電子商務(wù)安全性不容小覷。重大數(shù)據(jù)泄露從根本上損害了人們對(duì)數(shù)字安全的信任。消費(fèi)者習(xí)慣于通過(guò)熟悉的系統(tǒng)（PayPal、亞馬遜、谷歌、蘋(píng)果等）進(jìn)行支付，但更有說(shuō)服力地將他們的信用卡詳細(xì)信息與不知名的公司進(jìn)行冒險(xiǎn)。畢竟，他們知道什么是危險(xiǎn)的。未能確保在線零售業(yè)務(wù)可能會(huì)直接影響銷售，或者更糟的是，會(huì)毀掉您的聲譽(yù)。一旦知道不能依靠企業(yè)來(lái)保證數(shù)據(jù)的安全，就沒(méi)有人愿意再次向他們購(gòu)買(mǎi)。認(rèn)真對(duì)待保護(hù)您的在線業(yè)務(wù)。了解您需要了解的有關(guān)電子商務(wù)安全威脅和解決方案的基礎(chǔ)知識(shí)。

主要威脅：交易欺詐

每一秒都有大量的金錢(qián)在網(wǎng)上易手，盡管我們認(rèn)為技術(shù)已經(jīng)超越了對(duì)消費(fèi)者造成危險(xiǎn)的交易，但事實(shí)并非如此。付款欺詐有兩種主要形式。第一個(gè)是被盜的信用卡，其詳細(xì)信息用于進(jìn)行未經(jīng)授權(quán)的付款（即使付款被取消，購(gòu)買(mǎi)的產(chǎn)品也會(huì)保留或出售）。第二個(gè)是不安全系統(tǒng)上的交易被中斷或被重定向。

在線買(mǎi)家現(xiàn)在可以訪問(wèn)提供前所未有的財(cái)務(wù)便利的系統(tǒng)。銀行支持可通過(guò)實(shí)時(shí)聊天獲得，您甚至可以通過(guò)應(yīng)用程序取消付款。但這并不能完全防止這種類型的欺詐。原因很簡(jiǎn)單：即使是我們當(dāng)中最勤奮的人，有時(shí)也會(huì)忘記檢查我們的銀行記錄，而網(wǎng)絡(luò)犯罪分子只需一次疏忽就可以進(jìn)行大量付款。

在線購(gòu)物者現(xiàn)在意識(shí)到網(wǎng)站安全標(biāo)記的重要性，例如HTTPS 指示器。盡管如此，這些指標(biāo)通?？梢砸詫?duì)大多數(shù)人來(lái)說(shuō)足夠令人信服的方式進(jìn)行欺騙。這種類型的偽造會(huì)使判斷網(wǎng)站何時(shí)提供安全服務(wù)變得非常棘手。消費(fèi)者需要接受教育，并在網(wǎng)上提高警惕。

解決方案：PCI DSS 合規(guī)性

PCI DSS 標(biāo)準(zhǔn)?的?設(shè)立是為了顯著提高在線支付的安全水平。任何想要保護(hù)其交易（并在此過(guò)程中增強(qiáng)其信譽(yù)）的電子商務(wù)企業(yè)都應(yīng)該采取行動(dòng)來(lái)滿足它。合規(guī)性仍然遠(yuǎn)未達(dá)到應(yīng)有的普遍程度。這令人沮喪，因?yàn)樗粦?yīng)該成為個(gè)體零售商的問(wèn)題，因?yàn)閺谋举|(zhì)上講，這是一種好處。合規(guī)的賣(mài)家通過(guò)擺脫破壞性死胡同（一種關(guān)鍵的轉(zhuǎn)化優(yōu)化策略）并展示他們對(duì)買(mǎi)家安全的投資而更加突出。

主要威脅：直接站點(diǎn)攻擊

雖然網(wǎng)絡(luò)釣魚(yú)是一種被動(dòng)方法，但電子商務(wù)網(wǎng)站有時(shí)會(huì)受到 DDoS（專用拒絕服務(wù)）活動(dòng)形式的直接攻擊。它的工作原理是這樣的：那些想要圍攻商店的人會(huì)對(duì)許多支持互聯(lián)網(wǎng)的設(shè)備進(jìn)行編程，以幾乎不斷地嘗試使用商店網(wǎng)站。

這種精心策劃的攻擊將使商店的托管服務(wù)不堪重負(fù)，并阻止大多數(shù)（如果不是全部）?？图虞d網(wǎng)站。這主要是為了讓它保持忙碌，以至于無(wú)法專注于真正重要的訪問(wèn)。這種攻擊類型還可以通過(guò)托管數(shù)據(jù)限額燒毀，給企業(yè)帶來(lái)其他代價(jià)高昂的問(wèn)題。這些活動(dòng)相對(duì)少見(jiàn)，但也不至于不構(gòu)成威脅。

DDoS 攻擊的最終目標(biāo)是什么？這取決于實(shí)際情況。有時(shí)會(huì)因?yàn)槠髽I(yè)破壞而給商店帶來(lái)不便并損害其聲譽(yù)。更多的時(shí)候，DDoS 攻擊會(huì)伴隨著敲詐要求：支付一定的金額，攻擊將被禁用。

解決方案：主動(dòng)保護(hù)

eStore 隨時(shí)可能受到攻擊，無(wú)論其基本安全級(jí)別如何，這種威脅都需要更強(qiáng)有力的措施，因此請(qǐng)使用DoS 保護(hù)服務(wù)。這個(gè)概念很簡(jiǎn)單——傳入流量被監(jiān)控和解析，當(dāng)訪問(wèn)請(qǐng)求被認(rèn)為具有欺詐性質(zhì)時(shí)，它們會(huì)被完全阻止。這種防御可以防止 DDoS 攻擊使站點(diǎn)慢下來(lái)，或者顯著影響其性能。

主要威脅：密碼攻擊

自從互聯(lián)網(wǎng)誕生之初，密碼策略就一直讓安全顧問(wèn)感到沮喪，這一切都是由于保護(hù)和便利之間需要的令人惱火的平衡。如果您選擇長(zhǎng)而復(fù)雜的密碼，您最終可能會(huì)忘記它們并失去所有訪問(wèn)權(quán)限。創(chuàng)建易于記憶的密碼會(huì)使系統(tǒng)極易受到攻擊并容易受到攻擊。

發(fā)生此類攻擊有兩種主要方法。第一種是暴力破解，使用程序運(yùn)行成千上萬(wàn)個(gè)密碼，希望最終能正確使用。其次，可以合理地稱為?知情猜測(cè)：使用用戶生活中的信息片段，從社交媒體中收集到最有可能出現(xiàn)在其密碼中的單詞。

而且，如果發(fā)現(xiàn)了一個(gè)關(guān)鍵的管理員密碼，那么由此產(chǎn)生的訪問(wèn)?可能會(huì)造成巨大?的破壞，因?yàn)樗赡軙?huì)在一段時(shí)間內(nèi)不會(huì)被注意到。可以進(jìn)行重大更改，系統(tǒng)可以離線，數(shù)據(jù)可以被盜，資金可以轉(zhuǎn)移，所有這些對(duì)有權(quán)訪問(wèn)的人來(lái)說(shuō)風(fēng)險(xiǎn)最小。這就像撬鎖闖入某人的房子——沒(méi)有明顯的損壞，但它發(fā)生在你應(yīng)該在家的時(shí)候。

解決方案：更強(qiáng)的密碼和多因素身份驗(yàn)證

電子商務(wù)賣(mài)家如何應(yīng)對(duì)其內(nèi)部系統(tǒng)和客戶發(fā)現(xiàn)的密碼威脅？

他們可以實(shí)施兩種策略。首先，他們應(yīng)該使用并要求在內(nèi)部使用更復(fù)雜的密碼。它們不需要長(zhǎng)得滑稽或笨拙，但不能像“1234”或“密碼”那么簡(jiǎn)單。

其次，他們應(yīng)該開(kāi)始對(duì)他們的管理員訪問(wèn)（或?qū)蛻魩舻闹卮蟾模┦褂枚嘁蛩厣矸蒡?yàn)證。此設(shè)置要求登錄用戶將其密碼訪問(wèn)與另一種形式的身份驗(yàn)證相結(jié)合，例如通過(guò)短信發(fā)送的身份驗(yàn)證代碼。創(chuàng)建定期站點(diǎn)備份也是值得的?：這樣，在不太可能發(fā)生的情況下，有人確實(shí)獲得了未經(jīng)授權(quán)的訪問(wèn)并進(jìn)行了徹底的更改，他們可以快速恢復(fù)到以前的備份。

主要威脅：社會(huì)工程

社會(huì)工程是一種通過(guò)社會(huì)層面的欺騙而不是直接?通過(guò)技術(shù)來(lái)獲取系統(tǒng)、金錢(qián)或資產(chǎn)的廣泛方法?。最常見(jiàn)的社會(huì)工程形式之一是網(wǎng)絡(luò)釣魚(yú)，其中包括在聯(lián)系某人時(shí)假裝是值得信賴的人，并利用這種信任從他們那里獲取一些東西。

在最近的過(guò)去，網(wǎng)絡(luò)釣魚(yú)最常通過(guò)電話、信件甚至上門(mén)拜訪發(fā)生。網(wǎng)絡(luò)釣魚(yú)攻擊的一個(gè)例子是打電話給某人并聲稱來(lái)自他們的銀行，說(shuō)他們需要確認(rèn)信用卡詳細(xì)信息。當(dāng)在線購(gòu)物和電子商務(wù)發(fā)展并變得越來(lái)越流行時(shí)，它變得更加復(fù)雜。

此時(shí)，網(wǎng)絡(luò)釣魚(yú)者可以了解購(gòu)物者使用哪些零售商，并欺騙他們的電子郵件。帶有風(fēng)險(xiǎn)的電子郵件，例如向鍵盤(pán)記錄器安裝程序發(fā)送欺詐性表格。他們還可以通過(guò)社交媒體冒充零售商，或者通過(guò)使用略有不同的 URL 并竊取數(shù)據(jù)來(lái)建立與合法網(wǎng)站非常相似的商店。這些網(wǎng)絡(luò)犯罪分子經(jīng)常使用拼寫(xiě)錯(cuò)誤并建立一個(gè)復(fù)制受信任零售商設(shè)計(jì)的商店，即復(fù)制亞馬遜的設(shè)計(jì)并將其放在網(wǎng)站上。

解決方案：更廣泛的教育

網(wǎng)絡(luò)釣魚(yú)很難預(yù)防?，因?yàn)樗且粋€(gè)廣泛的類別，而且它不涉及任何力量。它歸結(jié)為犯罪分子放下誘餌并希望人們接受它。最好的方法是讓零售商讓他們的客戶了解他們的經(jīng)營(yíng)方式。他們應(yīng)該向他們的網(wǎng)站內(nèi)容添加提示并使用他們的一般營(yíng)銷材料?？蛻魬?yīng)該知道，當(dāng)他們收到電子郵件時(shí)，他們知道如何識(shí)別它們是合法的?？蛻粜枰浪麄兛赡軙?huì)被要求什么以及永遠(yuǎn)不會(huì)被要求什么。零售商需要鼓勵(lì)他們的客戶在收到可疑電子郵件時(shí)與他們聯(lián)系以進(jìn)行確認(rèn)。

您應(yīng)該知道的其他電子商務(wù)威脅

對(duì)于從事日常貨幣交易的電子商務(wù)企業(yè)來(lái)說(shuō)，安全性必須成為第一要?jiǎng)?wù)。需要實(shí)施強(qiáng)化安全措施以有效阻止威脅并保護(hù)交易。以下是電子商務(wù)網(wǎng)站面臨的其他常見(jiàn)威脅：

蠻力攻擊

蠻力攻擊針對(duì)在線商店的管理面板。為什么？他們想找出密碼并獲得訪問(wèn)權(quán)限，攻擊的直接性使其暴力破解。在使用軟件連接到站點(diǎn)后，它使用代碼處理程序通過(guò)使用可以想象的所有可能組合來(lái)破解密碼。該解決方案很簡(jiǎn)單，通過(guò)創(chuàng)建強(qiáng)大而復(fù)雜的密碼并定期更改密碼來(lái)保護(hù)您的系統(tǒng)。

機(jī)器人

機(jī)器人有好有壞。好的是那些爬網(wǎng)并確定如何在搜索引擎中對(duì)您的網(wǎng)站進(jìn)行排名的網(wǎng)站。機(jī)器人還可以抓取網(wǎng)站以獲取庫(kù)存信息和定價(jià)，并更改網(wǎng)站上的價(jià)格，凍結(jié)購(gòu)物車中的熱門(mén)商品，從而損害網(wǎng)站的銷售和收入。解決方案是保護(hù)暴露的 API 和移動(dòng)應(yīng)用程序，并定期檢查流量來(lái)源以尋找峰值，然后阻止這些托管服務(wù)提供商和代理服務(wù)。

惡意軟件

有不同類型的惡意軟件想要滲透后端以竊取敏感的站點(diǎn)數(shù)據(jù)和客戶信息。惡意軟件是那些使用惡意廣告、勒索軟件、跨站點(diǎn)腳本、SQL 注入、針對(duì)信用卡信息和個(gè)人數(shù)據(jù)的軟件。惡意 JavaScript 編碼是最常見(jiàn)的。使用 WooCommerce 和 Shopify 的 WordPress 網(wǎng)站經(jīng)常通過(guò)小部件和插件升級(jí)成為惡意軟件注入的目標(biāo)。解決方案是使用專業(yè)的防病毒和反惡意軟件，切換到 HTTPS，保護(hù)服務(wù)器和管理面板并使用 SSL 證書(shū)，同時(shí)使用多層安全性。

網(wǎng)絡(luò)釣魚(yú)

向您的公司或客戶接收虛假的“您必須采取行動(dòng)”電子郵件是黑客使用的一種廣泛使用的策略和詭計(jì)形式。它確實(shí)需要跟進(jìn)并無(wú)意中提供登錄信息或個(gè)人身份信息。這里的解決方案是員工培訓(xùn)和教育消費(fèi)者。

垃圾郵件

博客評(píng)論的聯(lián)系表格和文本框?qū)]件發(fā)送者開(kāi)放。他們可以留下其他人可以點(diǎn)擊的受感染鏈接，從而破壞您的聲譽(yù)和網(wǎng)站安全。這些網(wǎng)絡(luò)攻擊也稱為 SQL 注入，希望通過(guò)查詢表單訪問(wèn)數(shù)據(jù)庫(kù)。這些鏈接靜靜地等待收件箱中的員工，也會(huì)影響網(wǎng)站速度。解決方案是員工培訓(xùn)和下載垃圾郵件過(guò)濾工具和殺毒軟件，定期更新。

電子商務(wù)安全最佳實(shí)踐

現(xiàn)在您已經(jīng)熟悉了電子商務(wù)安全問(wèn)題，以及它們對(duì)利潤(rùn)和聲譽(yù)的影響。讓我們看看有助于將威脅防護(hù)策略付諸行動(dòng)的解決方案。

PCI合規(guī)性

PCI 安全標(biāo)準(zhǔn)委員會(huì)發(fā)布了一套關(guān)于如何保護(hù)電子商務(wù)網(wǎng)站的嚴(yán)格指南。它概述了應(yīng)使用哪種類型的網(wǎng)絡(luò)托管、支付處理級(jí)別所需的安全級(jí)別等，采用他們的指導(dǎo)方針以確保您的網(wǎng)站保持安全。

內(nèi)容分發(fā)網(wǎng)絡(luò)

內(nèi)容交付網(wǎng)絡(luò) (CDN) 是電子商務(wù)網(wǎng)站的另一層托管。他們通過(guò)將內(nèi)容存儲(chǔ)在位于全國(guó)各地的數(shù)據(jù)中心的服務(wù)器上來(lái)改進(jìn)流程，這些數(shù)據(jù)中心被稱為“存在點(diǎn)”。這些數(shù)據(jù)中心有自己的安全性，這意味著它增加了另一層安全性。

安全插件

安全插件對(duì)于維護(hù) WordPress 站點(diǎn)、確保插件的安全安裝以及保持站點(diǎn)前端的安全非常重要。他們防御站點(diǎn) DDoS 攻擊、惡意軟件和黑客攻擊，在實(shí)時(shí)檢測(cè)到威脅時(shí)讓您了解情況。

備份數(shù)據(jù)

始終備份數(shù)據(jù)并定期執(zhí)行此操作。備份和恢復(fù)插件會(huì)有所幫助。盡管投資了許多級(jí)別的安全性，但沒(méi)有一個(gè)電子商務(wù)網(wǎng)站是不可穿透的。黑客有耐心和時(shí)間來(lái)尋找破解網(wǎng)站的新方法。備份數(shù)據(jù)非常重要，這樣企業(yè)可以在發(fā)生攻擊時(shí)快速恢復(fù)。

服務(wù)器安全

請(qǐng)務(wù)必使用您可以信任并具有頂級(jí)安全功能的成熟電子商務(wù)網(wǎng)絡(luò)托管公司。這應(yīng)該包括服務(wù)器端防火墻、CDN 或 SSL 證書(shū)以及共享服務(wù)器環(huán)境不與其他站點(diǎn)共享的專用托管計(jì)劃。確保他們遵循服務(wù)器安全最佳實(shí)踐。

支付網(wǎng)關(guān)安全

與網(wǎng)絡(luò)托管一樣重要的是，確保支付網(wǎng)關(guān)提供商非常重視安全性并確保與您的網(wǎng)站連接的所有第三方網(wǎng)站都優(yōu)先考慮安全性也是關(guān)鍵。

防病毒和反惡意軟件

始終使用防病毒和反惡意軟件維護(hù)和更新網(wǎng)絡(luò)的服務(wù)器和設(shè)備。

防火墻

網(wǎng)絡(luò)主機(jī)應(yīng)該有一個(gè)服務(wù)器防火墻，但也有一個(gè)專門(mén)用于您的網(wǎng)站和計(jì)算機(jī)的防火墻也很好。內(nèi)置防火墻有許多安全插件。

SSL 證書(shū)

電子商務(wù)網(wǎng)站必須具有 SSL 證書(shū)，因?yàn)樗?Google 標(biāo)準(zhǔn)。但它是免費(fèi)的，而且是一種為現(xiàn)場(chǎng)交易添加更多加密和安全層的非常簡(jiǎn)單的方法。

定期更新軟件

軟件僅在其最新版本中運(yùn)行良好，因此如果在提供商建議時(shí)未更新，您的電子商務(wù)網(wǎng)站和業(yè)務(wù)將面臨風(fēng)險(xiǎn)。安排更新并定期更新所有程序、軟件和插件。

電子商務(wù)安全：提前計(jì)劃以保持安全

我們所研究的電子商務(wù)安全的主要威脅不僅對(duì)零售商而且對(duì)客戶都具有潛在的破壞性。出于這個(gè)原因，必須采取適當(dāng)?shù)拇胧⒅贫☉?zhàn)略來(lái)解決這些問(wèn)題。您根本無(wú)法對(duì)網(wǎng)站或客戶數(shù)據(jù)的保護(hù)感到隨意。

目標(biāo)應(yīng)該是為在線消費(fèi)者提供一個(gè)安全的場(chǎng)所。通過(guò)保護(hù)它們，您也可以保護(hù)底線。除了我們?cè)诖颂幐攀龅碾娮由虅?wù)安全威脅和解決方案之外，還應(yīng)定期進(jìn)行站點(diǎn)安全審計(jì)，以防患于未然。

養(yǎng)成向訪客提供明智的安全建議的習(xí)慣。投資于滿足 PCI DSS 標(biāo)準(zhǔn)以保護(hù)交易。設(shè)置高質(zhì)量的活動(dòng)站點(diǎn)保護(hù)以抵御 DDoS 活動(dòng)。最后，養(yǎng)成使用高質(zhì)量密碼的習(xí)慣，并配置多因素身份驗(yàn)證，以防止由于關(guān)鍵密碼留在辦公室便利貼上而導(dǎo)致整個(gè)網(wǎng)站受到威脅。