أهم 10 نصائح أمان أساسية لـ Magento لتأمين موقع التجارة الإلكترونية الخاص بك

نشرت: 2018-09-27
اي ستور (1) نحن نعلم أن غالبية قرائنا يهتمون بأمن أعمالها. لا يخفى على أحد أن أكثر أنواع الأعمال شيوعًا هو التسوق عبر الإنترنت. حتى نرغب في مشاركة بعض النصائح حول أمان متجر Magento الإلكتروني معك. ضيفنا - أليكس ليتيتوف سيخبرك بكيفية منع أعمالك من مجرمي الإنترنت.
تستخدم الآلاف من شركات التجارة الإلكترونية منصة Magento لمتاجرهم الإلكترونية. يتم تنفيذ معاملات بقيمة الملايين في هذه المتاجر كل يوم. إذا كان هناك مال ، ستكون هناك مخاطر. يمكن أن تفسد الجرائم الإلكترونية حفلة نجاح عملك في أي يوم. على الرغم من أن جميع منصات التجارة الإلكترونية ، بما في ذلك Magento ، تقدم لك ميزات أمان قوية ، وتستمر في ترقيتها بشكل متكرر ، لا يمكنك أن تأمل حقًا في التعايش مع ذلك. قد يؤدي الهجوم الإلكتروني الأساسي على متجر Magento الخاص بك إلى توقف العمليات التجارية ، ويؤدي إلى سرقة بيانات العملاء والعقوبات القانونية اللاحقة ، بصرف النظر عن سرقة الأموال من محافظ العملاء عبر الإنترنت. علاوة على ذلك ، إذا كان متجرك يصنع الأخبار لكونه ضحية للهجمات الإلكترونية ، فستتلقى سمعته ضربة هائلة. لحسن الحظ ، هناك الكثير الذي يمكنك القيام به لتعزيز أمان متجر Magento الخاص بك. سأغطي أهم 10 نصائح أمنية من Magento والتي ستحافظ على أمان متجرك.

استمر في تصحيح تثبيت Magento الخاص بك إلى أحدث إصدار

تدين Magento بسمعتها كمنشئ ممتاز لمواقع التجارة الإلكترونية لقدرتها على الاستمرار في ترقية أمان النظام عبر التحديثات الأمنية وتحديثات الإصدار والتصحيحات. أهم إجراء يمكنك اتخاذه للحفاظ على أمان متجر Magento الخاص بك في أفضل حالاته هو ترقيته إلى أحدث إصدار اليوم. تتكون ترقيات الماجنتو من:
  • الإصلاحات المتعلقة بالصيانة
  • اصلاحات الشوائب
  • إصلاحات أمنية تهتم بأحدث الثغرات الأمنية التي يستغلها مجرمو الإنترنت
بطبيعة الحال ، لا يرغب أصحاب متاجر التجارة الإلكترونية في تعلم واجهة جديدة عندما يكونون مرتاحين لما لديهم الآن. تتفوق Magento هنا لأن ترقياتها مصحوبة بملاحظات تصحيح شاملة. تساعدك هذه الملاحظات على فهم ما تغير في النظام بوضوح بحيث يمكنك تحديد ما إذا كنت مرتاحًا للترقية أم لا. في النهاية ، سيوافق أي مدير متجر إلكتروني على أن الحفاظ على الأمان أهم بكثير من التكيف مع التغييرات الطفيفة للواجهة (إن وجدت) الناتجة عن ترقيات الإصدار. تعد صفحة Magento Tech Resources رابطًا جيدًا للإشارة المرجعية بحيث يمكنك بسهولة التحقق من أحدث معلومات الإصدار.

تغيير مسار تسجيل دخول المسؤول الافتراضي

02_admin_login_path يمكنك أن تجعل من الصعب للغاية على المتسللين اقتحام متجرك عن طريق تغيير صفحة تسجيل الدخول الافتراضية. سيبدو رابط صفحة تسجيل دخول المسؤول الافتراضية لمتجر Magento الخاص بك مثل www.storename.com/index.php/admin/. بدلاً من ذلك ، استخدم عنوان URL مخصصًا بحيث لا يتمكن المتسلل من الوصول إلى هذه الصفحة ببساطة وشن هجوم القوة الغاشمة لاقتحام الواجهة الخلفية. يمكنك القيام بذلك من إعدادات النظام ؛ انتقل إلى التكوين ، واختر المسؤول ، ثم عنوان URL الأساسي للمسؤول ، واختر "استخدام مسار المسؤول المخصص". هناك طريقة أخرى للقيام بذلك وهي الانتقال إلى ملف التكوين local.xml والبحث عن كتلة التعليمات البرمجية التالية. <admin> <routers> <adminhtml> <args> <frontName> <! [CDTA [admin]] </frontName> </args> </routers> </admin> هنا ، استبدل [admin] بمسار المسؤول الجديد . احفظ ملف التكوين المحرر وقم بتحديث ذاكرة التخزين المؤقت ؛ انت انتهيت.

إضافة طبقة مآخذ توصيل آمنة (SSL)

بصفتك مالك متجر Magento ، تقع على عاتقك مسؤولية ضمان نقل بيانات المتسوقين بشكل آمن من المتجر إلى أنظمة تكنولوجيا المعلومات الأخرى لديك. للقيام بذلك ، تحتاج إلى إضافة SSL إلى متجر Magento الخاص بك. باستخدام تشفير SSL ، فإنك تتأكد من أنه حتى إذا كان طرف ثالث قادرًا على اعتراض البيانات والوصول إليها ، فلن يكون قادرًا على فهم سلاسل البيانات المشوشة. لتنشيط SSL ، انتقل إلى Systems> Configuration> Web> Secure. هنا ، حدد "نعم" لاستخدام عناوين URL الآمنة في الواجهة الأمامية / استخدام عناوين URL الآمنة في المسؤول. بمجرد تنشيط SSL ، سيصاحب عنوان URL لمتجر Magento الخاص بك رمز القفل الأخضر المطلوب بشدة على اليمين في شريط عنوان متصفحات الويب. هذا يساعد على بناء الثقة لمتجرك الإلكتروني.

استخدم كلمات مرور قوية للغاية

04_use_super_strong_passwords يأتي هذا على أنه نصيحة واضحة. ومع ذلك ، فمن المدهش أن يستمر العديد من مالكي متاجر Magento في ارتكاب أخطاء فادحة في كلمة المرور ، مما يعرض أمان متجرهم للخطر. على الرغم من أن Magento يتطلب كلمة مرور مكونة من 7 أحرف على الأقل ، فإننا ننصحك بشدة باختيار كلمة مرور أطول. فيما يلي بعض أفضل الممارسات التي يجب تذكرها:
  • استخدم مزيجًا من الأحرف الكبيرة والحروف الأبجدية الصغيرة والأرقام والرموز الخاصة في كلمة مرورك.
  • لا تُدرج اسمك الشخصي أو اسم علامتك التجارية أو عملك في كلمة المرور.
  • لا تقم بتضمين سلاسل متسلسلة ، مثل 1234 و qwerty في كلمة مرورك.
بصرف النظر عن ذلك ، يمكنك استخدام تكوين أمان المسؤول في Magento لإدارة إعدادات كلمة المرور الخاصة بك. على سبيل المثال ، يمكنك تعزيز أمان متجرك ضد محاولات اقتحام القوة الغاشمة عن طريق الحد من عدد محاولات تسجيل الدخول المسموح بها في الجلسة ، وبعد ذلك يتم قفل الحساب. يمكنك أيضًا إعداد صفحة تسجيل دخول المسؤول للمطالبة بملء اختبار CAPTCHA.

استكمل كلمات المرور القوية بمصادقة ثنائية

05_2 مصادقة العامل من خلال إضافة طبقة أخرى من الأمان إلى متجر Magento الخاص بك ، يمكنك تقليل فرص اقتحام شخص ما. تعد المصادقة الثنائية طريقة سهلة وموثوقة للقيام بذلك. كل ما تحتاجه هو امتداد Magento موثوق لإعداد المصادقة الثنائية. هذا يعني أن المستخدم سيطلب كلمة مرور ، بالإضافة إلى كلمة مرور لمرة واحدة يتم إنشاؤها ديناميكيًا (OTP). يتم إرسال كلمة المرور لمرة واحدة إلى الهاتف المحمول للمستخدم عبر رسالة نصية قصيرة (أو بريد إلكتروني). بشكل أساسي ، هذا يعني أنك بحاجة إلى معرفة شيء ما (بيانات اعتماد تسجيل الدخول الخاصة بك) وأن تمتلك شيئًا (جهازك) لتتمكن من الوصول إلى وحدة تحكم المشرف في Magento. يمكنك تجربة Rublon ، وهو امتداد أمان Magento يتيح لك إضافة أجهزة موثوقة لتسجيل الدخول إلى الواجهة الخلفية لـ Magento باستخدام أحد التطبيقات. يعد Magento Hackathon خيارًا جيدًا آخر ، والذي يسمح لك بإعداد قواعد مصادقة معقدة متعددة العوامل ، بما في ذلك خيار إرسال رمز لمرة واحدة إلى جهاز المستخدم المسجل.

قم بعمل نسخة احتياطية لمتجر Magento الإلكتروني الخاص بك بانتظام

06_English_backup_your_magento من الأفضل أن تكون مستعداً بدلاً من الأسف ؛ قم بإنشاء نسخ احتياطية من بيانات Magento 2 الخاصة بك بانتظام. هذا يضمن أنه في حالة سرقة البيانات المؤسفة ، لديك خيار إعادة عقارب الساعة إلى الوراء واستعادة متجر الويب الخاص بك إلى حالة مستقرة مؤخرًا. النسخ الاحتياطية التلقائية هي إحدى ميزات أمان Magento المتاحة لأصحاب المتاجر. قم بذلك من لوحة المسؤول في Magento 2. انتقل إلى Tools ، وحدد Backups. أفضل جزء - يمكنك أتمتة وجدولة نشاط النسخ الاحتياطي ليحدث يوميًا أو أسبوعيًا أو شهريًا أو مرة واحدة فقط. يمكنك أيضًا إنشاء نسخة احتياطية باستخدام أي امتداد Magento 2 موثوق لإنشاء نسخة احتياطية.

استخدم جدار حماية لمنع حقن SQL

يمكن للقراصنة تنفيذ أوامر مشفرة يمكن أن تغير الواجهة الخلفية لمتجر Magento ، وبالتالي تعرض أمنه للخطر. تم جعل Magento backend آمنة بطبيعتها ضد هجمات حقن SQL ، لكن هذا لا يعني أنه لا يمكنك جعلها أقوى. استخدم جدار حماية للتأكد من إبطال كل هجوم حقن SQL متقدم. يمكن لجدار الحماية اكتشاف جمل SQL غير المعتمدة والإبلاغ عنها ، وحظر إدخالات SQL ، وتسجيل جميع أنشطة SQL ، كما يتيح لك إنشاء قائمة بيضاء بعبارات SQL لتجنب النتائج السلبية الزائفة.

كن صعب الإرضاء مع ملحقات Magento

ملحقات الطرف الثالث لـ Magento هي USP رئيسي لمنصة التجارة الإلكترونية مفتوحة المصدر. ومع ذلك ، تحتاج إلى توخي الحذر أثناء اختيار امتداد. قبل أن تدرك ، يمكن أن يصبح امتداد Magento المزيف بوابة لمجرم الإنترنت للوصول إلى المعلومات المحمية من متجرك الإلكتروني. متى أردت استخدام امتداد ، تحقق من خلفية المطور. ابحث أيضًا عن الامتدادات التي تمت مراجعتها بواسطة مراجعي Magento المستقلين للوظائف الإضافية. استخدام التقييمات والمراجعات هي أيضًا مؤشر جيد على موثوقية الامتداد.

استخدم خيارات الأمان المتقدمة لجعل Magento أكثر أمانًا

يوفر لك Magento العديد من إعدادات الأمان المتقدمة التي يمكن أن تجعل المتجر أكثر أمانًا من أي وقت مضى. فيما يلي بعض هذه الإعدادات وأفضل ممارسات الأمان الأخرى التي تستحق الدراسة:
  • تقييد الوصول إلى لوحة الإدارة عن طريق عنوان IP ، بحيث لا يمكن الوصول إليها إلا من عدد محدود ومعروف من الشبكات
  • استخدم بروتوكول FTP الآمن (يُسمى أيضًا SFTP) والذي يستخدم ملف مفتاح مشفر لمصادقة مستخدم
  • قفل دليل '/ downloader /' لمنع هجمات القوة الغاشمة
  • افحص موقع الويب بانتظام بحثًا عن أكواد ضارة
  • قم بتعطيل بروتوكول TLS1.0 القديم لجعل متجرك متوافقًا مع PCI.

خذ اختبار أمان غير متحيز

بعد اتخاذ كل هذه الإجراءات ، قد يرغب أصحاب المتاجر في الاعتقاد بأن متاجر Magento آمنة تمامًا. قد لا يكون هذا هو الحال. للكشف عن الثغرات الأمنية ، استعن بخبير أمان من Magento تابع لجهة خارجية لاختبار متجرك. نظرًا لأن مزودي خدمات الأمان هؤلاء لديهم مصالح تجارية راسخة في تسليط الضوء على نقاط الضعف في متجرك (ومن ثم تقديم استشارات مدفوعة الأجر لإصلاحها) ، فأنت على يقين من أنك ستحصل على أفضل فحوصات الجودة. يمكن بعد ذلك إصلاح أي عيوب أمنية حيوية تجدها في إعداد متجر Magento الخاص بك ، مما قد يؤدي إلى تجنب كارثة أمن البيانات في المستقبل.

ملاحظات ختامية

على الرغم من صعوبة التأكيد على أن أي موقع ويب للتجارة الإلكترونية آمن بنسبة 100٪ ، يمكن لمالكي متاجر Magento تحسين الأمور لأنفسهم وعملائهم من خلال تبني أفضل الممارسات لجعل متاجرهم الإلكترونية أكثر أمانًا. ابدأ بهذه النصائح العشر ؛ هذه ستضمن أن بيانات عملائك تظل آمنة ، وأن المتسللين غير قادرين على اقتحام متجرك الإلكتروني.