B2B 联盟营销网站的安全提示

已发表: 2021-07-10

经营附属业务,想知道您是否采取了所有必要的步骤来保护您的网站? 这 12 条提示将确保您不遗余力。

许多在线企业家和附属网站所有者都沉浸在疯狂的设计、产品准备、支付网关和营销策略中。 在喧嚣中,安全往往被忽视,即使是任何附属业务的核心和基础。

目录

  • 为什么网络安全对附属网站至关重要?
  • 安全的用户登录和加密连接
  • SSL证书
  • 选择一个安全的 Web 主机
  • PCI合规性
  • 使用 Web 服务器防火墙 (WAF)
  • DDoS 防御
  • 保持严格的密码策略
  • 多重身份验证
  • 频繁备份
  • 保护您的服务器
  • 安全补丁
  • 结论

实际上,根据 CSBC(美国国会小企业委员会)的数据,71% 的在线安全漏洞针对的是员工人数少于 100 人的公司。

所以,如果你认为黑客只针对大玩家,那你就错了。 你,是的——你,明天可能成为他们的目标。

如果您不注意网站的保护,就会将整个公司置于危险之中。 这相当于在不安装任何锁或监控摄像头的情况下开设实体店。

许多在线商店都选择快速简单的前门锁,别无所求。 很长一段时间,他们甚至没有更新或升级他们的安全性。 但是,如果您的商店遭到入侵或交易出错怎么办? 事实上,这些是你应该注意的事情,当然应该计划。

为什么网络安全对附属网站至关重要?

每 39 秒,预计互联网上的某个地方就会发生一次网络攻击。

这是相当频繁的!

此外,大约 68% 的商业领袖同意他们的网络安全威胁正在上升。 当恶意软件感染在线网站时,它可以轻松收集数据甚至接管网站的所有计算资源。

换句话说,攻击者可以从当前和新站点用户那里收集机密数据。 除了窃取他们的数据之外,自动化黑客工具还可以感染最终用户的计算机。 由于每天都会产生数以千计的新恶意软件,因此您需要时刻保持安全,以确保您的网站和客户始终安全。

Web 攻击也会产生重大的经济影响。 执行站点清理比保持在线资产安全的成本要高得多。

由于大量用户信息处于危险之中,公司可能会因网络攻击而损失大量资金。

实际上,现在估计数据泄露成本平均超过公司收入的 20%。 预计到 2021 年,网络犯罪将使全球经济损失 6 万亿美元。即使您设法限制网络攻击造成的财务和技术损害,您的客户群也可能会受到影响。

完全扭转数据泄露平均需要 314 天。 您的网站在此期间的大部分时间都将无法使用,您的客户忠诚度和声誉将因此受到影响。 由于这个过程,一些公司失去了高达 20% 的客户群。

另请阅读:用于增加销售额的顶级联盟营销技巧。

由于所有这些重要因素都处于危险之中,因此密切关注并保护您的会员或商业网站至关重要。

考虑一下我们建议的这个 Web 保护清单,以确保您的业务顺利运行。

以下是包含在您的保护清单中的基本项目:

安全的用户登录和加密连接

安全连接对于涉及注册或交易的网站尤其重要。

使用 SSL 证书(我们将在稍后讨论)是一个很好的起点。 您可以通过实施安全超文本传输​​协议 (HTTPS) 来提高站点的安全性。

保护需要身份验证的页面也应该是重中之重。 包括一个强密码标准,允许用户使用受保护的凭据进行注册。

在您的网站上存储密码时,使用良好的加密也很重要。 在数据泄露的情况下,诸如“bcrpyt”之类的技术使恢复密码变得困难。

此外,如果您的网站允许自动注册,请仅使用特殊的、不可预测的用户名。 其他重要因素包括 OAuth 实施和密码重置令牌。

所有这些都有助于您网站的“通用”安全层。 现在让我们更深入地了解细节。

SSL证书

您假设您的客户将通过您的服务器购买。 为确保这一点,任何电子商务或附属网站都必须进行安全套接字层 (SSL) 验证。

此 SSL 证书可确保您的服务器和 Web 用户之间的连接是安全和加密的。 因此,您不会泄露任何人的个人信息,例如信用卡号和登录凭据。 例如,3dcart 为您免费提供“共享 SSL”,但提供您自己的 SSL 可为您的客户提供更好的客户服务体验。

SSL 证书通常用作 Web 主机提供的关键服务之一。

SSL 证书可以免费获得,最高可达 XXX 美元,具体取决于您的需要。

选择一个安全的 Web 主机

您的网络主机是保护您的附属网站安全的第一道防线。 如果托管服务提供商不使用强大的服务器和适当管理的集群,则几乎不可能实现稳定的业务。

人在数据中心机房修复服务器网络。

选择网络主机时,请根据他们处理服务器的程度以及他们拥有哪些资源来保护您的网站来比较您的选择。 虽然几乎不可能提供全额保险,但可靠的供应商通常会提供以下服务:

  • 确保您的操作系统 (OS) 和应用程序的稳定性。
  • 备份和恢复可靠的功能
  • 具有行业标准正常运行时间的稳定套接字层 (SSL) 协议
  • 恶意软件检测和删除
  • 缓解分布式拒绝服务 (DDoS) 攻击
  • 防火墙的实施
  • 搜索恶意软件的能力。

电子商务网站所有者必须接受网络主机遵守支付卡行业 (PCI) 安全要求。 这可以保护客户在所有形式的卡支付中的详细信息。 如果您的主机没有明确支持它,则它必须与其他符合 PCI 标准的购物车 API 提供商兼容。

PCI合规性

所有在线零售商都必须采用信用卡行业 (PCI) 指南和法规。 附属网站是一个灰色地带,因为它们只是“重定向”访问者,并且购买并不直接在其网站上进行。

除了附属“网关”网站,每个商家都必须遵守 PCI DSS,即数据安全标准,该标准是为接受信用卡和借记卡支付交易的所有形式的商家开发的。

由于您将使用客户的支付信息等机密数据,因此 PCI 强制执行对于确保为持卡人提供最大程度的保护并获得客户的信任至关重要。

使用 Web 服务器防火墙 (WAF)

WAF 是一种方便的工具,可以为您和您的企业节省大量时间和麻烦。 它对于检测和预防攻击非常有用,尤其是那些由自动化机器人执行的攻击。

防火墙的主要功能是跟踪超文本传输​​协议 (HTTP) 流量,它比 HTTPS 流量更容易受到安全威胁。

防火墙可有效缓解 SQL 注入、跨站点脚本 (XSS)、跨站点伪造和其他典型攻击。

当您部署 WAF 时,它会在您的 Web 和 Internet 之间创建一个障碍。 在到达服务器之前,任何 Web 客户端都必须通过它。 一组预定义的规则可过滤恶意流量并保护网站免受漏洞影响。

这是 Scaleo 的Anti Fraud Logic所基于的原则之一。 得益于十年的数据收集,Scaleo 可以实时检测恶意或低质量流量。 在此处阅读有关此适用于附属网站的强大算法的更多信息。

在构建防火墙时,需要关注三个方面。

外部防火墙:通常,这种形式的防火墙是路由器或服务器的一部分。 它位于您公司的网络之外,可防止所有类型的黑客尝试访问您的设备。 如果您不确定是否有,请联系您的网络主机并询问他们。

内部防火墙:这种防火墙是建立在您的网络上的软件。 尽管它与外部防火墙的用途相似,因为它可以检查病毒、恶意软件和其他网络恶意软件,但它也可以设计为对网络进行分段,以便病毒或黑客尝试并在感染整个设备之前隔离它们。

要记住的第三点是在家工作并连接到公司网络的员工。 设备的整体保护取决于其最薄弱的环节。 在这种情况下,为防火墙安全付费是值得的。

防火墙与您的网站/网络的托管配置密不可分。 每月多花几美元,您就可以考虑放弃共享主机,转而使用更安全的东西,例如专用服务器或虚拟专用服务器,这使您对复杂的安全配置拥有更大的权力。

DDoS 防御

DDoS 是 Distributed Denial of Service 的缩写,这是您不想在电子商务网站附近看到的东西。 简而言之,它指的是对您的基础架构的攻击,阻止 Web 用户访问或使用您的功能。 它剥夺了他们的任何服务。

因此,您必须确保您的商店受到充分的 DDoS 保护。

如果您不确定如何保护您的网站免受 DDoS 攻击,请咨询您的托管服务提供商。

保持严格的密码策略

以下是一些统计数据,可以帮助您理解为什么小型企业可能会遇到网络安全问题,我在本文开头提到过。

  • 根据 2016 年 Verizon 的一项调查,63% 的数据泄露是由于密码错误、丢失或被盗造成的。 这是个问题。
  • 根据 Ponemon Institute 的一项调查,拥有密码策略的企业中有 65% 没有解决这个问题。 这是一个更大的问题。

我们从哪里开始?

是的,如果您要求他们构建比“12345”更复杂的密码并定期更改密码,工作人员会尖叫。 然而,冒着听起来像是破纪录的风险,你更关心轻微的工人烦恼还是敌意的网络接管?

这意味着您必须拥有:

  • 每 60 到 90 天更新一次您的密码。
  • 密码长度必须至少为 8 个字符,但最好更长。
  • 必须包含大小写字母、数字和特殊字符。

回到之前的数字,如果您在制定好的密码策略时遇到了麻烦,请不要成为不遵守它的 65% 的人之一。 这太荒谬了。

密码管理器:如果我们不在这部分中包含密码管理器,我们就会大意。 这些应用程序可作为已安装的软件、云服务甚至物理计算机使用,可帮助您创建和检索复杂的密码。 它的作用正如其名:它管理您的密码,而且似乎我们大多数人可能会从这方面的帮助中受益。

多重身份验证

近年来,多因素身份验证 (MFA) 已成为那些担心其网络安全性的人们关注的亮点。 是的,这有点麻烦,但它实际上是一种保护登录过程的故障安全方法。 确切的方法有多种变化,但以下是一家公司的登录方式:

  • 用户通常通过在系统提示中输入密码来输入密码。
  • 创建第二个一次性密码并将其发送到用户的手机。
  • 用户被引导到最终登录屏幕,在那里他或她从他们的计算机输入代码。
  • 与网络的连接被授予。
图片来源:nist.gov

另一种合并 MFA 的简单方法是使用员工的手机号码作为第二个密码。 假设黑客极不可能同时访问第一个用户名和手机号码。 这种额外的安全层在大多数系统上相对容易提供,并显着增强了密码安全性。

这方面的大部分基础工作都是由谷歌完成的,谷歌最近结束了长达一年的时间,在此期间,其 85,000 名用户中没有一个人的 Gmail 帐户遭到入侵。 他们通过使用 Titan(一种插入 USB 端口的物理安全密钥)实现了这一点。 这意味着,即使使用用户名和密码,黑客也无法进一步访问该帐户,除非他们可以物理访问密钥。

频繁备份

假设到目前为止您已同意遵循我们的每条建议。 您现在可以松一口气了,知道您公司的网络是安全的。

为什么不坐下来,站起来,享受您的高端安全措施?

还没有。

尽管您和您的全体员工尽了最大努力,但黑客可能会潜入并造成干扰的风险始终存在。 如前所述,这些人是一群致力于犯罪行为的聪明人。 在内部,他们可以做任何事情,从记录密码击键到使用您的资源发起全面的机器人攻击以清除您的服务器。

那时,您会希望可以在黑客介入之前将设备恢复到先前的时间点。 自从发生火灾和洪水以来,您一直在将所有家庭照片备份到云端,甚至将另一份副本存储在外部物理驱动器中,对吗?

考虑与您的业务相同。

备份您的文件、电子表格、数据库、财务报表、人力资源报告和应收/应付账款(如果您还没有的话)。 更不用说您的电子邮件列表了!

随着云存储服务变得越来越容易访问,没有理由不加入一个强大的备份计划,让您在网络中断时轻松地将您的设备恢复到运行状态(除非您喜欢重新创建任何您从内存中使用的文件)。

保护您的服务器

网站数据库是黑客可以轻松操纵的另一个安全漏洞。 通常,您需要在 Web 应用程序的服务器上存储大量信息(关于您的公司和客户)。 但是,请确保您只保存您实际需要的信息。

谨慎处理个人数据,例如信用卡号、电子邮件地址和其他识别信息。 如果管理不善,可能会很昂贵。 作为一般规则,尝试加密所有识别用户的数据。

轻松加密,例如 Amazon 的 AWS Aurora,是一种可以考虑的低成本替代方案。 这有效地保护了磁盘文件。 类似地,您可能希望编译用于存储客户端数据的所有资源的列表。 可能包括数据库、文档管理系统、GitHub、Dropbox 和其他资源。

如果您或您的公司受《通用数据保护条例》(GDPR) 的约束,则您应该留出时间和金钱来完全理解并遵守其要求。 请记住,在 2019 年,谷歌因此损失了高达 5700 万美元。

安全补丁

最后,不要忘记安全补丁。 重要的是,在没有先为您使用的软件或操作系统下载安全补丁的情况下,您甚至永远不要考虑启动您的在线业务。 您必须特别注意频繁更新 WordPress、Joomla 和其他极易受到攻击的 Web 应用程序。 这些 CMS 位于黑客的最爱列表中,因此永远不要让您的博客使用过时的插件、主题或 WP 版本运行。

结论

以与保险箱精品店的栏杆或金属门、门闩和其他锁具、警报系统、监控摄像头和密码保险库相同的方式分层安全措施。

单一的防御形式是不够的。 您可以从防火墙开始,然后转向安全的联系表单、受保护的密码等。 这样,您将阻止网络犯罪分子闯入您的系统并破坏您的数字商店和公司。

根据经验,安全层越多越好。

每家企业要想在所有在线平台上盈利,一流的安全性是必须考虑的重要因素。

让我们再看一下您需要牢记的要点,以保护您的会员网站或会员网络:

  • 选择一个安全的虚拟主机
  • 将 SSL 证书添加到您的域
  • 使用Scaleo 的反欺诈逻辑以获得最大的安全性
  • 采用反恶意软件、防火墙和服务器端安全措施
  • 维护:不要忘记经常备份您的数据库并经常更改密码
  • 确保您的付款符合 PCI 标准
  • 尽可能添加多因素身份验证

这些基本的安全元素对于每个商业网站、附属机构或电子商务都是必不可少的。 但是,您的保护并不止于此。 是的,您应该进行额外的研究,特别是如果您拥有一家中型或大型在线公司。 永远不要让您的系统或客户的安全处于危险之中。