電子商務(wù)安全性不容小覷。重大數(shù)據(jù)泄露從根本上損害了人們對數(shù)字安全的信任。消費者習(xí)慣于通過熟悉的系統(tǒng)（PayPal、亞馬遜、谷歌、蘋果等）進(jìn)行支付，但更有說服力地將他們的信用卡詳細(xì)信息與不知名的公司進(jìn)行冒險。畢竟，他們知道什么是危險的。未能確保在線零售業(yè)務(wù)可能會直接影響銷售，或者更糟的是，會毀掉您的聲譽(yù)。一旦知道不能依靠企業(yè)來保證數(shù)據(jù)的安全，就沒有人愿意再次向他們購買。認(rèn)真對待保護(hù)您的在線業(yè)務(wù)。了解您需要了解的有關(guān)電子商務(wù)安全威脅和解決方案的基礎(chǔ)知識。

主要威脅：交易欺詐

每一秒都有大量的金錢在網(wǎng)上易手，盡管我們認(rèn)為技術(shù)已經(jīng)超越了對消費者造成危險的交易，但事實并非如此。付款欺詐有兩種主要形式。第一個是被盜的信用卡，其詳細(xì)信息用于進(jìn)行未經(jīng)授權(quán)的付款（即使付款被取消，購買的產(chǎn)品也會保留或出售）。第二個是不安全系統(tǒng)上的交易被中斷或被重定向。

在線買家現(xiàn)在可以訪問提供前所未有的財務(wù)便利的系統(tǒng)。銀行支持可通過實時聊天獲得，您甚至可以通過應(yīng)用程序取消付款。但這并不能完全防止這種類型的欺詐。原因很簡單：即使是我們當(dāng)中最勤奮的人，有時也會忘記檢查我們的銀行記錄，而網(wǎng)絡(luò)犯罪分子只需一次疏忽就可以進(jìn)行大量付款。

在線購物者現(xiàn)在意識到網(wǎng)站安全標(biāo)記的重要性，例如HTTPS 指示器。盡管如此，這些指標(biāo)通?？梢砸詫Υ蠖鄶?shù)人來說足夠令人信服的方式進(jìn)行欺騙。這種類型的偽造會使判斷網(wǎng)站何時提供安全服務(wù)變得非常棘手。消費者需要接受教育，并在網(wǎng)上提高警惕。

解決方案：PCI DSS 合規(guī)性

PCI DSS 標(biāo)準(zhǔn)?的?設(shè)立是為了顯著提高在線支付的安全水平。任何想要保護(hù)其交易（并在此過程中增強(qiáng)其信譽(yù)）的電子商務(wù)企業(yè)都應(yīng)該采取行動來滿足它。合規(guī)性仍然遠(yuǎn)未達(dá)到應(yīng)有的普遍程度。這令人沮喪，因為它不應(yīng)該成為個體零售商的問題，因為從本質(zhì)上講，這是一種好處。合規(guī)的賣家通過擺脫破壞性死胡同（一種關(guān)鍵的轉(zhuǎn)化優(yōu)化策略）并展示他們對買家安全的投資而更加突出。

主要威脅：直接站點攻擊

雖然網(wǎng)絡(luò)釣魚是一種被動方法，但電子商務(wù)網(wǎng)站有時會受到 DDoS（專用拒絕服務(wù)）活動形式的直接攻擊。它的工作原理是這樣的：那些想要圍攻商店的人會對許多支持互聯(lián)網(wǎng)的設(shè)備進(jìn)行編程，以幾乎不斷地嘗試使用商店網(wǎng)站。

這種精心策劃的攻擊將使商店的托管服務(wù)不堪重負(fù)，并阻止大多數(shù)（如果不是全部）常客加載網(wǎng)站。這主要是為了讓它保持忙碌，以至于無法專注于真正重要的訪問。這種攻擊類型還可以通過托管數(shù)據(jù)限額燒毀，給企業(yè)帶來其他代價高昂的問題。這些活動相對少見，但也不至于不構(gòu)成威脅。

DDoS 攻擊的最終目標(biāo)是什么？這取決于實際情況。有時會因為企業(yè)破壞而給商店帶來不便并損害其聲譽(yù)。更多的時候，DDoS 攻擊會伴隨著敲詐要求：支付一定的金額，攻擊將被禁用。

解決方案：主動保護(hù)

eStore 隨時可能受到攻擊，無論其基本安全級別如何，這種威脅都需要更強(qiáng)有力的措施，因此請使用DoS 保護(hù)服務(wù)。這個概念很簡單——傳入流量被監(jiān)控和解析，當(dāng)訪問請求被認(rèn)為具有欺詐性質(zhì)時，它們會被完全阻止。這種防御可以防止 DDoS 攻擊使站點慢下來，或者顯著影響其性能。

主要威脅：密碼攻擊

自從互聯(lián)網(wǎng)誕生之初，密碼策略就一直讓安全顧問感到沮喪，這一切都是由于保護(hù)和便利之間需要的令人惱火的平衡。如果您選擇長而復(fù)雜的密碼，您最終可能會忘記它們并失去所有訪問權(quán)限。創(chuàng)建易于記憶的密碼會使系統(tǒng)極易受到攻擊并容易受到攻擊。

發(fā)生此類攻擊有兩種主要方法。第一種是暴力破解，使用程序運行成千上萬個密碼，希望最終能正確使用。其次，可以合理地稱為?知情猜測：使用用戶生活中的信息片段，從社交媒體中收集到最有可能出現(xiàn)在其密碼中的單詞。

而且，如果發(fā)現(xiàn)了一個關(guān)鍵的管理員密碼，那么由此產(chǎn)生的訪問?可能會造成巨大?的破壞，因為它可能會在一段時間內(nèi)不會被注意到?？梢赃M(jìn)行重大更改，系統(tǒng)可以離線，數(shù)據(jù)可以被盜，資金可以轉(zhuǎn)移，所有這些對有權(quán)訪問的人來說風(fēng)險最小。這就像撬鎖闖入某人的房子——沒有明顯的損壞，但它發(fā)生在你應(yīng)該在家的時候。

解決方案：更強(qiáng)的密碼和多因素身份驗證

電子商務(wù)賣家如何應(yīng)對其內(nèi)部系統(tǒng)和客戶發(fā)現(xiàn)的密碼威脅？

他們可以實施兩種策略。首先，他們應(yīng)該使用并要求在內(nèi)部使用更復(fù)雜的密碼。它們不需要長得滑稽或笨拙，但不能像“1234”或“密碼”那么簡單。

其次，他們應(yīng)該開始對他們的管理員訪問（或?qū)蛻魩舻闹卮蟾模┦褂枚嘁蛩厣矸蒡炞C。此設(shè)置要求登錄用戶將其密碼訪問與另一種形式的身份驗證相結(jié)合，例如通過短信發(fā)送的身份驗證代碼。創(chuàng)建定期站點備份也是值得的?：這樣，在不太可能發(fā)生的情況下，有人確實獲得了未經(jīng)授權(quán)的訪問并進(jìn)行了徹底的更改，他們可以快速恢復(fù)到以前的備份。

主要威脅：社會工程

社會工程是一種通過社會層面的欺騙而不是直接?通過技術(shù)來獲取系統(tǒng)、金錢或資產(chǎn)的廣泛方法?。最常見的社會工程形式之一是網(wǎng)絡(luò)釣魚，其中包括在聯(lián)系某人時假裝是值得信賴的人，并利用這種信任從他們那里獲取一些東西。

在最近的過去，網(wǎng)絡(luò)釣魚最常通過電話、信件甚至上門拜訪發(fā)生。網(wǎng)絡(luò)釣魚攻擊的一個例子是打電話給某人并聲稱來自他們的銀行，說他們需要確認(rèn)信用卡詳細(xì)信息。當(dāng)在線購物和電子商務(wù)發(fā)展并變得越來越流行時，它變得更加復(fù)雜。

此時，網(wǎng)絡(luò)釣魚者可以了解購物者使用哪些零售商，并欺騙他們的電子郵件。帶有風(fēng)險的電子郵件，例如向鍵盤記錄器安裝程序發(fā)送欺詐性表格。他們還可以通過社交媒體冒充零售商，或者通過使用略有不同的 URL 并竊取數(shù)據(jù)來建立與合法網(wǎng)站非常相似的商店。這些網(wǎng)絡(luò)犯罪分子經(jīng)常使用拼寫錯誤并建立一個復(fù)制受信任零售商設(shè)計的商店，即復(fù)制亞馬遜的設(shè)計并將其放在網(wǎng)站上。

解決方案：更廣泛的教育

網(wǎng)絡(luò)釣魚很難預(yù)防?，因為它是一個廣泛的類別，而且它不涉及任何力量。它歸結(jié)為犯罪分子放下誘餌并希望人們接受它。最好的方法是讓零售商讓他們的客戶了解他們的經(jīng)營方式。他們應(yīng)該向他們的網(wǎng)站內(nèi)容添加提示并使用他們的一般營銷材料?？蛻魬?yīng)該知道，當(dāng)他們收到電子郵件時，他們知道如何識別它們是合法的?？蛻粜枰浪麄兛赡軙灰笫裁匆约坝肋h(yuǎn)不會被要求什么。零售商需要鼓勵他們的客戶在收到可疑電子郵件時與他們聯(lián)系以進(jìn)行確認(rèn)。

您應(yīng)該知道的其他電子商務(wù)威脅

對于從事日常貨幣交易的電子商務(wù)企業(yè)來說，安全性必須成為第一要務(wù)。需要實施強(qiáng)化安全措施以有效阻止威脅并保護(hù)交易。以下是電子商務(wù)網(wǎng)站面臨的其他常見威脅：

蠻力攻擊

蠻力攻擊針對在線商店的管理面板。為什么？他們想找出密碼并獲得訪問權(quán)限，攻擊的直接性使其暴力破解。在使用軟件連接到站點后，它使用代碼處理程序通過使用可以想象的所有可能組合來破解密碼。該解決方案很簡單，通過創(chuàng)建強(qiáng)大而復(fù)雜的密碼并定期更改密碼來保護(hù)您的系統(tǒng)。

機(jī)器人

機(jī)器人有好有壞。好的是那些爬網(wǎng)并確定如何在搜索引擎中對您的網(wǎng)站進(jìn)行排名的網(wǎng)站。機(jī)器人還可以抓取網(wǎng)站以獲取庫存信息和定價，并更改網(wǎng)站上的價格，凍結(jié)購物車中的熱門商品，從而損害網(wǎng)站的銷售和收入。解決方案是保護(hù)暴露的 API 和移動應(yīng)用程序，并定期檢查流量來源以尋找峰值，然后阻止這些托管服務(wù)提供商和代理服務(wù)。

惡意軟件

有不同類型的惡意軟件想要滲透后端以竊取敏感的站點數(shù)據(jù)和客戶信息。惡意軟件是那些使用惡意廣告、勒索軟件、跨站點腳本、SQL 注入、針對信用卡信息和個人數(shù)據(jù)的軟件。惡意 JavaScript 編碼是最常見的。使用 WooCommerce 和 Shopify 的 WordPress 網(wǎng)站經(jīng)常通過小部件和插件升級成為惡意軟件注入的目標(biāo)。解決方案是使用專業(yè)的防病毒和反惡意軟件，切換到 HTTPS，保護(hù)服務(wù)器和管理面板并使用 SSL 證書，同時使用多層安全性。

網(wǎng)絡(luò)釣魚

向您的公司或客戶接收虛假的“您必須采取行動”電子郵件是黑客使用的一種廣泛使用的策略和詭計形式。它確實需要跟進(jìn)并無意中提供登錄信息或個人身份信息。這里的解決方案是員工培訓(xùn)和教育消費者。

垃圾郵件

博客評論的聯(lián)系表格和文本框?qū)]件發(fā)送者開放。他們可以留下其他人可以點擊的受感染鏈接，從而破壞您的聲譽(yù)和網(wǎng)站安全。這些網(wǎng)絡(luò)攻擊也稱為 SQL 注入，希望通過查詢表單訪問數(shù)據(jù)庫。這些鏈接靜靜地等待收件箱中的員工，也會影響網(wǎng)站速度。解決方案是員工培訓(xùn)和下載垃圾郵件過濾工具和殺毒軟件，定期更新。

電子商務(wù)安全最佳實踐

現(xiàn)在您已經(jīng)熟悉了電子商務(wù)安全問題，以及它們對利潤和聲譽(yù)的影響。讓我們看看有助于將威脅防護(hù)策略付諸行動的解決方案。

PCI合規(guī)性

PCI 安全標(biāo)準(zhǔn)委員會發(fā)布了一套關(guān)于如何保護(hù)電子商務(wù)網(wǎng)站的嚴(yán)格指南。它概述了應(yīng)使用哪種類型的網(wǎng)絡(luò)托管、支付處理級別所需的安全級別等，采用他們的指導(dǎo)方針以確保您的網(wǎng)站保持安全。

內(nèi)容分發(fā)網(wǎng)絡(luò)

內(nèi)容交付網(wǎng)絡(luò) (CDN) 是電子商務(wù)網(wǎng)站的另一層托管。他們通過將內(nèi)容存儲在位于全國各地的數(shù)據(jù)中心的服務(wù)器上來改進(jìn)流程，這些數(shù)據(jù)中心被稱為“存在點”。這些數(shù)據(jù)中心有自己的安全性，這意味著它增加了另一層安全性。

安全插件

安全插件對于維護(hù) WordPress 站點、確保插件的安全安裝以及保持站點前端的安全非常重要。他們防御站點 DDoS 攻擊、惡意軟件和黑客攻擊，在實時檢測到威脅時讓您了解情況。

備份數(shù)據(jù)

始終備份數(shù)據(jù)并定期執(zhí)行此操作。備份和恢復(fù)插件會有所幫助。盡管投資了許多級別的安全性，但沒有一個電子商務(wù)網(wǎng)站是不可穿透的。黑客有耐心和時間來尋找破解網(wǎng)站的新方法。備份數(shù)據(jù)非常重要，這樣企業(yè)可以在發(fā)生攻擊時快速恢復(fù)。

服務(wù)器安全

請務(wù)必使用您可以信任并具有頂級安全功能的成熟電子商務(wù)網(wǎng)絡(luò)托管公司。這應(yīng)該包括服務(wù)器端防火墻、CDN 或 SSL 證書以及共享服務(wù)器環(huán)境不與其他站點共享的專用托管計劃。確保他們遵循服務(wù)器安全最佳實踐。

支付網(wǎng)關(guān)安全

與網(wǎng)絡(luò)托管一樣重要的是，確保支付網(wǎng)關(guān)提供商非常重視安全性并確保與您的網(wǎng)站連接的所有第三方網(wǎng)站都優(yōu)先考慮安全性也是關(guān)鍵。

防病毒和反惡意軟件

始終使用防病毒和反惡意軟件維護(hù)和更新網(wǎng)絡(luò)的服務(wù)器和設(shè)備。

防火墻

網(wǎng)絡(luò)主機(jī)應(yīng)該有一個服務(wù)器防火墻，但也有一個專門用于您的網(wǎng)站和計算機(jī)的防火墻也很好。內(nèi)置防火墻有許多安全插件。

SSL 證書

電子商務(wù)網(wǎng)站必須具有 SSL 證書，因為它是 Google 標(biāo)準(zhǔn)。但它是免費的，而且是一種為現(xiàn)場交易添加更多加密和安全層的非常簡單的方法。

定期更新軟件

軟件僅在其最新版本中運行良好，因此如果在提供商建議時未更新，您的電子商務(wù)網(wǎng)站和業(yè)務(wù)將面臨風(fēng)險。安排更新并定期更新所有程序、軟件和插件。

電子商務(wù)安全：提前計劃以保持安全

我們所研究的電子商務(wù)安全的主要威脅不僅對零售商而且對客戶都具有潛在的破壞性。出于這個原因，必須采取適當(dāng)?shù)拇胧?，并制定?zhàn)略來解決這些問題。您根本無法對網(wǎng)站或客戶數(shù)據(jù)的保護(hù)感到隨意。

目標(biāo)應(yīng)該是為在線消費者提供一個安全的場所。通過保護(hù)它們，您也可以保護(hù)底線。除了我們在此處概述的電子商務(wù)安全威脅和解決方案之外，還應(yīng)定期進(jìn)行站點安全審計，以防患于未然。

養(yǎng)成向訪客提供明智的安全建議的習(xí)慣。投資于滿足 PCI DSS 標(biāo)準(zhǔn)以保護(hù)交易。設(shè)置高質(zhì)量的活動站點保護(hù)以抵御 DDoS 活動。最后，養(yǎng)成使用高質(zhì)量密碼的習(xí)慣，并配置多因素身份驗證，以防止由于關(guān)鍵密碼留在辦公室便利貼上而導(dǎo)致整個網(wǎng)站受到威脅。