أهم استراتيجيات الأمان لحماية متجر Magento الخاص بك

نشرت: 2018-03-21

(هذا منشور ضيف من أصدقائنا في JetRails ، وهو مزود استضافة Magento يقدم تكوينات العملاء على خوادم مخصصة في سحابة AWS.)

تعد واجهة متجر Magento هدفًا ذا قيمة عالية للمتسللين وتتطلب إجراءات أمنية صارمة لتقليل نقاط ضعفها. كمزود مخصص لاستضافة Magento ، غالبًا ما يتم استدعاء JetRails كمستجيبين للطوارئ لمكافحة الهجمات الضارة. لدينا خبرة مباشرة مع التأثير الكارثي الذي يمكن أن يحدثه خرق أمني على عملك.

يعد اتباع أفضل الممارسات والبروتوكولات الأمنية هو أفضل دفاع في حماية واجهة متجر Magento الخاصة بك. استخدم قائمة التحقق هذه كدليل لإجراءات السلامة من التهديدات الأكثر شيوعًا بما في ذلك حقن التعليمات البرمجية الضارة والبرامج الضارة وهجمات القوة الغاشمة و DDoS المخيف.

أفضل ممارسات أمان Magento

راجع قائمة التحقق الخاصة بنا لأفضل ممارسات أمان Magento لضمان حمايتك من التهديدات الأكثر شيوعًا عبر الإنترنت.

تأمين المواقع الافتراضية

يحتوي كل تثبيت لـ Magento على العديد من المجلدات الخلفية المستخدمة للأغراض الإدارية. توجد نقاط الإدخال هذه افتراضيًا في / admin و / downloader و / var ونقاط نهاية / rss المختلفة. نظرًا لأن هذه المجلدات تم تعيينها في مواقع محددة ومعروفة ، فيمكن أن تكون مدخلاً للهجمات الضارة على موقعك. يمكن أن تؤدي هجمات القوة الغاشمة على مسارات الإدارة إلى وضع ضغط هائل على مواردك - مما يحد من قدرة الزائر ويؤثر على السرعة ويقوض الاستقرار. هذه مشكلة ترتبط ارتباطًا وثيقًا بتثبيتات Magento 1.x مقابل تثبيتات Magento 2.x (التي تتطلب بروتوكول الأمان هذا تلقائيًا). يؤدي حظر الوصول وتخصيص مسارات المسؤول وتأمينها إلى زيادة صعوبة استغلال المتسللين لهذه الثغرة الأمنية.

توثيق ذو عاملين

تضيف المصادقة الثنائية المعروفة أيضًا باسم 2FA مستوى ثانيًا من الحماية لمصادقة بيانات اعتماد تسجيل الدخول للمستخدمين الإداريين وهي عنصر حاسم لأمن Magento. مع تثبيت Magento Stock ، يُمنح المستخدم طريقة واحدة فقط للمصادقة ذات قيود أمنية. أصبحت إضافة المصادقة ذات العاملين من أفضل الممارسات على مستوى الصناعة وهي ضرورية لتأمين موقع الويب الخاص بك. يمكن العثور على مكونات Magento 2FA الإضافية في Magento Marketplace بما في ذلك Magento Two-Factor Authentication بواسطة JetRails.

جدار حماية تطبيقات الويب

سيسمح لك استخدام جدار حماية تطبيقات الويب (WAF) مثل Cloudflare's ، بردع الثغرات الأمنية عن طريق حظر حركة المرور الضارة قبل أن تصل فعليًا إلى الخادم الخاص بك. يمكن لـ WAF تصفية حركة المرور الواردة ومراقبتها وحظرها بناءً على قواعد محددة تقوم بتكوينها. على سبيل المثال ، يسمح لك Geoblocking بالحد من وصول الروبوت و / أو وصول الإنسان من مناطق عالمية محددة. ميزة أخرى لـ Cloudflare WAF هي الذكاء الجماعي ، الذي يسمح لك بحظر ليس فقط حركة المرور التي حددتها على أنها ضارة ولكن أي حركة مرور يعتبرها مجتمع Cloudflare بأكمله ضارة. بالإضافة إلى ذلك ، يمكن أن يوفر WAF بعض الحماية ضد تصحيحات Magento غير المطبقة. ومع ذلك ، من المهم جدًا أن يكون لديك دائمًا أحدث تصحيحات أمان Magento مثبتة مقابل الاعتماد حصريًا (حتى على جدار حماية متطور للغاية).

تحديث تصحيحات Magento

يوفر برنامج Magento مفتوح المصدر لمجتمعات التجارة الإلكترونية مرونة هائلة لتخصيص مواقعهم وتلبية احتياجات عملائهم. ومع ذلك ، فإن المسؤولية عن اتباع بروتوكولات الأمان وتحديث تصحيحات الأمان وردع الثغرات الأمنية تتطلب اتخاذ إجراء من جانب مالكي واجهات المتجر وفريق التطوير.

عند اكتشاف ثغرة أمنية ، يقوم مطورو Magento بإجراء تغييرات طفيفة على سطر معين من التعليمات البرمجية. تم إرسال هذا التعديل في الكود بواسطة Magento كتصحيح أمان ليتم تثبيته ذاتيًا. يدرك المخترقون هذه الثغرات أيضًا ، مما يعني أنه يجب تثبيت تصحيحات الأمان بمجرد إصدارها. مورد رائع للاستخدام هو MageReport ، والذي سيتحقق من موقعك لتحديد ما إذا كانت هناك حاجة إلى تثبيتات تصحيح Magento. يمكن أيضًا العثور على تحديثات أمان التصحيح في Magento Security Center. يجب أن يقوم شركاؤك في مجال التكنولوجيا بتنبيهك عند توفر التصحيحات.

المكونات الإضافية لجهات خارجية

يمكن لمكونات الطرف الثالث لـ Magento إنشاء خيارات لا حصر لها لتحسين واجهة متجرك وتجربة العملاء. ومع ذلك ، يمكن أن تتسبب إضافة الميزات أيضًا في حدوث ثغرات أمنية غير متوقعة. لضمان الحفاظ على الأمان بعد تثبيت المكونات الإضافية لجهات خارجية ، سيحتاج المطور الخاص بك إلى التحقق يدويًا من جميع البائعين والتطبيقات للحصول على التحديثات. يجب مراقبة المكونات الإضافية للجهات الخارجية وتصحيحها بعناية عند الكشف عن الثغرات الأمنية. أصبح Magento Marketplace أكثر صرامة في فحص المكونات الإضافية لـ Magento 2 ولكن نفس المبدأ ينطبق على كل من Magento 1 و Magento 2.

إصدارات OS / PHP

تمامًا مثل تثبيت Magento الخاص بك ، يجب أن يكون نظام تشغيل الخادم لديك محدثًا بأحدث نواة وتصحيحات الأمان. يمكن أن يؤدي عدم القيام بذلك إلى ثغرات أمنية كبيرة مثل ثغرات Meltdown و Specter التي تم الكشف عنها في أوائل عام 2018 ، والتي سمحت للشفرة الخبيثة بقراءة ذاكرة kernel.

هذا ينطبق أيضًا على PHP ، التي تقرأ وتنفذ شفرة مصدر Magento. كل تكرار جديد لـ PHP يؤمن الثغرات الأمنية التي تم الكشف عنها في الإصدارات اللاحقة. بالإضافة إلى ذلك ، لن تجتاز إصدارات PHP القديمة عمليات فحص توافق PCI.

من الأهمية بمكان العمل مع موفر خدمة مُدار يكون مسؤولاً عن صيانة حزمة البرامج بالكامل ، بما في ذلك kernel والخدمات ذات الصلة.

التوافق مع PCI

ينطبق معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) على الشركات من أي حجم والتي تقبل مدفوعات بطاقات الائتمان. نظرًا لأن معظم واجهات متاجر Magento تتعامل مع حسابات العملاء ، فمن الحكمة تلبية معايير الامتثال PCI. إذا كانت شركتك تنوي قبول الدفع بالبطاقة ومعالجة بيانات حامل بطاقة العميل ، فأنت بحاجة إلى استضافة بياناتك بأمان مع مزود استضافة متوافق مع PCI أيضًا. يمكن أن يؤدي إجراء فحص PCI من خلال بائع معتمد مثل Trustwave إلى الكشف عن تحديات الأمان التي قد تعيق قدرتك على الحصول على توافق PCI.

الوصول الأقل امتياز

يعتبر مفهوم Least Privilege Access من اعتبارات التصميم المهمة الأخرى في تأمين موقع Magento الخاص بك من السلوك الضار. يتطلب هذا المبدأ منح المستخدمين حق الوصول فقط إلى الحد الأدنى من مجموعة فرعية من الوظائف اللازمة لأداء مهمة محددة. على سبيل المثال ، يجب أن يتمتع الموظفون في قسم الشحن بإمكانية الوصول إلى وظائف الشحن فقط ؛ وبالمثل ، يجب أن يكون لدى العاملين في الفوترة فقط القدرة على التأثير في الفواتير. باستخدام مجموعة من أذونات القراءة فقط والأقسام المنفصلة ، سيتم تحسين أمان بيانات العميل الحساسة.

أمن الدخول

يجب تغيير كلمات المرور بانتظام وعدم مشاركتها. تعتبر ممارسة بروتوكولات كلمات المرور الجيدة أمرًا ضروريًا للأمان. لا ترسل كلمات مرور في رسائل بريد إلكتروني نصية واضحة أو رسائل نصية قصيرة أو رسائل فورية أو تذاكر دعم أو بأي طريقة أخرى غير مشفرة. للوصول إلى النظام ، ليس من الجيد عادةً السماح بمصادقة كلمة المرور لمستخدمي shell أو SFTP. كلما أمكن ، استخدم مفاتيح SSH بدلاً من كلمات المرور.

يعد LastPass مصدرًا رائعًا لتخزين كلمات المرور بأمان ، وهو نظام إدارة مجاني يعمل على كل متصفح وجهاز محمول. يمكنه أيضًا إنشاء كلمات مرور آمنة ويوفر أقوى معايير التشفير المتاحة حاليًا.

حماية بيئة التطوير الخاصة بك

من المهم جدًا تقييد الوصول إلى بيئة التطوير الخاصة بك من أي شخص آخر غير مطوريك. تذكر أن بيئة التطوير الخاصة بك هي مرآة لموقع الإنتاج (المباشر) الخاص بك مع معلومات قيمة بنفس القدر. في كثير من الأحيان ، سيعيد المطورون استخدام كلمات المرور ومفاتيح SSH في كل من dev و prod ، لذلك من الضروري الحفاظ على نفس بروتوكولات الأمان الصارمة في كلتا البيئتين.

أحط نفسك بفريق عظيم

توفر كل خطوة من هذه الخطوات طبقة مختلفة من الحماية ويمكن دمجها في إستراتيجية أمان لمساعدتك على التخفيف من المخاطر والقضاء على التهديدات لواجهة متجر Magento. يعد العمل مع شركة استضافة جيدة وفريق تطوير قوي أمرًا أساسيًا في تحقيق خطة أمنية قوية. في نهاية اليوم ، يتعلق تأمين موقع التجارة الإلكترونية الخاص بك بحماية أصولك وعملائك وسمعتك.

نبذة عن الكاتب: Davida Wexler ، مدير التسويق بشركة JetRails

دافيدا ويكسلر - JetRails

Davida Wexler هو مدير التسويق لشركة JetRails ، وهو مزود استضافة Magento يقدم تكوينات مخصصة على خوادم مخصصة وفي سحابة AWS. من خلال مكاتبها في شيكاغو ، تركز JetRails على الأمان والتسريع والأداء لمنصات التجارة الإلكترونية. الشركة متحمسة لمساعدة عملائها على النمو ودفع نجاح Magento. في نهاية اليوم ، يعتقدون أن التجارة الإلكترونية تدور حول الأشخاص وليس الخوادم. * Davida ليس موظفًا في nChannel. هي مدون ضيف.