Как исправить дыры в безопасности WordPress для более безопасного шоппинга
При настройке сайта электронной коммерции на WordPress безопасность должна быть вашим приоритетом номер один. Каждый раз, когда вы имеете дело с личной или финансовой информацией людей, вы должны быть вдвойне осторожны. Неспособность показать, что вы заслуживающий доверия поставщик с помощью узнаваемых логотипов безопасности, может потерять ваших клиентов. Но игнорирование мер безопасности может привести к гораздо худшему результату: краже и потере данных.
Это худший кошмар владельца сайта электронной коммерции. К счастью, вы не должны позволять этому случиться с вами. Здесь я расскажу о некоторых из наиболее распространенных проблем безопасности, с которыми сталкиваются сайты электронной коммерции на базе WordPress, и расскажу о шагах, которые необходимо предпринять, чтобы закрыть эти дыры в безопасности раз и навсегда.
Шаг 1: SSL
Работая в сфере электронной коммерции, вы не можете пойти на компромисс с SSL. Это уровень защищенных сокетов для непосвященных и защищает конфиденциальную информацию (как вашу, так и ваших клиентов), пока она передается для обработки. Хороший способ обеспечить безопасность платежей на вашем сайте – использовать популярную систему, такую как PayPal. Таким образом вся финансовая информация хранится за пределами вашего сайта и находится в руках компании, которая специализируется на защите подобных транзакций.
Хотя использование шаблонного SSL может быть дорогостоящим, многие из лучших вариантов хостинга WordPress предлагают бесплатный SSL через Let’s Encrypt. Это быстро, просто и совершенно бесплатно.
Шаг 2: используйте готовую платформу
Один из способов повысить безопасность сайта – использовать готовую платформу электронной коммерции. Это избавляет от догадок о том, что следует и не следует включать, и значительно упрощает начало работы. Существует несколько платформ, таких как WooCommerce, Shopify и другие. Итак, проведите исследование, чтобы найти платформу электронной коммерции, которая будет соответствовать вашим потребностям.
Если вы решили использовать вместо этого просто тему WordPress, лучше всего использовать только те, которые вы найдете в каталоге WordPress или на авторитетных тематических веб-сайтах. Низкокачественные темы часто не имеют соответствующих мер безопасности, что подвергает риску ваш сайт и информацию ваших клиентов.
Шаг 3. Измените .htaccess
Еще один способ исправить потенциальные проблемы безопасности WordPress – это изменить файл .htaccess. На базу данных, поддерживающую платформу, выполняется множество атак на сайты. Если база данных подвергнется атаке, она не сможет запускать сценарии PHP, которые обеспечивают работу вашего сайта.
SQL-инъекция – это один из способов проникновения хакеров на ваш сайт. Они делают это, помещая свои собственные команды в URL-адрес вашей базы данных. Эти команды могут заставить базу данных выводить информацию о вашем сайте, включая данные для входа. Вариации этого метода взлома могут привести к запуску определенных сценариев PHP, которые устанавливают вредоносное ПО на ваш сайт. По сути, все это плохие новости для тех, кто пытается запустить безопасный сайт, который их клиенты могут использовать с уверенностью.
К счастью, вы можете исправить это, изменив файл .htaccess в файлах вашего сайта WordPress. Существует отличная коллекция фрагментов кода .htaccess, которые вы можете поместить в файл, чтобы повысить безопасность сайта. Как только эти правила будут введены в действие, вы можете запретить определенным людям доступ к вашему сайту, включая определенные IP-адреса, а также определенные URL-запросы.
Вы также можете ограничить доступ к файлам. Эти команды также могут быть добавлены в .htaccess и позволяют заблокировать доступ любого пожилого человека к личным файлам на вашем сервере. Обычно это можно сделать, заблокировав доступ к спискам каталогов. Посетителям сайта не нужно видеть список всех файлов на нашем сайте, поэтому блокировка доступа не позволит злоумышленникам организовать атаку с использованием этой информации.
Шаг 4: пропустите администратора
Еще одна вещь, которую вы определенно захотите сделать при настройке своего сайта электронной коммерции WordPress, – это убедиться, что ваше имя пользователя и пароль состоят из комбинации букв, цифр и символов. Никогда не следует использовать имя пользователя в качестве имени администратора по умолчанию. Это то, что хакеры чаще всего «угадывают» в качестве имени пользователя при проведении атак методом перебора (см. Ниже). И уж точно не хочется облегчать жизнь хакерам. Так что усложните свое имя пользователя и пароль.
Вы также можете установить на своем сайте двухэтапную аутентификацию. Что-то вроде Keyy Two Factor может помочь.
Шаг 5. Ограничьте количество попыток входа в систему
Как я уже упоминал выше, люди могут получить доступ к вашему сайту с помощью атак грубой силы. Эти атаки выполняются автоматическими скриптами, которые неоднократно пытаются войти на ваш сайт снова и снова. Поскольку сценарии запускаются тысячи раз, велики шансы, что в конечном итоге они будут успешными.
То есть, если вы не применяете меры по обеспечению отказоустойчивости. Одним из таких отказоустойчивых является ограничитель входа в систему. Ограничитель входа в систему – это инструмент, который предотвращает вход в систему с определенных IP-адресов или имен пользователей в течение определенного количества раз в течение определенного периода времени. Типичное ограничение в 10 раз за пару минут приведет к тому, что у этого пользователя или IP-адреса будет тайм-аут на час. Атакующие методом грубой силы неэффективны, когда сталкиваются с ограничителем входа в систему, потому что они не могут сделать тысячи или миллионы попыток входа в систему, необходимых для успеха. Тогда они часто уходят с вашего сайта и ищут более легкую территорию.
Доступно множество плагинов для ограничения входа в систему, но позвольте мне рассказать вам о некоторых, которые мне лично нравятся. Во-первых, iThemes Security – надежный плагин, предназначенный для защиты вашего сайта от самых разных атак. Фактически, он включает в себя более 30 способов предотвращения атак на сайты, включая тактику сокрытия информации, ограничение входа в систему, обнаружение ботов и многое другое.
А еще есть «Ограничение попыток входа в систему», которое предотвращает атаки методом грубой силы, позволяя ограничить количество попыток входа в систему. Он также полностью настраивается и обеспечивает дополнительную регистрацию и уведомления по электронной почте при блокировке сайта.
Конечно, есть и другие варианты, но я считаю лишь два надежными.
Независимо от того, какой у вас сайт, важно помнить о безопасности. Но это еще более важно для тех, у кого есть сайты электронной коммерции. Когда вы отвечаете за информацию других людей, жизненно важно, чтобы вы сделали все, что в ваших силах, для ее защиты. Это может означать использование готовой платформы электронной коммерции или выбор обработки всех транзакций вне офиса через безопасную службу. Или может потребоваться вручную войти в файлы вашего сайта WordPress и добавить код для защиты от злоумышленников. А когда недостаточно убедиться, что ваше имя пользователя и пароль настроены на нюансы, вы даже можете ограничить попытки входа в систему, чтобы предотвратить атаки методом грубой силы.
Все эти методы при совместном использовании могут помочь повысить безопасность вашего сайта и сделать покупки более безопасными для ваших клиентов. Как вы думаете, в чем весь смысл?
Теперь к вам. Какие методы вы используете для повышения безопасности сайта WordPress для интернет-магазинов? Какие инструменты или плагины вам необходимы? Я хотел бы услышать все об этом в комментариях!
Источник записи: https://www.wpexplorer.com