賬戶(hù)資金不翼而飛？！自建站賣(mài)家如何做好網(wǎng)站安全措施？

近年來(lái)，網(wǎng)絡(luò)攻擊的頻率猛增、手法愈加“老練”，因此，采取能夠保護(hù)你的企業(yè)和客戶(hù)免受網(wǎng)絡(luò)威脅的電商安全措施絕不能掉以輕心。

網(wǎng)絡(luò)攻擊的類(lèi)型和手段千差萬(wàn)別，雖然不可能一一道盡，但本文還是挑選了一些對(duì)于電商而言比較重要的部分來(lái)進(jìn)行說(shuō)明。

電商網(wǎng)站面臨的安全威脅

網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)是一種社交工程陷阱，它是指黑客用來(lái)誘騙受害者的方法（通常通過(guò)電子郵件、短信或電話）來(lái)提供諸如密碼、帳號(hào)、社交賬號(hào)密碼等私人信息。

特別提醒BigCommerce賣(mài)家注意，BigCommerce不會(huì)向你發(fā)送包含更新商店或登錄憑證鏈接的電子郵件。如果你收到來(lái)自“BigCommerce”的要求提供個(gè)人信息的電子郵件、電話或短信，請(qǐng)直接與客服聯(lián)系以進(jìn)行驗(yàn)證。

惡意軟件和勒索軟件

當(dāng)你的設(shè)備或網(wǎng)絡(luò)感染了惡意軟件或勒索軟件后，你可能就無(wú)法訪問(wèn)所有重要數(shù)據(jù)和系統(tǒng)，因此，建議你定期備份網(wǎng)站數(shù)據(jù)以幫助避免對(duì)你的業(yè)務(wù)造成毀滅性的打擊。此外，不點(diǎn)擊可疑鏈接或在計(jì)算機(jī)上安裝未知軟件，可以更好地保護(hù)自己免受攻擊。

SQL注入

如果你的網(wǎng)站未能將數(shù)據(jù)安全地存儲(chǔ)在SQL數(shù)據(jù)庫(kù)中，則可能會(huì)面臨風(fēng)險(xiǎn)。如果未正確驗(yàn)證，惡意查詢(xún)將能夠使黑客具有查看權(quán)限，甚至可以操縱數(shù)據(jù)庫(kù)中的任何信息。

跨網(wǎng)站腳本（XSS）

XSS是指在網(wǎng)頁(yè)中插入一段惡意代碼（通常是JavaScript）的行為。與其他類(lèi)型的攻擊不同，此攻擊不會(huì)影響網(wǎng)站本身，但會(huì)影響該頁(yè)面的用戶(hù)（即你的客戶(hù)），使他們?cè)馐軔阂廛浖⒕W(wǎng)絡(luò)釣魚(yú)等攻擊。

Skimming（網(wǎng)絡(luò)竊聽(tīng)）

E-Skimming是指黑客將惡意代碼植入電商網(wǎng)站，并竊取信用卡數(shù)據(jù)或個(gè)人身份信息的行為。黑客可以通過(guò)網(wǎng)絡(luò)釣魚(yú)嘗試、暴力攻擊、XSS或第三方來(lái)訪問(wèn)你的網(wǎng)站，從而對(duì)客戶(hù)輸入到結(jié)帳頁(yè)面的付款信息進(jìn)行實(shí)時(shí)捕獲。

加強(qiáng)電商網(wǎng)站安全的做法

隨著網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)峻，不僅有關(guān)部門(mén)對(duì)電商網(wǎng)站合規(guī)性的要求越來(lái)越高，而且全球消費(fèi)者對(duì)個(gè)人數(shù)據(jù)和個(gè)人隱私的重視也日益增加。

（圖：全球各地區(qū)對(duì)網(wǎng)絡(luò)隱私的關(guān)注度的同比增長(zhǎng)率，排在前3位的國(guó)家/地區(qū)為：拉美地區(qū)、中東/非洲地區(qū)、金磚國(guó)家）

此外，用戶(hù)的支付信息幾乎成為大多數(shù)網(wǎng)絡(luò)攻擊的主要目標(biāo)，而對(duì)電商網(wǎng)站的攻擊比率也呈現(xiàn)上升趨勢(shì)。

作為賣(mài)家，如果你的電商網(wǎng)站的安全漏洞導(dǎo)致客戶(hù)數(shù)據(jù)丟失，你所要面臨的相關(guān)罰款以及對(duì)品牌聲譽(yù)的損害都將是慘痛的。

1、采用安全性強(qiáng)且獨(dú)特的密碼，并確保你的客戶(hù)也這樣做

超過(guò)80%的網(wǎng)絡(luò)攻擊歸咎于密碼安全性薄弱或密碼被盜，因此，你有必要確保你、你的員工和客戶(hù)都使用安全性強(qiáng)的密碼，特別注意：

·密碼至少包含8個(gè)字符，并且包含大小寫(xiě)字母、數(shù)字和符號(hào)。

·切忌共享密碼，每個(gè)用戶(hù)都應(yīng)該擁有自己的唯一的專(zhuān)用用戶(hù)名和密碼。

·切勿重復(fù)使用與其他電商網(wǎng)站相同的密碼。

·考慮使用密碼管理器。

·切勿公開(kāi)共享敏感信息，例如你的出生日期、社保號(hào)碼或任何其他可用于回答安全問(wèn)題的信息。

·請(qǐng)勿使用任何形式的默認(rèn)管理員名稱(chēng)。如果你使用過(guò)類(lèi)似“admin”的內(nèi)容，被黑客入侵成功的可能性也越大。

2、保護(hù)你的設(shè)備

無(wú)論你是使用家庭網(wǎng)絡(luò)還是專(zhuān)用網(wǎng)絡(luò)辦公，請(qǐng)確保你的連接設(shè)備具有防病毒軟件、防火墻等可以應(yīng)對(duì)網(wǎng)絡(luò)威脅的軟件工具。

3、避免陷入網(wǎng)絡(luò)釣魚(yú)陷阱

避免感染惡意軟件的有效方法之一是避免落入網(wǎng)絡(luò)釣魚(yú)的陷阱。除非你已驗(yàn)證過(guò)收件人的身份，否則切勿提供任何級(jí)別的個(gè)人信息。

切勿點(diǎn)擊電子郵件中的可疑鏈接，因?yàn)樗鼈兛赡軙?huì)將你帶到一個(gè)看起來(lái)與正規(guī)網(wǎng)站高度相似的登錄頁(yè)面以竊取你的信息。此外，切忌不要下載陌生的附件。

以下是幾種將網(wǎng)絡(luò)釣魚(yú)嘗試與合法電子郵件區(qū)分開(kāi)的方法：

·電子郵件的主題行或正文中明顯的拼寫(xiě)和語(yǔ)法錯(cuò)誤可能表明發(fā)件人可疑；

·仔細(xì)查看電子郵件發(fā)件人的域名，通?！案叻隆钡姆欠ㄓ蛎赡苤挥?個(gè)字母的差別（例如，BigCommerce.com可能變?yōu)锽gCommerce.com）；

·注意識(shí)別URL，同樣地也有許多“高仿”URL出現(xiàn)；

·可疑的電子郵件可能會(huì)要求你執(zhí)行諸如轉(zhuǎn)帳或授權(quán)付款之類(lèi)的事情，并要求你立即處理。

4、實(shí)施其他身份驗(yàn)證因素

雖然可能會(huì)增加一定的麻煩，但是使用兩步驗(yàn)證、兩要素身份驗(yàn)證或多要素身份驗(yàn)證可以進(jìn)一步確保你和授權(quán)用戶(hù)是唯一能夠登錄到你商店的人。

5、僅存儲(chǔ)所需的客戶(hù)數(shù)據(jù)

當(dāng)涉及到存儲(chǔ)數(shù)據(jù)時(shí)，建議你不要保留超出開(kāi)展業(yè)務(wù)所需的內(nèi)容。尤其是隨著越來(lái)越多的數(shù)據(jù)隱私法規(guī)的出臺(tái)，你更加需要重視客戶(hù)體驗(yàn)、業(yè)務(wù)便利性和安全性之間的平衡。

你可以通過(guò)隔離和分段網(wǎng)絡(luò)系統(tǒng)，將客戶(hù)的關(guān)鍵數(shù)據(jù)與其他信息分開(kāi)，防止黑客連續(xù)攻擊。部署防火墻并進(jìn)行審核，以確保你所有的安全措施都能夠按照預(yù)期的方式運(yùn)行。

6、確保你的網(wǎng)站始終升級(jí)到最新版本

如果你使用的是BigCommerce之類(lèi)的SaaS電商平臺(tái)，平臺(tái)將能夠自動(dòng)完成軟件更新。如果你使用的是其他電商解決方案，也請(qǐng)你密切關(guān)注軟件更新、錯(cuò)誤修復(fù)和漏洞補(bǔ)丁，將防病毒和反惡意軟件升級(jí)到最新版，并且開(kāi)啟防火墻。

7、切換到HTTPS

安全的HTTPS托管（需要SSL證書(shū)）將有助于保護(hù)你的網(wǎng)站，而且這也有利于SEO，因?yàn)楣雀枳匀凰阉髋琶麑?duì)HTTPS網(wǎng)站要更為友好。

8、備份你的數(shù)據(jù)

如果你的網(wǎng)站遭到破壞并失去對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限，則需要備份以幫助你盡快恢復(fù)業(yè)務(wù)并正常運(yùn)行。

9、定期檢查所有插件和第三方集成軟件

篩查你在商店中運(yùn)行的所有第三方解決方案，確保你知道它們的來(lái)源和作用，并評(píng)估第三方軟件的可信度。如果你不再使用某一款第三方軟件，請(qǐng)將其從商店中刪除。這樣做是為了在不影響業(yè)務(wù)效率的情況下，盡可能地減少有權(quán)訪問(wèn)你的客戶(hù)數(shù)據(jù)的參與方數(shù)量。

（編譯/雨果網(wǎng) 謝欣欣）

【特別聲明】未經(jīng)許可同意，任何個(gè)人或組織不得復(fù)制、轉(zhuǎn)載、或以其他方式使用本網(wǎng)站內(nèi)容。轉(zhuǎn)載請(qǐng)聯(lián)系：editor@cifnews.com