对于电子商务,网站安全至关重要。保护您的网站免受卡片窃取程序和其他破坏性恶意软件的侵害,首先要采取主动方法来减少攻击面。更具体地说,遵守最小特权原则并执行定期更新和漏洞修补。北京六翼信息技术有限公司工程师建议您需要采取的五个关键步骤,以从根本上减少任何恶意软件进入您的电子商务商店的机会。
步骤 1. 选择符合 PCI 标准的主机
接受、处理或存储信用卡信息的企业必须遵守一套称为 PCI DSS 的严格安全标准,以维护安全的环境。如果您通过信用卡接受付款,则 PCI 合规性不是可有可无的;这是强制性的。
选择符合 PCI 标准的托管可帮助您作为企业主遵守严格的支付卡行业数据安全标准 (PCI DSS)。符合 PCI 标准的主机会采取必要的步骤来满足其服务器基础设施的安全标准。
但是,这并不意味着您的在线商店将立即符合 PCI 标准。许多 PCI DSS 合规性标准直接落在您身上,必须遵守以确保您的电子商务网站完全合规。
必须不断监控合规性和服务器环境的安全性,并在必要时改进您的政策和程序。Liquid Web 和 Nexcess 提供针对 WooCommerce 优化的符合 PCI 标准的托管服务,并定期进行漏洞扫描和恶意软件监控。
第 2 步。保持您的网站软件更新
配置自动 WordPress 核心、主题和插件更新,以在发现的漏洞可以在您的网站上被利用之前安装最新的安全版本。六翼可以帮助您,因此您无需手动更新任何软件。
利用六翼提供的版本管理功能。通过您的个人网站助手利用高级正常运行时间监控和关键 SEO 指标跟踪。
步骤 3. 使用多重身份验证
密码被破解。基于密码的身份验证使共享秘密成为黑客成功冒充您所需获取的唯一信息。此外,大多数后门允许攻击者完全绕过身份验证并再次感染网站,即使您更改了管理员帐户的所有密码也是如此。
即使您仍然留有先前妥协留下的后门,强制执行多因素身份验证并使用其他方式保护您的网站管理仪表板,也不会允许黑客再次获得未经授权的访问。
步骤 4. 创建备份策略
一个好的备份策略是绝对必要的,尤其是对于在线商店。确保定期备份您的网站,并且至少将网站的几个副本安全地存储在远程位置以确保数据冗余。
BackupBuddy 是领先的 WordPress 数据保护和恢复解决方案,超过一百万的 WordPress 和 WooCommerce 网站所有者每天都在使用它。借助灵活的备份计划、远程备份存储位置和一键式更新,您可以放心,您的网站不会因更新失败、数据丢失或任何其他不幸事件(包括恶意软件感染)而受到保护。
第 5 步。确保您的托管环境提供完全的用户隔离
分析您的托管环境并确保您免受跨账户符号链接攻击,利用不良的用户隔离和不安全的文件权限。如果您正在运行自己的虚拟或专用服务器,这一点尤其重要。
跨帐户符号链接攻击利用符号链接的使用来访问位于同一服务器上其他网站上的敏感文件。符号链接黑客可能导致黑客获得对所选服务器上所有网站的访问权限,除非 Linux 用户彼此完全隔离。
总结
在线信用卡窃取是针对电子商务网站的最具破坏性的恶意软件攻击之一。从结账处窃取关键的支付信息,窃取卡的恶意软件将收到的数据发送到攻击者的网站,允许他们在暗网上出售卡的详细信息。
信用卡窃取恶意软件(通常称为 MageCart)最初出现在 Magento 网站上,发展迅速,使 WooCommerce 成为主要目标。现代卡片分离器易于注入且难以检测,使得数据泄露在一段时间内对网站所有者来说并不明显。
保留电子商务网站的关键区域(例如管理面板)并采用文件完整性监控和及时修补漏洞是防止此恶意软件进入您的在线商店的关键。