安全总比遗憾好。而这句话对于网店来说更是如此。确保你的支付过程是保持客户信任和维持你的业务和收入流的关键。
你的支付系统被锁住了吗?了解更多关于攻击的信息,并通过我们的安全检查表确保你得到保护。
支付网关的攻击是什么样子的?
当网络犯罪分子瞄准你的支付网关时,他们的目标是发现或窃取信用卡信息,然后可以在网上出售。
支付网关攻击可能采取以下形式。
- 枚举攻击,它测试信用卡组合的有效性,以找到有效的组合。在你的网站上,这可能看起来像无数次失败的尝试,用一个小订单来结账。
- 被盗的管理员凭证。犯罪分子利用网络钓鱼技术或其他方法进入你的管理账户和支付网关,目的是窃取客户的信用卡信息。
- 克隆的销售点设备。不良行为者复制你的销售点设备(使用你的支付网关凭证)来生成虚假订单。
为什么要关心支付网关的安全问题?
一旦你的商店开始运行,你可能会认为你已经足够安全了–特别是如果你还没有成为黑客的焦点。但是,当犯罪分子瞄准你的支付网关时,你可能会发现自己面临这样的后果。
- 需要时间来整理和处理漏洞,使你无法将时间花在业务的创收部分。
- 由于蛮力攻击的流量,网站性能出现问题。
- 与你的支付网关供应商的信任被削弱,可能导致更高的费用或服务被取消。
如何锁定你的网站
希望你永远不必担心实际的攻击。但是,为了安全起见,请对这些问题中的每一个问题进行一些思考、时间和投资,以确保你的网站被锁定。
在用户账户和结账过程中使用验证码
通过在你的注册和结账页面添加验证码,确保机器人无法进入你的系统。虽然这对客户来说是一个额外的步骤,但它是值得的,因为它以简单而有效的方式阻止机器人攻击你的网站。
你可以用各种方法为你的合法客户简化程序,同时仍然增加安全性。考虑一下高级功能的 ReCaptcha for WooCommerce扩展 以在方便和安全之间找到适当的平衡。
投资于高质量的主机
你的主机是你在性能和安全方面的合作伙伴。一个高质量的供应商将包括关键的安全功能,如。
- SSL证书,它对信用卡数据和地址等客户信息进行加密。
- 符合PCI标准的服务器,遵循所有信用卡公司的指导方针。
- 定期进行网站扫描、备份和暴力攻击监测。
但不要只依赖你的主机。考虑在你的网站上添加一个防火墙,作为你的商店和黑客之间的屏障,防止他们进入。
而且,像这样的工具 捷特包安全 提供恶意软件扫描、停机警报和异地备份。
使用反欺诈插件
用反欺诈软件直接保护你的支付网关,监控你的订单,观察任何可疑的活动。
扩展功能如 WooCommerce Anti-Fraud 将寻找属于典型攻击模式的交易,并将可疑的订单和有问题的用户进行锁定。
你可以阻止以下活动。
- 快速连续下了许多小订单
- 来自典型订单区域之外的地理位置的突然涌入的订单
- 从电子邮件地址和IP地址的封锁名单中下的订单
- 账单地址和发货地址之间存在可疑的差异
- 由新的、未经验证的PayPal账户支付的款项
- 使用代理服务器和其他掩饰活动
您可以设置订单被标记的敏感程度,为您的商店找到合适的风险水平。
确保密码是安全的
说到密码安全,我们都知道最基本的东西:使用各种字符,不要使用个人姓名或日期,不要在不同网站上重复使用密码。但你可以通过以下方式增加额外的安全性。
- 用特殊字符使你的管理员密码变得特别复杂,等等。
- 添加密码锁定软件,这将限制失败的登录尝试次数
- 确保用户只拥有 最低权限 执行其工作或任务所需的最低权限
- 意识到网络钓鱼的骗局,绝不与可疑的企业或个人分享你的密码信息
密码也可以用来保护你网站的某些部分。使用 密码保护的类别扩展 以限制对常被利用的领域的访问。购物者需要有一个账户来验证他们的身份,或者必须通过安全渠道直接从你那里获取密码。
限制支付卡信息的存储
WooCommerce的一个很大的特点是,你根本不需要存储信用卡信息–你的支付网关将处理最脆弱和重要的安全信息。
关键提示:确保你选择的支付网关使用标记化来来回传递信用卡信息。为了获得最大的安全性,请考虑 WooCommerce Payments.
但如果你想让你的客户设置订阅或注册预购,那么你的系统可能会存储一些关于支付选项的信息,在你的网站上或通过你的支付网关。限制客户更新其信用卡信息的次数。每天有几次更新是蛮力攻击的一个红旗。
安全地停用POS机设备
当POS机设备已经过了它们的使用期限,请确保安全退役。这意味着擦除所有的内存和设置,以确保任何访问代码或存储的密码被删除,不能被克隆或复制。这也意味着将这些设备返还给源公司,这样它们就可以被安全地处理掉;不要让它们在你的商店后面积灰。
有了支付系统的所有部分的充分保护,你就会知道你已经尽了全力来保持你最重要的商业资产的安全和健全。让攻击者不敢轻举妄动,确保你把精力用在创收和增长上,而不是处理安全漏洞。
