多灾多难的 11/12 月啊,先是遭到 Carding Attack 攻击,接着又遭到信用卡欺诈,遭受重大损失,一台高配版 Mac Studio 没了。😭
我以为开启信用卡收款通道之后还是享受 PayPal 的卖家保护政策呢,事实并非如此,看了些文档,加强了防欺诈保护,以后多加小心就是了。只是,好几万块人民币买个教训,实在是有点贵了。😭
Category: 外贸
-
遭遇 Carding Attack 攻击
做独立站这么多年,各种奇奇怪怪的问题都遇到过,但这还是首次遭遇这种大规模的 Carding Attack 攻击,短时间内一下子涌入 240 多无效订单,还有 20 多支付成功的。
事情是这样的:昨天晚上 18:39 分,媳妇坐在对面看电视剧,我在听 YouTube 视频,隐隐约约就听到 iPhone 的通知一直响,但是手机放的远一直没太在意。
直到我打开 Gmail 看邮件,好家伙,每隔几秒钟一封通知我信用卡支付失败的邮件就来了。一时间不知道如何是好,好在慌乱中还是不那么麻溜地打开了 Cloudflare 的 I’m under attach 保护,这才成功终止新的无效订单。
搜索了下 Carding Attack 是什么,但我还不知道中文怎么说,这不重要,总之就是骗子用其它地方搞来的一堆偷来的信用卡卡号然后跑到你网站来验证这些信用卡卡号是否有效。
如何防范 Carding Attack 呢?
其实我早就使用 reCaptcha for WooCommerce 插件保护了 WordPress 的用户注册、登录,密码找回页面,WooCommerce 的用户注册、登录、密码找回页面,还有评价、商品评价框,但唯独没有开启 WooCommerce 支付页面的保护,因为我嫌在 Checkout 页面添加 ReCaptcha 太影响支付体验,居然被人利用了。
赶紧在 Cloudflare 添加了个 WAF 规则,用于保护 WooCommerce 的 /checkout 页面,和 reCaptcha 一样,开启后确实有点点影响支付体验,但是 Cloudflare 可以自动排除一些没问题的访问者,访问者看不到,体验稍微好一些。
玩 WordPress 十多年,印象总有一次一个非生产力环境的站点被黑过之外,这还是第二次遇到被攻击的情况(那种垃圾评论的攻击就不提了),以后还是要多加小心才是。
-
PayPal直播:卖家保障与消费者服务管理
前几天在 PayPal 后台预约了今日的直播:贝宝跨境精英学院 – 洞悉客戶优体验 抢占心智赢增长。直播主要内容是讲解 PayPal 卖家保障计划,与消费者服务管理,以及卖家如何提升消费者运营服务,减少投诉率与 PayPal 纠纷率。
我在直播的时候用 OneNote 记了一些笔记,其实就是3位嘉宾的 PPT 的部分内容,如果你也在使用 PayPal 且对 PayPal 投诉和争议方面的政策不够了解,请下载我整理的 PDF ,结合截图上的文字对 PayPal 的政策有个大致的了解。
本人使用 PayPal 收款有些年头了,但是如果你跟我一样,还是不熟悉 PayPal 的卖家保障计划,投诉、争议方面的政策,或者有关退单(Chargeback)方面的政策,那么请结合以上我整理的 PDF 和以下 PayPal 官方的文档:
我使用 WooCommerce 搭建独立站已经有 5 年多的时间了,因为业务量并不大,前期也没有可用的信用卡收单渠道,后期虽然连连和 PingPong 都推出了信用卡收单业务,但 WooCommerce 的 PayPal 插件已经可以实现在支付页面直接输入信用卡卡号完成支付,PayPal 一直是我独立站的唯一收款方式。这么多年下来,一直是安全的、满意的。
以前没有特别留意到底有多少是退单方面的投诉,印象中买家没有收到货物/或者他不知道在哪查询物流,或者收到货之后不满意的投诉很多,但近期收到了不少退单的 Case ,而且 PayPal 处理的让我非常满意。
从以上截图内容可知,退单是买家/信用卡持卡人对信用卡发卡行/银行提出的退款请求,但因为我的交易符合卖家保障计划的要求,PayPal 先期已经为我解除了该笔订单在退单发生时冻结的款项,而 PayPal 是否能从持卡人开户行/银行追回这笔款项,已经不是我(卖家)该承担的风险了。
很多人抱怨 PayPal 的手续费高(3.9%+30 美分),但是别忘了国外 Visa/MasterCard 等发卡行的手续费本来就高,且人家还承担了更高的风险(不知道国内的信用卡收单业务是如何处理退单的)。
最后,感谢贝宝中国,我看直播又中奖了。是的,又中奖了无线充,上次贝宝中国的直播,我中了一套茶具。😊
-
有了“福贸”,外贸收款从此更简单
作为 Pingpong 的老客户,前几天收到了他们的公众号通知:为切实解决外贸收款难题,让外贸企业安全、稳定收款,PingPong推出外贸一站式收付款解决方案,这个全新的产品就是“福贸”。
你为什么需要福贸?
- 解决小B类外贸客户结汇难的问题:银行卡大量冻结,冲击义乌外贸圈
- 打击地下钱庄:外汇管理局严厉打击洗钱、地下钱庄、跨境赌博等违法违规行为
- 离岸账户关停:香港银行账户关停潮,影响到外贸客户的收款
福贸是解决传统外贸B2B收款和结汇的产品,只要你是做的线下实物交易,都可以通过福贸来收款。福贸提供多个国家的银行账户,让你可以方便的通过 SWIFT 或当地国家银行间的结算网络(比如美国的 ACH )来收款。
B2B支付解决方案
- 通过大陆公司\大陆个体户注册pingpong(点击注册),PingPong提供全球收款账号,支持14国币种账户,发放和注册公司同名的银行账户
- 资金流:海外采购商银行账户 –> 供货商B2B PingPong全球收款账户 –> 供应商银行账户。提现账户:1)企业对公外币(美金)账户 2)企业法人人民币账户
- 提现手续费:提现人民币0.4%,提现美金10美金/笔
目前仅支持银行打款,不支持第三方支付公司打款(PayPal等),不支持电商平台打款。如果需要收 Paypal 和电商平台的款,PingPong 有其它的产品可以用。
-
使用阿里云国际 CDN 加速 WordPress 外贸站
我有几个用 WordPress+Woocommerce 搭建的外贸网店,为了给全球各地的访问者更好的访问速度,使用了 StackPath CDN 加速服务。也不知道到底是不是因为美国国内疫情的原因,StackPath 这个月连续两次翻车:上次是域名 https 证书出问题,这次是无缘无故不能访问,因为注册过国内的七牛,腾讯云,阿里云账号,早就了解到国内也有针对国外的 CDN 加速服务,这次上车的对象是阿里云国际。
阿里云国际(美国)账号注册及验证
其实我知道国内早就有人用阿里云的国际站账号,其香港和新加坡的 CN2 线路非常优秀,延迟低,适合在国内免备案搭建博客和折腾。最早只能申请香港手机号码和 Paypal 香港账户(绕过阿里云国际不接受国内发行的信用卡的限制)来注册阿里云国际(香港)的账户,并购买 VPS 。
现在终于不用这么麻烦了,至少不需要绕道注册 Paypal 非大陆账号了,因为阿里云国际所有国家站点自2020年3月起开始全面支持国内发行的带有 VISA/MasterCard 标志的单币/双币信用卡了。
我注册的是阿里云国际(美国区)的账号,账号注册过程就不过多赘述了。我添加的是招商银行发行的单币种 VISA 信用卡,信用卡添加之后需要验证,验证之后一切正常。不过,注册美区账号还是需要美国手机号码,我用的是 Google Voice 。
阿里云 CDN 和国外 CDN 的区别
到目前为止,我用过的国外 CDN 有 keycdn 以及 StackPath ,这两个 CDN 的设计思路和阿里云貌似有点不同。拿 keycdn 为例,其设计初衷主要是为了加速静态文件,比如图片,css 等文件,而阿里云貌似是为了加速整站而设计,这点有点类似 Cloudflare (当然 StackPath 也可以加速整站)。
反正我自己是这么理解的,也或许是我在没有看帮助页面的情况下,对阿里云 CDN 添加页面的一些名词的理解存在偏差。Google 到的阿里云 WordPress 加速教程都是加速整站,其实阿里云 CDN 也可以用来分发静态文件,区别只是和源站的接入方式。
之前由于错误的理解,导致今天才开始使用阿里 CDN 。这件事情告诉我们,以后一定要看一下产品文档。
使用阿里云 CDN 分发 WordPress 静态文件
刚刚已经说过,国内博客作者写的阿里云 CDN 教程都是如何加速整站的,由于国内的 VPS 才 1M 的小水管,很显然使用 CDN 可以大幅改善在国内的访问速度,因为被 CDN 缓存的文件在分发到访问者的浏览器的时候是不限制宽带的。
而我的 Woocommerce 外贸网店由于使用了 Cloudflare 主要是他的 WAF 功能,导致和阿里云 CDN 在使用整站加速在接入的时候和 Cloudflare 存在冲突,整站加速需要主域名 CNAME 到阿里云的加速服务器上,就不能用 Cloudflare 的 WAF 了。
StackPath 和 keycdn 一开始问你要的是源站域名,之后再给你生成一个 CDN 域名,接着你就可以用 WordPress 插件替换源代码中的原始静态文件域名为 CDN 的域名。
阿里云上述添加加速域名的页面曾经让我犯糊涂,我以前理解成了源站域名(主域名)。看了文档才知道原来源站域名可以是加速域名(主域名),但是这样的话主域名必须 cname 到阿里云给你分配的域名上,就不能接入 Cloudflare 了。加速域名也可以是源站域名的二级域名,这样就可以用 WordPress 插件加速静态文件了。
如图所示,我给静态文件分了个 assets.pengjiayou.com 的二级域名,成功添加域名之后,添加 DNS 解析记录,把 “assets” 添加一条 cname 记录,指向 “assets.pengjiayou.com.a.lahuashanbx.com” 等待生效即可。
等阿里云检测到这条 cname 记录生效之后,就可以申请免费的 https 证书了。因为我主站使用了 https ,所以如果 CDN 加速域名不使用 https ,浏览器会提示不安全。
在 https 证书申请过程中,我们有必要设置一下回源配置。
回源 HOST 我使用了源站域名,当然了,如果你加速整站的话,可以用服务器的 IP 地址。回源协议我选了“跟随”,回源 SNI 是也要配置下,如图所示。设置成功之后 CDN 服务器才能正确从源站缓存内容。
接下来进行缓存设置,对于 WordPress 来说,文章中的各种图片,主题中的各种图片都在 wp-content 目录,所以只需要缓存这个目录 30 天即可,意思是 CDN 服务器缓存这个目录的文件 30 天,30天内不需要重复从源服务器下载,而是直接从阿里云服务器下载,节省流量。
对于 css,js 这类文件,别人的教程里面是缓存 10 天,因为这些文件也在 wp-content 目录中,所以给个更高点的权重才行。
因为我们不是整站加速,所以不需要排除 wp-admin 目录,否则,你可以参考这篇教程完成设置。
其它方面,开启智能压缩和 Brotli 压缩,有助于提高性能。到此 CDN 的设置基本就结束了。
接下来,可以使用类似 CDN Enabler 之类的 WordPress 插件,或者 Cache 类插件也有类似的功能,把 WordPress 源代码中静态文件的 url 替换成 cdn 的 url ,就大功告成了!
使用阿里云 CDN 遇到的问题
国外的 CDN 比如 StackPath 支持 Canonical Header,阿里云 CDN 好像没有这个功能,据说对 SEO 不利。
补充:购买 CDN 资源包
阿里云按下行流量和 https 请求数支付费用,目前阿里云有年付的 CDN 资源包,比如我的网站北美和欧洲的流量最高,一个 100G 的下行流量包年费只要 $7 ,相对于 StackPath 最低 $10 月付来说,可谓是相当良心了。
总结
使用国外的 CDN 这么多年,现在才发现其实国外的月亮不一定更圆。国内的电信基础设施在全世界都是领先的,疫情期间不知多少人宅在家里,多少人上网课,网速还是那么流畅。国内 IT 开发者也很厉害,他们支持了多少全世界排名前几十的网站,比很多国家和地区强了不知多少倍。
我不清楚 StackPath 到底多少用户,也不知道疫情到底对他们的服务造成何种影响,反正我是仍受不了他们的服务了。换上阿里云 CDN 之后,感觉访问速度提高了。正如刚刚所说,国内的码农技术上并不差,相信马云在国外也有能力租用最好的电信线路。试试证明阿里云实力绝对碾压 StackPath 。
我觉得我很长时间内会赖在阿里云国际不走了。
-
不买企业邮箱,也可以用域名邮箱收邮件
看了标题是否一头雾水,这正是我想要的,人家的博客/Vlog查看次数高不是没有原因的,我跟人家偷师学艺来着。闲话少说,其实先从下面的悲惨遭遇说起。
我有多个网站,但是最主要的邮箱有 3 个:一个 Gmail 私人用,也会收到来自网站的通知类邮件;一个是腾讯企业邮箱,刚推出的时候就申请了,主要用它和客户交流,已经用了快 10 年;一个阿里巴巴免费企业邮箱,这个并不是免费的阿里云企业邮箱,而是通过阿里巴巴的一个叫商机通的服务免费申请的,这个邮箱添加了多个网站的域名邮箱的别名,发到别名邮箱的邮件可以在这个邮箱管理。前几天收到上述阿里的通知,是时候找个办法解决这个问题了。
也许你还是不知道我在说什么,我说一下我达成的目标你也许就会明白点什么。假如我的域名是 pengjiayou.net ,我不想给这个域名买一个收费的企业邮箱,但是我又想用 [email protected] 来收邮件,并且转发到我现有的 Gmail 邮箱,这样我就可以在 Gmail 回复,这就是我今天这篇文章的目的所在。
使用 Google Domains 免费转发服务
如果你的域名是在 Google Domains 注册的,你可以免费设置一个 [email protected] 的域名邮箱,所有发到这个邮箱的邮件,都可以转发到你现有的 Gmail 邮箱(或者其它现有邮箱)。
但是使用 Google Domains 免费邮箱转发服务也有缺点,就是你的域名的 NS 记录也要是 Google 家的,意思是你的 DNS 解析也必须要由 Google 来负责,如果你要用 CloudFlare 来加速你的网站,这个功能就用不了了。所以才有了以下更好的方案。
使用 Forwardmx.io 付费邮件转发服务
其实我很早就知道另外一个叫 improvmx.com 的免费服务。我昨天下午测试过了,貌似免费版邮件转发的很慢,需要很久邮件才能送到我现有的邮箱里面。经过一番搜索,我顺利找到了另外一个收费但便宜的方案,叫 forwardmx.io ,一年花很少的钱就可以获得高质量的服务。
使用 Forward MX 相当简单,只需要注册个帐号,修改 MX 记录,然后就可以设置现有邮箱接收转发邮件了。修改 MX 记录很简单,大家可以看看这个在 CloudFlare 修改 MX 记录的教程,我就偷懒不截图了。
你可以设置用 @ 来接收域名 pengjiayou.net 任何前缀的邮件,比如 [email protected], [email protected] 等等。你可以转发到多个现有邮箱,中间用英文的逗号 “,” 隔开,如果你要设置不需要转发的域名邮箱地址,比如 [email protected] ,你只需要在 Destination 写 /dev/null 即可。noreply 一般用于通知类邮件,比如注册通知,发货通知等。
Forward MX 转发到腾讯企业邮箱遇到的问题
如果用 Forward MX 把邮件从 [email protected] 转发到腾讯企业邮箱,我用 Gmail 测试,结果没有转发成功,而且收到退件,错误提示是 550 Ip frequency limited,这是因为腾讯企业邮箱的防垃圾策略,限制了一个邮件服务器发送给腾讯企业邮箱服务器的频率,而被腾讯拒收。
这怎么能难倒我呢?让 Forward MX 转发到 Gmail ,再用 Gmail 的 Filter 转发到腾讯企业邮箱就可以了。腾讯可以限制 Forward MX 的邮件服务器发给腾讯企业邮箱的频率,但是 Gmail 它不敢限制呀。
总结时间
因为多个网站,每个网站都需要一个域名邮箱,跨境电商网站有域名邮箱看上去更专业,但是又不想同时管理多个邮箱,每天登录多个邮箱很消耗时间,就算用邮件客户端管理那也相当麻烦。邮件转发服务是个不错的解决方案,Forward MX 一年 $9 美金就可以解决同时管理多个邮箱收发邮件的麻烦。由于多个网站收来的邮件都转发给了腾讯企业邮箱,这样我只需要管理一个邮箱就可以了。
但是这样也有一个问题,我有必要给大家说一下,就是在腾讯企业邮箱回邮件,客户看到的你的邮箱就是腾讯企业邮箱了,但是这个好像又没有那么重要,因为多个网站还是彼此隔离的,客户不会因为其中一个网站知道其它几个网站,但是客户会因为腾讯企业邮箱的域名,暴露你和那个网站之间的关联性,咱聪明的外贸人应该知道我在说什么吧,因为我卖的都是同样的产品,所以这个问题对我来说不重要。
-
免费外贸建站,人手一个独立站新时代来临
上个月底在亿邦,也或许是雨果的微信公众号上看到跨境电商免费建站的新闻。没想到世上还真的是好人多,天上掉馅饼的事还真让我给遇到了。做为现在靠独立站
养家(还没有)糊口的资深外贸从业者,以及多年学来刻苦钻研的 IT 方面的知识,简单分析下到底靠不靠谱。打开店匠的主页,巨大图片上醒目的「不收建站费!不抽佣金!真正的免费建站,助力中国卖家出海」的广告语映入眼帘,好死不死还特么特别吸引眼球,咱倒要看看到底是怎么做到的。
国外的 Shopify 最便宜的套餐每个月要 $29 ,国内的 Shopyy 最便宜的套餐每年收你人民币 2999 ,国内另一家叫 Ueeshop 的每年收你人民币 2999 – 4800 不等,这个叫店匠的以前听都没听过,刚出来闯江湖怎么就免费了呢?
很快,我在他们官网找到了上述竞品对比表。原来,虽然建站费不要钱,但是他们也不提供技术支持。付费才有技术支持,比如你要对他们提供的模板做高级定制、广告投放指导,或者营销推广方面的咨询。网站服务器+流量成本对我们这些小网站来说每年确实花不了多少钱,这点钱店匠当然看不上了,免费能拉拢人气,做企业服务才赚钱。
还半信半疑?我就知道你会有此疑问,注册个帐号先,进去后台不就啥都明白了。哇,后台看上去很高大上啊,做得相当专业,有轻度模仿 Shopify 的痕迹,是骡子是马拉出去溜溜。
后台可以传产品,可以选个模板装修店铺,可以设置 Paypal 和信用卡收款渠道来收款,可以发表博客文章给店铺引流,可以像 Shopify 那样安装插件,可以管理订单,可以查看店铺统计数据,真的完全免费!不花一分钱!
拿店匠官网提到的这个案例研究了一番,真的和 Shopify 搭建的网站没啥两样,Shopify 有的功能店匠后台基本上都有,不要犹豫了,赶紧注册个帐号传产品吧,不要钱的东西不用白不用!
试着在 B 站搜索建站教程,他们做得太垃圾了,要不是废话太多没啥干货,就是录音质量太差,等哥啥时有空了给你们录个视频教程。
