إصلاح موقع Magento المخترق في غضون نصف ساعة!

هل لديك متجر تجارة إلكترونية ناجح عبر الإنترنت؟ هل تحث على الحفاظ على متجرك آمنًا من العديد من المتسللين على الإنترنت والاختراقات الأمنية الأخرى؟ ستتحدث هذه المقالة المعينة بشكل شامل عن الطرق المفيدة لتأمين متجر Magento الخاص بك على الإنترنت. ابقوا متابعين!

لقد كان الأمان هو الشغل الشاغل لجميع أصحاب الأعمال التجارية عبر الإنترنت لمتجر عبر الإنترنت حيث أن مواقع التجارة الإلكترونية هي هدف سهل للمتسللين المتقدمين بسبب توفر المعلومات الشخصية والدفع. ومن ثم ، فإن تأمين متجر Magento للتجارة الإلكترونية الخاص بك وجعله منصة محمية يصبح أمرًا بالغ الأهمية لكسب ثقة المستخدمين.

تتمتع Magento بتأثير كبير على صناعة الإنترنت بسبب ميزاتها القيمة والتحديثات اليومية. إنه نظام إدارة محتوى (CMS) معتمد على نطاق واسع لمواقع الويب التجارية لأنه مجهز جيدًا بميزات الأمان المثبتة مسبقًا. يقول مجتمع Magento أن هناك أكثر من 250.000 تاجر في جميع أنحاء العالم يستخدمون Magento كمنصة أعمالهم.

افترض أنك تتطلع لبدء عمل تجاري عبر الإنترنت. في هذه الحالة ، يجب عليك دائمًا استخدام حل Magento لمتجر التجارة الإلكترونية الخاص بك لتحسين تجربة تسوق المستخدمين ، وبالتالي زيادة أرباحك.

اكتشف ما إذا كان موقع Magento الخاص بك قد تم اختراقه!

من السهل جدًا اتباع الطرق التي سنشرحها لك هنا وستجلب موقعك من الاختراق بأسرع ما يمكن. ومع ذلك ، لا نزال نقترح عليك التأكد من أن موقع Magento الخاص بك لا يواجه أي خلل وأنه تم اختراقه!

تساعدك بعض التطبيقات بشكل كبير في هذا الأمر.

Magento Security Scanner لاكتشاف البرامج الضارة ونقاط الضعف

يُظهر أحدث تقرير أمان لشركة Astra أن 62 بالمائة من موقع Magento به ثغرة أمنية واحدة على الأقل .

كيف تتأكد من أن متجر Magento الخاص بك لا يعرض أي مخاطر أمنية على الإنترنت؟

أحد الأشياء الأساسية التي يجب القيام بها هو تنفيذ نصائح تقوية للحماية من أي تهديدات عبر الإنترنت واستخدام WAF المستندة إلى مجموعة النظراء. ومع ذلك ، ماذا لو كنت تريد أن ترى الوضع الأمني ​​لمتجر التجارة الإلكترونية الخاص بك؟ كيف ستعرف إذا كان ذلك لا يحتوي على ثغرة أمنية؟

هذا هو السبب في أنك تحتاج إلى ماسح ضوئي أمني لتنفيذ جميع أنواع الاختبارات عند الطلب وجدولتها. فيما يلي الماسحات الضوئية الشائعة التي يمكنك استخدامها لتنفيذها على موقع Magento الخاص بك.

MageReport

يعد MageReport أحد أفضل الماسحات الضوئية للتحقق من موقع Magento بحثًا عن ثغرات أمنية معروفة دون أي تكلفة. نعم هذا صحيح. إنه مجاني تمامًا ، بما في ذلك ما يلي.

• إفشاء المسؤول
• التصحيح الأمني ​​6482 ، 9652 ، 6788 ، 7405
• ثغرة أمنية في RCE / webforms
• كشف API
• قم بزيارة البرامج الضارة
• هجمات القوة الغاشمة
• جورونج جافاسكريبت
• برامج الفدية
• وأكثر بكثير…

لا يقوم MageReport فقط بفحص Magento الأساسية ؛ ولكن أيضًا بعض الإضافات المتوفرة من جهات خارجية لأي ثغرات أمنية. يمكنك التسجيل في MageReport لتلقي إخطارات بشأن ثغرة أمنية جديدة تم العثور عليها كلما تفاعلت داخل جانب المسؤول لديك.

Foregenix

فحص خارجي بواسطة اختبار Foregenix وتقديم تقرير رفيع المستوى عن النقاط التالية.

• Magmi
• سرقة ماجنتو
• نسخة قديمة
• البرمجيات الخبيثة Cloud Harvester
• التحكم في الإصدار غير المحمي
• سرقة بطاقة الائتمان
• XSS ، هجوم RSS
• استحواذ المسؤول / الإفصاح
• تسرب الأسرار

يتم عرض التقرير وإرساله إلى عنوان بريدك الإلكتروني بصيغة PDF أيضًا.

اختبار التصحيح الأمني

تم تطوير Patch Tester خصيصًا للمساعدة إذا كان متجرك عبر الإنترنت عرضة لأحدث مخاطر الأمان.

إذا كنت تبحث عن التحقق من تصحيح الأمان ، فستكون أداة سريعة وسهلة الاستخدام.

SUCURI

SUCURI ليس خاصًا لـ Magento ؛ ومع ذلك ، سوف يساعد SUCURI في اختبار الموقع للعديد من المكونات. مفيد لتحليل موقع الويب الخاص بك بسرعة ضد التهديدات الأساسية عبر الإنترنت.

• القائمة السوداء
• البرمجيات الخبيثة
• التشويهات
• تم حقن الرسائل الاقتحامية (SPAM)

مسح بركه

Mage Scan ليس ماسحًا ضوئيًا عبر الإنترنت ؛ بدلاً من ذلك ، يجب عليك تثبيته على الخادم. إذا كنت ترغب في اختبار موقع Magento للإنترانت ، فقد يكون Mage Scan هو الخيار الأفضل لك.

فحص أمان Magento

أداة ماسح ضوئي للأمان بواسطة Magento Commerce. أنت مطالب بإنشاء حساب (مجاني تمامًا) والتحقق من ملكية موقع الويب قبل تنفيذ الفحص. أفضل شيء هو أنه يمكنك جدولة تنفيذ عمليات الفحص بانتظام أو أسبوعيًا والحصول على التقرير المناسب لعنوان بريدك الإلكتروني.

اكونتكس

أداة فحص الثغرات الأمنية على شبكة الإنترنت جاهزة للمؤسسات ولا تؤدي إلى إبطاء موقع الويب أثناء تشغيل الفحص. يوفر Acunetix فحصًا أمنيًا شاملاً لا يغطي فقط Magento بشكل أساسي ولكن بشكل عام كل ما يتعلق بالموقع.

تتضمن نتائج الفحص دقة محتملة تساعد خبراء الأمن والمبرمجين على حل المشكلات بسرعة. يمكنك تتبعها على متتبع الأخطاء المفضل لديك مثل GitHub و Jira و Bugzilla وما إلى ذلك.

إذا كنت تطلب من أصحاب الأعمال أو مسؤولي الامتثال ، فيمكنك إنتاج تقارير HIPAA و PCI و OWASP و DSS لأفضل 10 تقارير.

Magento مخازن نصائح أمنية

يتمثل الخطر الأكبر لهجوم المتسللين في عدم قدرتك على الكشف عنهم إلا بعد فوات الأوان. لذلك ، يجب أن نعتني بأمن الموقع مقدمًا وأن نتحقق يوميًا من صحته.

استخدم فقط أحدث إصدار من Magento

يعتقد العديد من مستخدمي Magento أن تحديث أحدث إصدار من Magento ليس خطوة آمنة ؛ ومن ثم ، فإنهم يتراجعون عن ترقية مواقعهم القديمة على Magento. هذا ليس صحيحا. في الواقع ، يخضع المبرمجون دائمًا لتصحيح صارم للأخطاء واختبار دقيق ويتحققون من مشاكل تصحيحات الأمان في أحدث إصدار تم إطلاقه لتوفير إصدار خالٍ من الأخطاء من Magento.

وبالتالي ، يعد تحديث موقع Magento الخاص بك إلى أحدث إصدار من Magento أمرًا ضروريًا. يمكنك الاستفادة من العديد من المزايا عن طريق التحديث ، مثل تجاهل فترات التوقف غير الضرورية ، ومنع القرصنة على موقع التجارة الإلكترونية الخاص بك ، والترقيات الأساسية ، والوظائف الجديدة ، وإصلاح الأخطاء ، وغير ذلك الكثير.

عنوان URL فريد ومخصص للمشرف

يمكن للقراصنة بسهولة الدخول إلى صفحة تسجيل الدخول إلى Magento الخاصة بالمسؤول. إذا كنت تود الوصول إليه من خلال www.xyz123.com/admin. وبالتالي ، لمنع موقع الويب الخاص بك على الإنترنت من هجمات المتسللين والمستخدمين الذين يرغبون في إرسال بريد عشوائي إلى موقع الويب الخاص بك ، يجب عليك دائمًا البحث عن عنوان URL فريد ومخصص للمشرف ، وهو أمر يصعب على المتسللين الوصول إليه.

تعد إضافة مفتاح سري إلى عنوان URL المسموح به فقط لأولئك المؤهلين للوصول إلى لوحة الإدارة نصيحة مستحسنة لتحسين أمان متجر Magento الخاص بك.

استخدم المصادقة ذات العاملين

لا يكفي إنشاء كلمة مرور صعبة لموقع الويب الخاص بالتجارة الإلكترونية على Magento. هذا هو السبب في أن الكثير من مالكي المتاجر عبر الإنترنت يختارون الآن 2FA (المصادقة الثنائية) لتجنب التهديدات عبر الإنترنت لموقع التجارة الإلكترونية الخاص بهم.

مع ذلك ، يوفر Magento p [امتدادًا موثوقًا للمصادقة الثنائية ، مما يساعد مالكي المتاجر عبر الإنترنت على تحديث أمان تسجيل دخول مسؤول Magento بالإضافة إلى الحفاظ على سلامتهم من مخاطر الأمان المتعلقة بكلمة المرور.

استخدام اتصال مشفر (HTTPS / SSL)

هناك دائمًا خطر جلب البيانات كلما أرسلت بيانات ، مثل بيانات اعتماد تسجيل الدخول على اتصال غير مشفر. وبالتالي ، يصبح استخدام اتصال آمن أمرًا بالغ الأهمية لمتاجر Magento.

يعد الحصول على عنوان URL آمن لـ SSL / HTTPS هو العنصر الأكثر أهمية الذي يجعل موقع Magento الخاص بك متوافقًا مع PCI. بهذه الطريقة ، يمكنك إنشاء تجربة تسوق آمنة للمستخدمين وكسب ثقتهم الثمينة.

لا تقم بتعيين أذونات الملف إلى 777

يقترح Magento عدم الاحتفاظ بأي أذونات ملف 777 للملفات ويوفر تغييرها بمجرد إكمال إعادة الكتابة.

استخدم بروتوكول FTP الآمن

اعتراض كلمة مرور FTP هي أكثر الطرق شيوعًا للاختراق. يمكنك القضاء على هذه الثغرة الأمنية باستخدام بروتوكولات ملفات SSH (SFTP) ، والتي تحتاج إلى إرسال ملف خاص فقط من أجل الوصول وتوفر تشفيرًا إضافيًا لبيانات الاعتماد.

قم بإجراء نسخ احتياطية يومية من Magento

تعد النسخ الاحتياطية اليومية من أكثر الطرق فعالية لتقليل مخاطر الهجمات وطريقة فعالة للتعافي.

تعطيل فهرسة الدليل

لإخفاء ملفات Magento الأساسية من المتسلل ، يمكنك تعطيل فهرسة الدليل ، ويصبح أمنك أقوى.

لا تقم أبدًا بإعادة استخدام كلمة مرور Magento في أي مكان آخر

هذا البيان مخصص بالكامل لجميع كلمات المرور الأساسية التي تستخدمها ، وكلمات مرور Magento ليست استثناءً. استخدم كلمات مرور Magento فقط للوحة الإدارة ، وليس في أي مكان آخر.

حدد كلمات مرور قوية

تجعلك كلمات المرور القوية والآمنة للغاية تشعر بالحماية بشأن بيانات المبيعات والمعلومات الخاصة بالمستخدمين. قد يساعدك إذا استخدمت كلمات مرور طويلة بما يكفي بأحرف صغيرة وكبيرة وأحرف خاصة وأرقام.

القضاء على ثغرات البريد الإلكتروني

بقدر ما يوفر Magento وظيفة استعادة كلمات المرور ، تأكد من أن بريدك الإلكتروني غير معروف واحتفظ بكلمات المرور الخاصة به مؤمنة تمامًا ، مثل كلمات مرور Magento.

تحقق من Magento security Daily

سيبقيك الفحص الأمني ​​اليومي لـ Magento على اطلاع دائم وهادئ بشأن صحة المتاجر عبر الإنترنت. لهذا الغرض ، يمكنك استخدام ملحقات Magento أو استئجار أي شركة تدقيق.

امنح المشرف حق الوصول إلى عناوين IP المعتمدة فقط

إذا قمت بإدخال منطقة المسؤول من سحب محدد لعناوين IP ، فيمكنك تقييد الوصول من عناوين أخرى داخل ملف .httpaccess. لتحديد سحب من العناوين أو عناوين IP معينة هناك وتعزيز الأمن العام.

حافظ على تحديث برنامج مكافحة الفيروسات

حديث ، برنامج مكافحة الفيروسات الخاص بك يفي بمهمة أساسية ضمن سياسة الأمن. توفر المنتجات التجارية بشكل عام حماية قوية ضد الفيروسات وأحصنة طروادة ، ويجب أن تدفع مقابل منتجاتها وخدماتها بشكل أفضل من المعاناة من تسرب البيانات.

لا تحفظ كلمات المرور داخل متصفحك

قد يكون حفظ كلمات المرور داخل متصفحك أمرًا مناسبًا ، ولكن ليس من الحكمة في الواقع. يمكن لأولئك الذين يصلون إلى الكمبيوتر قراءة اسم المستخدم وكلمة المرور بسهولة والاستفادة منها.

الاستفادة من مزايا مجتمع Magento

نظرًا لأن Magento لديها مجتمع ضخم من المطورين والمستخدمين ، يمكنك استخدام العديد من الأدلة والبرامج التعليمية وخيوط المنتدى وبعض النصائح الرائعة للحفاظ على أمان متجرك.

انتبه ، من أين يأتي متصفحك

متصفحك هو الوسيط المركزي بينك وبين الويب. يقوم بتخزين ملفات تعريف الارتباط وكلمات المرور وعناوين URL الخاصة بك ، مما يضمن لك استخدام واحدة تم التحقق منها من مزود موثوق به. وإلا فإن كل الجهود الأمنية غير مجدية.

منع حقن MySQL

عندما ينجح المخترقون في اختراق قاعدة بيانات MySQL. يمكنهم الوصول بهدوء إلى جميع معلومات متجرك ، وإلغاء المعاملات ، وإفساد بيانات العملاء ، وغير ذلك الكثير. للتخلص من ذلك ، يقدم Magento دعمًا موثوقًا لهزيمة جميع هجمات حقن MySQL بأحدث إصدار وتصحيحات. يُنصح بإضافة جدار حماية قوي لتطبيق الويب للحفاظ على موقع التجارة الإلكترونية الخاص بك محميًا جيدًا.

اختر استضافة Magento الصحيحة

لفترة طويلة ، يعرف أولئك الذين يستخدمون الأعمال التجارية عبر الإنترنت الآن أن الاستضافة المشتركة ليست خيارًا آمنًا لأي عمل تجاري إلكتروني ، وأن التجارة الإلكترونية ليست استثناءً. ومن ثم ، فإن منصة الاستضافة المدارة هي الخيار الصحيح لك إذا كنت لا تريد المساومة على أمن التجارة الإلكترونية في Magento. بالإضافة إلى ذلك ، تغطي الاستضافة المُدارة كامل ترقيع الخادم وأمانه وتضمن أمان Magento قويًا.

خطة نسخ احتياطي قوية

تعد خطة النسخ الاحتياطي بالضرورة العديد من النصائح من حيث الخصوصية والأمان. إذا تعرض موقع الويب للاختراق أو افترض أنه تعطل لسبب ما ، فستتأكد خطة النسخ الاحتياطي دائمًا من عدم تعرضك للاضطرابات المتعلقة بالخدمات. من خلال تخزين ملفات النسخ الاحتياطي لموقعك على الويب ، يمكنك بسهولة منع فقدان البيانات.

يعارض Magento 2 هذا على أنه يحتوي على مجموعة من أذونات نظام الملفات التي تقوم بجميع عمليات الفحص التلقائي من خلال القيام بدور معين في النظام الأساسي. بصرف النظر عن ذلك ، يجب عليك دائمًا ممارسة استخدام كل من النسخ الاحتياطية للقرص الصلب والتخزين المستند إلى السحابة لتجنب أي انقطاع.

أفضل إصلاح ممكن لموقع Magento

تم اختراق متاجر Magento عبر الإنترنت بنجاح ليس بشكل إجباري بسبب إجراءات أمان Magento غير المناسبة بدلاً من تدابير الأمان غير الكافية للبيئة بأكملها. بعبارة أخرى ، ليس Magento دائمًا هو المسؤول.

إذا فتح أي جزء من نظامك أو خادمك النافذة أمام أحد المتسللين ، فإن Magento يصبح عرضة للخطر أيضًا. من الضروري مراقبة وتحديث Magento ومكدس الخادم بالكامل ، المعروف أيضًا باسم LEMP (Linux ، MySQL ، NGINX ، PHP) أو LAMP (Linux ، MySQL ، Apache ، PHP).

سنتطرق إلى إجراءات أمان Magento لاحقًا في نهاية المقالة.

تم اختراق موقع Magento الخاص بي. ماذا علي أن أفعل للتعافي؟

الخطوة 1. تأكد من وجود الاختراق

عندما يهاجم أحد المتطفلين موقع الويب الخاص بك ، فإنه يكتسب / تحصل على جميع حقوق المكون أو النظام الذي يخترقه. على سبيل المثال ، افترض أنه / أنها دخلت إلى نظامك باستخدام NGINX ، فسيحصلون على جميع الوصول إلى بيانات www فقط ، وهو ليس مستخدمًا ذا امتياز. سيحاول المخترق المتمرس دائمًا البقاء داخل النظام بكل الوسائل. سيبحثون عن نقاط ضعف محلية أكثر سهولة لاستكشاف أي نوع من البيانات يمكنهم الوصول إليها وكيف يمكنهم رفع حقوقهم وامتيازاتهم.

هدفهم النهائي هو الدليل الجذر للخادم. بمجرد حصولهم على امتياز الجذر ، هناك خطر يتمثل في أنك لن تكون قادرًا على اكتشاف كل تلك التغييرات التي يمكن أن يقوم بها المتسللون على النظام والتي ستظل تؤثر على قدرته على الأداء. سيكون المتسللون قادرين على إخفاء كل آثارهم حتى لا تتمكن حتى من إخراجهم.

لمعرفة المدى الذي يمكن أن يصل إليه المتسللون ، يجب عليك إجراء تحليل شامل وسليم لكل نشاط وتغيير يتم إجراؤه في البيئة. هذه العملية تستغرق وقتا. الوقت الذي لا يمكنك تضييعه.

لذلك ، أنت مطالب بفهم ما إذا كان متجر Magento الخاص بك على الإنترنت قد تم اختراقه على الفور ، ويجب عليك اتخاذ تدابير لمنع أي عواقب غير مواتية.

علامات اختراق الماجنتو:

• شكاوى العملاء من نشاط البطاقة الائتمانية.
• تحذيرات القائمة السوداء.
• السلوك المنحرف لصفحة Magento.
• تم الإبلاغ عن الأنشطة الضارة من قبل مزود الاستضافة.
• تظهر الكلمات الرئيسية غير المرغوب فيها على الموقع.
• تعديلات غير معروفة في المجلدات أو الملفات.
• تعديلات داخل قلب Magento.
• تحميل غير عادي على الخادم.
• المستخدمون والجلسات الإدارية غير المعروفة.

الخطوة 2. قرر - عدم التوقف أو التوقف

بمجرد ملاحظة أي شيء من القائمة أعلاه داخل موقع Magento الخاص بك ، لا تتردد في الاتصال بشركة تطوير Magento أو مسؤول النظام الخاص بك. سيقومون بتحليل موقع الويب الخاص بك بسرعة وإخبارك بما يجري وما هو الحل.

من هناك ، سيتعين عليك اتخاذ قرار أساسي - لوضع موقع الويب الخاص بك في وضع التوقف أم لا.

فترة التوقف هي المدة التي لن يكون فيها موقع الويب الخاص بك متاحًا لكل مستخدم. تقوم بإيقاف تشغيل الخادم من الشبكة ، ولن يقوم المتجر بأي نشاط. لن يتمكن المستخدمون لديك من إجراء المدفوعات والطلبات. لن يكون المتسلل قادرًا على التحكم عن بعد في موقع الويب الخاص بك والتسبب لك في أي ضرر.

افترض أن متجرك يعمل بمئات الطلبات في الساعة. قد يؤدي التوقف لعدة ساعات إلى خسارة ربح كبيرة. ثم يمكنك محاولة إصلاح كل شيء أثناء التنقل.

ولكن إذا كنت تستطيع تحمل فترة توقف لعدة ساعات ، فنحن نقترح عليك إيقاف تشغيل الخادم من الشبكة.

الخطوة الثالثة. قم بإعداد تثبيت Magento نظيف وآمن

لذلك ، لقد تم تعطيل الخادم الخاص بك.

أنت الآن بحاجة إلى إعادة تثبيت Magento على الخادم الجديد باستخدام الإصدار النظيف والأحدث.

هذه هي الطريقة الأكثر أمانًا للتأكد من أن متجرك لن يتعرض لهجوم المتسلل نفسه وأسرع طريقة لإعادة الأعمال إلى الإنترنت حتى لا تخسر الربح.

نقترح تثبيت إصدار Magento ليس من النسخة الاحتياطية ولكن الإصدار المخزن داخل مستودع git.

لماذا نستخدم إصدار Magento من مستودع git؟

عند إنشاء متجر Magento ، فإنك تستخدم خادمًا محليًا. لا يمكن الوصول إلى الواجهة الخلفية والواجهة الأمامية لأي شخص باستثناء فريقك - المختبرين والمشرفين والمطورين وما إلى ذلك. يتم تنزيل الإصدار الأخير من المتجر من مستودع git. من هناك ، ينتقل إلى موقع ويب مباشر.

هذا يعني أن أحدث إصدار مخزن داخل مستودع git نظيف تمامًا بنسبة 99.99٪. حتى لو كانت بها نفس الثغرة الأمنية ، فقد تكون متأكدًا من أن شخصًا ثالثًا لم يصل إليها بعد. سيكون لديك الوقت للقضاء على هذه الثغرة الأمنية عند بدء تشغيل المتجر. ومع ذلك ، إذا كنت تقوم بتثبيت إصدار Magento من النسخة الاحتياطية ، فهناك خطر من أن البرنامج النصي الضار للمتسلل قد يكون موجودًا بالفعل.

الخطوة 4. قم بتثبيت كافة البرامج والتصحيحات المطلوبة.

بمجرد حصولك على خادم جديد مع تثبيت Magento نظيف ، تأكد من تثبيت جميع تحديثات البرامج وتصحيحات أمان Magento أيضًا.

التصحيح هو حزمة واحدة من الملفات الأساسية المعدلة التي تعمل على إصلاح مشكلات الأمان أو الثغرات الأمنية المكتشفة في Magento.

هناك أداة رائعة - MageReport.com - تسمح لك بالتحقق فورًا مما إذا تم تثبيت جميع التصحيحات المهمة وما هي مشكلات الأمان الأساسية التي يعاني منها موقع الويب الخاص بك.

الخطوة 5. تكوين قاعدة البيانات الجديدة.

عندما يكون لديك إعداد Magento نظيف وأحدث ، قم بتعيين أحدث إصدار من قاعدة بيانات العميل من النسخة الاحتياطية. تحتوي قاعدة البيانات هذه على أحدث المعاملات وجميع الطلبات الأخيرة التي يتم إجراؤها في متجر التجارة الإلكترونية. باستخدام هذا ، يمكنك استعادة عملك عبر الإنترنت من اللحظة التي قمت فيها بإيقاف تشغيل الخادم.

لحظة مهمة.

إذا تم اختراق متجر Magento ، فيجب عليك إبلاغ جميع المستخدمين به بغض النظر عن معلومات المستخدمين التي تخزنها. ومع ذلك ، من الناحية العملية ، نادرًا ما يكون هناك صاحب متجر يشعر بالحماس لفكرة فقدان ثقة المستخدم. هذا على الأقل.

إذا كنت تدير مدفوعات داخل متجر Magento عن طريق بوابات دفع آمنة ، فلن يتمكن المتسلل من الوصول إلى بيانات اعتماد بطاقة ائتمان المستخدمين. توفر جميع بوابات الدفع الشهيرة مثل Amazon Payments أو PayPal تشفيرًا متقدمًا. إذا كنت تقوم بتخزين بيانات الدفع الخاصة بأي عميل داخل قاعدة البيانات الخاصة بك ، فإن إبلاغ المستخدمين عن الاختراق ومطالبتهم بإبقاء أعينهم على معاملات بطاقات الائتمان الخاصة بهم أمرًا لا بد منه.

الخطوة 6. التحليل والمراقبة

لقد قمت بتكوين قاعدة البيانات وقمت بتهيئة متجرك عبر الإنترنت مرة أخرى. يمكنك قبول المدفوعات والشعور بالأمان أن المتسلل قد ترك خارج النظام.

الآن لديك الوقت لتحليل ما أدى إلى هجوم ناجح والقضاء على كل تلك الثغرات الأمنية.

نقاط ضعف Magento النموذجية

• فتح ثغرة في الخادم في "دليل تحميل الصور"
• كلمات مرور ضعيفة داخل لوحة الإدارة أو FTP (على سبيل المثال ، "company_name" ، "admin" ، "11111" ، إلخ.)
• إصدار نظام إدارة محتوى قديم أو تثبيت Magento
• مضيف ويب غير آمن
• ملحقات عربات التي تجرها الدواب أو الإضافات

إذا تسبب الاختراق في أي سلوك غير عادي لموقع Magento ، فستلاحظ ذلك بسرعة.

ولكن ، ليس كل هجوم يؤدي إلى التغيير الواضح في سلوك Magento. يمكن أن يعمل متجرك بالطريقة المعتادة ، ويمكن أن تعتقد أن كل شيء على ما يرام حتى عند حدوث اختراق. لذلك ، يجب ملاحظة سلوك الخادم الجديد لتتبع جميع عمليات تسجيل الدخول غير المعروفة ، إذا كان هناك نشاط غير معروف في السجلات إذا كان هناك نشاط مماثل يؤدي إلى القرصنة.