كيفية حماية متجر MAGENTO الخاص بك من التعرض للقرصنة

Magento هي واحدة من أكبر منصات التجارة الإلكترونية مفتوحة المصدر في العالم ، وقد أصبحت محط اهتمام المتسللين ذوي النوايا الخبيثة. بغض النظر عن حجم العمل المخصص لتأمين هذه المنصة ، سيواصل المتسللون محاولة ابتكار طرق جديدة للتهرب من الإجراءات الأمنية.

على الرغم من حقيقة أن Magento لها ميزات الأمان الخاصة بها (وهي واحدة من أفضل الميزات) ، لا تزال بحاجة إلى أن تكون استباقيًا وتتخذ إجراءات وقائية مثل عمليات تدقيق واختبارات الأمان من أجل تقييم جميع نقاط الضعف.

بصفتنا خبراء في Magento ، نتلقى العديد من الطلبات من مالكي التجارة الإلكترونية في Magento الذين يحتاجون إلى منع متاجرهم من هجمات الاختراق المستقبلية التي تعرض بيانات المستخدمين للخطر.

إذن هذا هو الموقف: ستكون المخاوف الأمنية موجودة دائمًا ، والسبب وراء رغبتنا في مشاركة مجموعة من عمليات التدقيق والخطوات المهمة التي يمكنك اتخاذها لحماية متجرك عبر الإنترنت من القرصنة.

تسرد هذه المقالة الطرق التي يمكن من خلالها لأصحاب المتاجر ومديري التسويق ومديري التجارة الإلكترونية وما إلى ذلك تنفيذ تدابير أمان Magento الأساسية.

اختر بنية تحتية استضافة آمنة

عند اختيار موفر استضافة ، تأكد من أن لديهم دورة حياة تطوير برمجيات آمنة ، وأنهم يعملون وفقًا لمعايير الصناعة (أي أفضل ممارسات أمان OWASP).

إذا كنت بصدد إنشاء موقع ويب جديد ، فقم بتشغيل الموقع عبر HTTPS. سيؤدي ذلك إلى تشفير موقعك بشكل آمن بالإضافة إلى مساعدته في الحصول على تصنيفات أعلى من Google. بالنسبة إلى موقع ويب موجود ، ننصحك بترقية الموقع ليعمل على HTTPS.

بيئة آمنة

حافظ على تحديث جميع البرامج وقم بتطبيق جميع تصحيحات الأمان الموصى بها. تصدر Magento بانتظام إصلاحات في شكل تصحيحات ، لذا يوصى بالتحقق مما إذا كانت أحدث التصحيحات مثبتة على نظامك.

قم بتعطيل FTP واستفد من الاتصالات الآمنة فقط (SSH / SFTP / HTTPS) لإدارة الملفات. السبب في أنه من المستحسن القيام بذلك هو أن بروتوكول نقل الملفات العادي ينقل البيانات بنص عادي ، مما يعني أنه يمكن الحصول بسهولة على المعلومات الحساسة مثل أسماء المستخدمين وكلمات المرور الخاصة بهم.

إذا كنت تستخدم خادمًا مختلفًا عن خادم الويب Apache ، فتأكد من حماية جميع ملفات النظام والأدلة .

السماح فقط لعناوين IP المدرجة في القائمة البيضاء بالوصول إلى لوحة الإدارة. إذا لم تكن متأكدًا من كيفية إدارة هذه الأذونات ، فاقرأ هذا.

تنفيذ المصادقة الثنائية لعمليات تسجيل دخول المسؤول. سيوفر هذا أمانًا إضافيًا يتطلب رمز مرور إضافي يتم إنشاؤه على هاتفك.

قم بتحديث برنامج مكافحة الفيروسات بانتظام واستخدم ماسحًا للبرامج الضارة لتأمين الكمبيوتر الذي تستخدمه للوصول إلى Magento Admin Dashboard.

بالإضافة إلى ذلك ، لضمان نظام تشغيل خادم آمن ، تأكد من عدم وجود برامج غير ضرورية تعمل على الخادم.

ماجنتو آمن

لتقليل التعرض للنصوص البرمجية التي قد تحاول اختراق عنوان URL الخاص بالمسؤول ، استخدم عنوان URL فريدًا للمسؤول لا يمكن تخمينه بسهولة.

استخدم كلمة مرور قوية لحساب Magento Administrator. يجب ألا تستخدم أبدًا كلمات مرور بسيطة لمشرف Magento (تواريخ الميلاد والأسماء والألقاب وما إلى ذلك) وقم بتغيير كلمات المرور الخاصة بك مرة واحدة في الشهر تقريبًا. بالإضافة إلى ذلك ، لا تشارك كلمة المرور الخاصة بك مع جهات خارجية. إذا كانت هناك حاجة لتوفير الوصول للمطورين ، فأنشئ مستخدمًا منفصلاً لهم وقم بحذفه بعد اكتمال العمل.

تحقق من المستخدمين الإداريين بانتظام للتأكد من أن الأشخاص المناسبين فقط لديهم حق الوصول إلى لوحة إدارة المتجر. قد يكون هذا هو الوقت المناسب لإزالة / حذف المستخدمين القدامى.

من الأهمية بمكان التحقق من مستوى الأذونات المناسب من أجل منع أي وصول إضافي غير مرغوب فيه إلى التجارة الإلكترونية في Magento. يضمن هذا الفحص منح كافة مجموعات المستخدمين حقوق الوصول المقصودة فقط.

التزم بإعدادات التكوين المتعلقة بالأمان في Magento لأمان المسؤول وخيارات كلمة المرور و CAPTCHA.

استخدم أحدث إصدار من Magento للاستمتاع بأحدث التحسينات الأمنية. بخلاف ذلك ، قم بتثبيت جميع تصحيحات الأمان على النحو الذي أوصت به Magento.

أخيرًا ، بعض ملحقات Magento ليست مطلوبة أو لم تعد تحتفظ بها من قبل منشئيها ، وبالتالي فهي تحتوي على نقاط ضعف. من المهم مراجعة قائمة الوظائف الإضافية الخاصة بك والتحقق مما إذا كانت محدثة أم لا. يساعد هذا في إزالة الامتدادات المهجورة وإلغاء تثبيتها.

مراقبة إشارات أو أعراض موقع ماغنتو الذي تم اختراقه

عدم توفر متجر الويب : إذا كان متجرك غير متاح باستمرار ، أو تم حظره بواسطة خدمة الاستضافة ، فربما تكون ضحية لهجوم رفض الخدمة. سيؤدي هذا النوع من الهجوم إلى إزعاج تواجدك على الإنترنت ولكنه لا يهدد سلامة بياناتك.

مشكلات لوحة الإدارة والمحتوى : إذا اكتشفت أن هناك مستخدمًا جديدًا يتمتع بحقوق المسؤول التي لم تقم بإنشائها ، أو لاحظت التغييرات التي تم إجراؤها على محتوى متجرك ، أو ربما لا تتمكن حتى من تسجيل الدخول ، فقد تكون تعاني من مشكلة خطيرة هجوم خطير على موقع الويب الخاص بك وعملك (اختراق لوحة المشرف)

ضعف الأداء : يهدف هجوم Hacked Redirect إلى الاستيلاء على حركة مرور متجرك وتعريض عملائك للبرامج الضارة أو هجمات التصيد الاحتيالي أو الرسائل الإعلانية غير المرغوب فيها. إذا لاحظت أن متجرك لم يظهر في محركات البحث أو تمت إعادة توجيهه إلى صفحات غير مرغوب فيها ، فاتخذ إجراءً ، فربما تم اختراقك.

تم الإبلاغ عن سرقة البيانات : لقد تعرضت لهذا الهجوم إذا أبلغ عملاؤك عن أنشطة مشبوهة بحساباتهم ، أو إذا تمت سرقة بيانات اعتماد بطاقة الائتمان الخاصة بهم. هذه هجمات تستند إلى البريد الإلكتروني بقصد الوصول إلى البيانات وسرقة الهوية.

لا حاجة لملاحظة مدى الضرر الذي قد يؤثر على موقع التجارة الإلكترونية الخاص بك.

• قم بمراجعة سجلات الخادم بشكل دوري بحثًا عن أي نشاط مشبوه.
• تحقق مما إذا تم إنشاء أي مستخدمين إداريين غير مصرح لهم. يمكنك مراقبة سجل إجراءات المسؤول.
• تحقق من سلامة البيانات للملفات الموجودة على الخادم لتجنب تثبيت البرامج الضارة المحتملة.
• راقب جميع عمليات تسجيل الدخول إلى النظام (FTP ، SFTP ، SSH) بحثًا عن نشاط أو تحميلات أو أوامر غير متوقعة

ضع خطة استرداد

حتى إذا قمت بتطبيق إجراءات أمنية صارمة ، قم بإنشاء خطة استرداد / استمرارية العمل لأسوأ سيناريو. من الضروري الاحتفاظ بنسخة احتياطية من بيانات متجر الويب بالكامل. سيساعد ذلك في استعادة متجرك الإلكتروني في حالة فقد البيانات.

تأكد من وجود نسخ احتياطية من قاعدة البيانات وملفات الخادم في موقع خارجي. تأكد من أخذ هذه النسخ الاحتياطية بشكل صحيح وإمكانية استعادتها.

في حالة حدوث هجوم ، بغض النظر عن صغر حجمه ، قم بإعادة تعيين جميع بيانات الاعتماد بما في ذلك بيانات الاعتماد ، والوصول إلى الملفات ، ومفاتيح تشفير بوابة الدفع ، وخدمات الويب وتسجيل دخول مسؤول Magento ، و FTP ، و SSH ، إلخ.