如何保护您的电子商务网站: 6个基本步骤

中小型企业 (smb) 在创建有利可图的电子商务网站和接受付款时，有丰富的解决方案可供选择。电子商务网站的主要优势包括能够向国际买家提供24/7访问，并实现快速安全的在线销售。对于国家小型企业周 (NSBW)，我们将探讨一些方法，使您可以快速有效地保护电子商务网站并保护客户的数据。只需要五个简单的步骤。

然而，在我们开始之前，先了解一下背景。在线购物为中小型企业提供了巨大的收入潜力，因为它们比以往任何时候都更容易通过使用当前的电子商务工具和技术与大型组织直接竞争。根据研究公司Statista的数据，今年大约有2.7亿名美国人将进行在线购买，总共花费5480亿美元。

但是，所有这些钱并没有无形地易手。电子商务网站本质上是推广公司品牌和产品的门户，也是获取客户反馈的渠道。电子商务软件解决方案，如编辑选择Shopify和pinnaclesart，提供全面的功能，让您的在线虚拟产品快速运行。但它们也是贪婪的数据收集引擎。产品描述、交易数据、客户互动: 这一切都触及你的电子商务引擎和你的网站。因此，保护这些数据需要成为首要考虑因素。

大型在线电子零售商和店面享受拥有自己的内部IT安全提供商或顾问的奢侈。对于中小企业或初创公司在有限的预算下引导其业务的情况可能并非如此。使他们缺乏资源更加痛苦的是走向自动化的新恶意软件趋势。通过自动化其威胁软件，黑客可以针对大量的公司和电子商务目标，而不是一次攻击一个。这意味着SMB空间现在对于犯罪分子来说是一个丰富的机会领域，因为它包含了大量的有价值的数据，当进行汇总查看时，这些数据通常没有像大型组织的存储那样受到保护。这就是为什么最近的研究，如Verizon的2019数据泄露调查报告，发现发生泄露的中小企业数量明显增加的原因。

其他研究也同意。根据2018 LexisNexis真实欺诈成本报告，基于200风险和欺诈高管，中小企业2018年平均每月报告249次欺诈尝试，比一年前的225次上升了11%。此外，67次尝试成功，而182次尝试被阻止。

因此，维护客户的数据安全不仅是维护信任的关键，也是网站排名机构、合作伙伴、产品供应商等积极感知的关键。让我们看一下保护您的电子商务网站的五个步骤。

第一步: 推广好密码hygene

虽然密码正在经历来自面部识别和多因素身份验证 (MFA) 等技术的竞争，但它们仍然是大多数软件的标准访问密钥。我们需要登录的每个服务或网站的密码，因此，对于许多用户来说，对于多个服务使用相同的密码似乎更容易。这种方法的问题在于，一旦黑客使用了重用的用户名和密码，它们就可以应用于各种服务，从而导致广泛的欺诈行为。

Akamai Technologies安全策略高级总监patrick Sullivan解释说: “即使您的电子商务网站具有完美的安全性，您最薄弱的环节也可能是您的客户。”“总的来说，人类的证书卫生状况往往很差，所以他们很有可能在其他网站重复使用这些相同的证书，而他们重复使用这些证书的网站中有一个很有可能被违反了。”

有各种各样的密码管理器可以消除不得不记住几十个不同网站和服务的密码的痛苦。尽管管理多个密码越来越具有挑战性，但有一些很棒的技巧可以帮助您召回在线查找的安全密码。

电子商务网站管理者应该要求用户和客户使用复杂的密码和双因素身份验证 (2FA)。这可以确保用户不会重新刷新可能受到威胁的凭据，并且在确保请求访问的人是他们所说的那个人方面有很大帮助。如果您真的想全面管理组织的身份验证技术，请检查身份管理系统，该系统可以跨多个服务和软件平台管理该功能。

如果你现在坚持使用密码，那么请记住，密码应该需要最少数量的字符 (至少6个，最好是8到10个)，并使用数字和符号。强制用户定期更改密码也是可取的。

步骤2: 使用HTTpS

超文本传输协议安全 (HTTpS) 是通过internet进行安全通信的在线协议，也是帮助您的电子商务网站免受欺诈的最简单方法之一。HTTpS网站由浏览器地址栏上的封闭绿色锁定图标指定，因为它们已通过认证，因此被视为真实且安全。这意味着该网站确实是它所声称的那样，而不是一个伪造的网站，该网站被放置在网上以欺骗用户，以便坏人可以获取访问凭据，信用卡数据等。

要启用HTTpS，中小企业需要获取安全套接字层 (SSL) 证书。接收SSL证书是第一步，现在需要在您的电子商务解决方案中仔细实施。本SSL证书购买者指南详细介绍了此过程。虽然大多数电子商务网站主机都有SSL证书出售，但与第三方货比三家是值得的，因为一些供应商提供了更好的价格和额外的安全功能。

使用HTTpS的优势超出了安全性和可信赖性。Google为安全的HTTpS网站提供了更高的搜索排名，从而吸引了更多的访问者。相反，Google还将未加密的网站标记为 “不安全”，这使它们显得粗略且不安全。如今，没有几种更快的方法可以让潜在客户通过您的网站。

许多精明的在线购物者会回避被认为不安全或没有 “HTTpS” 名称的网站。根据消费者信用报告公司Experian的2018全球欺诈和身份报告，27% 的在线购物者由于缺乏可见的安全性而放弃了交易。

HTTpS现在在美国政府网站上强制执行，这可能意味着它也是电子商务网站的标准要求只是时间问题。对于没有HTTpS认证的现有电子商务网站来说，如果它不是最初内置的，那么添加该功能是一个挑战。从零开始规划其电子商务网站的中小型企业具有在考虑HTTpS安全性的情况下设计其解决方案的优势。但是，即使你在事后面临实施HTTpS的困难，请记住，按照你的条件，现在开始这样的迁移要比让它成为事实上的标准甚至法律，然后在别人的时间表上被迫迁移要好得多。

步骤3: 选择安全的电子商务平台

通常选择电子商务平台是因为它们的店面建造便利性、设计范围和功能，但安全功能也需要放在首位。寻找经过验证的电子商务解决方案，为卖家和买家提供加密的支付网关、SSL证书和可靠的身份验证协议。

“好消息是，基于云的安全平台确实使小型和 [中型] 公司更容易获得安全性。您可以从这些工具中获得更好的自动化的一些好处，”Sullivan说。“您可以从某些机器学习中受益，并且某些基于云的平台已经建立了精选的规则集。看看基于云的安全选项，特别是那些内置了智能的选项。“

Sullivan建议考虑电子商务平台的长期可行性，并考虑添加更新和安全补丁的频率，以确保服务的长期安全性。他还表示，中小企业应考虑可扩展的电子商务平台，这些平台可以发展并满足企业的未来需求。“考虑一下您引入电子商务平台的该软件的持续生命周期，” Sullivan补充说。

步骤4: 不存储敏感用户数据

客户的个人数据和隐私至关重要，我们看到苹果 (Apple) 和谷歌 (Google) 等大型科技公司围绕保持用户数据隐私和安全的重点展开了集会。消费者隐私在电子商务中更为关键。企业需要客户数据来改善其通信和产品供应，并使退货变得容易。危险在于网站黑客，网络钓鱼和其他网络攻击针对此用户数据。

第一个规则是只收集对完成交易有用的数据。企业应该避免收集比绝对必要的更多的客户数据的诱惑。这避免了给您的客户带来不便，也避免了在泄露或黑客攻击中丢失这些数据的可能性。公司必须写给客户的最令人尴尬的电子邮件是那些解释说他们已经丢失了用户的关键个人和财务信息的电子邮件。

上述规则专门适用于客户信用卡信息。无需将它们存储在在线服务器上，这可能违反了支付卡行业数据安全标准 (pCI DSS)，该标准用于在支付卡行业中实施消费者数据保护。

网络犯罪分子和黑客无法窃取不存在的内容，因此应确保用户的宝贵个人和财务信息的安全，并远离在线服务器。如果您必须存储某些数据，请确保将其保护在安全的在线存储存储库中，该存储库在保护信息安全方面遵守最佳实践。这应该包括严格的访问控制，定期审核，最重要的是，总数据加密。

步骤5: 使用您自己的网站监视器

虽然大多数电子商务网站托管服务将为客户提供某种监控工具集，作为基本软件包的一部分，但没有理由忽略更强大的第三方网站监控工具。您想要研究这些选项，因为LogicMonitor和New Relic提供的工具具有更深层次的管理功能，这些功能不仅可以帮助您的网站更可靠地运行，而且可以更安全地运行。

构建自己的仪表板并利用应用程序运行状况监控和性能基准测试等功能的能力肯定会让您的网站保持平稳运行，特别是如果您可以使用这些工具经常提供的移动客户端从任何地方监控它。但是，即使您不是IT专业人员，也可以使用更深层的功能，例如针对任何功能修改的强大审计跟踪或代码级别的根本原因分析引擎，可以帮助业务运营商以及IT和安全专业人员在发生安全问题时或甚至在有机会发生之前追踪安全问题。任何使网站成为企业的人都应至少调查此类工具，并确定其功能是否可以使网站及其数据更加安全。如果可以的话，那么它们中的大多数都足够便宜，以至于投资本质上是轻而易举的。

步骤6: 保持以安全为中心的心态

电子商务安全绝不是一劳永逸的交易。威胁和黑客方法以惊人的速度发展，保持意识和以安全为中心的心态是必要的预防方法。一旦中小企业电子商务网站的安全性受到损害，通常为时已晚。在这种情况下，企业所能做的一切都是昂贵且令人尴尬的损害控制。

Akamai的Sullivan说: “现在，您必须手动与客户合作，并且可能损害了客户体验。”“您必须重置他们的帐户并处理欺诈性购买。从人类的角度来看，这是非常昂贵的，因为你需要有人和他们一起工作来解决这个问题。这就是欺诈的直接成本。”

如今，大多数黑客和网站漏洞甚至都不是由人类完成的。根据Sullivan和上述Verizon报告等报告，自主计算机程序或 “机器人” 应对当前造成的许多损害负责。沙利文说: “多达30% 的网站流量是机器人在探测漏洞。”“2018年六个多月，零售部门发生了100亿多次僵尸网络攻击。大多数是机器人，他们试图找到在某个地方重复使用用户名和密码的消费者的信息。“

所有企业面临的真正挑战是以无摩擦的方式有效实施电子商务身份验证和安全措施，这样客户体验就不会受到影响-然后在不违反安全预算的情况下保持不断变化的威胁。你是怎么做到的？寻找强调安全性的托管电子商务平台制造商或网站托管商。有时，这些服务会为客户提供不断变化的安全威胁，甚至建议对前沿威胁进行修复。通过将安全性作为其在线购物服务体验的核心，中小型企业可以自信地为客户提供安全且令人满意的电子商务体验。