家的流量。
对于结账和注册保护,规则应同时针对 URI 路径和 URL 查询字符串。在 Cloudflare 的 Security > WAF 中,创建一个名为WooCommerce Spam Protection 的规则。设置 URI 路径包含 /checkout/
和 /my-account/
,同时添加 URL 查询字符串包含 wc-ajax=checkout
。操作应为托管挑战,这将迫使可疑用户在继续操作前验证自己是否为人类。
创建 Cloudflare WAF 规则以保护 WooCommerce 结账。
对于基于国家的阻止,在 Security > WAF 中创建一个单独的规则,并将 Country 字段设置为不等于 United States
, Canada
, 和 United Kingdom
(或您的商店支持的任何国家)。将操作设置为 Block,确保只有来自批准地点的访客才能访问您的网站。
在 Cloudflare WAF 设置中阻止高风险国家。
这些规则有助于防止来自高风险地区的自动垃圾邮件机器人和欺诈性订单,同时允许合法客户访问。
完成后,单击“Deploy Rule”。现在,Cloudflare 将对这些页面上的可疑流量提出质疑,阻止自动垃圾邮件机器人,同时允许真实客户通过。
虽然 Cloudflare 是最好的第一道防线,但您可能仍然需要在网站层面进行额外的过滤。当您需要分析 WooCommerce 本身的数据时,插件就会派上用场,例如
- 在阻止订单之前检查客户详细信息。
- 根据电子邮件域名或 IP 历史记录过滤垃圾邮件注册。
- 防止假订单通过僵尸保护。
我们的支持工程师建议尽可能使用 Cloudflare 在垃圾邮件到达网站之前将其拦截。不过,如果仅使用 Cloudflare 还不够,或者您更愿意直接在 WordPress 中处理垃圾邮件过滤,这里还有一些其他选项可帮助您防止 WooCommerce 垃圾订单。
2. 在结账和注册表单中添加验证码
在 WooCommerce 商店的关键表单中添加 CAPTCHA(验证码)是阻止垃圾订单最简单有效的方法之一。
CAPTCHA 是“区分计算机和人类的完全自动化公共图灵测试(Completely Automated Public Turing test to tell Computers and Humans Apart)”的缩写。这是一种安全措施,有助于阻止机器人和垃圾邮件发送者访问您的网站。CAPTCHA 通过一些简单的任务来挑战用户,如选择图片、勾选方框或输入扭曲的文本,这些任务对人类来说很容易,但对机器人来说却很难解决。
使用验证码防止机器人提交虚假订单。(来源:Arstechnica.com)
通过这种方式,验证码可以防止自动机器人提交虚假订单,同时让真正的客户顺利完成购买。
为了有效防止垃圾订单,您应该在以下方面添加验证码:
- 结账表单– 阻止机器人提交虚假订单。
- 注册表单– 防止创建垃圾客户账户。
- 登录表单– 阻止机器人试图访问账户的暴力破解攻击。
有几款插件可以让您轻松地将验证码整合到 WooCommerce 网站中,但我们建议您使用 Simple Cloudflare Turnstile 或 Advanced Google reCAPTCHA。您只需实施其中一种即可。下面,我们将向您介绍这两个选项。
选项 1:使用简单的Cloudflare Turnstile
为验证码保护设置 Cloudflare Turnstile。
Cloudflare Turnstile 是 Google reCAPTCHA 的隐私友好型替代品。它能自动验证用户,无需用户解谜,使结账过程更顺畅。
要在 WordPress 网站中使用 Cloudflare Turnstile,请访问 Cloudflare 网站 并注册或登录。登录后,您将进入 Cloudflare 仪表板。在仪表板上,查找 Turnstile。如果这是您第一次使用,请单击“Add Widget”按钮。
为 WooCommerce 安全创建 Cloudflare Turnstile 小工具。
接下来,为您的小工具命名(例如,WooCommerce 结账验证码),以便日后识别。然后,点击 Add Hostnames,添加您的网站。
命名 Cloudflare Turnstile 小工具并添加您的域名。
现在向下滚动选择 Managed 小工具模式,然后点击 Create。
在 Cloudflare Turnstile 中选择托管部件模式。
创建小部件后,Cloudflare 将生成 API 密钥,您需要在 WordPress 仪表板中使用这些密钥。从该页面复制 Site Key 和 Secret Key。
有几款插件可以在 WordPress 中添加验证码,但 Simple Cloudflare Turnstile 是一款免费插件,强烈推荐使用。
要使用它,请转到插件>安装新插件 。在搜索栏中输入 Simple Cloudflare Turnstile 。然后,安装并激活该插件。
在 WordPress 中安装 Simple Cloudflare Turnstile 插件。
激活插件后,进入“设置” > “Cloudflare Turnstile”。将之前复制的 Site Key 和 Secret Key 粘贴到相应的字段中。
在 WordPress 中配置 Cloudflare Turnstile 插件。
现在向下滚动并选中要启用验证码的表单。如下图所示,选择 WooCommerce Login, Registration, 和 Checkout。
在 WooCommerce 表单中启用 Cloudflare Turnstile CAPTCHA。
单击“Save Changes”,大功告成。打开 WooCommerce 结账页面,您会发现验证码挑战出现了。
选项 2:使用高级Google验证码
为 WooCommerce 安全设置 Google 验证码。
Google 验证码是使用最广泛的垃圾邮件防护工具之一。它提供 reCAPTCHA v2(复选框验证)和 reCAPTCHA v3(后台验证)。
要开始使用 Google reCAPTCHA,请登录您的 Google 账户。登录后,进入 reCAPTCHA 产品页面并点击“Get Started”。这将带您进入管理区,您可以点击 + Create 来注册一个新网站。输入标签以识别验证码,然后选择挑战类型。在本指南中,请选择 reCAPTCHA v2,并选择“I’m not a robot”复选框选项。
选择带有“I’m not a robot”复选框的 reCAPTCHA v2,以确保 WooCommerce 的安全性。
选择挑战类型后,添加不带任何前缀的网站域名(如example.com
)。然后,点击 Submit 并复制为您生成的 Site Key 和 Secret Key。
接下来,返回 WordPress 控制面板。转到插件>安装新插件,搜索高级谷歌验证码,然后点击 立即安装并激活。
在 WordPress 中安装 Advanced Google reCAPTCHA 插件。
激活后,导航至设置>Advanced Google reCAPTCHA。选择验证码,然后将来自 Google 的 Site Key 和 Secret Key 粘贴到相应字段。
在 WordPress 中配置 Advanced Google reCAPTCHA。
此外,选择验证码的显示方式,然后切换到“Where To Show”选项卡。在这里,启用表单上的验证码,并选中 WooCommerce Checkout 和 WooCommerce Registration。最后,点击“Save Changes”应用设置。
在 WooCommerce 结账和注册表单上启用 Google reCAPTCHA。
设置完成后,打开店铺的结账页面验证验证码是否有效。如果一切配置正确,“I’m not a robot”复选框现在应该会出现在需要的地方。
3. 使用反垃圾邮件插件
虽然验证码有助于防止机器人提交垃圾订单,但这并不总是足够的,尤其是在应对更复杂的垃圾邮件策略时。因此,您需要反垃圾邮件插件。这些插件的作用是自动过滤垃圾邮件、阻止可疑的 IP 地址,并在欺诈性订单到达 WooCommerce 数据库之前对其进行检测。
WooCommerce 并不包含内置的订单反垃圾邮件保护功能,因此使用专用插件可以大大减少垃圾邮件,同时又不会给真正的客户增加麻烦。
有几种有效的反垃圾邮件插件可供使用,但 WooCommerce 商店的两个最佳选择是 CleanTalk Spam Protect 和 Akismet。让我们来看看如何安装和配置专门为WooCommerce 订单垃圾邮件防护设计的 CleanTalk。
如何为WooCommerce设置CleanTalk垃圾邮件防护程序
CleanTalk 是一种高级反垃圾邮件服务,可以过滤垃圾订单、阻止虚假账户、防止僵尸注册–所有这些都不需要验证码。它在后台悄无声息地工作,根据其全球垃圾邮件数据库检查订单和表单提交。
要开始使用,请进入 WordPress 仪表板,导航至插件>安装新插件。在搜索栏中输入 CleanTalk Spam Protect。找到后,点击立即安装,然后激活。
为WooCommerce安装和设置CleanTalk Spam Protect。
激活后,进入设置 > Anti-Spam by CleanTalk。系统会提示您输入 Access Key。由于CleanTalk是一项付费服务,因此您需要在 CleanTalk 网站上创建一个账户并注册订阅。
注册后,CleanTalk 会向你提供一个 Access Key,你需要将其复制并粘贴到插件设置中。
输入 CleanTalk 访问密钥激活垃圾邮件保护。
输入密钥后,点击“Advanced settings”链接并向下滚动到“WooCommerce”部分,就可以确认该设置是否适用于 WooCommerce 结账表单。
为 WooCommerce 垃圾邮件保护配置 CleanTalk 设置。
启用这些设置后,请单击“Save Changes”。现在,您的WooCommerce商店就可以防止垃圾订单和虚假注册了。
4. 禁用访客结账
造成 WooCommerce 垃圾订单的原因之一是默认启用了访客结账。
允许客户在不创建账户的情况下下单可以加快结账流程,但同时也允许机器人和欺诈者不受限制地提交虚假订单。
禁用访客结账会迫使顾客在下订单前创建一个账户。这个简单的步骤增加了一层安全性,因为机器人往往难以完成注册所需的额外字段,尤其是在结合验证码或电子邮件验证的情况下。
不过,在禁用访客结账之前,请考虑一下这会对您的销售产生什么影响。有些客户喜欢无摩擦的购物体验,如果被迫创建账户,他们可能会放弃购物车。如果你的商店有很多一次性买家,在完全关闭游客结账之前,你可能需要探索其他安全措施。
要禁用访客结账,请进入 WordPress 仪表板并导航至 WooCommerce>Settings。在设置菜单中,点击“Accounts & Privacy”选项卡。
在 WooCommerce 中禁用访客结账以防止垃圾订单。
完成后,向下滚动并点击保存更改。
禁用客人结账后,客户将无法再以客人身份结账。相反,在完成购买之前,系统会提示他们登录现有账户或创建新账户。
5. 使用反欺诈插件
即使使用了验证码和反垃圾邮件措施,一些欺诈性交易仍有可能通过。这种情况在骗子利用盗用的信用卡、虚假的客户信息或大量生成的订单来利用 WooCommerce 商店时尤其常见。
为应对这种情况,反欺诈插件可在可疑交易完成前将其拦截,从而增加一层额外的安全保护。
这些插件会分析各种风险因素,如 IP 地址、电子邮件域、账单详情和异常订单行为,以检测潜在的欺诈行为。如果一个订单被标记为高风险,插件就会自动阻止它,将其保留进行人工审核,或通知商店管理员。
适用于 WooCommerce 的最佳选择之一是 Fraud Prevention For WooCommerce and EDD(前身为 Woo Blocker Lite)。让我们来看看如何设置。
如何设置WooCommerce防欺诈软件
WooCommerce 和 EDD 的 Fraud Prevention 是一款轻量级但功能强大的反欺诈插件,旨在防止虚假订单和垃圾交易。它允许店主创建自定义防欺诈规则、查看黑名单用户详情并生成欺诈报告–所有这一切都不会影响真实客户。
要安装该插件,请进入 WordPress 面板,导航至插件>安装新插件,然后搜索 Fraud Prevention For WooCommerce and EDD。找到后,点击立即安装,然后激活。
安装 WooCommerce 防欺诈插件。
激活后,您将看到一段演示视频,介绍该插件的功能。您可以通过 Dotstore Plugins >Fraud Prevention(欺诈预防)访问 Fraud Prevention 设置页面。您将在这里为您的商店配置欺诈检测设置。
配置防止欺诈设置以阻止可疑订单。
在“Blacklist Settings”部分选择相应的选项,决定是否要在注册、结账或两者时阻止欺诈用户。根据您希望插件检测和阻止欺诈活动的时间,勾选相应的复选框。
在 WooCommerce 的 Fraud Prevention 中设置黑名单规则。
您还可以根据特定用户的电子邮件地址、IP 地址、州或邮政编码手动将其列入黑名单。如果您发现某个特定来源的欺诈企图屡禁不止,将其添加到黑名单就可以防止今后再出现垃圾订单。
在 WooCommerce 中手动将欺诈用户列入黑名单。
此外,该插件还提供详细的欺诈报告,让您可以监控可疑活动并跟踪被阻止的订单。这有助于店主快速识别欺诈交易的模式,并采取积极措施确保 WooCommerce 网站的安全。
在 WooCommerce 欺诈报告仪表板中监控欺诈活动。
配置好必要的设置后,点击保存更改。现在,您的商店就能免受常见欺诈手段和垃圾订单的侵害了。
小结
WooCommerce 订单垃圾邮件可能是一个严重的问题,但只要采取正确的安全措施,就能确保您的商店安全。
评论留言