WooCommerce サイトの 5 つの主要なセキュリティ プロトコル
WooCommerce サイトには Web セキュリティの観点から確かに特有のニーズがあり、電子商取引が世界中で増加するにつれて、詐欺やセキュリティ侵害のリスクも増加しています。
オンライン セキュリティは、レストランの健康検査の評価と同じように基本的な要件であり、オンライン ストアで問題が発生すると、Web 訪問者の信頼を損なう可能性があります。
セキュリティに関して 100% の保証はありませんが、これらの主要なプロトコルを実装することで訪問者とビジネスを保護できます。
1. サーバーレベルのセキュリティ対策の実施
Web サイトのセキュリティに関しては、ホスティング サーバーが防御の最前線となります。 WordPress サイトに最高のセキュリティ プラグインと対策を講じていたとしても、ホスティング レベルでの侵害が発生すると、それらのツールは役に立たなくなります。
ホスティング オプションを評価するときは、より専用の環境が、サーバー上の別のサイトがあなたのサイトを侵害するリスクが少ないことを意味することを考慮してください。 WooCommerce サイトを低予算で、セキュリティが最小限に抑えられた共有ホスティング環境に配置する場合は、細心の注意を払ってください。
ディスク書き込み保護や制限など、サーバーレベルでセキュリティ対策が講じられている、高品質の WordPress ホスティング オプションを探してください。 ディスク書き込み保護とは、ホスティング サーバーがディスクに書き込むことができるプロセスを制限し、ハッカーがテーマやプラグインの脆弱性を悪用することを困難にすることを意味します。同様に、ディスク書き込み制限は、ディスクへの書き込み試行がログに記録されることを意味し、悪意のあるアクティビティの発見に役立ちます。
現在ではSSL 証明書はすべてのサイトのベスト プラクティスですが、WooCommerce サイトでは PCI セキュリティ標準の要件となっています。したがって、必ずホスティング会社で SSL 証明書を構成 (および更新) してください。
最後に、ホスティング サーバーと Web サイトは定期的に最新の PHP バージョンに更新する必要があります。古いバージョンの PHP には、パッチが適用されていないセキュリティ上の脆弱性が存在することがよくあります。 WordPress とプラグインをアップグレードするのと同じように、セキュリティとパフォーマンスの両方を確保するために、Web サイトとサーバーは最新の PHP を実行する必要があります。 WordPress は、WordPress サイトの健全性チェックに古い PHP バージョンを記載することで、Web サイト所有者にこれらの更新を常に把握するよう奨励し始めています。
2. プラグインとセキュリティのアップデートを常に把握する
プラグインを定期的に更新し、WordPress コアリリースを常に最新の状態に保つことは、最も重要なセキュリティ手順の 1 つです。ハッキングされたサイトの一般的な感染源は、古いプラグインまたはテーマの脆弱性です。 2019 年に Sucuri は、ハッキングされたサイトの 56% が感染時に古いものであったと報告しました。
WooCommerce サイトの場合、WooCommerce の最新アップデートにはセキュリティ パッチやメンテナンス修正が含まれることが多いため、常に最新のアップデートを把握することが重要です。たとえば、WooCommerce 4.6.2 アップデートは 2020 年 11 月にリリースされ、ダッシュボードでこの設定がオフになっている場合でも匿名ユーザーがチェックアウト中にアカウントを作成できるようにするバグの修正が含まれていました。 WooCommerce は、サイト所有者にこのアップデートを直ちに実装するよう推奨しました。このような種類の更新が遅れると、電子商取引サイトがそのようなセキュリティ リスクにさらされる可能性があります。
サイト所有者の中には、プラグインの更新によってサイトに障害が発生したり、WooCommerce のメンテナンスの問題が発生したりすることを恐れて、プラグインの更新を延期する場合があります。このため、すべてのプラグインの更新は、ライブ サイトに実装する前に、まずステージング領域または運用環境で実行することをお勧めします。
プラグインを積極的にメンテナンスしている場合でも、インストールされているプラグインの 1 つが開発者によって放棄される可能性があります。 WordPress は、セキュリティとパフォーマンスのリスクを引き起こす可能性があるため、この種のプラグインをリポジトリから積極的に削除します。
ただし、WordPress リポジトリには 50,000 を超えるプラグインがあり、多数の WooCommerce 拡張機能があるため、これらの削除を把握するのは困難な場合があります。無料または有料の WordFence プラグインは優れたリソースであり、インストールすると、サイトにインストールされているプラグインが削除され、セキュリティ リスクとなる場合に、WordFence から通知が送信されます。
3. セキュリティ監視を設定する
ホスティング レベルのセキュリティと定期的なメンテナンスによりハッカーの侵入の機会は減りますが、それでもすべての基盤をカバーできるわけではありません。残念ながら、常に新たな脅威が迫っており、その中には WordPress や WooCommerce サイトに対する自動攻撃もあります。これらを自分で 24 時間 365 日ブロックすることは不可能です。セキュリティ監視ツールのおかげで、その必要はありません。
WooCommerce サイトに年中無休のセキュリティ監視を設定して、サイトへのマルウェアや侵害を検出することを検討してください。 WordFence プラグインの無料バージョンとプレミアム バージョン、および Sucuri の有料サービスはどちらも WordPress サイトで人気の選択肢です。これらのソリューションはマルウェア スキャナーを提供し、不審なアクティビティをチームに警告します。有料サービスにはマルウェアの自動削除も含まれており、セキュリティ上の問題が発生した場合にサイトを迅速にクリーンアップするのに役立ちます。
もう 1 つのセキュリティ対策として、WordPress 管理者アカウントの数を最小限に抑えることが最善です。アカウントを数か月ごとに確認し、サイトにアクセスできなくなった元従業員や古いベンダーを積極的に削除します。
ダウンタイムが売上に影響を与える可能性がある電子商取引サイトの場合は、Cloudflare や Sucuri などのサービスを介したウェブ アプリケーション ファイアウォール (WAF) によるセキュリティの追加を検討することもできます。これにより、悪意のあるボット トラフィックや、不正なリクエストを大量に送信してサーバーや Web サイトをダウンさせることを目的とした DDoS 攻撃からサイトを保護できます。
4. PCI-DSS準拠と不正行為対策
以前のセキュリティ プロトコルは情報サイトにも実装できますが、この対策は特に電子商取引サイトに適用できます。
クレジット カード取引を処理するすべての Web サイトは、PCI-DSS (Payment Card Industry Data Security Standard) に準拠する必要があります。これらの世界標準は、クレジット カード詐欺を減らすために確立されました。
これらの要件を満たすための最良の方法の 1 つは、安全な支払いゲートウェイを使用することです。 Stripe、PayPal、および Authorize.Net はすべて人気のあるオプションです。 WooCommerce は、サイト内にクレジット カードの詳細を決して保存しないことで、これらの標準もサポートしています。独自の電子商取引サイトを設定している場合は、サイト内にクレジット カード情報を保存する基本フォームを決して設定しないようにしてください。代わりに、最高の WooCommerce ゲートウェイ プラグインの 1 つを使用する方が安全な選択です。
残念ながら、これらの標準に従い、安全な支払いゲートウェイを使用している場合でも、オンライン ストアは電子商取引詐欺によって悪影響を受ける可能性があります。ユーザーが電子商取引サイトで盗まれたクレジット カード アカウントをテストしているのをよく見かけます。 WooCommerce Anti-Fraud 拡張機能は、不正な取引を検出するための優れたリソースです。このプラグインは各トランザクションにリスク スコアを付け、疑わしいトランザクションを自動的にキャンセルまたは一時停止するように構成できます。
最後に、サイト上で偽のアカウントやゲスト注文を作成する可能性のある自動ボットからサイトを保護することが重要です。最善の防御策は、Recaptcha for WooCommerce 拡張機能を使用して、すべての WooCommerce チェックアウト フォームに Google recaptcha を設定することです。
5. 毎日のデータベースバックアップの取得
この最後のセキュリティ プロトコルはセーフティ ネットです。これまでの手順はすべてセキュリティ侵害を回避するのに役立ちますが、最悪のシナリオが発生してサイトがハッキングされた場合は、WordPress サイトとデータベースのバックアップを作成しておくと救世主になります。
サイトがハッキングされた場合、通常はクリーンアップ プロセスを実行し、マルウェアと感染したファイルをすべて削除します。悲しいことに、サイトがひどくハッキングされ、その過程で重要な情報やファイルが失われるケースがあります。このシナリオでは、サイトのクリーンなバックアップを作成することが重要です。これは、サイト全体を再構築する必要がないことを意味します。
サーバー レベルでサイトの毎日の自動バックアップを提供するホスティング環境があります。このオプションがない場合は、WordPress プラグインを利用して、毎日または毎週サイトの自動バックアップを作成することもできます。または、WooCommerce をバックアップする方法に関するこのガイドに従って、e コマース サイトが安全であることを確認してください。
ソリューションに応じて、ファイルの保存期間に関する設定に注意してください。これらのバックアップ ファイルは通常、非常に大きくなります。バックアップがサイト レベルまたはサーバー レベルで保存されている場合、サイトのデータベース サイズが増大し、ホスティング コストの増加につながる可能性があります。これを軽減する 1 つの方法は、チェックポイントを設定し、古いバックアップが一定期間のみ保存されるようにすることです。
ただし、WooCommerce サイトのバックアップを自動的に復元する場合は、バックアップの作成以降に受信したトランザクションが上書きされるため、注意してください。セキュリティ上の問題が発生した場合、熟練した Web 開発チームがファイルを適切に使用できるようにします。