電子商務安全性不容小覷。重大數(shù)據(jù)泄露從根本上損害了人們對數(shù)字安全的信任。消費者習慣于通過熟悉的系統(tǒng)（PayPal、亞馬遜、谷歌、蘋果等）進行支付，但更有說服力地將他們的信用卡詳細信息與不知名的公司進行冒險。畢竟，他們知道什么是危險的。未能確保在線零售業(yè)務可能會直接影響銷售，或者更糟的是，會毀掉您的聲譽。一旦知道不能依靠企業(yè)來保證數(shù)據(jù)的安全，就沒有人愿意再次向他們購買。認真對待保護您的在線業(yè)務。了解您需要了解的有關電子商務安全威脅和解決方案的基礎知識。

主要威脅：交易欺詐

每一秒都有大量的金錢在網(wǎng)上易手，盡管我們認為技術已經(jīng)超越了對消費者造成危險的交易，但事實并非如此。付款欺詐有兩種主要形式。第一個是被盜的信用卡，其詳細信息用于進行未經(jīng)授權的付款（即使付款被取消，購買的產(chǎn)品也會保留或出售）。第二個是不安全系統(tǒng)上的交易被中斷或被重定向。

在線買家現(xiàn)在可以訪問提供前所未有的財務便利的系統(tǒng)。銀行支持可通過實時聊天獲得，您甚至可以通過應用程序取消付款。但這并不能完全防止這種類型的欺詐。原因很簡單：即使是我們當中最勤奮的人，有時也會忘記檢查我們的銀行記錄，而網(wǎng)絡犯罪分子只需一次疏忽就可以進行大量付款。

在線購物者現(xiàn)在意識到網(wǎng)站安全標記的重要性，例如HTTPS 指示器。盡管如此，這些指標通?？梢砸詫Υ蠖鄶?shù)人來說足夠令人信服的方式進行欺騙。這種類型的偽造會使判斷網(wǎng)站何時提供安全服務變得非常棘手。消費者需要接受教育，并在網(wǎng)上提高警惕。

解決方案：PCI DSS 合規(guī)性

PCI DSS 標準?的?設立是為了顯著提高在線支付的安全水平。任何想要保護其交易（并在此過程中增強其信譽）的電子商務企業(yè)都應該采取行動來滿足它。合規(guī)性仍然遠未達到應有的普遍程度。這令人沮喪，因為它不應該成為個體零售商的問題，因為從本質上講，這是一種好處。合規(guī)的賣家通過擺脫破壞性死胡同（一種關鍵的轉化優(yōu)化策略）并展示他們對買家安全的投資而更加突出。

主要威脅：直接站點攻擊

雖然網(wǎng)絡釣魚是一種被動方法，但電子商務網(wǎng)站有時會受到 DDoS（專用拒絕服務）活動形式的直接攻擊。它的工作原理是這樣的：那些想要圍攻商店的人會對許多支持互聯(lián)網(wǎng)的設備進行編程，以幾乎不斷地嘗試使用商店網(wǎng)站。

這種精心策劃的攻擊將使商店的托管服務不堪重負，并阻止大多數(shù)（如果不是全部）?？图虞d網(wǎng)站。這主要是為了讓它保持忙碌，以至于無法專注于真正重要的訪問。這種攻擊類型還可以通過托管數(shù)據(jù)限額燒毀，給企業(yè)帶來其他代價高昂的問題。這些活動相對少見，但也不至于不構成威脅。

DDoS 攻擊的最終目標是什么？這取決于實際情況。有時會因為企業(yè)破壞而給商店帶來不便并損害其聲譽。更多的時候，DDoS 攻擊會伴隨著敲詐要求：支付一定的金額，攻擊將被禁用。

解決方案：主動保護

eStore 隨時可能受到攻擊，無論其基本安全級別如何，這種威脅都需要更強有力的措施，因此請使用DoS 保護服務。這個概念很簡單——傳入流量被監(jiān)控和解析，當訪問請求被認為具有欺詐性質時，它們會被完全阻止。這種防御可以防止 DDoS 攻擊使站點慢下來，或者顯著影響其性能。

主要威脅：密碼攻擊

自從互聯(lián)網(wǎng)誕生之初，密碼策略就一直讓安全顧問感到沮喪，這一切都是由于保護和便利之間需要的令人惱火的平衡。如果您選擇長而復雜的密碼，您最終可能會忘記它們并失去所有訪問權限。創(chuàng)建易于記憶的密碼會使系統(tǒng)極易受到攻擊并容易受到攻擊。

發(fā)生此類攻擊有兩種主要方法。第一種是暴力破解，使用程序運行成千上萬個密碼，希望最終能正確使用。其次，可以合理地稱為?知情猜測：使用用戶生活中的信息片段，從社交媒體中收集到最有可能出現(xiàn)在其密碼中的單詞。

而且，如果發(fā)現(xiàn)了一個關鍵的管理員密碼，那么由此產(chǎn)生的訪問?可能會造成巨大?的破壞，因為它可能會在一段時間內(nèi)不會被注意到?？梢赃M行重大更改，系統(tǒng)可以離線，數(shù)據(jù)可以被盜，資金可以轉移，所有這些對有權訪問的人來說風險最小。這就像撬鎖闖入某人的房子——沒有明顯的損壞，但它發(fā)生在你應該在家的時候。

解決方案：更強的密碼和多因素身份驗證

電子商務賣家如何應對其內(nèi)部系統(tǒng)和客戶發(fā)現(xiàn)的密碼威脅？

他們可以實施兩種策略。首先，他們應該使用并要求在內(nèi)部使用更復雜的密碼。它們不需要長得滑稽或笨拙，但不能像“1234”或“密碼”那么簡單。

其次，他們應該開始對他們的管理員訪問（或對客戶帳戶的重大更改）使用多因素身份驗證。此設置要求登錄用戶將其密碼訪問與另一種形式的身份驗證相結合，例如通過短信發(fā)送的身份驗證代碼。創(chuàng)建定期站點備份也是值得的?：這樣，在不太可能發(fā)生的情況下，有人確實獲得了未經(jīng)授權的訪問并進行了徹底的更改，他們可以快速恢復到以前的備份。

主要威脅：社會工程

社會工程是一種通過社會層面的欺騙而不是直接?通過技術來獲取系統(tǒng)、金錢或資產(chǎn)的廣泛方法?。最常見的社會工程形式之一是網(wǎng)絡釣魚，其中包括在聯(lián)系某人時假裝是值得信賴的人，并利用這種信任從他們那里獲取一些東西。

在最近的過去，網(wǎng)絡釣魚最常通過電話、信件甚至上門拜訪發(fā)生。網(wǎng)絡釣魚攻擊的一個例子是打電話給某人并聲稱來自他們的銀行，說他們需要確認信用卡詳細信息。當在線購物和電子商務發(fā)展并變得越來越流行時，它變得更加復雜。

此時，網(wǎng)絡釣魚者可以了解購物者使用哪些零售商，并欺騙他們的電子郵件。帶有風險的電子郵件，例如向鍵盤記錄器安裝程序發(fā)送欺詐性表格。他們還可以通過社交媒體冒充零售商，或者通過使用略有不同的 URL 并竊取數(shù)據(jù)來建立與合法網(wǎng)站非常相似的商店。這些網(wǎng)絡犯罪分子經(jīng)常使用拼寫錯誤并建立一個復制受信任零售商設計的商店，即復制亞馬遜的設計并將其放在網(wǎng)站上。

解決方案：更廣泛的教育

網(wǎng)絡釣魚很難預防?，因為它是一個廣泛的類別，而且它不涉及任何力量。它歸結為犯罪分子放下誘餌并希望人們接受它。最好的方法是讓零售商讓他們的客戶了解他們的經(jīng)營方式。他們應該向他們的網(wǎng)站內(nèi)容添加提示并使用他們的一般營銷材料?？蛻魬撝溃斔麄兪盏诫娮余]件時，他們知道如何識別它們是合法的。客戶需要知道他們可能會被要求什么以及永遠不會被要求什么。零售商需要鼓勵他們的客戶在收到可疑電子郵件時與他們聯(lián)系以進行確認。

您應該知道的其他電子商務威脅

對于從事日常貨幣交易的電子商務企業(yè)來說，安全性必須成為第一要務。需要實施強化安全措施以有效阻止威脅并保護交易。以下是電子商務網(wǎng)站面臨的其他常見威脅：

蠻力攻擊

蠻力攻擊針對在線商店的管理面板。為什么？他們想找出密碼并獲得訪問權限，攻擊的直接性使其暴力破解。在使用軟件連接到站點后，它使用代碼處理程序通過使用可以想象的所有可能組合來破解密碼。該解決方案很簡單，通過創(chuàng)建強大而復雜的密碼并定期更改密碼來保護您的系統(tǒng)。

機器人

機器人有好有壞。好的是那些爬網(wǎng)并確定如何在搜索引擎中對您的網(wǎng)站進行排名的網(wǎng)站。機器人還可以抓取網(wǎng)站以獲取庫存信息和定價，并更改網(wǎng)站上的價格，凍結購物車中的熱門商品，從而損害網(wǎng)站的銷售和收入。解決方案是保護暴露的 API 和移動應用程序，并定期檢查流量來源以尋找峰值，然后阻止這些托管服務提供商和代理服務。

惡意軟件

有不同類型的惡意軟件想要滲透后端以竊取敏感的站點數(shù)據(jù)和客戶信息。惡意軟件是那些使用惡意廣告、勒索軟件、跨站點腳本、SQL 注入、針對信用卡信息和個人數(shù)據(jù)的軟件。惡意 JavaScript 編碼是最常見的。使用 WooCommerce 和 Shopify 的 WordPress 網(wǎng)站經(jīng)常通過小部件和插件升級成為惡意軟件注入的目標。解決方案是使用專業(yè)的防病毒和反惡意軟件，切換到 HTTPS，保護服務器和管理面板并使用 SSL 證書，同時使用多層安全性。

網(wǎng)絡釣魚

向您的公司或客戶接收虛假的“您必須采取行動”電子郵件是黑客使用的一種廣泛使用的策略和詭計形式。它確實需要跟進并無意中提供登錄信息或個人身份信息。這里的解決方案是員工培訓和教育消費者。

垃圾郵件

博客評論的聯(lián)系表格和文本框對垃圾郵件發(fā)送者開放。他們可以留下其他人可以點擊的受感染鏈接，從而破壞您的聲譽和網(wǎng)站安全。這些網(wǎng)絡攻擊也稱為 SQL 注入，希望通過查詢表單訪問數(shù)據(jù)庫。這些鏈接靜靜地等待收件箱中的員工，也會影響網(wǎng)站速度。解決方案是員工培訓和下載垃圾郵件過濾工具和殺毒軟件，定期更新。

電子商務安全最佳實踐

現(xiàn)在您已經(jīng)熟悉了電子商務安全問題，以及它們對利潤和聲譽的影響。讓我們看看有助于將威脅防護策略付諸行動的解決方案。

PCI合規(guī)性

PCI 安全標準委員會發(fā)布了一套關于如何保護電子商務網(wǎng)站的嚴格指南。它概述了應使用哪種類型的網(wǎng)絡托管、支付處理級別所需的安全級別等，采用他們的指導方針以確保您的網(wǎng)站保持安全。

內(nèi)容分發(fā)網(wǎng)絡

內(nèi)容交付網(wǎng)絡 (CDN) 是電子商務網(wǎng)站的另一層托管。他們通過將內(nèi)容存儲在位于全國各地的數(shù)據(jù)中心的服務器上來改進流程，這些數(shù)據(jù)中心被稱為“存在點”。這些數(shù)據(jù)中心有自己的安全性，這意味著它增加了另一層安全性。

安全插件

安全插件對于維護 WordPress 站點、確保插件的安全安裝以及保持站點前端的安全非常重要。他們防御站點 DDoS 攻擊、惡意軟件和黑客攻擊，在實時檢測到威脅時讓您了解情況。

備份數(shù)據(jù)

始終備份數(shù)據(jù)并定期執(zhí)行此操作。備份和恢復插件會有所幫助。盡管投資了許多級別的安全性，但沒有一個電子商務網(wǎng)站是不可穿透的。黑客有耐心和時間來尋找破解網(wǎng)站的新方法。備份數(shù)據(jù)非常重要，這樣企業(yè)可以在發(fā)生攻擊時快速恢復。

服務器安全

請務必使用您可以信任并具有頂級安全功能的成熟電子商務網(wǎng)絡托管公司。這應該包括服務器端防火墻、CDN 或 SSL 證書以及共享服務器環(huán)境不與其他站點共享的專用托管計劃。確保他們遵循服務器安全最佳實踐。

支付網(wǎng)關安全

與網(wǎng)絡托管一樣重要的是，確保支付網(wǎng)關提供商非常重視安全性并確保與您的網(wǎng)站連接的所有第三方網(wǎng)站都優(yōu)先考慮安全性也是關鍵。

防病毒和反惡意軟件

始終使用防病毒和反惡意軟件維護和更新網(wǎng)絡的服務器和設備。

防火墻

網(wǎng)絡主機應該有一個服務器防火墻，但也有一個專門用于您的網(wǎng)站和計算機的防火墻也很好。內(nèi)置防火墻有許多安全插件。

SSL 證書

電子商務網(wǎng)站必須具有 SSL 證書，因為它是 Google 標準。但它是免費的，而且是一種為現(xiàn)場交易添加更多加密和安全層的非常簡單的方法。

定期更新軟件

軟件僅在其最新版本中運行良好，因此如果在提供商建議時未更新，您的電子商務網(wǎng)站和業(yè)務將面臨風險。安排更新并定期更新所有程序、軟件和插件。

電子商務安全：提前計劃以保持安全

我們所研究的電子商務安全的主要威脅不僅對零售商而且對客戶都具有潛在的破壞性。出于這個原因，必須采取適當?shù)拇胧⒅贫☉?zhàn)略來解決這些問題。您根本無法對網(wǎng)站或客戶數(shù)據(jù)的保護感到隨意。

目標應該是為在線消費者提供一個安全的場所。通過保護它們，您也可以保護底線。除了我們在此處概述的電子商務安全威脅和解決方案之外，還應定期進行站點安全審計，以防患于未然。

養(yǎng)成向訪客提供明智的安全建議的習慣。投資于滿足 PCI DSS 標準以保護交易。設置高質量的活動站點保護以抵御 DDoS 活動。最后，養(yǎng)成使用高質量密碼的習慣，并配置多因素身份驗證，以防止由于關鍵密碼留在辦公室便利貼上而導致整個網(wǎng)站受到威脅。