قائمة مراجعة أمان WooCommerce الكاملة (دليل 2022)

نشرت: 2021-03-23

الأمن هو الشغل الشاغل لأي متجر للتجارة الإلكترونية. بعد كل شيء ، لا تحتاج فقط إلى الحفاظ على أمان المحتوى الخاص بك ، بل تحتاج أيضًا إلى حماية معلومات العملاء وبيانات الطلب.

لذلك إذا كنت تفكر في بدء متجر عبر الإنترنت ، أو إذا كان يمثل بالفعل جزءًا من دخلك ، فقد حان الوقت للتأكد من أنك قد أمنت عملك بالكامل.

لماذا تتطلب المتاجر عبر الإنترنت قدرًا أكبر من الأمان

عندما تبيع عبر الإنترنت ، فأنت تتعامل مع الكثير من المعلومات الحساسة: الأسماء الشخصية وأرقام بطاقات الائتمان والعناوين وغير ذلك. يقوم المتجر النشط بجمع معلومات جديدة طوال الوقت ، بحيث يكون لديك مجموعة متزايدة من البيانات التي تتحمل مسؤوليتها.

التأكد من أن موقعك يتمتع بأعلى مستويات الأمان سيمكنك من:

  • حماية المعلومات الشخصية لعملائك من المتسللين والمهاجمين ، مما يسمح للعملاء بالتسوق بثقة ؛
  • حماية تدفق الدخل الخاص بك من الانقطاعات وفقدان المبيعات ؛
  • الاحتفاظ بجميع بيانات المبيعات الدقيقة للأغراض الضريبية والقانونية ؛
  • الحفاظ على علامتك التجارية وسمعتك كشركة يمكن الوثوق بها ؛ و
  • تجنب التكاليف المتعلقة بإعادة بناء عملك بعد الاختراق ، مثل فقدان المبيعات بسبب التوقف ، والمبالغ المستردة بسبب الطلبات غير المستوفاة ، وتكاليف إصلاح موقع الويب

كيفية التعرف على الاختراق

يمكن أن يتخذ الاختراق أشكالًا عديدة ، وقد لا تدرك حتى أنه تم اختراق موقعك على الفور.

لتحديد الاختراق ، ابحث عن:

  • حسابات مشرف جديدة لم تقم بإنشائها.
  • روابط غير مرغوب فيها إلى برامج ضارة في التعليقات أو أوصاف المنتجات أو المراجعات.
  • مربعات التنبيه أو الروابط غير العادية التي تعيد التوجيه إلى مواقع الجهات الخارجية.
  • تنبيهات من Google بأنه تم وضع علامة على متجرك.
  • رسائل بريد إلكتروني للعملاء غريبة أو غير متوقعة أو مفقودة.
  • أوقات تحميل بطيئة جدًا أو أخطاء في المهلة.

لكن معظم أصحاب الأعمال مشغولون جدًا في العمل على المخزون أو التسويق أو تلبية الطلبات بحيث يتعذر عليهم المراقبة المستمرة للمشكلات أو الاختراقات. هذا هو السبب في أن أول شيء يجب عليك إضافته هو مراقبة وقت التوقف عن العمل ، والذي يتحقق تلقائيًا من أن موقعك يعمل بشكل جيد وينبهك إذا لم يكن كذلك. يتيح لك ذلك اتخاذ الإجراءات فورًا لإصلاح واستعادة متجرك عبر الإنترنت.

يمكنك أيضًا الاستفادة من Jetpack Scan ، وهو مكون إضافي لفحص البرامج الضارة يقوم تلقائيًا بفحص متجرك بحثًا عن الاختراقات حتى لا تقلق! ستتلقى تنبيهًا إذا وجد شيئًا خاطئًا ويمكنك حتى إصلاح غالبية التهديدات المعروفة بنقرة واحدة فقط.

تعرض لوحة معلومات Jetpack Scan التقدم الحالي في مسح البرامج الضارة

قائمة فحص الأمان الكاملة لـ WooCommerce (14 خطوة)

من الأفضل دائمًا إيقاف الاختراقات قبل حدوثها. إذا كان بإمكانك الإجابة بـ "نعم" على الأسئلة التالية ، فأنت تبدأ بداية ممتازة!

1. هل تستضيف مع مزود آمن وذو سمعة طيبة؟

مضيفك هو خط الدفاع الأول ضد الهجمات. إذا لم يكن لديهم إجراءات أمنية مناسبة ، فقد تكون ملفاتك وقاعدة بياناتك معرضة للخطر ، حتى لو فعلت كل شيء بشكل صحيح.

عند اختيار مضيف ، ابحث عن مضيف به:

  • جدار حماية مدمج . يتحكم جدار الحماية في من يمكنه الوصول إلى خادمك ومن لا يستطيع ، مما يجعل المتسللين والروبوتات بعيدًا عن ملفات موقع الويب الخاص بك.
  • عمليات الفحص الأمني . يقوم العديد من المضيفين بفحص جميع المواقع على الخادم الخاص بهم بانتظام ويعلمونك إذا لاحظوا أي شيء مريب ، مثل البرامج الضارة. يقوم بعض مقدمي الخدمة حتى بإصلاح هذه المشكلات نيابةً عنك ، مقابل رسوم إضافية في كثير من الأحيان.
  • النسخ الاحتياطية . بينما تريد أيضًا إنشاء نسخ احتياطية خاصة بك (المزيد حول ذلك لاحقًا) ، فمن الجيد أن يكون لديك نسخ متعددة من موقعك. تقوم العديد من شركات الاستضافة بتضمين نسخ احتياطية في خططها ، بينما يقدمها البعض الآخر كترقية مدفوعة.
  • فريق دعم ممتاز . إذا واجهت مشكلة ، فأنت تريد وجود خبراء لمساعدتك في معرفة الخطوات التالية. تأكد من أن مضيفك لديه فريق دعم رائع يمكن الوصول إليه من خلال الطريقة الأكثر ملاءمة لك (الدردشة المباشرة ، الهاتف ، إلخ.)
  • سمعة طيبة . تحقق من التقييمات من العملاء الحقيقيين وتعرف على تجاربهم. هذه هي الطريقة الأكثر دقة للتعرف على مزود الاستضافة.

لست متأكدا من أين تبدأ؟ وضعت WooCommerce معًا قائمة بشركات الاستضافة الموصى بها والتي تم فحصها جميعًا بدقة.

2. هل لديك شهادة SSL؟

تقوم شهادة SSL (Secure Socket Layer) بتشفير المعلومات المرسلة من عملائك إلى موقع الويب الخاص بك والمصادقة على هوية موقعك. هذا بمثابة حماية مهمة للمعلومات مثل بيانات بطاقة الائتمان والعناوين. تعتبره Google أيضًا عند تحديد تصنيفات محرك البحث.

يقدم معظم المضيفين شهادات SSL مجانًا ، على الرغم من أن البعض يتقاضى رسومًا قليلة نسبيًا.

3. هل تستخدم إصدارات آمنة ومأمونة من السمات والإضافات؟

المكونات الإضافية والقوالب الفارغة هي إصدارات مقرصنة من المكونات الإضافية والسمات المتميزة ويتم تقديمها مجانًا أو بسعر منخفض. فهي ليست مدعومة فحسب ، بل إنها غير محدثة أيضًا ، لذا يمكن أن تتعارض مع WordPress أو المكونات الإضافية الأخرى. والأكثر إثارة للقلق ، أنها عادةً ما تكون مليئة بالبرامج الضارة التي يمكن أن تعرض موقعك وبيانات العملاء للخطر.

قم دائمًا بتنزيل المكونات الإضافية والسمات من مصادر موثوقة ، مثل مستودع WordPress أو سوق WooCommerce.

يتميز WooCommerce Marketplace بمجموعات الامتدادات المميزة
مجموعات الامتدادات المميزة في WooCommerce Marketplace

4. هل تم تحديث كل شيء على موقع WordPress الخاص بك؟

لا تتضمن تحديثات WordPress والقوالب والمكونات الإضافية دائمًا ميزات جديدة فقط ؛ غالبًا ما يصلحون الأخطاء ونقاط الضعف التي يمكن للقراصنة الاستفادة منها. قم دائمًا بإجراء التحديثات عندما تكون متاحة للحفاظ على أمان موقعك وتجنب التعارضات.

لا تريد تتبع التحديثات؟ لدى Jetpack خيار لأتمتة هذه العملية.

5. هل تستخدم أحدث إصدار من PHP؟

تتم كتابة الجزء الأكبر من نواة WordPress بلغة PHP ، وهي لغة برمجة. يجب عليك تحديث إصدار PHP الذي يستخدمه موقعك لنفس السبب الذي يجعلك تقوم بتحديث السمات والإضافات: للحماية من الأخطاء ونقاط الضعف.

يمكنك تحديث إصدار PHP الخاص بك في إعدادات المضيف ، أو مطالبة مزود الاستضافة الخاص بك بالاعتناء بذلك نيابة عنك. عرض أحدث متطلبات WordPress.

6. هل راجعت أذونات المستخدم الخاصة بك؟

يتم تعيين دور لكل مستخدم WordPress ، والذي يتضمن مجموعة من القدرات التي تسمح لهم بأداء مهام معينة على موقع الويب الخاص بك. يتمتع المسؤولون بحق الوصول الكامل إلى كل شيء ويمكنهم إجراء أي تغييرات يرغبون فيها ؛ بصفتك صاحب متجر ، يجب أن يكون هذا هو دورك. ومع ذلك ، لا يمكن للعملاء الوصول إلى الواجهة الخلفية لموقعك ، ولكن يمكنهم تعديل معلومات حساباتهم وعرض الطلبات الحالية والسابقة. انظر القائمة الكاملة لأدوار المستخدم والأذونات.

من وقت لآخر ، قم بمراجعة وتنظيف حسابات المستخدمين الخاصة بك. يجب أن يكون لدى كل مستخدم الحد الأدنى فقط من الأذونات اللازمة للقيام بعمله ، وإذا كنت لا تعمل مع شخص ما بعد الآن ، فتأكد من إزالة حسابه. على سبيل المثال ، إذا كنت تعمل مع وكالة تطوير الويب لبناء موقعك واكتمل المشروع ، فربما تريد حذف حساباتهم ما لم تكن التحديثات المتسقة ضرورية في المستقبل.

7. هل تستخدم اسم مستخدم وكلمة مرور آمنين؟

غالبًا ما يستخدم المتسللون الروبوتات لتجربة الآلاف من مجموعات أسماء المستخدمين وكلمات المرور المختلفة حتى يعثروا على المجموعة الصحيحة (وهذا ما يسمى هجوم القوة الغاشمة.) وكلما كان تخمين كلمة المرور أسهل ، زاد احتمال وصول المتسلل إلى متجرك.

تحتوي كلمة المرور الجيدة على حرف كبير وحرف صغير ورقم ورمز ، ولا يقل طولها عن 20 حرفًا. تأكد من قيام كل مستخدم إداري ، على الأقل ، بتنفيذ هذا النوع من كلمة المرور.

عندما يتعلق الأمر بأسماء المستخدمين ، تجنب العناوين الشائعة مثل "المسؤول" أو "المسؤول". بدلاً من ذلك ، قم بإنشاء اسم مستخدم محدد لكل شخص.

8. هل فكرت في تغيير عنوان URL الخاص بتسجيل الدخول؟

بشكل افتراضي ، يمكن الوصول إلى كل صفحة تسجيل دخول إلى WordPress على عنوان URL / wp-admin الخاص بك. إذا كنت تريد وضع إجراءات أمان إضافية في مكانها الصحيح ، فقد ترغب في تغيير عنوان URL لجعل الأمر أكثر صعوبة على المهاجمين لتخمين عنوان URL هذا. يمكنك القيام بذلك عن طريق تحرير ملف htaccess الخاص بك ، أو إذا لم تكن مرتاحًا لتغيير التعليمات البرمجية ، فاستخدم مكونًا إضافيًا مثل WP Hide Login.

9. هل قمت بتمكين المصادقة الثنائية للمسؤولين؟

تضيف المصادقة ذات العاملين طبقة إضافية من الأمان إلى صفحة تسجيل الدخول الخاصة بك. لتسجيل الدخول ، ليس عليك فقط معرفة شيء ما (اسم مستخدم وكلمة مرور) ، بل يتعين عليك أيضًا امتلاك شيء ما فعليًا (جهازك المحمول). هذا يقلل بشكل كبير من احتمال دخول المتسلل إلى متجرك.

Jetpack يجعل المصادقة الثنائية سهلة. عند تسجيل الدخول إلى موقعك ، ستتلقى رمزًا خاصًا يُستخدم لمرة واحدة على هاتفك ، وسيتعين عليك إدخاله لإكمال عملية تسجيل الدخول. يمكنك حتى أن تطلب من جميع المستخدمين إعداد هذا. تعرف على المزيد حول المصادقة ذات العاملين.

10. هل تمنع هجمات القوة الغاشمة؟

كما ناقشنا سابقًا ، تحدث هجمات القوة الغاشمة عندما يستخدم المتسللون برامج الروبوت لاختبار مجموعات من أسماء المستخدمين وكلمات المرور مرارًا وتكرارًا حتى يعثروا على الاسم الصحيح. لا يؤدي هذا إلى تعريض متجرك وبيانات العملاء للخطر فحسب ، بل قد يؤدي أيضًا إلى إبطاء موقع الويب الخاص بك.

وحدة توضح العدد الإجمالي للهجمات الضارة المحظورة على أحد المواقع

لكن Jetpack يقوم تلقائيًا بحظر هذه الهجمات قبل أن تصل إلى موقعك ، لذلك لا داعي للقلق.

11. هل تقوم بمسح موقعك بحثًا عن برامج ضارة؟

ماذا لو قام شخص ما بالوصول إلى موقعك وقام بحقن برامج ضارة؟ كنت تريد أن تعرف على الفور حتى تتمكن من إزالة تلك البرامج الضارة وإصلاح المشكلة في أسرع وقت ممكن. لكن المتسللين متسترون - ليس من الواضح دائمًا أنهم دخلوا.

يقوم Jetpack Scan بتنبيهك بأي نشاط مشبوه على الفور ، وبما أن المسح يتم على خوادم Jetpack ، يمكنك الوصول إلى موقعك حتى في حالة تعطله. كما يوفر أيضًا إصلاحات بنقرة واحدة لمعظم التهديدات المعروفة.

12. هل تم إعداد عامل تصفية البريد العشوائي؟

التعليقات غير المرغوب فيها ليست مزعجة فقط ؛ كما أنها تجعلك تبدو غير محترف ويمكن أن تحتوي على روابط توجه عملائك إلى مواقع مليئة بالبرامج الضارة. لكن فرز مئات التعليقات أسبوعيًا أمر محبط ويستغرق وقتًا طويلاً.

رسم بياني يظهر البريد العشوائي المحظور على موقع WordPress

هذا هو المكان الذي يأتي فيه Jetpack Anti-spam! يتخلص تلقائيًا من البريد العشوائي من التعليقات والنماذج ، لذلك لن تضطر أبدًا إلى رؤيته. ستوفر الوقت وتحمي موقعك وتوفر تجربة مستخدم أفضل مرة واحدة.

13. هل تراقب موقعك من أجل التوقف؟

إذا تعطل موقعك ، فقد يكون ذلك مؤشرًا على حدوث اختراق. وكلما طالت فترة انخفاضه ، زادت المبيعات التي تخسرها. تريد استعادته وتشغيله مرة أخرى في أسرع وقت ممكن!

تقدم Jetpack مراقبة مجانية لوقت التوقف عن العمل تقوم بفحص موقعك من مواقع حول العالم كل خمس دقائق. إذا كان موقعك معطلاً ، فستتلقى إشعارًا فوريًا حتى تتمكن من حل المشكلة على الفور.

14. هل لديك نسخ احتياطية منتظمة خارج الموقع تم إعدادها؟

إذا حدث شيء ما لموقعك ، فإن أفضل حماية يمكنك الحصول عليها هي النسخ الاحتياطي الكامل الذي يمكنك استعادته بسرعة وسهولة. حتى إذا كان مضيفك يقدم نسخًا احتياطية ، فمن المهم أن تقوم بعمل نسخ احتياطية خاصة بك. لماذا ا؟ لأنه إذا تم اختراق خادمك ، فقد يتم أيضًا اختراق أي نسخ احتياطية مخزنة هناك.

النسخ الاحتياطي قيد التقدم في متجر WooCommerce

Jetpack Backup هو حل ممتاز. يوجد خياران للخطة:

  1. النسخ الاحتياطية اليومية ، والتي تحفظ نسخة من موقعك مرة واحدة في اليوم.
  2. النسخ الاحتياطية في الوقت الفعلي ، والتي تحفظ نسخة من موقعك في كل مرة تقوم فيها بتحديث صفحة أو نشر منشور جديد أو إجراء عملية بيع. هذه مفيدة بشكل خاص للمتاجر عبر الإنترنت ، لأنه لا داعي للقلق بشأن فقد معلومات الطلب.

يخزن Jetpack ملفات النسخ الاحتياطي في مواقع متعددة ، منفصلة تمامًا عن موقعك. هذا يعني أنه إذا تم اختراق خادمك ، فلن يتم اختراق النسخ الاحتياطية. وفي معظم الحالات ، يمكنك حتى استعادة نسخة احتياطية إذا كان موقعك معطلاً تمامًا!

كيف تتعافى في أسوأ سيناريو

إذا كان متجرك عبر الإنترنت يحتوي على برامج ضارة وكان لديك Jetpack Security ، فستتلقى إشعارًا حتى تتمكن من معالجة المشكلة على الفور. يجب أن تكون خطوتك الأولى هي التحقق من سجل النشاط الخاص بك ، حيث يمكنك رؤية قائمة كاملة بكل ما حدث على موقعك. يمكنك استخدام هذه المعلومات لتحديد وقت حدوث الاختراق عن طريق التحقق من وجود نشاط مشبوه مثل عمليات تسجيل الدخول غير المألوفة والصفحات المحررة.

سجل نشاط يعرض كل ما حدث على موقع WordPress

بعد ذلك ، فإن أسرع طريقة للاسترداد هي Jetpack Backup. بنقرات قليلة فقط ، يمكن أن يعود موقعك للعمل مرة أخرى بأقل فترة توقف. كل ما عليك فعله هو تحديد نسخة احتياطية من قبل الاختراق وانتظر حتى تتم استعادتها. نعم ، هذا كل شيء!

بمجرد تشغيل إصدار نظيف من متجرك ، استخدم Jetpack Scan للتأكد من عدم وجود برامج ضارة متبقية على موقعك. يحل Jetpack غالبية التهديدات المعروفة ، لذلك إذا تم العثور على أي شيء ، فلن تحتاج على الأرجح إلى القلق بشأن استكشاف الأخطاء وإصلاحها.

أخيرًا ، خذ الوقت الكافي لتأمين موقعك عن طريق تغيير جميع كلمات المرور والتحقق من تحديث السمات والمكونات الإضافية والملفات الأساسية.

هل تحتاج الى مساعدة؟ يتضمن Jetpack Security دعمًا ذا أولوية من فريق تقني متمرس يمكنه توجيهك في الاتجاه الصحيح.

حافظ على أمان متجر WooCommerce الخاص بك

سيضمن أخذ الوقت الكافي لتأمين متجر WooCommerce الخاص بك بالكامل أن يتمكن عملاؤك من التسوق بثقة وأنك لن تقلق بشأن بياناتك أو سمعتك.

وإحدى أفضل الطرق للقيام بذلك هي الجمع بين Jetpack Security و WooCommerce - إنه أمر منطقي! إنهما مكونان من مكونات WordPress الثابتة والمحترمة التي تعمل بشكل متزامن لحماية موقع الويب الخاص بك وإضافة ميزات. معًا ، يعنيان عددًا أقل من الأجزاء المتحركة ، ومكونات إضافية خارجية أقل ، وراحة بال أكبر لك بصفتك صاحب عمل.

أسئلة مكررة

هل يمكن اختراق موقع WooCommerce؟

نعم ، مثل أي موقع آخر ، يمكن اختراق متجر WooCommerce. ومع ذلك ، يتضمن WordPress و WooCommerce ميزات ستساعد في حماية المحتوى الخاص بك وبيانات العملاء. وعندما تضع بعض إجراءات الأمان الأساسية في مكانها - مثل اختيار مضيف جيد ، وتحديث الأشياء ، وتثبيت أفضل مكون إضافي للأمان - يمكنك الراحة بسهولة ، مع العلم أن موقعك في أيد أمينة.

هل تحتاج إلى SSL لموقع ويب WooCommerce؟

تقوم شهادة SSL بتشفير المعلومات (مثل بيانات بطاقة الائتمان والعناوين) التي يتم إرسالها على موقعك ، مما يجعلها في مأمن من الأطراف السيئة. إذا تم الوصول إلى هذه المعلومات من قبل متسلل ، فقد يعرض ذلك عملك لخطر قانوني ويلحق الضرر بسمعتك. كما أن شهادة SSL لا تحميك أنت وعملائك فحسب ، بل إنها مهمة أيضًا لتصنيفات محرك البحث لديك.

على الرغم من أن شهادة SSL موصى بها لأي موقع ويب ، إلا أنها أكثر أهمية للمتاجر عبر الإنترنت بسبب نوع البيانات التي تجمعها لمعالجة المعاملات.

ما هي شهادة SSL الأفضل لمواقع WooCommerce؟

يقوم معظم مزودي الاستضافة الرئيسيين بتضمين شهادة SSL في خططهم ، بينما يوفرها الآخرون مقابل رسوم إضافية. عادةً ما يكون من السهل تثبيتها ببضع نقرات.

ومع ذلك ، إذا كان مضيفك لا يقدم ذلك ، فنحن نوصي باستخدام Let's Encrypt. إنها خدمة موثوقة ، تقدم شهادات SSL مجانية لدعم شبكة ويب أكثر أمانًا. ملاحظة: تأتي العديد من شهادات SSL المضمنة في خطط الاستضافة من Let's Encrypt.

تعرف على المزيد حول تثبيت شهادة SSL في متجر WooCommerce الخاص بك.

كيف أقوم بفرض HTTPS على موقع ويب WooCommerce؟

عندما تضيف بنجاح شهادة SSL إلى متجرك ، فإنها تغير عنوان URL الخاص بك من http://example.com إلى https://example.com. يرمز الحرف "s" في "https" إلى SSL.

عندما تقوم بفرض HTTPS على متجرك ، فإن الزائر الذي يكتب في إصدار "http" من موقعك ستتم إعادة توجيهه تلقائيًا إلى إصدار "https". هذا يضمن تشفير كل شيء بشكل صحيح لكل متسوق.

يمكنك إما فرض HTTPS عن طريق إضافة بضعة أسطر من التعليمات البرمجية إلى ملف htaccess الخاص بك أو باستخدام مكون WordPress الإضافي. يوفر Kinsta دليلًا رائعًا للقيام بذلك.

هل WooCommerce أكثر أمانًا من Shopify؟

Shopify هي عبارة عن منصة مستضافة تتعامل مع الأمان من أجلك. في حين أن هذا له فوائده - لا داعي للقلق بشأن تنفيذ الإجراءات الأمنية - إلا أنه يعني أيضًا أنه ليس لديك أي سيطرة تقريبًا على الحماية الخاصة بك.

وهذا لا يعني أيضًا أن Shopify أكثر أمانًا. القراصنة والروبوتات لا يميزون ، بعد كل شيء. إنهم يحاولون فقط موقعًا تلو الآخر حتى يعثروا على موقع يمكنهم الدخول إليه. لذلك إذا اتخذت إجراءات أمنية مناسبة ، فسيكون متجرك آمنًا - وفي كثير من الحالات ، أكثر أمانًا - من غيره على أي نظام أساسي.

من المهم أيضًا ملاحظة أن كلاً من WordPress و WooCommerce مدعومان بفريق متحمس لمساعدتك على النجاح. إنهم يعملون باستمرار للحفاظ على النظام الأساسي آمنًا ، وهذا هو سبب أهمية تحديث برنامجك بانتظام.

يوفر هذا الدليل من WooCommerce مزيدًا من التفاصيل حول كيفية مقارنته بـ Shopify.