AMZ123跨境卖家导航
拖动LOGO到书签栏,立即收藏AMZ123
首页跨境头条文章详情

5400多字,一起聊聊外贸网站安全稳定运行那些事!

500强哥
500强哥
外贸推广实战派,四年多时间获得132封世界财富500强公司询盘,累计询盘13000多封!外贸建站,谷歌广告,谷歌SEO,团队管理,邮件营销,业务跟进等,关于外贸的一切,我们一起去探索!
1736
2021-05-18 15:00
2021-05-18 15:00
1736
500强哥
外贸推广实战派,四年多时间获得132封世界财富500强公司询盘,累计询盘13000多封!外贸建站,谷歌广告,谷歌SEO,团队管理,邮件营销,业务跟进等,关于外贸的一切,我们一起去探索!

Hello,大家好,我是500强哥~

今天我们来聊一聊网站安全这个话题。大家都知道,网站搭建起来只是最基础的要求,如何确保你的网站一直安全可靠的运行才是重中之重。这里强哥就说一下一些网站安全的常识,可能会涉及到一些专业知识!

图片


—  1  — 
黑暗森林法则

什么是黑暗森林法则?

最近强哥一直在看三体小说,觉得这个特别贴切黑暗森林法则这个概念来自刘慈欣原著小说《三体》,释义:宇宙就像是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开树枝探索外界,同时竭力不发出脚步声隐藏行踪,因为林中到处都有与他一样潜行的猎人。如果他发现了别的生命不管是不是猎人,不管是天使还是魔鬼,能做的只有一件事:开枪消灭之,在这片森林中,他人就是地狱,永恒的威胁来源、任何暴露自己存在的生命都将很快被消灭。


图片


其实刚开始强哥刚开始觉得世界很美好,所有的生意都是大家在同一片蓝天下公平竞争。有一次不小心将一个网站放了出来,然后,这个网站就完蛋了。在被社会毒打之后,我明白了这些道理:永远不要告诉别人你的网站。因为一个独立站没做起来的时候,搞死他太容易了,DDOS攻击,镜像,跑垃圾链接,不但提升你的运营成本,很可能分分钟就让你完蛋。咱们很多人面对这类恶搞,是真的无能为力的。


所以每次有人问我,能不能把网站给他看一下的时候,我都会笑一下不说话。这不是不给看,而是不能。所以我们要遵守黑森林法则,自己闷声发财就可以。




—  2  — 
选择安全可靠的主机与服务器


这里分两种情况,拥有root权限的云主机和wordpress云主机,这两者的区别在于前者是一台裸机,啥程序都需要自己安装部署,比较适合技术大佬,后者就是主机服务商已经把一些必要的程序安装好了,用户通过他们提供的控制面板进行可视化的操作去安装部署自己需要的软件就可以,比较适合建站新手,无论选择哪种类型主机,强哥只想说一句,不要使用免费主机和劣质主机,免费主机只适合用来学习建站程序和建站方法,不要使用免费主机来托管正式上线的网站。


当然了,最好也不要使用那些特别廉价,管理经验不足的主机商的服务,不然会坑死你。在这里提一句,什么钱都能省,但是服务器这笔钱千万不能省啊,这是你开门做生意的门店,门店隔三差五关门,谁还来你店里买东西,而一台高性能的服务器可以帮你解决90%的关门问题,我见过许多这样的案例,在服务器这块的预算相当拮据,网站上线跑起来后,流量稍微大一点就各种问题接连不断的出现,所以这一块千万不能省,想想你自己去买手机也只想买高配版的手机。


这里推荐一个强哥自己在用的wordpress主机服务商,性价比比较高,如果有需要的小伙伴可以找我要个优惠码,价格更便宜,有钱的大佬可以直接无视,哈哈。


图片

 官方网址:https://chemicloud.com/wordpress-hosting/

 



—  3  — 
服务器基础安全配置


这个地方分两种情况,一种是拥有root(超级管理员)权限的裸机,另一种是专为wordpress优化过的主机,前者防火墙端口规则需要自己配置,后者的话一般已由第三方配置好,无需自己设置。我们今天就针对第一种主机讲讲怎么进行的基础的安全配置,说白了就是给你的服务器加上一把只有你才能打得开的安全锁。首先我们登录到主机服务商的控制台,进入安全组选项,举个例子,如果你用的是亚马逊云主机,那么步骤就如下:


图片 

图片 

用户访问我们的网站都是通过80和443端口,所以我们先把这两个端口添加进入站规则,另外我们在搭建wordpress环境时有些小伙伴可能会用到第三方安装脚本,比如宝塔面板之类的,这里以强哥自己使用的OpenLiteSpeed安装脚本为例,OpenLiteSpeed的控制台需要用到8090端口,所以我们把这个端口也放开,但这里只是暂时放开,等wordpress环境搭建好,网站运行起来后强哥还是建议把它关掉。如果你平时经常要用到这个控制台来监控查看服务器的一些参数,那就把控制台的用户登录密码设置复杂点,并且定期更换密码。


最后就是22端口了,这个端口是服务器默认的SSH通信协议远程登录端口,也是最容易被黑客攻击的地方,一旦被暴力破解,你的服务器就不再是你的服务器了。这里强哥的建议是随用随开,不用时就关掉,其实大部分情况下你都用不到这个端口。以上说的这几个端口基本上都是一个网站要用到的最基础的通信端口了,如果你还有别的应用程序要开放端口,记得把它添加到防火墙入站规则中。最后设置好的防火墙规则可以参考下图:


图片




—  4  — 
修改默认数据库前缀,避免被SQL注入


有一类工具叫SQL注入,黑客利用某个插件输入框的安全漏洞,通过恶意SQL语句直接修改网站数据库,删除我们的网站数据,整个网站就会直接挂掉。为什么SQL注入会有效呢?是因为我们在安装wordpress程序时,程序默认使用的数据库表前缀是wp_,这就给SQL注入留下了可乘之机。所以我们在wordpress安装的过程中,修改这一步骤中的表前缀选项,可以使大量的SQL注入工具失效。


图片

 



—  5  — 
修改Wordpress控制台登录地址


我们的wordpress网站搭建好后,后台登陆地址默认是http://xxx.com/wp-admin,网上大量黑客程序都以它渗透目标这个时候如果我们的管理员账号信息安全性不够高的话就会很容易被黑客暴力破解,如果你的账号信息足够安全,可以抵挡住所有的暴力破解,但是这些大量的尝试登录请求会占用你大量的服务器资源,造成的你的网站速度打开变慢,如果服务器配置比较低的话甚至有可能会造成服务器宕机,严重影响正常用户的浏览体验。


想想看,这个时候如果正好有一个优质的客户在浏览你的网站,刚准备要发起询盘,结果网站打不开了,老板要是知道了估计这个月你的医疗支出费用又要增加了。所以为了自己的人生安全强哥强烈建议各位小伙伴们修改这个默认的后台登陆地址,修改方法有两种,一种是安装对应的插件,一种是修改wordpress主题代码,强哥比较推崇代码修改方式,毕竟能不安装插件就尽量不安装插件。代码修改方式如下:


登录wordpress后台,进入Appearance>Theme Editor,添加如下代码,保存即可


图片 

举个例子,如果你的域名是abc.com,自定义字符xyz,那么修改后的登陆地址就是https://www.abc.com/wp-login.php?safer=xyz,保存好这个登陆地址,绝不要透露给第三方无关人员,修改原来的登陆地址后,原来的登录请求和错误的登录请求都会直接跳转到我们设置的网站首页。

/*

 ** Login Url protection

 */

function login_protection(){

if($_GET['safer'] != 'xxx')header('Location: https://www.youdomain.com/');

}

add_action('login_enqueue_scripts','login_protection');

 



—  6  — 
给我们网站添加CDN


准确的来说,这项不应该划分到网站安全这个话题来,应该属于网站优化的范畴,给站点添加CDN最主要的目的其实是为了给网站提速,只不过我们常用的CDN平台可能都是国外的CloudFlare平台,而CloudFlare平台的功能实在是太强大了,一般的网络安全问题都可以解决,不需要单独再去安装网站安全插件,毕竟插件能少一个就少一个。


强哥这里只讲些常用的安全配置,至于如何把站点添加进CloudFlare平台和更高阶的选项设置,小伙伴们可以自行百度下教程,接下来的设置教程强哥假设你们都已经在cloudflare平台上添加好站点了,来,让我们往下走;


图片 

进入SSL/TLS选项,将模式设置成完全,并开启SSL/TLS建议程序,正如字面意思,使用cloudflare来加密访问者和我们服务器的之间通信数据,保证数据安全。

进入SSL/TLS选项下的边缘证书选项,设置所有请求始终使用HTTPS,开启自动HTTPS重写,这里面的设置项比较多,下面的图都是强哥自己在用的设置样例,供大家参考:


图片 

图片 

进入防火墙选项,这里可以设置更高阶的防火墙规则,免费用户只能设置5条,但对一般的用户而言合理配置基本上也够用了,在这里你可以设置只允许指定国家的流量访问你的网站,信誉度差的IP访问你的网站时开启验证码或者直接阻止请求,这里的配置项比较自由,所以强哥没法把具体的配置代码罗列出来,有需求的小伙伴们可以自行上网百度下,下面几个是强哥常用的配置样例,贴出来供小伙伴们参考下:


图片 

图片 

图片 

图片 

图片




—  7  — 
禁用XMLIPC和REST-API功能


xmlrpc.php这个文件到底是干啥的呢?其实它是为了实现让用户通过客户端来管理WordPress,例如使用博客客户端Weblog Clients来发布WordPress的日志和页面。这些都是为了让用户更加方便的管理自己的站点而开发的功能,XML-RPC这个功能从WordPress3.5开始就默认开启了,而一般情况下,我们大部分wordpress用户是不会用到这个功能的,所以可以完全关闭它,不然就会成为一些黑客的攻击对象。


关闭xmlrpc也很简单,只需要在wordpress主题文件functions.php里加入一行代码:add_filter('xmlrpc_enabled', '__return_false');


那REST_API又是什么呢?通俗点的解释就是wordpress向外提供了一个请求接口,外部程序可以很轻松的获取网站的数据,可应用于其他网站、手机 APP 或小程序等,这个功能是从WordPress 从 4.4 版本开始新增的,但对于一般的网站是没有需要的,反而会拖累网站的打开速度,而且 REST API 采用 GET 请求方式,这就为DDOS攻击提供了一个新的攻击途径,所以应尽可能的禁止掉这些不必要的功能需求,并且去掉 head 里面输出 wp-json 链接。


查看WP JSON REST API是否开启的方法:http://你的域名/wp-json/,若输出数据则是开启状态。如果我们想兼容所有版本的 Wordpress,我们可以直接使用插件Disable REST API或Disable WP REST API来完全禁用 REST API功能,强哥比较推荐代码方式,直接将以下代码添加到主题的functions.php文件中即可禁用JSON REST API :/**

* WordPress 完全禁用 REST API

*/ 屏蔽 REST API

if ( version_compare( get_bloginfo( 'version' ), '4.7', '>=' ) ) {

    function lxtx_disable_rest_api( $access ) {

        return new WP_Error( 'rest_api_cannot_acess', 'No Access', array( 'status' => rest_authorization_required_code() ) );

    }

    add_filter( 'rest_authentication_errors', 'lxtx_disable_rest_api' );

} else {

    // Filters for WP-API version 1.x

    add_filter( 'json_enabled', '__return_false' );

    add_filter( 'json_jsonp_enabled', '__return_false' );

    // Filters for WP-API version 2.x

    add_filter( 'rest_enabled', '__return_false' );

    add_filter( 'rest_jsonp_enabled', '__return_false' );

}

// 移除头部 wp-json 标签和 HTTP header 中的 link

remove_action('template_redirect', 'rest_output_link_header', 11 );

remove_action('wp_head', 'rest_output_link_wp_head', 10 );

remove_action('xmlrpc_rsd_apis', 'rest_output_rsd');


图片





—  8  — 
关闭文件编辑功能和.php文件直接访问权限


WordPress默认允许管理员帐号修改主题或插件源文件,一旦管理员帐号被渗透,理论上黑客可以通过这个功能修改这些文件,执行任何他想执行的代码,比如注入木马,留后门。那怎么杜绝这一潜在的漏洞呢?方法也简单,那就是修改wordpress的源代码,只不过这一项就不再是像前几项那样在wordpress后台去更改了,这里需要我们登录到服务器后台,手动编辑更改代码,对一些小伙伴来说可能会有点难度,强哥在这里直接贴上操作方法:


用Xshell之类的工具登上服务器后台,进入到wordpress的安装目录,找到wp-config.php这个文件,用命令vi打开文件,然后按i键移动光标进行编辑;


图片 

在末尾处加入以下代码:

define('DISALLOW_FILE_EDIT', true);


图片 

按住shift+:(Shift键和冒号键一起按)输入w回车保存退出即可。关闭.php文件直接访问权限其实性质上跟关闭文件编辑功能差不多,假设我们网站上某个php源文件有漏洞,这个文件一旦被黑客发现就可以通过直接访问然后反复尝试渗透,尤其是上传文件夹这样的敏感位置(/uploads)。如果关闭,那么即使漏洞存在,黑客也无能为力。关闭方法也简单,在wordpress的安装目录下有一个.htaccess文件,用上述的方法进行编辑,移动光标在文件末尾处添加以下代码:

<Directory "/var/www/wp-content/uploads/">

  <Files *.php>

    Order Allow, Deny

    Deny from all

  </Files>

</Directory>


图片

保存退出即可。




—  9  — 
设置自动更新Wordpress,插件和主题


WordPress官方会定期更新版本,修补旧版本留下的漏洞和新增一些新的功能,虽然WordPress会自动下载和安装大多数更新,但是当有主要版本发布时,还是需要我们进行手动更新,在我们的网站上经常会安装些第三方开发者开发的不同的插件和主题,在这里强哥提醒一下,为了安全起见我们在安装插件和主题时尽量选择官方或者下载安装量很大的,不要安装一些来历不明小众的,官方插件或主题会定期更新,提供新版本,安全能得到保证。更新方法也简单,进入WordPress控制台仪表盘,如果已安装的插件和主题有新版本发布时,这里的update选项会有提示


图片 

点击进去就能看到更新选项


图片




—  10  — 
定期备份网站数据


提高网站安全性的另一个技巧就是创建备份。定期自动备份整站,一旦网站被黑,至少有数据可以恢复,留得青山在。最糟糕的情况就是服务器受了攻击,网站彻底变肉鸡,已无法备份网站数据,之前也没有留任何备份,这是最致命的。这样一来只能删库跑路了。。。


如果我们有预留的备份文件,这样即使服务器被黑,网站数据丢失也不用怕,我们也能从最近的一个备份版本恢复网站,这是最后的杀手锏,一般不要轻易用,当然了强哥也希望小伙伴们都用不到这个终极奥义。


WordPress备份工具有很多,强哥这里推荐UpdraftPlus,支持手动自动备份方式,备份文件可存储在云端也可以下载到本地,操作方法也很简单,如果你的网站更新不是很频繁的话强哥建议采用手动备份方式,备份完之后将插件删掉,等需要再备份的时候再重新安装就可以了,如果网站更新很频繁的话那就需要采用自动备份方式了,设置好备份周期和存储方式就可以了


图片 

图片


确保你的网站一直安全可靠的运行才是重中之重,不说可用率100%,最起码99%也必须达到(好像这两个没什么区别,哈哈),但是要知道,可能就是那多出来的一点可用率就导致你比别人多获取一封优质的询盘。


我身边就有这样的一个例子,一客户朋友大晚上的给我打电话,说他们的网站挂了,但是服务器表现正常,也能远端登录,第一时间怀疑是不是网站被DDOS攻击了,然后让他看下网站流量数据,结果后台数据显示流量正常,并没有被攻击,我嚓不应该啊,就在我们百思不得其解时,一小伙伴提了句要不看看服务器磁盘使用情况,好家伙这不看不知道,一看吓一跳,磁盘空间使用率已经达到99%了,内存耗尽,一番周转后终于找到元凶了,我们二话不说,赶紧清理磁盘,给服务器扩容,就在我们刚处理好故障恢复网站正常运行时,没出五分钟就来了一个质量不错的询盘,幸亏处理的及时,不然双腿都要被老板打断。


这只是发生在我身边的一个例子,但我相信很多从事外贸行业的小伙伴肯定都有过这样的经历,可能就是那些错失的某个询盘阻碍了我们走向人生巅峰。所以,保证网站稳定运行,格外重要。



免责声明
本文链接:
本文经作者许可发布在AMZ123跨境头条,如有疑问,请联系客服。
最新热门报告作者标签
芒果店长功能简报 | Temu、TikTok、速卖通、Ozon、Yandex、WB等多平台更新
01各平台更新【Ozon】广告每周最低限额由7000卢布改为14000卢布 【Temu】产品采集认领:支持匹配【商品产地】字段产品刊登:支持批量编辑【包装清单】栏全托/半托刊登:视频上传要求更新,新增支持4:3宽高比格式物流-全托管组包发货创建发货单环节支持展示备货单【剩余发货时间】和【剩余到货时间】全托管商品销售数据:支持单个/批量备注半托管订单报关信息效验可关闭,需在全局设置中进行关闭操作【Aliexpress】速卖通/全托/半托产品刊登:支持批量设置【关联欧盟责任人】和【品牌制造商】速卖通在线产品:支持按店铺维度统一设置【关联欧盟责任人】【TikTok】支持速卖通在线产品复制到TikTok全托管【Yande
新手别扎堆美区东南亚!TikTok欧洲站:竞争小、潜力大
截至目前,TikTok Shop欧洲市场已上线了英国、西班牙、爱尔兰、德国、法国、意大利六国。业内盛传,TikTok Shop欧洲站点相较于其他站点都要难做,一上线合规要求就很高,像VAT、EPR都得准备齐全。所以,第一批吃到红利的,一定是欧洲市场的老卖家,如亚马逊欧洲站点商家,产品资质直接复用。当然不论哪个市场,都会给新手留有生存空间,今天我们就详细聊聊作为新手,如何借助自发货这种轻量化的方式在TikTok欧洲市场起量。新手想要做好欧洲站点,从选品、定价、上品到发货等全流程都得踩准节奏。 芒果店长 一、跨境直发:新手最佳起店方式对于新手卖家来说,选择跨境直发模式(国内自发货)是风险最低、启动最灵活的方式。
TikTok再造“海外618”,硬刚Prime Day
引言作为有丰富国内电商经验的字节跳动,在刚刚过去的618大促收获了不错的成绩,根据虎嗅的报道,在今年的国内618电商大促期间,抖音渠道 GMV同比增长32%超4400亿元,超出了原本设定的4000亿目标,在今年的电商环境下,能取得这个成绩还是非常难得的,或许是受到了这样的启发,字节在海外的儿子TikTok,也要搞年中大促了,在今年6月底-7月下旬的年中巅峰狂欢大促,包含欧洲市场的夏季促销(Summer Sale)以及美区的年中促(Deals For You Days),欧洲夏促今年首次加入了新开国的德、法、意、西四国+去年参与过夏促的英国,据TTS官方介绍,这次的年中大促,对标的是亚马逊PrimeDay,力度空前
4大新政即将生效,TikTok卖家慌了?
距离跨境电商圈的中场战事,年中大促仅有零星数日,每逢大促必生事端的定律仿佛回旋镖一般,再次精准集中卖家脑门。01“多事之秋”,提前了近日,有关跨境平台将新增报税这一法定义务的消息在跨境圈炸开了锅。根据公告:无论平台设在中国境内还是境外,只要为中国卖家提供服务,或向中国用户开展交易撮合活动,都必须依法报送涉税信息。换言之,包括亚马逊、Temu、TikTok Shop在内的主流电商平台均在报税义务的名单之内,而与平台休戚与共的跨境卖家们,虽然表面上并不为此项法律直接约束,但平台想完成报税KPI,想留在牌桌上的卖家必然少不了配合。
连丢2单大客后,亚马逊卖家如何靠3招设置赢回信任?
下面通过3个场景为你介绍3招助你锁定企业大单!企业客户对配送时间有严格要求,B2B业务如果选择了自配送服务(MFN),必须提前了解客户的营业时间,在营业时间内送达货品。
对等关税7月或重启!亚马逊多类中国商品已涨价
全球贸易局势再度紧绷,跨境电商市场进入高压状态。随着“对等关税”暂缓期步入倒计时,平台产品价格波动成了行业最关注的动向。AMZ123获悉,数据分析公司 DataWeave 为路透社提供的独家研究显示,2025年1月至6月中旬,亚马逊平台上销售给美国消费者的1407种标注“中国制造”的商品中,价格中位数整体上涨了 2.6%,明显高于同期美国核心商品通胀率(1%)。涨价趋势自5月起开始加速,并在6月进一步扩大。从品类结构来看,涨价主要集中在办公及学习用品、电子产品(如打印机、碎纸机)、录像媒体(CD、DVD)以及家庭用品(如家具、炊具等)等核心类目。
美国关税冲击加剧!亚马逊中国货价格飙升,6月消费者信心再度恶化!
01美国亚马逊中国商品涨价速已超通胀率据外媒报道:数据分析公司DataWeave独家分析显示,美国亚马逊平台上1407种中国制造商品的中位价格自今年1月至6月中旬上涨2.6%,显著高于同期核心消费品类CPI所显示的涨幅。👉据路透社报道称:1月至6月中旬,亚马逊售美1400余种中国商品的中位数价格上涨2.6%,而美国5月核心商品CPI同比仅增1%。显然超过美国截至5月的核心商品通胀率,且5月起涨价加速,显示特朗普政府的关税措施正影响消费者。👉数据平台SmartScout统计:自4月第二周以后,亚马逊上已经有近1000种商品上调了售价,平均涨幅接近30%。
越南免税美国货,美国加税转口货:谁赢了?
美国“解放日”的“对等关税”三个月的暂缓将在7月9号到期。看主流媒体的报道特朗普政府和主要贸易伙伴包括欧盟、日本、加拿大、印度的谈判都应该进入了冲刺阶段。 特朗普本周也吐槽日本谈判太强硬,威胁加征35%的关税 - 而日本首相石破茂政府多位阁员也出来表态无奈的同时捍卫自己的立场。不过,昨晚,特朗普宣布和越南达成协议了。如下是特朗普昨天在TruthSocial上面兴冲冲的推文:我非常荣幸地宣布,我刚刚与越南社会主义共和国达成了一项贸易协议,此前我与越南共产党总书记、备受尊敬的苏林进行了会谈。这将是我们两国之间一个极好的合作协议。
重磅!亚马逊要给中国税局报卖家数据了!
2025年6月26日,国家税务总局官宣了一项重磅新规——《互联网平台企业涉税信息报送规定》(第15号公告)这意味着,中国大陆跨境卖家的海外平台收入,正式被纳入税务监管体系。亚马逊作为重点平台之一,也将同步卖家销售数据给中国税务局!这波操作,直接引爆了整个跨境圈。谁会受到影响?只要你用大陆公司身份在海外平台开店,不管你是在亚马逊、eBay、SHEIN、Temu还是速卖通——都在监管范围内。平台需定期向中国税局报送数据,具体责任主体分为三类:有中国团队且持牌的,如亚马逊、eBay,由在华子公司负责报送;有团队但未持证的平台,由实际运营公司报送;完全没有在中国设团队的,平台需指定国内代理人报送。
德国一款卷发梳7天卖出上千单、GMV超$64,000!Kalodata欧盟站点上线,TikTok四国热销榜Top10出炉
截至24年,TikTok在欧洲的月活用户已突破1.5亿,其中德国、法国、意大利、西班牙四国用户占比超过60%。据Statista统计,24年欧盟地区社交电商总GMV已超200亿欧元,同比增长超过30%,TikTok Shop今年在欧洲连开4国,正在释放增长红利。但入局容易,起量难。语言差异、文化偏好、达人合作复杂度高,让不少卖家“踩着红利窗口,却仍在试错”。
行业地震?亚马逊等跨境平台需报送卖家涉税信息!
跨境电商税收监管迎来升级!国家税务总局近日发布 2025 年第 15 号公告明确,以下平台企业必须报送涉税信息:网络商品销售平台(亚马逊、Temu等)网络直播平台(跨境直播带货)灵活用工平台(海外兼职服务)甚至小程序、快应用等聚合服务平台来源:国家税务总局官网截图这项新政的落地就意味着包括亚马逊、eBay、速卖通、Temu、TikTok Shop 等主流跨境平台在内,只要平台内存在中国卖家账户,或者面向中国用户提供交易场所、技术服务、运营支持等,都将纳入此次涉税信息报送范围。
新规落地!亚马逊平台需要上报卖家数据
从昨天开始,整个跨境电商行业都炸锅了!一项新规悄咪咪搅动了整个行业的神经,从亚马逊到 Temu,不管平台在境内境外,只要和中国卖家沾边,都得按照新规,这场税务监管的大变局,正让跨境生意的玩法迎来关键转折。一亚马逊平台要向国内报税了据悉,近日国家税务总局发布了《国家税务总局关于互联网平台企业报送涉税信息有关事项的公告》(2025年第15号),首次以公告形式明确规定:无论平台设在境内还是境外,只要为中国卖家提供服务,或向中国用户开展交易撮合活动,都必须依法报送涉税信息。
为什么Vine没人领,一些关于Vine你可能不知道的冷知识
如题关于这个问题,我总结了下面两个原因1. 本身产品问题比较冷门的类目或者非日常消费品,我自己之前的产品,开30个vine几个月下来都没有人领,除了类目比较冷门,我怀疑这种类目的vine测评者是不是也比较少这个原因大家都很容易理解,主要说说第二个原因2. 定价问题实际上,高客单的产品,很多vine测评者反而会酌情领取我不知道大家对这个怎么理解因为有些人可能会说Vine不是免费送的吗,高客单不是更容易被领取吗实际上对于美国站的vine来说,他们领取Vine产品也是要计税的,而且是按原价交(这是一个重要的知识点,下面会展开说说)所以,Vine对于他们来说不是免费的以他们的视角来说,这是他们通过交税得来的,而且他们同时
TikTok Shop 5月收入排名前十:唇线笔、颈霜等销售额破千万
AMZ123获悉,近日,Charm.io发布了5月TikTok Shop美国站美妆个护品类收入排名前十产品、对应的头部创作者及其销售报告。从2024年4月至2025年5月,美国TikTok Shop美妆个护品类涌现出一批既“出圈”又热销的产品。这些商品不仅在平台上获得高曝光率,更在创作者内容的助推下,实现了可观的销售成绩。数据显示,即便是价格较高的产品,只要内容真实、有说服力,消费者依然愿意下单。销售额最高的是WavyTalk Blowout Boost负离子热风卷发棒,在12个月内带来2000万美元的销售收入,单价为32.08美元。
亚马逊机器人数量接近员工总数,75%的配送环节由机器人参与
AMZ123获悉,近日,据外媒报道,截至2025年,亚马逊在仓库内部署的机器人数量已超过100万台,与人类员工数量基本持平,标志着其自动化进程迈入新阶段。亚马逊表示,目前全球约75%的配送环节都在某种程度上由机器人参与完成,进一步提高了运营效率,缓解了员工流动率高的问题。亚马逊仓库中常见的自动化设备包括金属机械臂和轮式移动机器人,分别负责从货架取货、运送商品、分拣包裹及打包发货等工作。较新的Vulcan机器人甚至配备了触觉功能,可从多个货架中精准挑选商品。亚马逊也在逐步整合机器人之间以及机器人与人工之间的协作流程,提升订单履约效率。这一趋势正在改变仓库员工的工作内容。
这些在小红薯热推的跨境商品,在海外真的卖得好?
今天我们也来做一期热门“生物”鉴赏(跨境电商版),来鉴赏一下那些小红薯上热推的海外商品:感官沙球一种用于冥想、正念的工具,也可以称之为感官游戏,带有一点娱乐性质,十分美观,关键词是textured sensory sand spheres(纹理感官沙球)。热门红薯帖写的文案是“在🇺🇸居然被一个球给治愈了,每个球都能滚出不一样的花纹,实在太有意思了,又美又治愈”。帖子发布时长仅1周,目前已获9.3万点赞。图源@bananaO select纹理感官沙球在海外有许多独立站在售,各种大小、材质的都有。
《2024中国塑料及相关行业海外拓展现状与趋势分析报告》PDF下载
“出海”不仅为中国企业打开了更广阔的市场空间,有效缓解国内市场内卷带来的压力,更是企业提升品牌国际影响力、塑造卓越品牌形象的关键举措·通过多元化市场布局,企业能够更好地应对单一市场波动带来的挑战,确保业务的稳定与持续增长。
《2024年3C消费电子出海解决方案白皮书》PDF下载
3C 消费电子全球市场分布呈现出成熟市场如北美、欧洲等地区消费规模大、需求稳定且注重产品体验与创新,而高潜市场如中东、东南亚、拉美等地区则增长迅速、潜力巨大,正逐步成为行业新的增长点。
《中国企业在欧盟发展报告(2024-2025)》PDF下载
欧洲对于中国企业而言具有十分重要的战略意义,中国企业在德国、匈牙利、西班牙等地设立了大量的研发中心、设计中心、数据中心、安全设施和生产基地,在为欧盟贡献税收、投资和就业机会的同时,也在产业升级、技术革新和可持续发展方面发挥着积极作用。这些项目的落地,使双方经贸合作达到了前所未有的高度,也助力中欧关系长远发展。
《2025年中国对外贸易潜力产品分析报告》PDF下载
贸易潜力产品指一国对外贸易中具有潜在贸易优势和发展空间的产品,贸易潜力产品包括的范畴有很多,既包括国内生产技术已经成熟但海外市场尚未完全开发的产品,也包括国内技术趋于成熟但尚未达到出口阶段的产品。
《2026春夏女鞋色彩趋势预测》PDF下载
随着消费者将目光转向百搭、耐看、治愈的色彩,深色仍然至关重要。值得注意的是,社媒对于色彩中性色的趋势愈发强烈。在此趋势下,受创新混搭文化启发彩色中性色势必会日益流行。基调色目前任是市场主流,如沙色、浆果红、南瓜布丁,既可保持配色创新,又承载着基础人群需求。
《2025年全球电商营销趋势报告》PDF下载
在全球零售市场增长趋于平稳的背景下,电商依旧保持增长的韧性。根据 Statista 数据,电商市场以 7.8%~9.7% 的增速,高于全球零售市场 4%~5%的预期增长率。这意味着,电商将持续在全球零售市场中占据更大的份额。同时,2025年电商用户全球渗透率将达到42.4%,预计到2029年进一步提升至 49.1%,电商购物逐渐成为全球日常消费的主流选择。
《2026春夏女装防晒属性单品报告》PDF下载
2026春夏女装防晒属性单品报告
《2025年亚太服饰与护肤品牌全球数字广告投放洞察》PDF下载
美国依然是服饰品牌数字广告投放最高的市场,近12个月支出超62亿美元
亚马逊公告
AMZ123旗下亚马逊公告发布平台,实时更新亚马逊最新公告,致力打造最及时和有态度的亚马逊公告栏目!
AMZ123选品观察员
选品推荐及选品技巧分享。
AMZ123卖家导航
这个人很懒,还没有自我介绍
亚马逊全球开店
亚马逊全球开店官方公众号,致力于为中国跨境卖家提供最新,最全亚马逊全球开店资讯,运营干货分享及开店支持。
亚马逊资讯
AMZ123旗下亚马逊资讯发布平台,专注亚马逊全球热点事件,为广大卖家提供亚马逊最新动态、最热新闻。
AMZ123会员
「AMZ123会员」为出海者推出的一站式私享服务
亿邦动力网
消除一切电商知识鸿沟,每日发布独家重磅新闻。
跨境电商赢商荟
跨境电商行业唯一一家一年365天不断更的媒体!
首页
跨境头条
文章详情
热门活动
跨境资讯
跨境资讯
跨境早报
跨境社群
品类交流群
宠物品类交流群宠物品类交流群
加入
宠物品类交流群
扫码进群
家居品类交流群家居品类交流群
加入
家居品类交流群
扫码进群
母婴用品交流群母婴用品交流群
加入
母婴用品交流群
扫码进群
品类交流群
加入
跨境资料
亚马逊运营干货包亚马逊运营干货包
加入
亚马逊运营干货包
扫码进群
TikTok运营干货包TikTok运营干货包
加入
TikTok运营干货包
扫码进群
跨境电商行业报告跨境电商行业报告
加入
跨境电商行业报告
扫码进群
跨境资料
加入
官方社区
跨境电商交流群跨境电商交流群
加入
跨境电商交流群
扫码进群
亚马逊卖家交流群亚马逊卖家交流群
加入
亚马逊卖家交流群
扫码进群
独立站卖家交流群独立站卖家交流群
加入
独立站卖家交流群
扫码进群
官方社区
加入
立即扫码咨询
立即扫码咨询
5400多字,一起聊聊外贸网站安全稳定运行那些事!
500强哥
2021-05-18 15:00
1735

Hello,大家好,我是500强哥~

今天我们来聊一聊网站安全这个话题。大家都知道,网站搭建起来只是最基础的要求,如何确保你的网站一直安全可靠的运行才是重中之重。这里强哥就说一下一些网站安全的常识,可能会涉及到一些专业知识!

图片


—  1  — 
黑暗森林法则

什么是黑暗森林法则?

最近强哥一直在看三体小说,觉得这个特别贴切黑暗森林法则这个概念来自刘慈欣原著小说《三体》,释义:宇宙就像是一座黑暗森林,每个文明都是带枪的猎人,像幽灵般潜行于林间,轻轻拨开树枝探索外界,同时竭力不发出脚步声隐藏行踪,因为林中到处都有与他一样潜行的猎人。如果他发现了别的生命不管是不是猎人,不管是天使还是魔鬼,能做的只有一件事:开枪消灭之,在这片森林中,他人就是地狱,永恒的威胁来源、任何暴露自己存在的生命都将很快被消灭。


图片


其实刚开始强哥刚开始觉得世界很美好,所有的生意都是大家在同一片蓝天下公平竞争。有一次不小心将一个网站放了出来,然后,这个网站就完蛋了。在被社会毒打之后,我明白了这些道理:永远不要告诉别人你的网站。因为一个独立站没做起来的时候,搞死他太容易了,DDOS攻击,镜像,跑垃圾链接,不但提升你的运营成本,很可能分分钟就让你完蛋。咱们很多人面对这类恶搞,是真的无能为力的。


所以每次有人问我,能不能把网站给他看一下的时候,我都会笑一下不说话。这不是不给看,而是不能。所以我们要遵守黑森林法则,自己闷声发财就可以。




—  2  — 
选择安全可靠的主机与服务器


这里分两种情况,拥有root权限的云主机和wordpress云主机,这两者的区别在于前者是一台裸机,啥程序都需要自己安装部署,比较适合技术大佬,后者就是主机服务商已经把一些必要的程序安装好了,用户通过他们提供的控制面板进行可视化的操作去安装部署自己需要的软件就可以,比较适合建站新手,无论选择哪种类型主机,强哥只想说一句,不要使用免费主机和劣质主机,免费主机只适合用来学习建站程序和建站方法,不要使用免费主机来托管正式上线的网站。


当然了,最好也不要使用那些特别廉价,管理经验不足的主机商的服务,不然会坑死你。在这里提一句,什么钱都能省,但是服务器这笔钱千万不能省啊,这是你开门做生意的门店,门店隔三差五关门,谁还来你店里买东西,而一台高性能的服务器可以帮你解决90%的关门问题,我见过许多这样的案例,在服务器这块的预算相当拮据,网站上线跑起来后,流量稍微大一点就各种问题接连不断的出现,所以这一块千万不能省,想想你自己去买手机也只想买高配版的手机。


这里推荐一个强哥自己在用的wordpress主机服务商,性价比比较高,如果有需要的小伙伴可以找我要个优惠码,价格更便宜,有钱的大佬可以直接无视,哈哈。


图片

 官方网址:https://chemicloud.com/wordpress-hosting/

 



—  3  — 
服务器基础安全配置


这个地方分两种情况,一种是拥有root(超级管理员)权限的裸机,另一种是专为wordpress优化过的主机,前者防火墙端口规则需要自己配置,后者的话一般已由第三方配置好,无需自己设置。我们今天就针对第一种主机讲讲怎么进行的基础的安全配置,说白了就是给你的服务器加上一把只有你才能打得开的安全锁。首先我们登录到主机服务商的控制台,进入安全组选项,举个例子,如果你用的是亚马逊云主机,那么步骤就如下:


图片 

图片 

用户访问我们的网站都是通过80和443端口,所以我们先把这两个端口添加进入站规则,另外我们在搭建wordpress环境时有些小伙伴可能会用到第三方安装脚本,比如宝塔面板之类的,这里以强哥自己使用的OpenLiteSpeed安装脚本为例,OpenLiteSpeed的控制台需要用到8090端口,所以我们把这个端口也放开,但这里只是暂时放开,等wordpress环境搭建好,网站运行起来后强哥还是建议把它关掉。如果你平时经常要用到这个控制台来监控查看服务器的一些参数,那就把控制台的用户登录密码设置复杂点,并且定期更换密码。


最后就是22端口了,这个端口是服务器默认的SSH通信协议远程登录端口,也是最容易被黑客攻击的地方,一旦被暴力破解,你的服务器就不再是你的服务器了。这里强哥的建议是随用随开,不用时就关掉,其实大部分情况下你都用不到这个端口。以上说的这几个端口基本上都是一个网站要用到的最基础的通信端口了,如果你还有别的应用程序要开放端口,记得把它添加到防火墙入站规则中。最后设置好的防火墙规则可以参考下图:


图片




—  4  — 
修改默认数据库前缀,避免被SQL注入


有一类工具叫SQL注入,黑客利用某个插件输入框的安全漏洞,通过恶意SQL语句直接修改网站数据库,删除我们的网站数据,整个网站就会直接挂掉。为什么SQL注入会有效呢?是因为我们在安装wordpress程序时,程序默认使用的数据库表前缀是wp_,这就给SQL注入留下了可乘之机。所以我们在wordpress安装的过程中,修改这一步骤中的表前缀选项,可以使大量的SQL注入工具失效。


图片

 



—  5  — 
修改Wordpress控制台登录地址


我们的wordpress网站搭建好后,后台登陆地址默认是http://xxx.com/wp-admin,网上大量黑客程序都以它渗透目标这个时候如果我们的管理员账号信息安全性不够高的话就会很容易被黑客暴力破解,如果你的账号信息足够安全,可以抵挡住所有的暴力破解,但是这些大量的尝试登录请求会占用你大量的服务器资源,造成的你的网站速度打开变慢,如果服务器配置比较低的话甚至有可能会造成服务器宕机,严重影响正常用户的浏览体验。


想想看,这个时候如果正好有一个优质的客户在浏览你的网站,刚准备要发起询盘,结果网站打不开了,老板要是知道了估计这个月你的医疗支出费用又要增加了。所以为了自己的人生安全强哥强烈建议各位小伙伴们修改这个默认的后台登陆地址,修改方法有两种,一种是安装对应的插件,一种是修改wordpress主题代码,强哥比较推崇代码修改方式,毕竟能不安装插件就尽量不安装插件。代码修改方式如下:


登录wordpress后台,进入Appearance>Theme Editor,添加如下代码,保存即可


图片 

举个例子,如果你的域名是abc.com,自定义字符xyz,那么修改后的登陆地址就是https://www.abc.com/wp-login.php?safer=xyz,保存好这个登陆地址,绝不要透露给第三方无关人员,修改原来的登陆地址后,原来的登录请求和错误的登录请求都会直接跳转到我们设置的网站首页。

/*

 ** Login Url protection

 */

function login_protection(){

if($_GET['safer'] != 'xxx')header('Location: https://www.youdomain.com/');

}

add_action('login_enqueue_scripts','login_protection');

 



—  6  — 
给我们网站添加CDN


准确的来说,这项不应该划分到网站安全这个话题来,应该属于网站优化的范畴,给站点添加CDN最主要的目的其实是为了给网站提速,只不过我们常用的CDN平台可能都是国外的CloudFlare平台,而CloudFlare平台的功能实在是太强大了,一般的网络安全问题都可以解决,不需要单独再去安装网站安全插件,毕竟插件能少一个就少一个。


强哥这里只讲些常用的安全配置,至于如何把站点添加进CloudFlare平台和更高阶的选项设置,小伙伴们可以自行百度下教程,接下来的设置教程强哥假设你们都已经在cloudflare平台上添加好站点了,来,让我们往下走;


图片 

进入SSL/TLS选项,将模式设置成完全,并开启SSL/TLS建议程序,正如字面意思,使用cloudflare来加密访问者和我们服务器的之间通信数据,保证数据安全。

进入SSL/TLS选项下的边缘证书选项,设置所有请求始终使用HTTPS,开启自动HTTPS重写,这里面的设置项比较多,下面的图都是强哥自己在用的设置样例,供大家参考:


图片 

图片 

进入防火墙选项,这里可以设置更高阶的防火墙规则,免费用户只能设置5条,但对一般的用户而言合理配置基本上也够用了,在这里你可以设置只允许指定国家的流量访问你的网站,信誉度差的IP访问你的网站时开启验证码或者直接阻止请求,这里的配置项比较自由,所以强哥没法把具体的配置代码罗列出来,有需求的小伙伴们可以自行上网百度下,下面几个是强哥常用的配置样例,贴出来供小伙伴们参考下:


图片 

图片 

图片 

图片 

图片




—  7  — 
禁用XMLIPC和REST-API功能


xmlrpc.php这个文件到底是干啥的呢?其实它是为了实现让用户通过客户端来管理WordPress,例如使用博客客户端Weblog Clients来发布WordPress的日志和页面。这些都是为了让用户更加方便的管理自己的站点而开发的功能,XML-RPC这个功能从WordPress3.5开始就默认开启了,而一般情况下,我们大部分wordpress用户是不会用到这个功能的,所以可以完全关闭它,不然就会成为一些黑客的攻击对象。


关闭xmlrpc也很简单,只需要在wordpress主题文件functions.php里加入一行代码:add_filter('xmlrpc_enabled', '__return_false');


那REST_API又是什么呢?通俗点的解释就是wordpress向外提供了一个请求接口,外部程序可以很轻松的获取网站的数据,可应用于其他网站、手机 APP 或小程序等,这个功能是从WordPress 从 4.4 版本开始新增的,但对于一般的网站是没有需要的,反而会拖累网站的打开速度,而且 REST API 采用 GET 请求方式,这就为DDOS攻击提供了一个新的攻击途径,所以应尽可能的禁止掉这些不必要的功能需求,并且去掉 head 里面输出 wp-json 链接。


查看WP JSON REST API是否开启的方法:http://你的域名/wp-json/,若输出数据则是开启状态。如果我们想兼容所有版本的 Wordpress,我们可以直接使用插件Disable REST API或Disable WP REST API来完全禁用 REST API功能,强哥比较推荐代码方式,直接将以下代码添加到主题的functions.php文件中即可禁用JSON REST API :/**

* WordPress 完全禁用 REST API

*/ 屏蔽 REST API

if ( version_compare( get_bloginfo( 'version' ), '4.7', '>=' ) ) {

    function lxtx_disable_rest_api( $access ) {

        return new WP_Error( 'rest_api_cannot_acess', 'No Access', array( 'status' => rest_authorization_required_code() ) );

    }

    add_filter( 'rest_authentication_errors', 'lxtx_disable_rest_api' );

} else {

    // Filters for WP-API version 1.x

    add_filter( 'json_enabled', '__return_false' );

    add_filter( 'json_jsonp_enabled', '__return_false' );

    // Filters for WP-API version 2.x

    add_filter( 'rest_enabled', '__return_false' );

    add_filter( 'rest_jsonp_enabled', '__return_false' );

}

// 移除头部 wp-json 标签和 HTTP header 中的 link

remove_action('template_redirect', 'rest_output_link_header', 11 );

remove_action('wp_head', 'rest_output_link_wp_head', 10 );

remove_action('xmlrpc_rsd_apis', 'rest_output_rsd');


图片





—  8  — 
关闭文件编辑功能和.php文件直接访问权限


WordPress默认允许管理员帐号修改主题或插件源文件,一旦管理员帐号被渗透,理论上黑客可以通过这个功能修改这些文件,执行任何他想执行的代码,比如注入木马,留后门。那怎么杜绝这一潜在的漏洞呢?方法也简单,那就是修改wordpress的源代码,只不过这一项就不再是像前几项那样在wordpress后台去更改了,这里需要我们登录到服务器后台,手动编辑更改代码,对一些小伙伴来说可能会有点难度,强哥在这里直接贴上操作方法:


用Xshell之类的工具登上服务器后台,进入到wordpress的安装目录,找到wp-config.php这个文件,用命令vi打开文件,然后按i键移动光标进行编辑;


图片 

在末尾处加入以下代码:

define('DISALLOW_FILE_EDIT', true);


图片 

按住shift+:(Shift键和冒号键一起按)输入w回车保存退出即可。关闭.php文件直接访问权限其实性质上跟关闭文件编辑功能差不多,假设我们网站上某个php源文件有漏洞,这个文件一旦被黑客发现就可以通过直接访问然后反复尝试渗透,尤其是上传文件夹这样的敏感位置(/uploads)。如果关闭,那么即使漏洞存在,黑客也无能为力。关闭方法也简单,在wordpress的安装目录下有一个.htaccess文件,用上述的方法进行编辑,移动光标在文件末尾处添加以下代码:

<Directory "/var/www/wp-content/uploads/">

  <Files *.php>

    Order Allow, Deny

    Deny from all

  </Files>

</Directory>


图片

保存退出即可。




—  9  — 
设置自动更新Wordpress,插件和主题


WordPress官方会定期更新版本,修补旧版本留下的漏洞和新增一些新的功能,虽然WordPress会自动下载和安装大多数更新,但是当有主要版本发布时,还是需要我们进行手动更新,在我们的网站上经常会安装些第三方开发者开发的不同的插件和主题,在这里强哥提醒一下,为了安全起见我们在安装插件和主题时尽量选择官方或者下载安装量很大的,不要安装一些来历不明小众的,官方插件或主题会定期更新,提供新版本,安全能得到保证。更新方法也简单,进入WordPress控制台仪表盘,如果已安装的插件和主题有新版本发布时,这里的update选项会有提示


图片 

点击进去就能看到更新选项


图片




—  10  — 
定期备份网站数据


提高网站安全性的另一个技巧就是创建备份。定期自动备份整站,一旦网站被黑,至少有数据可以恢复,留得青山在。最糟糕的情况就是服务器受了攻击,网站彻底变肉鸡,已无法备份网站数据,之前也没有留任何备份,这是最致命的。这样一来只能删库跑路了。。。


如果我们有预留的备份文件,这样即使服务器被黑,网站数据丢失也不用怕,我们也能从最近的一个备份版本恢复网站,这是最后的杀手锏,一般不要轻易用,当然了强哥也希望小伙伴们都用不到这个终极奥义。


WordPress备份工具有很多,强哥这里推荐UpdraftPlus,支持手动自动备份方式,备份文件可存储在云端也可以下载到本地,操作方法也很简单,如果你的网站更新不是很频繁的话强哥建议采用手动备份方式,备份完之后将插件删掉,等需要再备份的时候再重新安装就可以了,如果网站更新很频繁的话那就需要采用自动备份方式了,设置好备份周期和存储方式就可以了


图片 

图片


确保你的网站一直安全可靠的运行才是重中之重,不说可用率100%,最起码99%也必须达到(好像这两个没什么区别,哈哈),但是要知道,可能就是那多出来的一点可用率就导致你比别人多获取一封优质的询盘。


我身边就有这样的一个例子,一客户朋友大晚上的给我打电话,说他们的网站挂了,但是服务器表现正常,也能远端登录,第一时间怀疑是不是网站被DDOS攻击了,然后让他看下网站流量数据,结果后台数据显示流量正常,并没有被攻击,我嚓不应该啊,就在我们百思不得其解时,一小伙伴提了句要不看看服务器磁盘使用情况,好家伙这不看不知道,一看吓一跳,磁盘空间使用率已经达到99%了,内存耗尽,一番周转后终于找到元凶了,我们二话不说,赶紧清理磁盘,给服务器扩容,就在我们刚处理好故障恢复网站正常运行时,没出五分钟就来了一个质量不错的询盘,幸亏处理的及时,不然双腿都要被老板打断。


这只是发生在我身边的一个例子,但我相信很多从事外贸行业的小伙伴肯定都有过这样的经历,可能就是那些错失的某个询盘阻碍了我们走向人生巅峰。所以,保证网站稳定运行,格外重要。



TikTok开户服务
TikTok开户服务
TT123推出的TikTok广告开户服务,深度洞察TikTok平台的流量优势与用户行为,帮助客户快速完成广告账户注册、资质审核及账户搭建,缩短启动周期,助您精准触达全球亿万活跃用户
立即咨询
交流群
全球电商平台开店交流群
扫码入群
咨询
官方微信群
官方客服

扫码添加,立即咨询

加群
官方微信群
官方微信群

扫码添加,拉你进群

更多
订阅号服务号跨境资讯
二维码

为你推送和解读最前沿、最有料的跨境电商资讯

二维码

90% 亚马逊卖家都在关注的微信公众号

二维码

精选今日跨境电商头条资讯

回顶部