對于電子商務,網站安全至關重要。保護您的網站免受卡片竊取程序和其他破壞性惡意軟件的侵害,首先要采取主動方法來減少攻擊面。更具體地說,遵守最小特權原則并執行定期更新和漏洞修補。北京六翼信息技術有限公司工程師建議您需要采取的五個關鍵步驟,以從根本上減少任何惡意軟件進入您的電子商務商店的機會。
步驟 1. 選擇符合 PCI 標準的主機
接受、處理或存儲信用卡信息的企業必須遵守一套稱為 PCI DSS 的嚴格安全標準,以維護安全的環境。如果您通過信用卡接受付款,則 PCI 合規性不是可有可無的;這是強制性的。
選擇符合 PCI 標準的托管可幫助您作為企業主遵守嚴格的支付卡行業數據安全標準 (PCI DSS)。符合 PCI 標準的主機會采取必要的步驟來滿足其服務器基礎設施的安全標準。
但是,這并不意味著您的在線商店將立即符合 PCI 標準。許多 PCI DSS 合規性標準直接落在您身上,必須遵守以確保您的電子商務網站完全合規。
必須不斷監控合規性和服務器環境的安全性,并在必要時改進您的政策和程序。Liquid Web 和 Nexcess 提供針對 WooCommerce 優化的符合 PCI 標準的托管服務,并定期進行漏洞掃描和惡意軟件監控。
第 2 步。保持您的網站軟件更新
配置自動 WordPress 核心、主題和插件更新,以在發現的漏洞可以在您的網站上被利用之前安裝最新的安全版本。六翼可以幫助您,因此您無需手動更新任何軟件。
利用六翼提供的版本管理功能。通過您的個人網站助手利用高級正常運行時間監控和關鍵 SEO 指標跟蹤。
步驟 3. 使用多重身份驗證
密碼被破解。基于密碼的身份驗證使共享秘密成為黑客成功冒充您所需獲取的唯一信息。此外,大多數后門允許攻擊者完全繞過身份驗證并再次感染網站,即使您更改了管理員帳戶的所有密碼也是如此。
即使您仍然留有先前妥協留下的后門,強制執行多因素身份驗證并使用其他方式保護您的網站管理儀表板,也不會允許黑客再次獲得未經授權的訪問。
步驟 4. 創建備份策略
一個好的備份策略是絕對必要的,尤其是對于在線商店。確保定期備份您的網站,并且至少將網站的幾個副本安全地存儲在遠程位置以確保數據冗余。
BackupBuddy 是領先的 WordPress 數據保護和恢復解決方案,超過一百萬的 WordPress 和 WooCommerce 網站所有者每天都在使用它。借助靈活的備份計劃、遠程備份存儲位置和一鍵式更新,您可以放心,您的網站不會因更新失敗、數據丟失或任何其他不幸事件(包括惡意軟件感染)而受到保護。
第 5 步。確保您的托管環境提供完全的用戶隔離
分析您的托管環境并確保您免受跨賬戶符號鏈接攻擊,利用不良的用戶隔離和不安全的文件權限。如果您正在運行自己的虛擬或專用服務器,這一點尤其重要。
跨帳戶符號鏈接攻擊利用符號鏈接的使用來訪問位于同一服務器上其他網站上的敏感文件。符號鏈接黑客可能導致黑客獲得對所選服務器上所有網站的訪問權限,除非 Linux 用戶彼此完全隔離。
總結
在線信用卡竊取是針對電子商務網站的最具破壞性的惡意軟件攻擊之一。從結賬處竊取關鍵的支付信息,竊取卡的惡意軟件將收到的數據發送到攻擊者的網站,允許他們在暗網上出售卡的詳細信息。
信用卡竊取惡意軟件(通常稱為 MageCart)最初出現在 Magento 網站上,發展迅速,使 WooCommerce 成為主要目標。現代卡片分離器易于注入且難以檢測,使得數據泄露在一段時間內對網站所有者來說并不明顯。
保留電子商務網站的關鍵區域(例如管理面板)并采用文件完整性監控和及時修補漏洞是防止此惡意軟件進入您的在線商店的關鍵。
