نصائح أمان Magento للحفاظ على متجرك محميًا من المتسللين

تفيد تقارير HackRead أنه في عام 2020، خلال هجوم كاشطة الدفع، تم اختراق أكثر من 500 موقع ويب Magento. يحتوي كل متجر على الإنترنت على كمية هائلة من البيانات، بما في ذلك المعلومات الشخصية للعملاء. وبالتالي، لحمايته من التسرب، من الضروري الانتباه إلى أمان موقع Magento 2 الخاص بك. لسوء الحظ، غالبًا ما يفشل أصحاب متاجر Magento 2 في ضمان الأمان، مما يجعل مواقع التجارة الإلكترونية الخاصة بهم عرضة للخطر.

لقد قمنا بإعداد أحد عشر نصيحة ستساعدك في الحفاظ على بيانات المتجر والعملاء آمنة من المهاجمين. ومع ذلك، إذا لم تكن على استعداد لتنفيذها بنفسك، فيمكنك دائمًا اللجوء إلى خدمات تطوير Magento.

تحديث الماجنتو إلى أحدث إصدار

مع كل تحديث، يطرح Magento تصحيحات تعالج نقاط الضعف في الإصدارات السابقة. إن مواكبة هذه التصحيحات تعني أنك لن تعاني أبدًا من ثغرات الموسم الماضي.

غالبًا ما تقدم ترقيات Magento ميزات أفضل وأكثر سهولة. يضمن الحفاظ على تحديث النظام الأساسي الخاص بك أنك تقدم دائمًا تجربة تسوق سلسة، تمامًا مثل التأكد من أن ممرات متجرك واضحة وجذابة.

يميل كل تحديث لـ Magento أيضًا إلى أن يأتي مع تحسينات في الأداء، مثل التنقل الأكثر سلاسة، أو أوقات تحميل أسرع للصفحة، أو تحسينات أفضل لقاعدة البيانات.

تمكين المصادقة الثنائية

باختصار، إن تمكين المصادقة الثنائية في متجر Magento الخاص بك يشبه إضافة نظام إنذار عالي التقنية إلى قبو آمن بالفعل، مما يضمن بقاء متجرك حصنًا ضد التطفلات غير المرغوب فيها.

تخيل أن المصادقة الثنائية (2FA) هي الصاحب الموثوق به لكلمة المرور الخاصة بك. على الرغم من إمكانية تخمين كلمة المرور أو اعتراضها أو حتى تسريبها في بعض الأحيان، إلا أن تقنية المصادقة الثنائية (2FA) تتدخل وتطالب بطريقة ثانية لتحديد الهوية.

غالبًا ما يستخدم المتسللون مخططات ماكرة لخداع المستخدمين للكشف عن كلمات المرور الخاصة بهم. ولكن مع المصادقة الثنائية، فإن معرفة كلمة المرور وحدها لن تقطع الخردل. حتى لو حاول أحد المتسللين تسجيل الدخول باستخدام بيانات الاعتماد المسروقة، فإن خطوة المصادقة الثانية ستعرقلهم. تقدم Magento إعدادات سهلة المتابعة للمصادقة الثنائية، مما يجعلها سهلة الاستخدام لأي صاحب متجر.

تغيير كلمة المرور بانتظام

مع مرور الوقت، من المحتمل أنك قمت بتسجيل الدخول من مجموعة من الأجهزة أو ربما شاركت كلمة المرور الخاصة بك مع أحد زملائك. في حالة حصول شخص متخفي على كلمة المرور الخاصة بك، فإن تغييرها غالبًا ما يعني أنه لن يتمكن من تحقيق ذلك.

ونحن جميعًا نعرف شخصًا (أو ربما نحن) يستخدم كلمة المرور نفسها في كل مكان أو يستخدم تلك الكلمات الأساسية للغاية. أفضل كلمات المرور هي عبارة عن مزيج عشوائي من الأحرف - طويلة، وغريبة بعض الشيء، مع مزيج من الأحرف الكبيرة والصغيرة، والرموز والأرقام المختلفة، تمامًا كما هو الحال عندما تدفعنا بعض مواقع الويب إلى الإبداع والقوة في اختيارات كلمة المرور الخاصة بنا.

قم بإنشاء عنوان URL خلفي فريد

عنوان URL الافتراضي للمشرف على Magento هو /admin ، وهو مفتوح لهجمات القوة الغاشمة ويسهل تخمينه. يجعل عنوان URL المميز من الصعب على الروبوتات والمتسللين تحديد موقع لوحة الإدارة والوصول إليها. تبحث العديد من أدوات القرصنة عن عناوين URL الخلفية القياسية لاستغلال الثغرات الأمنية. من خلال تبديل الأشياء، فإنك تأخذ متجرك بعيدًا عن رادارهم. لتغيير عنوان URL، انتقل إلى لوحة الإدارة: المتاجر > التكوين > خيارات متقدمة > المسؤول > عنوان URL لقاعدة المسؤول .

تم التقاط لقطة الشاشة على موقع Mageplaza الرسمي

النسخ الاحتياطي بشكل منتظم

في حالة حدوث هجوم إلكتروني، فبدلاً من الذعر أو دفع الفدية، يمكنك فقط الضغط على "تراجع" باستخدام نسخة احتياطية حديثة لموقعك. ًيبدو جيدا؟ ثم عليك أن تفعل النسخ الاحتياطية بانتظام. فكر في الأمر على أنه شبكة الأمان الرقمية الخاصة بك. يمكنك بسهولة الحصول على نسخة من بيانات موقعك باستخدام برنامج FTP. بالإضافة إلى ذلك، يمكنك اللجوء إلى phpMyAdmin لتصدير قاعدة البيانات التي تم حفظها. بهذه الطريقة، أنت دائمًا جاهز للارتداد السريع.

الاستفادة من جدار الحماية

جدار الحماية هو خط الحماية الأول ضد التهديدات الضارة والوصول غير القانوني. لحماية متجرك، يمكنك استخدام أحد نوعي جدار الحماية. قم بحماية متجرك عبر الإنترنت ضد عيوب أمان الويب مثل SQLi وXSS وهجمات Brute-force وBot والبريد العشوائي والبرامج الضارة وDD0S وما إلى ذلك، باستخدام WAF (جدار حماية تطبيقات الويب). جدار حماية النظام/الشبكة، بدوره، لا يسمح بأي وصول عام إلا من خادم الويب الخاص بك.

يكمن جمال جدران الحماية الحديثة في يقظتها. إنهم يراقبون ويحللون ويتصرفون باستمرار بشأن التهديدات المحتملة، مما يضمن أنك دائمًا متقدم بخطوة على أولئك الذين يحاولون التفوق عليك. وبصرف النظر عن ذلك، تأتي جدران الحماية أيضًا مزودة بالتحليلات، مما يوفر رؤى حول أنماط حركة المرور ومناظر التهديدات والمزيد.

استخدم HTTPS / SSL

تأكد دائمًا من أن موقعك يعمل على HTTPS مع SSL، فهو الدرع الذي يحمي بيانات عملائك من أعين المتطفلين. تربط ملفات البيانات الصغيرة المعروفة باسم شهادات SSL تفاصيل متجر Magento الخاص بك بمفتاح أمان. يتم تنشيط بروتوكول Magento HTTPS والقفل بعد تثبيتهما على خادم الويب لتوفير اتصال آمن بين الخادم ومتصفح المستخدم.

يؤكد رمز القفل المألوف والبادئة "https://" للزائرين أن بياناتهم في أيد أمينة. إنها السمة المميزة للأصالة في عالم رقمي مشكوك فيه في كثير من الأحيان. يضمن تشفير SSL أيضًا حماية البيانات مثل تفاصيل بطاقة الائتمان والعناوين وكلمات المرور التي تنتقل بلغة مشفرة.

وبصرف النظر عن ذلك، فإن HTTPS يعد رادعًا لمواقع التصيد الاحتيالي. باستخدام SSL، أنت لا تحمي موقع الويب الخاص بك فحسب، بل تضمن أيضًا عدم وقوع عملائك في فخ الشبيهين المشبوهين.

قم بتشغيل Magento Scan Tool

تتفوق أداة Magento Scan Tool دائمًا بخطوة واحدة، حيث تكتشف أي عوائق حتى تتمكن من إصلاحها قبل أن تتحول إلى صداع أكبر.

ولكن هذا هو الجزء الأفضل - هذه الأداة لا تقوم فقط بإلقاء نظرة سريعة على الأشياء. إنها تغوص أولاً في أصغر التفاصيل والعناصر الخاصة بموقعك على الويب. عند اكتشاف ثغرة أمنية، توفر الأداة نظرة ثاقبة حول طبيعتها وخطورتها. الأداة متاحة مجانًا لتجار Magento.

استخدم تصحيحات الأمان

غالبًا ما تقوم Magento بإصدار تحديثات أمنية لمعالجة العيوب المبلغ عنها وتعزيز الأمان العام للمنصة. لحماية متجرك من التهديدات المحتملة، يعد تطبيق هذه الإصلاحات في أسرع وقت ممكن أمرًا بالغ الأهمية. قد يستخدم المتسللون نقاط الضعف هذه للحصول على وصول غير مصرح به إلى موقع الويب الخاص بك وبيانات العميل إذا فشلت في إصلاح أي عيوب على الفور بمجرد اكتشافها.

تم تصميم معظم تصحيحات الأمان بحيث يتم دمجها بسلاسة دون تعطيل عملياتك. مع تطبيق الإجراءات الصحيحة، يصبح تطبيقها أمرًا سهلاً. إنه مثل تغيير البطاريات في جهاز التحكم عن بعد الخاص بك، فهو سريع وسهل وضروري للتشغيل المستمر.

استخدم ملحقات أمان Magento

يقدم Magento 2 العديد من الإضافات التي قد تكون مفيدة للغاية لضمان أمان موقع Magento الخاص بك. لقد ذكرنا بالفعل اثنين منهم. فيما يلي العديد من ملحقات أمان Magento القيمة الأخرى.

برنامج Magento Google ReCAPTCHA

CAPTCHA لتقف على اختبار تورينج العام الآلي بالكامل لإخبار أجهزة الكمبيوتر والبشر بصرف النظر. إنه في الأساس اختبار صغير ذكي سهل على البشر ولكنه مهمة معقدة للغاية بالنسبة للروبوتات. إن جمال Google ReCAPTCHA، على وجه الخصوص، هو تطوره إلى ما هو أبعد من تلك النصوص المشوهة التي كانت، دعونا نواجه الأمر، في بعض الأحيان أكثر إزعاجًا للبشر من الروبوتات. بدلاً من ذلك ، غالبًا ما يتطلب الأمر الآن من المستخدم ببساطة وضع علامة في المربع الذي يقول ، "أنا لست روبوتًا".

يعزز تكامل Magento Google ReCAPTCHA اللعبة أكثر. إن تحدياتها التكيفية ومحرك تحليل المخاطر المتقدم تعني أنها تستطيع التمييز بين العميل الحقيقي الذي يحاول إجراء عملية شراء والروبوت الذي يحاول التسبب في الأذى.

علاوة على ذلك ، تم تصميم Google ReCAPTCHA بحيث يتم إدخاله بسلاسة في تصميم موقعك ، مما يضمن قدرة المستخدمين على الانزلاق خلال العملية.

تم التقاط لقطة الشاشة على موقع Mageplaza الرسمي

سجل المراقبة

الهدف الأساسي لـ Watchlog هو مراقبة وتسجيل أي خدع سطحية على موقع الويب الخاص بك. تتمثل إحدى الميزات البارزة لـ Watchlog في قدرتها على التمييز بين نشاط المستخدم العادي والسلوك الضار المحتمل. لنفترض أن شخصًا ما حاول بشكل متكرر تسجيل الدخول باستخدام بيانات اعتماد غير صحيحة أو من موقع مريب. لا يسجل Watchlog هذا السلوك المريب فحسب ، بل يقوم أيضًا بإطلاق التنبيهات على الفور ، مما يضمن أنك دائمًا على دراية بأي مشكلة تختمر.

علاوة على ذلك ، يوفر Watchlog نظرة عامة متعمقة لجميع محاولات الوصول إلى الواجهة الخلفية. هذا يعني أنه يمكنك التعرف على الأنماط بسهولة، وربما مع ملاحظة وجود محاولات تسجيل دخول عالية بشكل غير عادي خارج ساعات العمل، مما يشير إلى وجود ثغرة أمنية محتملة.

بالنسبة لأولئك الذين يتعمقون في تحليلات الموقع وإدارته ، فإن Watchlog هي أيضًا منجم ذهب. يمكن أن تساعد سجلاته التفصيلية في استكشاف الأخطاء وإصلاحها وإدارة المستخدم وحتى تحسين تجربة المستخدم. إذا رأى قسم من موقع الويب الخاص بك محاولات وصول فاشلة متكررة ، فقد يشير ذلك إلى مشكلة تتعلق بقابلية الاستخدام بدلاً من مشكلة أمنية.

رصيد الصورة: Adobe

سجل إجراءات المسؤول لـ Magento 2

Admin Actions Log هو مسجل الصندوق الأسود للواجهة الخلفية ، حيث يلتقط كل حركة بدقة. في حالة وقوع حادث أو حادث مؤسف، يمكنك سحب السجل ولعب دور المحقق، وتتبع تسلسل الأحداث وتحديد المكان الذي ربما انحرفت فيه الأمور.

يسلط هذا الامتداد الضوء على "ماذا" و "من" و "متى". هل قام شخص ما بتغيير سعر السلعة الأكثر مبيعًا؟ أو ربما تغير إعدادات مكون إضافي مهم؟ لن تترك في الظلام مع سجل إجراءات المسؤول. كل إجراء له طابع زمني ، يوضح بالتفصيل من قام بالتغيير ومتى تم إجراؤه.

رصيد الصورة: Amasty

جناح الأمان لـ Magento 2

تعتبر مجموعة Security Suite في جوهرها مثالاً للأمان الشامل. بدلاً من العمل باستخدام أدوات منفصلة، ​​وتجميع شبكة أمان مؤقتة معًا، فإنه يجمع كل ما تحتاجه في حزمة واحدة أنيقة. نتيجة لذلك ، تتلقى:

• الشفافية الكاملة لجميع الإجراءات الخلفية. يحتوي كل نشاط تم تسجيله على معلومات كاملة متاحة للعرض ؛
• تتبع الجلسات الجارية وزيارات الصفحة السابقة. إذا قام المسؤولون بأي أعمال غير لائقة ، فيمكنك التراجع عن التعديلات ؛
• القدرة على تعيين الأدوار لمديري متاجر معينين وتنظيم حقوق المستخدم من خلال إعدادات كلمة المرور المعقدة ؛
• الإخطارات عندما يبدو سلوك تسجيل الدخول من مواقع جغرافية غير معروفة مشكوكًا فيه ؛
• مصادقة من خطوتين. لإجراء مسح ضوئي لرمز الأمان ، أضف Google Authenticator ؛
• الحماية من البريد العشوائي باستخدام أداة reCaptcha غير المرئية من Google.

لقطة شاشة تم التقاطها على موقع Amasty الرسمي

كلمة أخيرة

في عصر التهديدات السيبرانية المتطورة ، من الضروري أن تظل مُجهزًا. لحسن الحظ ، هناك العديد من الممارسات الفعالة وأدوات Magento 2 التي تضمن الحماية الكاملة. نأمل أن يساعدك دليلنا في تحديد الحلول الأنسب واستخدامها. شيء واحد يجب أن تفهمه بوضوح هو أنه يجب عليك مراقبة أمان المتجر باستمرار واتخاذ الإجراءات بسرعة إذا حدث خطأ ما.