دليل أمان Magento: كيفية تأمين موقع الويب الخاص بك من المتسللين
جاء يوم 14 سبتمبر 2020 ليكون يوم العذاب للعديد من تجار Magento. تم إنشاء أكثر من 2,800 متجر Magento 1 اخترق لسرقة تفاصيل بطاقة الائتمان في أكبر حملة موثقة حتى الآن.
ليس من غير المعتاد أن يتسبب المتسللون في إحداث فوضى عبر مواقع التجارة الإلكترونية. برامج الكمبيوتر الضارة والفيروسات والديدان وأحصنة طروادة وغيرها الكثير الاحتيال في التجارة الإلكترونية... هناك الكثير من الأشياء السيئة التي تطفو حول الشبكة. سيكون هناك دائمًا شخص ما يحاول الاستفادة من نظام ضعيف أو الحصول على وصول غير قانوني بقصد ضار.
إذا كنت لا تريد أن تصبح جزءًا من اختراق أمان Magento التالي ، فهذا الدليل مناسب لك. تابع القراءة لاكتشاف نقاط الضعف الأمنية الرئيسية في Magento وطرق منعها حتى تكون بياناتك وبيانات عملائك آمنة.
الأشياء الأولى أولاً ، ما هي مشكلة أمان Magento 1؟
المشكلة الرئيسية لـ Magento 1 هي أنه لم يعد مدعومًا. اعتبارًا من 20 يونيو 2020 ، أعلنت Adobe عن نهاية العمر الافتراضي لمنتج Magento 1 الخاص بها ، مما يجعل إصدار النظام الأساسي قديمًا وعرضة للهجمات الإلكترونية.
هناك لديك سبب هجوم MageCart المذكور سابقًا. تظل متاجر Magento القديمة أهدافًا جذابة لأولئك العازمين على سرقة البيانات الشخصية والمالية من العملاء عبر الإنترنت.
يمكن للمتسللين البحث بسهولة عن إصدارات قديمة من Magento واستخدام الروبوتات الآلية للوصول إليها ، وتحميل البرامج النصية للقذيفة ، وتثبيت البرامج الضارة للتخلص من البطاقة. لا يمكن للمستخدمين اكتشاف هجمات كشط البطاقات ، لذا تقع المسؤولية على عاتق مشغلي مواقع الويب لتحديث أنظمتهم إلى أحدث إصدار من Magento. في هذه المرحلة ، يجب افتراض اختراق أي موقع ويب يستخدم Magento 1.x.
- بول بيشوف ، مدافع عن الخصوصية مع Comparitech.
لهذا السبب يجب أن تكون حماية متجر Magento هي الأولوية رقم 1 للتجار. Magento 1 ليس آمنًا ولن يكون أبدًا. لكن Magento 2 سيبقيك في أيد أمينة.
الدروس المستفادة والمنفذة في Magento 2 Security
إذا تعرضت للعض من قبل القراد ، فإن إزالة نفسك لن يوقف العدوى. حدث الشيء نفسه مع Magento. بعد اكتشاف الثغرة الأمنية الحرجة في Magento ، كانت الترقية ضرورية. لذا قامت Adobe بتجديد النظام بأكمله للتخلص من مشكلات أمان Magento وحماية التجار من هجمات مماثلة في المستقبل.
فيما يلي ميزات أمان Magento التي قدمتها Adobe بعد انتهاء عمر Magento 1.
إدارة كلمات المرور المحسنة
يستخدم Magento 1 نظامًا أضعف لتجزئة كلمة المرور (عملية أحادية الاتجاه لتحويل سلسلة من الأحرف إلى ما يُعرف باسم كلمة المرور المجزأة). لمعالجة هذه الثغرة الأمنية في Magento ، يدعم Magento 2 Argon2ID13 ، وهي خوارزمية تجزئة أقوى من المعيار الذهبي السابق - SHA-256.
تحسين الوقاية من هجمات XSS
نفذت Magento قواعد جديدة لمنع هجمات البرمجة النصية عبر المواقع (XSS) بجعل البيانات التي تم تجاوزها هي البيانات الافتراضية.
تعد هجمات XSS نوعًا من حقن البرامج الضارة المستخدمة في هجمات التصيد الاحتيالي ، وضربات مفاتيح التسجيل ، وغيرها من الأنشطة غير المصرح بها.
ملكية وأذونات نظام الملفات أكثر مرونة
بدءًا من الإصدار 2.0.6 ، يتيح Magento للمستخدمين تعيين أذونات الوصول إلى أنظمة الملفات. التوصيات هي أن تكون بعض الملفات والدلائل للكتابة فقط في بيئة تطوير وقراءة فقط في بيئة الإنتاج.
تحسين الوقاية من مآثر النقر
يحمي Magento متجرك من هجمات الاختراق باستخدام رأس طلب HTTP لخيارات X-Frame. لمزيد من المعلومات ، راجع رأس X-Frame-Options.
مفتاح تشفير التوليد التلقائي
يستخدم Magento مفتاح تشفير لحماية كلمات المرور والبيانات الحساسة. حاليًا ، يستخدم Magento 2 خوارزمية AES-256 ، ويمكنك اختيار إنشاء مفتاح عشوائي في أي وقت من خلال لوحة الإدارة.
استخدام عنوان URL غير افتراضي لمدير Magento
يستخدم المتسللون روبوتات تخمين كلمات المرور الآلية لاسترداد البيانات الشخصية للمتسوقين ووصول التجار إلى عمليات المكتب الخلفي. لمنع هذا النوع من الهجوم ، يقوم Magento افتراضيًا بإنشاء URI عشوائي للمسؤول عند تثبيت المنتج.
تصحيحات وتحديثات أمنية متسقة لـ Magento 2
السبب الأكبر وراء تفوق أمان Magento 2 على Magento 1 هو التحديثات المنتظمة. تم إصدار تصحيح أمان Magento 1 الأخير من Adobe في 22 يونيو 2020. وفي الوقت نفسه ، يحصل تاجر Magento 2 على تصحيحات الأمان كل ربع سنة في مسؤول رسمي نشرة أمان Adobe.
كيف يقلل Magento How Magento من تأثير نقاط الضعف
بالإضافة إلى البنية الجديدة وإطار العمل الأمني لـ Magento 2 ، هناك عمليات قائمة لتقليل تأثير نقاط الضعف.
وهي تشمل:
- برنامج فضله علة - يكافأ المطورون بمكافآت تصل إلى 10,000 دولار عن الأخطاء الموجودة في Magento. هذه طريقة رائعة لإشراك المجتمع في أمان Magento.
- مركز أمان ماجنتو - يمكن العثور على تحديثات الأمان الجديدة والتصحيحات وأفضل الممارسات وغير ذلك الكثير في هذا المورد. سواء كنت بحاجة إلى مزيد من المعلومات حول التصحيح أو تحتاج إلى إرشادات لتثبيت التصحيحات / التحديثات ، فهذا هو المكان المناسب لك.
- سجل تنبيه الأمان - يستجيب فريق Magento للثغرات الأمنية ويوفر تصحيحات وتحديثات لحماية المتاجر من التهديدات. اشترك في سجل تنبيه الأمان لتلقي رسائل البريد الإلكتروني متى كان هناك إصدار أمني جديد.
- معايير جودة الكود - يستخدم فريق التطوير الأساسي Magento ملف معيار ترميز ماجنتو ويوصي المطورين الذين ينشئون ملحقات وتخصيصات Magento أيضًا باستخدام هذا المعيار.
- برنامج جودة الامتداد - تخضع جميع الامتدادات المقدمة إلى Magento Marketplace لعملية مراجعة متعددة الخطوات: المراجعات الفنية والتسويقية. إذا لم يتم تمرير أي من المراجعتين ، فلن يُسمح بنشر الامتداد.
قائمة التحقق من أمان Magento: ما هي معايير الأمان التي يجب وضعها للتأكد من أن موقعي آمن؟
لا يوجد شيء اسمه موقع غير قابل للاختراق. حتى إذا قمت بتعيين أفضل المطورين والمهندسين وخبراء الأمان ، فلا يزال هناك احتمال للاختراق.
لذلك ، توصيتنا هي فرض سير عمل أمني صارم للأنشطة الداخلية والأنشطة اليومية.
فيما يلي طرق تأمين Magento:
- قم بتضمين ممارسات الأمان في عملية الإعداد الخاصة بك
على الرغم من أن هذا قد يبدو بديهيًا ، إلا أنه غالبًا ما يتم تجاهله من قبل كل من الفرق الداخلية والخارجية. تأكد من أن موظفي المتجر الجدد والموظفين الخارجيين وكل شخص في المنتصف يمرون بأمان على متن الطائرة. نوصي بـ قائمة مراجعة التوظيف الجديدة الخاصة بـ CISO. - فرض حقوق وصول صارمة
جزء من عملية الإعداد هو معرفة حقوق الوصول التي سيحتاجها الموظف للقيام بعمله. يعد فرض حقوق الوصول إلى المعلومات أمرًا مهمًا ، ونوصي أيضًا بإجراء مراجعات الوصول الصحيحة للتأكد من عدم انتهاك أي قواعد من وراء ظهرك. تستطيع قم بإعداد أدوار المستخدم في Magento باستخدام هذا الدليل. - تأكد من الامتثال لمعايير الصناعة
هذا من الناحية الفنية والتجارية على حد سواء. يجب أن يتوافق موقعك وجميع الأكواد المستخدمة فيه مع معايير ترميز PHP ومعايير الاختبار وأن يكون متوافقًا مع PCI في جميع الأوقات. سنعرض لك قائمة تحقق قابلة للتنفيذ في القسم التالي حتى تتمكن من التوافق مع PCI. - لديك بنية تحتية زائدة عن الفشل
نعم ، نحن نتفهم أنك لست خبيرًا أمنيًا ، ولكن عليك أن تسأل أي شخص مسؤول عن الأمان إذا كان لديه خطة نسخ احتياطي (والتي يجب أن تغطي ما تقوم بنسخه احتياطيًا ، وعدد مرات النسخ الاحتياطي ، ومتى يجب استخدام النسخ الاحتياطية). ملاحظة مهمة: يجب أن تكون النسخ الاحتياطية تلقائية. - مكونات الطرف الثالث الآمنة (وحدات ، خدمات ، ملحقات ، تطبيقات)
مثل أفضل ممارسات أمان Magento قل ، تأكد من أن جميع التطبيقات التي تعمل على الخادم الخاص بك آمنة. تجنب تشغيل تطبيقات مثل WordPress على نفس الخادم مثل Magento ، لأن الثغرة الأمنية في أحد هذه التطبيقات يمكن أن تعرض معلومات من Magento. من نافلة القول أنه لا يجب عليك أبدًا تثبيت ملحقات من مصادر غير موثوقة (مثل مواقع التورنت). - حماية البيانات الخاصة بك
أ. الفصل في البنية التحتية
⇨ هذا يتماشى مع تأمين مكونات الطرف الثالث. تحت أي ظرف من الظروف ، لا ينبغي أن يكون لديك بيئات التطوير والتنفيذ المرحلي والإنتاج قيد التشغيل على نفس مثيل الخادم.ب. وصول محدود
⇨ نقطة أخرى تطرقنا إليها: تمتد حقوق الوصول إلى المطورين وموظفي تكنولوجيا المعلومات الآخرين. يجب ألا يتمتع كل عضو في الفريق بحقوق إدارية كاملة تحت أي ظرف من الظروف.ج. حماية البيانات الشخصية
⇨ على الرغم من أنه قد يبدو واضحًا ، إلا أن جزءًا من عملية الإعداد يجب أن يتضمن عدم تشغيل محركات أقراص USB وأجهزة التخزين الأخرى. تذكر أيضًا عدم النقر فوق الروابط المشبوهة أو فتح رسائل البريد الإلكتروني المشبوهة. لا تخبر أي شخص أبدًا بكلمة مرورك (خاصة كلمة مرور Magento Admin).
لذلك مع وجود الأشياء المملة بعيدًا عن الطريق ، دعنا نبدأ في حماية متجر Magento الخاص بك من الرصاص!
أمن Magento المضاد للرصاص: كيفية تأمين موقع Magento في 14 خطوة
الخطوة رقم 1: تدقيق الأمن
هناك الكثير من الأجزاء المتحركة في أمن Magento. لا يوجد مطور أو مهندس معماري أو مدير أو أدوار أخرى تفهم أن هناك الكثير من الأجزاء المتحركة في أمان Magento. لا يوجد مطور ، حلول معماريةأو مدير أو أدوار أخرى تتفهم مخاطر الأمان بالإضافة إلى خبير أمان مؤهل. لهذا السبب فإن الخطوة الأولى هي أن يقوم خبير بتمشيط موقعك. على نحو مفضل ، يجب عليك القيام بذلك مرة واحدة على الأقل كل عام للبقاء آمنًا.
الخطوة رقم 2: فحص الأمان الآلي
أخبار رائعة ، لست مضطرًا للذهاب إلى جهة خارجية في كل مرة تريد فيها إجراء فحص. تقدم Magento فحص الأمان الخاص بها مجانًا.
يسمح لك Magento Security Scan بمراقبة جميع مواقع الويب الخاصة بك (إذا كان لديك أكثر من موقع) بحثًا عن المخاطر المحتملة ويسلط الضوء على التصحيحات والتحديثات التي تطلبها. حدد جدولاً (يوصي Magento بالمسح على أساس أسبوعي) واستقبل التقارير والإجراءات التصحيحية لكل اختبار فاشل. للبدء، تحقق من هذا الدليل.
هناك أيضًا أدوات مسح مجانية مثل MageReport، ولكنها ليست متعمقة مثل أداة Magento ولا تقدم مسحًا آليًا أو مجدولًا.
الخطوة رقم 3: Magento Admin Security
توصي Magento باتباع نهج متعدد الطبقات لـ تأمين حساب المسؤول الخاص بك(S).
.
- اضبط مستوى الأمان لكلمات المرور
- قم بتعيين عدد محاولات تسجيل الدخول
- قم بتكوين طول فترة عدم نشاط لوحة المفاتيح قبل انتهاء صلاحية الجلسة
- طلب أسماء مستخدمين وكلمات مرور حساسة لحالة الأحرف
كلمات مرور المسؤول
في الشريط الجانبي المسؤول ، انتقل إلى المتاجر> الإعدادات> التكوين.
في اللوحة اليسرى أسفل متقدم, اختر المسؤول.
توسيع حماية والقسم الخاص به.
تغيير عنوان URL الافتراضي للمسؤول
من الجيد تغيير عنوان URL الافتراضي للمسؤول إلى شيء آخر لجعله أقل استهدافًا للمتسللين.
URL الأساسي الافتراضي: http://yourdomain.com/magento/
عنوان URL والمسار الافتراضي للمسؤول: http://yourdomain.com/magento/admin
هناك طريقة بسيطة ل قم بتغيير عنوان URL الخاص بالمسؤول متوفر في لوحة الإدارة ، ولكن ضع في اعتبارك أن أي أخطاء ستجعل موقعك غير قابل للوصول إلى جميع المسؤولين ، والطريقة الوحيدة لإصلاحه هي تحرير ملفات تكوين الخادم (ليس شيئًا تريد تجربته ، ثق بنا).
القائمة البيضاء للملكية الفكرية
ربما تكون قد سمعت عن القائمة السوداء - عندما تمنع الوصول إلى موقع أو عنوان IP أو شبكة معينة.
هيتليستينغ هو عكس ذلك - السماح بالوصول إلى معلومات ومواقع معينة ، وفي حالتنا ، لوحة إدارة Magento ، إلى عناوين IP الموثوقة فقط.
الخطوة رقم 4: قم بتعيين أدوار المستخدم
يتضمن Magento خيارات لتقييد الوصول للمسؤولين. بمعنى آخر ، يمكنك إنشاء أذونات لتقييد ما يراه مسؤول الموقع ومنحه وصولاً محدودًا.
يمكنك إعداد أدوار المستخدم بالانتقال إلى الشريط الجانبي للمسؤول. انقر System، تحت أذونات ، اختر أدوار المستخدم. في الزاوية العلوية اليمنى ، انقر فوق إضافة دور جديد.
بعد تعيين أ اسم الدور وإدخال كلمة المرور الخاصة بك يمكنك إعداد نطاق الدور (انظر الصورة أدناه).
يتيح لك Magento Commerce تسجيل أي إجراءات يقوم بها المسؤولون. يمكنك تشغيل سجلات الإجراءات بالانتقال إلى المتاجر> الإعدادات> التكوين. في اللوحة اليسرى ، قم بتوسيع خيارات متقدمة واختر مشرف. توسيع تسجيل إجراءات المسؤول قسم وحدد خانة الاختيار تمكين تسجيل المشرف لكل إجراء تريد تسجيله.
الخطوة رقم 5: قم بتكوين Captcha و Google reCaptcha
في Magento ، يمكنك إعداد كليهما الكود و جوجل reCaptcha للمسؤولين والعملاء. كلاهما يحميك من البريد العشوائي وأنواع أخرى من الإساءة الآلية.
الكود هو اختبار للتحقق من صحة الإنسان ، مثل الأحرف والأرقام الباهتة والمتعرجة التي ربما كان عليك أن تحدق بها لتراها.
جوجل reCaptcha هو نوع متفوق من التحقق البشري ، أي خانة الاختيار "أنا لست روبوتًا".
reCAPTCHA غير المرئي (مستحسن Magento) - التي تتحقق من أن المستخدم إنسان تلقائيًا ، دون أي تفاعل. يبدو الأمر وكأنه سحر ، لكن Google تمكنت من إيجاد طريقة للقيام بذلك.
الخطوة رقم 6: المصادقة الثنائية (2FA)
المصادقة الثنائية ، أو 2FA باختصار ، هي طريقة لتأكيد هوية المستخدم عن طريق جعل المستخدمين يكملون الخطوة الثانية في عملية التحقق. ماجنتو 2FA متاح فقط للمستخدمين المسؤولين ولا يمتد إلى حسابات العملاء.
هذه هي الطريقة التي يمكنك بها تكوين 2FA في Magento:
في الشريط الجانبي المسؤول ، انتقل إلى المتاجر> الإعدادات> التكوين.
في اللوحة اليسرى ، قم بتوسيع الأمان واختر 2FA.
الخطوة رقم 7: مفتاح التشفير
عندما تقوم بتشغيل Magento لأول مرة ، يقوم النظام تلقائيًا بإنشاء مفتاح تشفير. يستخدم هذا المفتاح لحماية كلمات المرور والبيانات الحساسة الأخرى مثل معلومات بطاقة الائتمان وكلمات مرور التكامل (وحدة الدفع والشحن).
توصي Magento بالحفاظ على هذا المفتاح آمنًا ومخفيًا في جميع الأوقات. إذا واجهت خرقًا للبيانات ، فيمكنك إنشاء مفتاح تشفير جديد لمنع أي شخص من الوصول إلى البيانات باستخدام المفتاح القديم.
اطلع على إنشاء مفتاح جديد في لوحة الادارة. للتكرار ، لا نوصي بالقيام بذلك بنفسك.
SStep # 8: متطلبات كلمة المرور
يتطلب Magento سبعة أحرف كحد أدنى (أحرف وأرقام). نوصي باستخدام شيء أكثر قوة - كلمة مرور أبجدية رقمية مكونة من 10 إلى 12 حرفًا.
المؤيدة للطرف - لا تحاول التفكير في كلمة مرور بنفسك. نوصي باستخدام LastPass لإنشاء كلمة مرور بشكل عشوائي.
قم بتغيير كلمات المرور الخاصة بك إذا كنت تشك في وجود خرق للبيانات ، بغض النظر عما إذا كان حسابك قد تم اختراقه أم لا ، وقم بتعيين تذكير لتغيير كلمة المرور الخاصة بك مرة واحدة في السنة.
يمكنك تعيين مستوى الأمان لكلمات المرور التي يستخدمها كل من العملاء والمسؤولين مباشرةً في واجهة المسؤول
في الشريط الجانبي المسؤول ، انتقل إلى المتاجر> الإعدادات> التكوين.
في اللوحة على اليسار ، توسيع العملاء و اختر تكوين العميل.
توسيع خيارات كلمة المرور والقسم الخاص به.
الخطوة رقم 9: امتثال PCI
أنشأت شركات بطاقات الائتمان الكبرى معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) للتأكد من أن التجار يتبنون تدابير أمنية مهمة. يمكن للتجار الذين لا يمتثلون لمتطلبات PCI أن يتوقعوا غرامات كبيرة ، والتي يمكن أن تؤدي أيضًا إلى فقدان قدرتهم على معالجة المدفوعات.
يجعل Magento من السهل على التجار أن يصبحوا متوافقين مع PCI - Magento Commerce Cloud معتمد من PCI ويقدم Magento عروض متكاملة بوابات الدفع مثل PayPal و Authorize.Net وغيرهما ممن ينقلون معلومات بطاقة الائتمان بأمان.
12 متطلبات PCI-DSS | |
بناء وصيانة شبكة آمنة | المتطلب 1: تثبيت تكوين جدار حماية والحفاظ عليه لحماية بيانات حامل البطاقة المتطلب 2: لا تستخدم الإعدادات الافتراضية التي يوفرها البائع لكلمات مرور النظام ومعلمات الأمان الأخرى |
حماية بيانات حامل البطاقة | المطلب 3: حماية بيانات حامل البطاقة المخزنة المتطلب 4: تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة المفتوحة |
الحفاظ على برنامج إدارة نقاط الضعف | المتطلب 5: استخدام برامج مكافحة الفيروسات وتحديثها بانتظام المتطلب 6: تطوير وصيانة أنظمة وتطبيقات آمنة |
تنفيذ إجراءات صارمة للتحكم في الوصول | المتطلب 7: تقييد الوصول إلى بيانات حامل البطاقة حسب حاجة العمل إلى المعرفة المتطلب 8: قم بتعيين معرف فريد لكل شخص لديه وصول إلى الكمبيوتر المتطلب 9: تقييد الوصول المادي إلى بيانات حامل البطاقة |
مراقبة الشبكات واختبارها بانتظام | المتطلب 10: تتبع ورصد كل الوصول إلى موارد الشبكة وبيانات حامل البطاقة المتطلب 11: اختبار أنظمة وعمليات الأمن بانتظام |
الحفاظ على سياسة أمن المعلومات | المتطلب 12: الحفاظ على سياسة تتناول أمن المعلومات |
ملاحظة مهمة: لا تستخدم وحدة بطاقات الائتمان المحفوظة في بيئة الإنتاج!
بطاقات الائتمان المحفوظة غير متوافقة مع PCI وقد تعرض معلومات بطاقة ائتمان عملائك.
الخطوة رقم 10: قم بتثبيت ملحقات الأمان
عندما لا تكون الوظائف الأصلية كافية ، تأتي الإضافات للإنقاذ. لدى Magento مستودع غني من امتدادات الأمان - المدفوعة والمجانية. إليك بعض الأشياء التي يمكنك تجربتها:
الخطوة رقم 11: حلول أتمتة الأمان
أتمتة الأمان هي عملية التعامل التلقائي مع المهام المتعلقة بالأمان مثل فحص مكافحة الفيروسات ، واكتشاف التسلل ، وإنشاء نسخ احتياطية ، وتجديد شهادات SSL ، وغير ذلك الكثير.
IBM قام باكتشاف رائد: واجهت المؤسسات التي ليس لديها حلول أمان مؤتمتة تكاليف خرق كانت أعلى بنسبة 95٪ من المؤسسات التي لديها أتمتة منتشرة بالكامل.
الخطوة رقم 12: تأمين المسؤولية الإلكترونية
تمامًا مثل أي نوع آخر من التأمين (السيارة ، المنزل ، إلخ) ، يحمي التأمين الإلكتروني الشركات من الأضرار التي تسببها الهجمات الإلكترونية. على وجه الخصوص ، تغطي المسؤولية الإلكترونية
- خروقات البيانات بعد سرقة الموظف و / أو تسرب البيانات.
- انقطاع الأعمال السيبرانية ، مثل اختراق طرف ثالث أو فشل تصحيح البرنامج.
- خروقات البيانات بعد القرصنة.
- الأخطاء والسهو التي تؤدي إلى التطفل الأمني.
الخطوة رقم 13: قم بإنشاء خطة وخطة الاستجابة للحوادث
إذا لم يكن لديك خطة استجابة للحوادث (أو كنت لا تعرف ما هي هذه الخطة) ، فلنقم بإنشاء واحدة.
لتسهيل الأمر ، أخذنا تاليش سيبارسان نموذج خطة الاستجابة للحوادث Magento-centric وإنشاء جدول بيانات Google يمكنك نسخه لاستخدامك الخاص.
المتطلبات الأساسية لاستخدام النموذج:
- قم بإنشاء فريق الاستجابة للحوادث (IRT) للتعامل مع الحوادث الأمنية لكل جانب من جوانب حل التجارة الإلكترونية المحدد في هذه الطاولة.
- مراقبة وتحليل حركة مرور الشبكة وأداء النظام بشكل روتيني.
- تحقق بشكل روتيني من جميع السجلات وآليات التسجيل ، بما في ذلك سجلات أحداث نظام التشغيل ، والسجلات الخاصة بالتطبيقات ، وسجلات نظام اكتشاف التسلل.
- تحقق من النسخ الاحتياطي واستعادة الإجراءات. يجب أن تكون على دراية بالمكان الذي يتم فيه الاحتفاظ بالنسخ الاحتياطية ، ومن يمكنه الوصول إليها ، وإجراءاتك الخاصة باستعادة البيانات واستعادة النظام. تأكد من التحقق بانتظام من النسخ الاحتياطية والوسائط عن طريق استعادة البيانات بشكل انتقائي.
IBM وجدت أن الشركات التي لديها IRT والاختبار الشامل لخطط الاستجابة الخاصة بهم وفر أكثر من 1.2 مليون دولار. وبشكل أكثر تحديدًا ، أظهرت الدراسة أن التأثير المشترك لـ IRT واختبار خطة الاستجابة للحوادث ، من خلال التدريبات والمحاكاة ، ساعدا الفرق على الاستجابة بشكل أسرع وتحقيق وفورات في التكاليف أكبر من أي عملية أمنية واحدة.
الخطوة رقم 14: حافظ على Magento Patched وحديثًا
لا توجد أعذار لعدم وجود متجر Magento مصحح ومحدث بالكامل.
لتثبيت تصحيح أمان Magento ، يجب عليك ذلك
- قم بعمل نسخة احتياطية من نظام الملفات والوسائط وقاعدة البيانات لمنع فقدان البيانات في حالة حدوث خطأ ما.
- قم بتنزيل التصحيح (المعروف أيضًا باسم الإصلاح العاجل) من مركز أمن ماجنتو. ضع في اعتبارك أنك ستحتاج إلى معرفة إصدار Magento لتنزيل التصحيح الصحيح.
- ضع رقعة عبر حزمة تصحيح جودة Magento (MQP)أو سطر الأوامر أو الملحن.
افحص موقعك ، وحدد أي تصحيحات تحتاج إلى تثبيتها ، ويرجى عدم السماح للمتسللين بالوصول بسهولة من خلال ثغرة أمنية. قم بالتسجيل في Magento Security Alert Registry وتأكد من زيارة Magento Security Center من وقت لآخر للحصول على أحدث الأخبار والمعلومات.
لتوفر على نفسك بعض المتاعب ، يمكنك أيضًا استئجار مطور Magento. سيقومون بتثبيت تصحيح أمان Magento في أي وقت من الأوقات - سواء كان ذلك إصلاحًا عاجلاً أو تصحيحًا مخصصًا.
ماذا تفعل إذا تم اختراق موقع الويب الخاص بك
لا تُصب بالذعر. إذا كان هناك خرق للبيانات أو الكشف عن المعلومات ، فلا توجد طريقة لاستعادة تلك المعلومات. يجب أن تكون أولويتك تحديد ما تم الكشف عنه ، وجمع الأدلة ، والتأكد من عدم تسريب البيانات.
اتبع خطة الاستجابة للحوادث الخاصة بك:
- قم بإجراء تقييم أولي
- أبلغ عن الحادث
- احتواء الضرر وتقليل المخاطر
- تحديد مدى خطورة التسوية
- الحفاظ على الأدلة
- أبلغ عن أي إخطارات خارجية
- تجميع وتنظيم أدلة الحادث
تجربة Elogic مع الهجمات الإلكترونية
لمعرفة ما يواجهه مطورو Elogic في عملهم ، سألنا وتعلمنا عن قصتين جامحتين للنوايا الخبيثة.
فشل تعدين البيتكوين
كان Andriy Biloshytskiy ، أحد أكثر المطورين ذوي الخبرة لدينا في Elogic ، تجربة مثيرة للاهتمام قبل بضع سنوات. حدث شيء غريب للغاية لأحد المشاريع التي كان يعمل عليها في ذلك الوقت.
يقول أندري: "لم تكن هناك تحديثات حديثة على الموقع ، ولم يتغير شيء ، باستثناء أن الموقع لم يكن يعمل". "لذلك ، أجريت تحقيقًا سريعًا ووجدت شيئًا غريبًا وممتعًا - كان هناك جزء من شفرة JavaScript بدون علامات إغلاق ، مما تسبب في التعطل. بعد البحث في Google ، وجدت أن الهدف من البرنامج النصي الخبيث هو سرقة القوة الحاسوبية للأشخاص الذين يزورون المتجر - لتعدين البيتكوين.
- Andriy Biloshytskiy ، مطور كامل المكدس في Elogic Commerce
لم يتم القبض على الجاني (ربما مسؤول متجر). لم يكن لدى المتجر سجلات المسؤول ، لذا لم تكن هناك طريقة لمعرفة المسؤول على وجه اليقين.
الفيروس غير المتوقع
عندما يعمل المطورون في المشاريع ، فإنهم غالبًا ما يستنسخون المتجر على جهاز الكمبيوتر أو الخادم الخاص بالعمل لاختبار وكتابة رمز جديد. حدثت هذه القصة بعد أن قام أحد مطورينا باستنساخ متجر ولكن بدلاً من العمل بشكل صحيح ، رأى نافذة منبثقة.
كانت النافذة المنبثقة بمثابة تحذير من برنامج مكافحة الفيروسات الخاص به ، وكان مصدر الإصابة هو مثيل Magento المثبت حديثًا. بعد تحديد موقع الملف المصاب ، وهو ملف PHP أساسي ، قام المطور بحذف الشفرة الخبيثة وبدء عمله.
المغزى من القصة هو: سواء كان الهجوم مستهدفًا أو خطأ بشريًا أو خللًا / ثغرة في النظام ، يمكنك المساعدة في منع الانتهاكات من خلال تطبيق معايير الأمان واتباعها.
هل Magento Commerce أكثر أمانًا من Magento Open Source؟
أثناء الاختيار بين ماجنتو 2 التجارة مقابل المصدر المفتوح، ربما تساءلت عن أيهما أكثر أمانًا. في حين أنه من الصحيح أن كلا إصداري Magento يقدمان مجموعات ميزات رائعة (اعتمادًا على احتياجات عمل التاجر ، بالطبع) ، يمكننا أن نضمن أمان Magento Commerce (المعروف أيضًا باسم Adobe Commerce).
فيما يلي خمس مزايا أمان رئيسية لاستخدام Magento Commerce و Commerce Cloud.
PCI الامتثال
امتثال PCI ليس ميزة مدرجة في Magento Open Source ، ولكنه موجود في Magento Commerce. والأفضل من ذلك ، أن Magento Commerce Cloud حاصلة على اعتماد PCI كمزود حلول من المستوى 1 ، لذلك يمكن للتجار استخدام شهادة توافق PCI من Magento للمساعدة في عملية اعتماد PCI الخاصة بهم.
المسؤوليات الأمنية المشتركة
يحتوي Magento Commerce Cloud على ملف نموذج أمن المسؤولية المشتركة حيث تشارك أنت و Magento و Amazon Web Services (أفضل الخدمات السحابية) مسؤوليات الأمان التشغيلي. أنت مسؤول عن اختبار التعليمات البرمجية المخصصة وأي تطبيقات مخصصة. يضمن Magento أن النظام الأساسي نفسه آمن ، وتهتم Amazon بالأمان المادي للخوادم والامتثال.
سجلات العمل
تمنحك Magento Commerce القدرة على الاحتفاظ بسجل لكل تغيير (إجراء) يقوم به المسؤول الذي يعمل في متجرك. تتضمن المعلومات المسجلة اسم المستخدم والإجراء وما إذا كان الإجراء ناجحًا أم لا ، كما أنها تسجل عنوان IP والتاريخ.
جدار حماية تطبيق الويب (WAF)
تمامًا مثل جدار الحماية على جهاز الكمبيوتر ، يمنع WAF حركة المرور الضارة من الدخول إلى الشبكة باستخدام مجموعة من قواعد الأمان. يتم حظر أي حركة مرور تؤدي إلى تنفيذ القواعد قبل أن تطلق العنان لنفسها على موقعك أو شبكتك. يستخدم Magento Commerce Cloud بسرعة CDN لخدمات WAF.
شبكة توصيل المحتوى (CDN) وحماية DDoS
تستخدم Magento Commerce Cloud أيضًا Fastly CDN للحصول على ميزات أمان إضافية مثل حماية DDoS ، والتي تتضمن تخفيف الطبقة 3 و 4 و 7 DDoS
الوجبات الجاهزة - نصائح أمان Magento وأفضل الممارسات
يجب أن يكون أمان الموقع وعلى نطاق أوسع ، الأمن السيبراني أحد أولوياتك الرئيسية. أنت لا تدير مدونة أو صفحة شخصية فحسب ، بل أنت مسؤول عن حماية المعلومات السرية ، بما في ذلك الأسماء والعناوين وأرقام الهواتف ومعلومات بطاقة الائتمان.
تذكر:
- يمكن اختراق حتى موقع مصحح ومُحدَّث بالكامل. على سبيل المثال ، يمكن أن تكون كلمة مرور المسؤول الضعيفة قسرية ويمكن للمخترقين التجول مباشرة وجمع كل ما يريدونه. لذا قم بإجراء فحوصات أمان Magento بانتظام.
- لا يمكنك حساب نقاط الضعف الجديدة أو ثغرات يوم الصفر (هجوم إلكتروني يحدث في نفس اليوم الذي يتم فيه اكتشاف نقطة ضعف). ومع ذلك ، يمكن أن تساعدك خطة الاستجابة القوية للحوادث على البقاء متقدمًا بخطوة.
- "درهم وقاية خير من قنطار علاج". كان بن فرانكلين على حق. إذا قمت بتكوين متجرك مع وضع الأمان في الاعتبار ، والتزمت بسير عمل الأمن السيبراني الذي حددناه ، وقمت بحماية متجرك ، يمكنك توفير الكثير من الوقت وجع القلب.
- لا تساوم على الأمن ، وإلا فإن افتقارك للأمان سيعرضك للخطر.
الأسئلة الشائعة حول Magento Security
هل Magento آمن؟
بعد إخفاق Magento 1 ، قامت Adobe بترقية Magento 2 إلى مستويات أمان جديدة. تم تصميم هندسة التجارة الإلكترونية في Magento لتوفير بيئة آمنة للغاية بفضل جدار حماية تطبيقات الويب (WAF) ، و Fastly CDN لتوفير حماية إضافية لـ DDoS ، والتجزئة لتشفير البيانات. يتم إصدار تصحيحات الأمان كل ثلاثة أشهر ، ويتوفر Magento Security Scanner. يمكن للتجار أيضًا استخدام شهادات SSL و CAPTCHA والمصادقة الثنائية وأفضل ممارسات أمان Magento الأخرى لحماية عملائهم.
لذلك من الآمن أن نقول إن Magento هي واحدة من أكثر المنصات أمانًا من بين المنصات المتوفرة في سوق التجارة الإلكترونية.
كيفية تأمين موقع Magento؟
تتضمن بعض أفضل الممارسات لتأمين Magento ما يلي:
- قم بتوفير عمليات تدقيق منتظمة لأمن Magento - سواء كان ذلك باستخدام أداة مسح البرامج الضارة تلقائيًا من Magento أو بمساعدة أحد المتخصصين في Magento.
- استخدم اتصالات مشفرة (SSL / HTTPS).
- قم بتنشيط المصادقة ذات العاملين.
- قم بعمل نسخة احتياطية من موقع الويب الخاص بك بانتظام.
- اختر موفري استضافة موثوقين
- استفد من ميزات أمان Magento الأصلية وقم بتثبيت ملحقات الأمان عند الحاجة.
- ضع خطة العمل الخاصة بك للطوارئ السيبرانية.
راجع قائمة التحقق من أمان Magento الكاملة أعلاه.
هل Magento PCI متوافق؟
يعتمد توافق Magento PCI على إصداره:
الماجنتو مفتوح المصدر غير متوافق مع PCI ، لذلك سيتعين عليك اعتماد طريقة دفع من جهة خارجية تعيد توجيهك إلى موقع آخر لإجراء المعاملة (مثل PayPal أو Authorize.net) أو طريقة دفع متوافقة مع SaaS PCI (CRE Secure).
سحابة التجارة والتجارة Magento حاصلة على شهادة PCI كمزود حلول من المستوى الأول.
المصدر: https://elogic.co/blog/magento-security-guide-how-to-protect-your-website-from-hackers/
- &
- 000
- 11
- 2020
- 7
- 9
- الوصول
- حسابي
- اكشن
- أنشطة
- إضافي
- مشرف
- أدوبي
- مميزات
- محام
- خوارزمية
- الكل
- السماح
- أمازون
- أمازون ويب سيرفيسز
- من بين
- أعلن
- الحماية من الفيروسات
- تطبيق
- التطبيقات
- هندسة معمارية
- حول
- الهجمات
- التحقّق من المُستخدم
- الآلي
- أتمتة
- دعم
- النسخ الاحتياطي
- أفضل
- أفضل الممارسات
- أكبر
- قطعة
- إلى البيتكوين
- التعدين بيتكوين
- المدونة
- البوتات
- خرق
- مخالفات
- البق
- الأعمال
- الأعمال
- الحملات
- سيارة
- يهمني
- اشتعلت
- تسبب
- الشهادات
- الشهادات
- تغيير
- تهمة
- الشيكات
- سحابة
- الخدمات السحابية
- الكود
- البرمجة
- تجارة
- مجتمع
- الشركات
- الالتزام
- الحوسبة
- القدرة الحاسوبية
- التواصل
- التكاليف
- تحطم
- خلق
- ائتمان
- بطاقة إئتمان
- بطاقات الائتمان
- العلاج.
- العملاء
- الانترنت
- هجوم الانترنت
- هجمات الكترونية
- الأمن السيبراني
- البيانات
- البيانات الاختراق
- فقدان البيانات
- أمن البيانات
- قاعدة البيانات
- يوم
- دوس
- صفقة
- التوصيل
- كشف
- تطوير
- المطور
- المطورين
- التطوير التجاري
- الأجهزة
- فعل
- اكتشف
- اكتشاف
- الموت
- التجارة الإلكترونية
- التجارة الإلكترونية
- الموظفين
- التشفير
- المهندسين
- البيئة
- إلخ
- الحدث/الفعالية
- وسع
- الخبره في مجال الغطس
- خبرائنا
- اضافات المتصفح
- الميزات
- المميزات
- مالي
- البيانات المالية
- نار
- الأول
- حل
- الإطار
- مجانا
- بالإضافة إلى
- مستقبل
- GIF
- ذهبي
- خير
- شراء مراجعات جوجل
- Google بحث
- عظيم
- توجيه
- الإختراق
- قراصنة
- القرصنة
- معالجة
- الثرم
- هنا
- تأجير
- الصفحة الرئيسية
- استضافة
- كيفية
- كيفية
- HTTPS
- فكرة
- تحديد
- هوية
- صورة
- التأثير
- استجابة الحادث
- بما فيه
- العالمية
- عدوى
- info
- معلومات
- امن المعلومات
- البنية التحتية
- التأمين
- التكامل
- نية
- تفاعل
- كشف التسلل
- تحقيق
- المشاركة
- IP
- عنوان IP
- مسائل
- IT
- جافا سكريبت
- وظيفة
- حفظ
- القفل
- كبير
- آخر
- آخـر الأخبار
- قيادة
- التسريبات
- تعلم
- تعلم
- مستوى
- مسئولية
- محدود
- خط
- رائد
- القيام ب
- البرمجيات الخبيثة
- إدارة
- تجارة
- التسويق
- السوق
- الوسائط
- تاجر
- التجار
- تعدين
- أسماء
- صاف
- شبكة
- ازدحام انترنت
- أخبار
- أرقام
- عرض
- عروض
- رسمي
- التأهيل ل
- online
- جاكيت
- المصدر المفتوح
- يفتح
- تعمل
- نظام التشغيل
- عمليات
- مزيد من الخيارات
- أخرى
- أخرى
- ذعر
- كلمة المرور
- كلمات السر
- بقعة
- بقع
- وسائل الدفع
- المدفوعات
- PayPal
- PC
- PCI DSS
- مجتمع
- أداء
- البيانات الشخصية
- فردي
- التصيد
- هجمات التصيد
- مادي
- الأمن المادي
- المنصة
- بلاتفورم
- المساعد
- سياسة
- قوة
- الوقاية
- خصوصية
- المنتج
- الإنتــاج
- مشروع ناجح
- حماية
- الحماية
- جمهور
- جودة
- استرجاع
- التقارير
- المتطلبات الأساسية
- مورد
- الموارد
- استجابة
- النتائج
- مراجعة
- التعليقات
- القواعد
- يجري
- تشغيل
- ادارة العلاقات مع
- خزنة
- تفحص
- مسح
- بحث
- أمن
- انظمة حماية
- تحديثات الأمان
- يرى
- خدماتنا
- طقم
- مشاركة
- قذيفة
- الشحن
- قصير
- الاشارات
- المواقع
- So
- تطبيقات الكمبيوتر
- الحلول
- البريد المزعج
- جدول
- المعايير
- بدأت
- إقامة
- تخزين
- متجر
- فروعنا
- قصص
- دراسة
- المقدمة
- ناجح
- مدعومة
- الدعم
- نظام
- أنظمة
- الهدف
- تقني
- تجربه بالعربي
- الاختبار
- المستقبل
- المشاريع
- المصدر
- سرقة
- التهديدات
- الوقت
- نصائح
- نغمة
- مسار
- حركة المرور
- صفقة
- الثقة
- تحديث
- آخر التحديثات
- URI
- us
- USB
- المستخدمين
- التحقق
- الفيروسات
- نقاط الضعف
- الضعف
- الضعيفة
- الويب
- خدمات ويب
- الموقع الإلكتروني
- المواقع
- أسبوعي
- ما هي تفاصيل
- من الذى
- WordPress
- كلمات
- للعمل
- سير العمل
- أعمال
- قيمة
- X
- XSS
- عام
- سنوات