همانطور که Magento همچنان یک پلت فرم تجارت الکترونیک محبوب است، تهدیدات و آسیب پذیری هایی که فروشگاه شما را هدف قرار می دهد نیز افزایش می یابد. از نقض داده ها گرفته تا دسترسی غیرمجاز، خطرات امنیتی واقعی هستند و ممکن است منجر به آسیب مالی و اعتبار قابل توجهی شوند.

بنابراین، اجرای تدابیر امنیتی قوی برای محافظت از کسب و کار و داده های مشتری خود در برابر این تهدیدات رو به رشد بسیار مهم است.

این مقاله نکات عملی برای محافظت از وب سایت Magento شما در برابر تهدیدات امنیتی رایج را به اشتراک می گذارد. با پیروی از راهنمای ما، برای ایمن سازی فروشگاه خود و حفظ اعتماد مشتری مجهزتر خواهید شد.

15 بهترین روش امنیتی Magento

در اینجا برخی از موثرترین استراتژی ها برای کمک به محافظت از فروشگاه Magento شما در برابر مشکلات امنیتی آورده شده است.

1. از یک محیط میزبانی امن استفاده کنید

یک محیط میزبانی امن اولین خط دفاعی در برابر حملات سایبری است روی سایت شما حتی بهترین ها روی-اگر زیرساخت میزبانی شما آسیب پذیر باشد، اقدامات امنیتی سایت ممکن است به خطر بیفتد.

بنابراین، host فروشگاه Magento شما روی ارائه دهنده هاست ایمن و قابل اعتماد هنگام انتخاب یک پلت فرم ایده آل، به این ویژگی های امنیتی نگاه کنید:

  • اسکن بدافزار. اسکن منظم بدافزار به شناسایی و حذف کدهای مخربی که می تواند امنیت فروشگاه شما را به خطر بیندازد، کمک می کند. این مانع از تزریق اسکریپت های مضر به وب سایت شما توسط مهاجمان می شود.
  • حفاظت از DDoS. یک ارائه دهنده میزبانی با محافظت قوی از انکار خدمات توزیع شده (DDoS) ترافیک مشکوک را فیلتر می کند و تضمین می کند که فروشگاه آنلاین شما برای مشتریان قانونی در دسترس باقی بماند.
  • پشتیبان گیری منظم. پشتیبان‌گیری منظم تضمین می‌کند که در صورت نقض امنیت یا از دست دادن اطلاعات، می‌توانید به سرعت وب‌سایت خود را بازیابی کنید. یک سرویس میزبانی خوب، پشتیبان گیری خودکار و مکرر را برای به حداقل رساندن خرابی ارائه می دهد.
  • سخت شدن سرور. یک محیط امن کمتر توسط مهاجمان مورد سوء استفاده قرار می گیرد. ارائه‌دهنده ایده‌آل به‌طور منظم وصله‌های امنیتی را اعمال می‌کند، خدمات غیرضروری را غیرفعال می‌کند و کنترل‌های دسترسی سختگیرانه سرور را اعمال می‌کند.

هاستینگerسرویس Magento VPS همه این ویژگی‌های ضروری را ارائه می‌دهد که به طور خاص برای سایت‌های تجارت الکترونیک Magento طراحی شده است.

اسکنر بدافزار مجهز به Monarx ما به طور خودکار تهدیدهای مخرب را شناسایی و حذف می کند و از نفوذ آنها به وب سایت شما جلوگیری می کند. در همین حال، فیلتر پیشرفته Wanguard DDoS و یک فایروال با پیکربندی آسان، حملات هدفمند را خنثی کرده و آنها را دور نگه می دارد.

برنامه های میزبانی مجنتو همچنین پشتیبان گیری خودکار منظم را در مکان های مختلف ذخیره می کند. این تضمین می‌کند که حتی اگر مکان سرور اصلی شما مشکلی داشته باشد، داده‌های شما در دسترس باقی می‌ماند.

علاوه بر این، تیم ما به طور مداوم آخرین وصله‌های امنیتی را برای مطابقت با استانداردهای صنعت اعمال می‌کند تا بتوانید با خیال راحت فروشگاه Magento خود را اجرا و مدیریت کنید.

2. اعتبار ورود به سیستم را ایمن کنید

ایمن سازی تمام حساب های مدیریت می تواند به حفظ امنیت کلی وب سایت کمک کند. گذرواژه های ضعیف یک نقطه ورود رایج برای مهاجمان هستند. در Magento، می‌توانید خط‌مشی‌های اعتبارنامه مدیریت قوی را اعمال کنید که شامل ترکیبی از حروف بزرگ و کوچک، اعداد و نویسه‌های خاص است.

ما همچنین استفاده از بهترین شیوه های مدیریت رمز عبور را پیشنهاد می کنیم:

  • از مدیریت رمز عبور استفاده کنید. این ابزارها به تولید و ذخیره رمزهای عبور قوی و منحصر به فرد برای هر حساب کمک می کنند، بنابراین نیازی به به خاطر سپردن رمزهای عبور پیچیده ندارید.
  • از استفاده مجدد رمز عبور خودداری کنید. هرگز از یک رمز عبور در چندین حساب استفاده نکنید. اگر یک حساب در معرض خطر قرار گیرد، می تواند حساب های دیگر را در معرض خطر قرار دهد.
  • به روز رسانی منظم رمز عبور. رمزهای عبور خود را حداقل هر سه ماه یک بار به روز کنید تا خطر استفاده از اعتبارنامه های قدیمی و احتمال خطر را به حداقل برسانید.

برای محافظت بیشتر از فروشگاه خود، از احراز هویت دو مرحله ای (2FA) استفاده کنید. با استفاده از آن، کاربران باید یک فرم تأیید دوم، مانند یک کد امنیتی ارسال شده به دستگاه تلفن همراه خود را ارائه دهند. حتی اگر مهاجمان رمز عبور دریافت کنند، باز هم نمی توانند بدون فاکتور دوم وارد سیستم شوند.

برای فعال کردن 2FA در Magento مراحل زیر را دنبال کنید:

  1. وارد پنل مدیریت مجنتو شوید و به آن بروید فروشگاه هاتنظیماتپیکربندی.
  2. در پنل سمت چپ، را انتخاب کنید امنیت2FA.
  3. گسترش دهید عمومی بخش و یک ارائه دهنده 2FA را انتخاب کنید که متناسب با نیاز شما باشد.
  1. دنبال کنید onدستورالعمل های صفحه نمایش برای پیکربندی ارائه دهنده مورد نظر شما.
  2. پس از اتمام، کلیک کنید پیکربندی را ذخیره کنید.

3. URL پیش فرض مدیریت را تغییر دهید

بدون تغییر ماندن URL پیش‌فرض مدیریت در مجنتو، خطر قابل توجهی دارد. نگه داشتن URL همانطور که هست باعث می شود کاربران غیرمجاز بتوانند محل ورود مدیریت شما را پیدا کنند page و حملات brute-force را انجام دهند.

در مقابل، استفاده از یک URL سفارشی، احتمال حملات موفقیت آمیز را کاهش می دهد. در اینجا روش تغییر URL مدیر Magento آمده است:

  1. در داشبورد Magento خود، به آن بروید فروشگاه ها → تنظیمات → پیکربندی → پیشرفته.
  2. انتخاب کنید مدیر و گسترش دهید URL پایگاه مدیریت بخش
  3. را تنظیم کنید از URL Admin سفارشی استفاده کنید ارزش به بله برای جایگزینی کل URL. سپس، را پر کنید URL سفارشی مدیریت فیلد با یک URL منحصر به فرد و به سختی قابل حدس زدن، به عنوان مثال، https://admin.yourstore.com.
  4. اگر می خواهید مسیر بعد از دامنه را در URL تغییر دهید، تنظیم کنید از مسیر مدیریت سفارشی استفاده کنید به بله. در قسمت اختصاصی مسیر را وارد کنید مانند پنل امن.
  1. کلیک کنید پیکربندی را ذخیره کنید برای اعمال تنظیمات

4. دسترسی را با آدرس IP محدود کنید

یکی دیگر از اقدامات موثر محدود کردن دسترسی به پنل مدیریت توسط آدرس IP است. محدود کردن دسترسی تضمین می کند که فقط IP های قابل اعتماد می توانند به ورود به سیستم دسترسی پیدا کنند page. در اینجا روش انجام آن آمده است:

  1. از طریق a وارد سرور خود شوید terminal یا برنامه SSH مانند PuTTY. جایگزین کنید نام کاربری و server_ip_address با مدارک واقعی شما
ssh username@server_ip_address
  1. به نصب Magento خود دسترسی پیدا کنید root دایرکتوری و باز کنید htaccess فایل از طریق ویرایشگر متن نانو. جایگزین کنید /path/to/magento2 با مسیر دایرکتوری واقعی شما:
cd /path/to/magento2

nano .htaccess
  1. خطوط زیر را به این فایل اضافه کنید و جایگزین کنید 123.456.789.000 با آدرس IP مورد اعتماد شما:
<FilesMatch "index.php">

Order Deny,Allow

Deny from all

Allow from 123.456.789.000

</FilesMatch>

اگر می‌خواهید چندین آدرس IP را مجاز کنید، آدرس‌های دیگری را اضافه کنید اجازه از خطوط برای هر ورودی

  1. ویرایش های خود را ذخیره کرده و خارج شوید نانو با فشار دادن Ctrl + X → Y → Enter.

5. reCAPTCHA را فعال کنید

reCAPTCHA به محافظت از سایت تجارت الکترونیک شما در برابر حملات brute-force خودکار کمک می کند. این حملات اغلب شامل ربات هایی می شود که به طور مکرر اعتبار ورود به سیستم را حدس می زنند تا دسترسی غیرمجاز به دست آورند.

همچنین به طور موثری هرزنامه و ترافیک ربات را در سراسر سایت شما کاهش می دهد، چه ثبت نام جعلی، چه ارسال فرم های هرزنامه، و چه تلاش های مخرب برای پرداخت. reCAPTCHA تضمین می کند که فقط کاربران واقعی می توانند با سایت شما تعامل داشته باشند.

برای فعال کردن reCAPTCHA در Magento مراحل زیر را دنبال کنید:

  1. وب سایت خود را ثبت کنید روی را Google reCAPTCHA page تا نسخه reCAPTCHA دلخواه خود را انتخاب کنید و سایت و کلیدهای مخفی خود را دریافت کنید.
  2. در نوار کناری داشبورد Magento خود، به فروشگاه ها → تنظیمات → پیکربندی → SECURITY.
  3. برای پیکربندی reCAPTCHA برای پنل مدیریت، را انتخاب کنید پنل مدیریت Google reCAPTCHA.
  4. نسخه reCAPTCHA را بر اساس انتخاب کنید روی انتخاب قبلی شما سپس کلیدهای بدست آمده را در فیلدهای مربوطه وارد کنید.
Magento's reCAPTCHA v2 ("من ربات نیستم") گزینه ها
  1. به پایین اسکرول کنید و آن را گسترش دهید پنل مدیریت بخش با تنظیم مقدار، جایی که می‌خواهید reCAPTCHA را فعال کنید، انتخاب کنید بله. پس از انجام، تغییرات خود را ذخیره کنید.
  2. برای افزودن reCAPTCHA روی ویترین فروشگاه، روی آن کلیک کنید ویترین فروشگاه Google reCAPTCHA منو و همین کار را تکرار کنید process. توصیه می کنیم reCAPTCHA را فعال کنید روی صفحات ورود، ثبت نام و پرداخت.
گزینه های فروشگاه Google reCAPTCHA Magentoگزینه های فروشگاه Google reCAPTCHA Magento

6. از رمزگذاری HTTPS استفاده کنید

هنگامی که مشتریان با سایت Magento شما تعامل دارند، مانند وارد کردن اطلاعات شخصی، خرید اقلام یا فقط مرور، داده های آنها با سرور شما مبادله می شود. پروتکل انتقال ابرمتن امن (HTTPS) تضمین می کند که هر داده رمزگذاری شده است. بدون آن، عوامل مخرب می‌توانند اطلاعات حساسی مانند داده‌های کارت اعتباری و جزئیات ورود به سیستم را افشا کنند.

پیشنهاد می‌کنیم بخوانید:  روش ایجاد هاست مجازی آپاچی روی CentOS 7

علاوه بر این، HTTPS تأثیر مثبتی بر SEO فروشگاه Magento شما می‌گذارد، زیرا موتورهای جستجو مانند Google سایت‌های امن را ترجیح می‌دهند. این بدان معناست که سایت‌های HTTPS ممکن است رتبه‌بندی جستجوی بهبود یافته را ببینند و ترافیک ارگانیک بیشتری را جذب کنند.

در اینجا دستورالعمل های پیکربندی HTTPS در Magento آمده است:

  1. یک گواهی SSL تولید کنید روی سرور شما اگر مجنتو را با استفاده از هاستینگerقالب VPS، می توانید راهنمای ما را بخوانید روی راه اندازی SSL از طریق CloudPanel.
  2. به داشبورد مجنتو خود دسترسی پیدا کنید و به فروشگاه ها → پیکربندی → عمومی → وب.
  3. گسترش دهید URL های پایه (ایمن) بخش و مجموعه از URL های امن استفاده کنید روی ویترین فروشگاه و از URL های امن در Admin استفاده کنید به بله.
  4. به روز رسانی URL پایه امن برای استفاده https:// به جای http://.
گزینه های Magento's Base URLs (Secure).گزینه های Magento's Base URLs (Secure).
  1. تنظیمات خود را ذخیره کنید و سایت خود را آزمایش کنید تا مطمئن شوید که به درستی با HTTPS بارگیری می شود.

7. درگاه های پرداخت امن را پیکربندی کنید

پردازش ناامن پرداخت یکی از دلایل اصلی نقض امنیت، مانند کلاهبرداری مالی و سرقت داده ها است. برای کاهش این خطرات، گزینه های پرداخت ایمن را اجرا کنید که با استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) مطابقت دارد، که الزامات امنیتی سختگیرانه ای را برای رسیدگی به اطلاعات دارنده کارت تعیین می کند.

استفاده از یک دروازه سازگار با PCI روی وب سایت Magento شما تضمین می کند که داده های پرداخت مشتریان به صورت ایمن پردازش می شود و احتمال حوادث امنیتی و جریمه های پرهزینه را کاهش می دهد.

در اینجا راهنمای راه‌اندازی درگاه‌های پرداخت سازگار با PCI در مجنتو آمده است:

  1. درگاه پرداختی را انتخاب کنید که الزامات PCI DSS را برآورده کند. گزینه های محبوب عبارتند از PayPal، Stripe و Authorize.Net.
  2. اکثر درگاه‌های پرداخت اصلی افزونه‌های سازگار با Magento را ارائه می‌کنند، مانند پرداخت های خطی. قبل از استفاده افزونه مربوطه را نصب کنید. در همین حال، سایرین مانند PayPal دارای گزینه های داخلی در پنل مدیریت هستند.
  3. رفتن به فروشگاه هاتنظیماتپیکربندیفروشروش های پرداخت.
  4. درگاه پرداخت دلخواه خود را انتخاب کنید و تنظیمات لازم از جمله وارد کردن کلیدهای API و فعال کردن گزینه‌های امنیتی تراکنش را پیکربندی کنید.
گزینه های درگاه پرداخت پی پال Magentoگزینه های درگاه پرداخت پی پال Magento
  1. اگر درگاه پرداخت شما از آن پشتیبانی می کند، اقدامات امنیتی اضافی مانند 3D Secure یا سرویس تأیید آدرس (AVS) را برای محافظت بیشتر در برابر کلاهبرداری فعال کنید.
  2. قبل از پخش زنده، درگاه پرداخت را به طور کامل تست کنید تا مطمئن شوید که تراکنش ها را به درستی و ایمن پردازش می کند.

ما همچنین اجرای این بهترین شیوه‌ها را برای حفظ یک محیط پرداخت امن پیشنهاد می‌کنیم:

  • به طور منظم افزونه های درگاه پرداخت را به روز کنید. افزونه های درگاه پرداخت خود را به روز نگه دارید تا از جدیدترین وصله ها و ویژگی های امنیتی بهره مند شوید.
  • گزارش های تراکنش را نظارت کنید. به طور منظم گزارش های تراکنش را برای فعالیت مشکوک بررسی کنید، مانند تراکنش های ناموفق مکرر یا الگوهای پرداخت غیرعادی.
  • ذخیره سازی داده را محدود کنید. مگر در موارد ضروری، از ذخیره اطلاعات حساس پرداخت، مانند شماره کارت اعتباری خودداری کنید. اگر باید این داده ها را ذخیره کنید، مطمئن شوید که رمزگذاری شده و ایمن ذخیره شده است.

8. مجوزها و دایرکتوری های فایل را ایمن کنید

ایمن سازی فایل ها و دایرکتوری ها شامل تنظیم مجوزهای مناسب است تا فقط کاربران مجاز بتوانند آنها را بخوانند، بنویسند و اجرا کنند. این به جلوگیری از حملات مستقیم سرور و تغییرات مخرب به سایت Magento شما کمک می کند.

در اینجا برخی از بهترین روش ها وجود دارد که باید به خاطر داشته باشید:

  • فایل ها. به طور معمول، فایل‌ها باید دارای تنظیمات مجوز باشند 644. این به مالک اجازه می‌دهد بخواند و بنویسد در حالی که دیگران فقط می‌توانند بخوانند.
  • دایرکتوری ها. مجوزهای دایرکتوری را تنظیم کنید 755 بنابراین مالک می تواند بخواند، بنویسد و اجرا کند در حالی که دیگران فقط می توانند بخوانند و اجرا کنند.
  • از استفاده از مجوزهای 777 خودداری کنید. الف 777 این تنظیمات به همه، از جمله کاربران غیرمجاز، مجوزهای کامل خواندن، نوشتن و اجرا اعطا می‌کند که می‌تواند منجر به آسیب‌پذیری‌های امنیتی جدی شود.

برای تنظیم مجوزهای فایل و دایرکتوری مناسب، به Magento خود بروید root دایرکتوری سپس دستورات زیر را اجرا کنید:

find . -type f -exec chmod 644 {} \;

find . -type d -exec chmod 755 {} \;

علاوه بر این، مطمئن شوید که نمایه سازی دایرکتوری را غیرفعال کنید. این به بازدیدکنندگان امکان می‌دهد لیستی از فایل‌ها را در فهرستی که خیر مشاهده کنند index.html یا index.php فایل موجود است فعال کردن فهرست‌بندی فهرست می‌تواند اطلاعات حساسی مانند فایل‌های پیکربندی را در معرض نمایش بگذارد.

برای غیرفعال کردن نمایه سازی دایرکتوری، خود را باز کنید htaccess فایل و خط زیر را اضافه کنید:

Options -Indexes

پس از اتمام، ویرایش های خود را ذخیره کنید.

9. Magento را به طور منظم به روز کنید

مجنتو مرتباً به‌روزرسانی‌هایی را برای معرفی ویژگی‌های جدید منتشر می‌کند و شامل وصله‌های امنیتی است که آسیب‌پذیری‌های کشف شده از آخرین نسخه را برطرف می‌کند. نادیده گرفتن به‌روزرسانی‌ها می‌تواند فروشگاه شما را در معرض دید قرار دهد و استفاده مهاجمان از ضعف‌های نرم‌افزار قدیمی Magento را آسان‌تر کند.

در اینجا مراحل کلی برای ارتقاء مجنتو به آخرین نسخه آن آمده است:

  1. از فایل های مجنتو و پایگاه داده خود از قبل پشتیبان تهیه کنید تا اگر در حین ارتقا مشکلی پیش آمد، سایت خود را به سرعت بازیابی کنید.
  2. در فهرست راهنمای نصب Magento خود، حالت تعمیر و نگهداری را فعال کنید تا از دسترسی موقت کاربران به فروشگاه شما جلوگیری شود:
php bin/magento maintenance:enable
  1. Magento را از طریق Composer با اجرای دستورات زیر ارتقا دهید:
composer require-commerce magento/product-community-edition 2.x.x --no-update

composer update

bin/magento setup:upgrade

bin/magento setup:di:compile

bin/magento setup:static-content:deploy

جایگزین کنید 2.xx با آخرین شماره نسخه مجنتو موجود.

  1. پس از تکمیل به‌روزرسانی، حالت تعمیر و نگهداری را با اجرای زیر خاموش کنید:
php bin/magento maintenance:disable

علاوه بر این، به مقام رسمی مراجعه کنید Adobe Commerce نسخه های منتشر شده page تا از آخرین به روز رسانی ها و وصله های امنیتی Magento مطلع شوید.

10. از Magento Security Scan استفاده کنید

Magento Security Scan یک سرویس رایگان و مبتنی بر ابر ارائه شده توسط Adobe است که به نظارت بر فروشگاه شما برای تهدیدات امنیتی احتمالی کمک می کند. این ابزار آسیب‌پذیری‌ها، نرم‌افزارهای اصلاح‌نشده، و پیکربندی‌های نادرست را اسکن می‌کند و بینش‌های عملی را برای بهبود وضعیت امنیتی فروشگاه شما ارائه می‌دهد.

برای پیکربندی و اجرای ابزار Magento Security Scan مراحل زیر را دنبال کنید:

  1. وارد سیستم خود شوید حساب Adobe Commerce با Adobe ID خود، یا اگر ندارید ثبت نام کنید.
  2. حرکت به Magento → Security Scan و ضربه بزنید به اسکن امنیتی بروید.
دکمه GO TO SECURITY SCAN در حساب Adobe Commerce pageدکمه GO TO SECURITY SCAN در حساب Adobe Commerce page
  1. انتخاب کنید اضافه کردن سایت و نام و آدرس فروشگاه خود را وارد کنید. سپس، کلیک کنید کد تایید را ایجاد کنید و کد را کپی کنید
کد تایید ایجاد شده در Magento Security Scan pageکد تایید ایجاد شده در Magento Security Scan page
  1. به داشبورد مجنتو خود دسترسی پیدا کنید و به محتوا → طراحی → پیکربندی.
  2. کلیک کنید ویرایش کنید در کنار وب سایت Magento خود قرار دهید و آن را گسترش دهید سر HTML بخش
  3. در اسکریپت ها و برگه های سبک، کد تایید را در انتهای هر کد موجود قرار دهید.
قسمت Scripts and Style Sheets در قسمت HTML Head Magentoقسمت Scripts and Style Sheets در قسمت HTML Head Magento
  1. بازگشت به اسکن امنیتی page و کلیک کنید کد تأیید را تأیید کنید برای تکمیل تایید
  2. تنظیمات اسکن خودکار را با انتخاب انجام اسکن هفتگی یا روزانه پیکربندی کنید. روز، زمان و منطقه زمانی دلخواه خود را برای اسکن ها انتخاب کنید.
  3. آدرس ایمیلی را که می‌خواهید اسکن‌های کامل شده و اعلان‌های به‌روزرسانی امنیتی را دریافت کنید، وارد کنید.
گزینه های Set Automatic Security Scan در Magento Security Scanگزینه های Set Automatic Security Scan در Magento Security Scan

اسکن فروشگاه شما را برای خطرات امنیتی احتمالی در زمان برنامه ریزی شده بررسی می کند. پس از تکمیل، این ابزار گزارش مفصلی از هر گونه آسیب پذیری یافت شده، سطح شدت آنها و اقدامات توصیه شده را ایجاد می کند.

سپس می توانید ابتدا با اولویت بندی مسائل حیاتی اقدام کنید. این ممکن است شامل به‌روزرسانی نرم‌افزار قدیمی یا پیکربندی مجدد جنبه‌های خاصی از امنیت فروشگاه شما باشد.

روش دیگر، استفاده کنید هاستینگerاسکنر بدافزار همانطور که قبلا ذکر شد، این ابزار مجهز به Monarx محافظت از فروشگاه و سرور شما را در برابر تهدیدات مخرب آسان می کند. در اینجا روش استفاده از آن آمده است:

  1. با دستگاه خود به hPanel دسترسی پیدا کنید هاستینگer حساب کنید و به VPS → مدیریت.
  2. از نوار کناری سمت چپ، را انتخاب کنید امنیت → اسکنر بدافزار.
  3. اگر این کار را نکرده اید، با دنبال کردن دستورالعمل ها، Monarx را نصب کنید.
  4. پس از نصب، ابزار اسکنر بدافزار به طور خودکار سرور شما را برای فایل های مخرب و در معرض خطر اسکن می کند.
  5. برای فعال کردن ویژگی حذف خودکار، کلیک کنید فعال کنید و پرداخت را تکمیل کنید.
دکمه فعال سازی در ویژگی اسکنر بدافزار hPanelدکمه فعال سازی در ویژگی اسکنر بدافزار hPanel

شما می توانید تمام فعالیت ها را مستقیماً از این قسمت نظارت کنید اسکنر بدافزار page.

15 نکته ضروری امنیتی مجنتو برای محافظت از فروشگاه شما15 نکته ضروری امنیتی مجنتو برای محافظت از فروشگاه شما
15 نکته ضروری امنیتی مجنتو برای محافظت از فروشگاه شما 22

11. افزونه های امنیتی را نصب کنید

اگرچه Magento ویژگی‌های امنیتی داخلی مناسبی دارد، پیشنهاد می‌کنیم از افزونه‌های شخص ثالث برای محافظت از فروشگاه خود در برابر تهدیدات بیشتر استفاده کنید. این برنامه‌های افزودنی فراتر از قابلیت‌های پیش‌فرض Magento، ویژگی‌های پیشرفته‌تری مانند حفاظت از ورود به سیستم و نظارت بر فعالیت ارائه می‌دهند و فروشگاه شما را در برابر حملات مقاوم‌تر می‌کنند.

برخی از برنامه های افزودنی امنیتی Magento قابل اعتمادی که می توانید نصب کنید عبارتند از:

  • مجموعه امنیتی آماستی برای مجنتو 2. مجموعه کاملی از ویژگی‌ها، از جمله شناسایی بدافزار، محافظت از ورود به سیستم و هشدارهای تغییر فایل را ارائه می‌دهد. این یک راه حل همه کاره برای ایمن نگه داشتن فروشگاه شما است.
  • Magento 2 Security Mageplaza. ویژگی‌هایی مانند احراز هویت دو مرحله‌ای، reCAPTCHA و نظارت بر امنیت را ارائه می‌دهد که همگی به‌طور یکپارچه با Magento ادغام می‌شوند.
  • امنیت Magento 2 Webkul. ویژگی‌های فهرست سفید IP، احراز هویت دو مرحله‌ای و گزارش فعالیت مدیریت را ارائه می‌دهد. برای صاحبان فروشگاه هایی که می خواهند دسترسی پنل مدیریت Magento خود را نظارت و کنترل کنند ایده آل است.
  • Wyomind’s Watchlog Pro. به نظارت بر تلاش‌های ورود به سیستم کمک می‌کند و آدرس‌های IP را که تلاش زیادی برای ورود ناموفق دارند، مسدود می‌کند، که برای جلوگیری از حملات brute-force بسیار عالی است.
پیشنهاد می‌کنیم بخوانید:  آموزش نصب سریع وردپرس روی دایرکت ادمین (تصویری)

12. به طور مرتب از اطلاعات خود نسخه پشتیبان تهیه کنید

پشتیبان گیری منظم اجزای حیاتی بازیابی بلایا و تداوم کسب و کار است. آنها به عنوان یک شبکه ایمنی عمل می کنند و به شما این امکان را می دهند که به سرعت فروشگاه خود را از مشکلات غیرمنتظره بدون از دست دادن اطلاعات ارزشمند مشتری یا سوابق فروش بازیابی کنید.

دو نوع پشتیبان وجود دارد که باید در نظر بگیرید:

  • پشتیبان گیری کامل. یک پر backup شامل ایجاد یک کپی کامل از تمام داده‌های شما، از جمله فایل‌ها، پایگاه‌های داده و پیکربندی‌ها است. از آنجایی که پشتیبان‌گیری کامل بیشتر طول می‌کشد و به فضای ذخیره‌سازی بیشتری نیاز دارد، توصیه می‌کنیم بسته به اینکه یک بار در هفته تا دو بار در ماه یک نسخه پشتیبان تهیه کنید. روی سطح فعالیت فروشگاه شما
  • پشتیبان گیری افزایشی. آنها فقط تغییرات ایجاد شده از گذشته را ثبت می کنند backup، آنها را سریعتر و ذخیره سازی کارآمدتر می کند. برای اطمینان از داشتن نسخه‌های به‌روز از داده‌های خود، پشتیبان‌گیری‌های افزایشی را به صورت مکرر، مانند روزانه یا یک روز در میان، در نظر بگیرید.

برای هاستینگer مشتریان VPS، می توانید به طور خودکار از داده های Magento خود با استفاده از ابزارهای داخلی ما نسخه پشتیبان تهیه کنید. در اینجا به این صورت است:

  1. به داشبورد VPS خود دسترسی پیدا کنید و به تنظیمات → پشتیبان گیری و نظارت → عکس های فوری و پشتیبان گیری.
  2. کلیک کنید Snapshot ایجاد کنید برای گرفتن داده های VPS و وضعیت فعلی. برای فعال کردن پشتیبان‌گیری خودکار روزانه، کلیک کنید ارتقا دهید. پس از خرید، خود را تنظیم کنید backup فرکانس در تنظیمات پشتیبان گیری خودکار.
دکمه تنظیمات پشتیبان‌گیری خودکار در ویژگی Snapshots & Backup‌های hPanelدکمه تنظیمات پشتیبان‌گیری خودکار در ویژگی Snapshots & Backup‌های hPanel

اگر ترجیح می دهید از فروشگاه Magento خود به صورت دستی نسخه پشتیبان تهیه کنید، این دستورالعمل ها را دنبال کنید:

  1. از طریق SSH به سرور خود دسترسی پیدا کنید، سپس یک پایگاه داده ایجاد کنید backup با استفاده از دستور زیر جایگزین کنید نام کاربری، پایگاه_نام، و /مسیر/به/backup/db_backup.sql با مدارک واقعی و مورد نظر شما backup مسیر:
mysqldump -u username -p database_name > /path/to/backup/db_backup.sql
  1. دایرکتوری Magento را با استفاده از دستور tar فشرده کنید تا از فایل های خود نسخه پشتیبان تهیه کنید. تغییر دهید /مسیر/به/backup/magento_backup.tar.gz و /path/to/magento2 با مسیرهای مناسب:
tar -czvf /path/to/backup/magento_backup.tar.gz /path/to/magento2

13. یک فایروال برنامه وب (WAF) را پیاده سازی کنید

یک فایروال برنامه وب (WAF) به طور خاص از لایه برنامه فروشگاه Magento شما در برابر حملات پیچیده مبتنی بر وب مانند تزریق SQL، اسکریپت بین سایتی (XSS) و اجرای کد از راه دور محافظت می کند.

در حالی که فایروال شبکه از سرور شما در برابر تهدیدات خارجی و حملات مبتنی بر شبکه محافظت می کند، ممکن است مانند WAF به لایه برنامه نرسد.

هنگام انتخاب یک WAF برای Magento، عوامل زیر را در نظر بگیرید:

  • سازگاری. اطمینان حاصل کنید که WAF انتخابی شما با Magento سازگار است روی-محل، مبتنی بر ابر، یا مدیریت شده توسط یک ارائه دهنده شخص ثالث.
  • سفارشی سازی. به دنبال یک WAF باشید که به شما امکان می دهد قوانین امنیتی آن را برای رفع نیازهای خاص سایت تجارت الکترونیک خود سفارشی کنید.
  • تاثیر عملکرد. WAF را انتخاب کنید که امنیت قوی را بدون کاهش سرعت وب سایت شما فراهم کند.

برای شروع، ارائه دهندگان محبوب WAF مانند Cloudflare، Sucuri و Imperva را در نظر بگیرید. سپس، دستورالعمل‌های یکپارچه‌سازی ارائه‌دهنده را دنبال کنید یا با تیم پشتیبانی آن‌ها تماس بگیرید تا به شما در راه‌اندازی WAF با سایت Magento خود کمک کنند.

پس از راه‌اندازی، آزمایش کاملی انجام دهید تا مطمئن شوید که WAF به طور موثر ترافیک مخرب را بدون ایجاد اختلال در فعالیت‌های قانونی کاربر مسدود می‌کند.

علاوه بر این، WAF پیاده سازی شده خود را به طور منظم حفظ کنید. این شامل بازبینی و تنظیم دوره‌ای قوانین امنیتی برای مطابقت با نیازهای در حال تحول فروشگاه شما و نظارت بر گزارش‌ها و گزارش‌ها برای اطلاع از انواع حملات مسدود شده است.

14. از افشای اطلاعات حساس افزونه های مرورگر جلوگیری کنید

افزونه‌های مرورگر می‌توانند بهره‌وری را افزایش دهند، اما نصب برنامه‌های افزودنی مخرب یا در معرض خطر می‌تواند وب‌سایت Magento شما را در معرض خطرات امنیتی قابل توجهی قرار دهد.

برنامه‌های افزودنی مخرب می‌توانند اطلاعات حساس را بدزدند، فعالیت‌های مرور را ردیابی کنند یا کد مضر را به صفحات وب تزریق کنند. در صورت ربوده شدن یا به‌روزرسانی‌ها، حتی برنامه‌های افزودنی قانونی نیز می‌توانند در معرض خطر قرار گیرند.

برای به حداقل رساندن خطر نشت داده های حساس برنامه های افزودنی مرورگر، نکات زیر را به کار ببرید:

  • از ویژگی های امنیتی مرورگر استفاده کنید. ویژگی های امنیتی داخلی مرورگر خود را فعال کنید، مانند حفاظت از بدافزار و تنظیمات حریم خصوصی. این ابزارها می توانند به شناسایی و مسدود کردن برنامه های افزودنی مخرب قبل از ایجاد آسیب کمک کنند.
  • برنامه های افزودنی نصب شده را مرتباً مرور کنید. به طور دوره ای افزونه های نصب شده در مرورگر خود را بررسی کنید. هر موردی را که دیگر مورد نیاز نیست یا از منابع نامعتبر آمده است را حذف کنید.
  • افزونه ها را از منابع رسمی نصب کنید. همیشه برنامه‌های افزودنی را از منابع رسمی نصب کنید، مانند فروشگاه وب Chrome برای Google Chrome یا App Store برای Safari.
  • محدود کردن مجوزها. در صورت امکان، مجوزهای اعطا شده به برنامه های افزودنی مرورگر را محدود کنید. آنها فقط باید به داده های لازم برای عملکرد خود دسترسی داشته باشند و خطر افشای اطلاعات حساس را کاهش دهند.
  • سیاست های امنیتی را اجرا کنید. سیاست‌های امنیتی ایجاد کنید که استفاده از برنامه‌های افزودنی مرورگر خاص را محدود می‌کند، به‌ویژه آنهایی که مجوزهای بیش از حد درخواست می‌کنند یا از سوی توسعه‌دهندگان کمتر معتبر می‌آیند.

15. ممیزی های امنیتی منظم را انجام دهید

تهدیدهای امنیتی دائماً در حال تکامل هستند و حتی یک سایت مجنتو که به خوبی ایمن شده باشد می تواند در طول زمان آسیب پذیر شود. انجام ممیزی های امنیتی منظم به کشف نقاط ضعف در کد، پیکربندی ها و ادغام های شخص ثالث وب سایت شما کمک می کند که مهاجمان می توانند از آنها سوء استفاده کنند.

علاوه بر این، این ممیزی ها تأیید می کند که فروشگاه شما با استانداردها و مقررات صنعت مطابقت دارد. با ممیزی فعالانه سایت خود، می توانید اطمینان حاصل کنید که اقدامات امنیتی شما عملی و به روز هستند.

یک ممیزی کامل امنیتی معمولاً شامل این اجزا است:

  • بررسی کد. کد وب سایت خود را تجزیه و تحلیل کنید تا نقص های امنیتی احتمالی مانند اعتبار سنجی نامناسب ورودی یا کتابخانه های قدیمی را مشخص کنید. بررسی منظم کد کمک می کند تا مطمئن شوید که پایگاه کد سایت شما ایمن است و از بهترین شیوه ها پیروی می کند.
  • بررسی پیکربندی. تنظیمات پیکربندی سایت مجنتو خود را برای اطمینان از امنیت آنها بررسی کنید. این شامل بررسی مجوزهای فایل، تنظیمات پایگاه داده و تنظیمات وب سرور است.
  • تست نفوذ. حملات را شبیه سازی کنید روی وب سایت شما برای شناسایی و بهره برداری از آسیب پذیری ها، ارائه بینشی در مورد اینکه چگونه یک مهاجم ممکن است سایت شما را نقض کند. تست نفوذ به شما کمک می کند تا تاثیر دنیای واقعی مسائل امنیتی بالقوه را درک کنید.

در اینجا دستورالعمل های کلی برای انجام ممیزی امنیتی فروشگاه Magento آمده است:

  • از ابزارهای اسکن امنیتی استفاده کنید. از ابزارهایی مانند Magento Security Scan Tool، OWASP ZAP یا Nessus برای اسکن سایت خود برای آسیب‌پذیری‌ها استفاده کنید.
  • کد و تنظیمات را مرور کنید. بررسی کامل کد و تنظیمات پیکربندی سایت خود را انجام دهید. به دنبال کتابخانه‌های قدیمی، شیوه‌های کدنویسی نادرست و تنظیمات نادرست باشید که می‌تواند سایت شما را در معرض خطر قرار دهد.
  • انجام تست نفوذ. اگر تخصص دارید، تست نفوذ انجام دهید روی سایت Magento خود را برای شناسایی اینکه چگونه یک مهاجم ممکن است از نقایص امنیتی سوء استفاده کند. اگر نه، استخدام یک شرکت امنیتی مجنتو شخص ثالث را برای انجام این آزمایش در نظر بگیرید.
  • اجرای اصلاحات و به روز رسانی. پس از شناسایی آسیب‌پذیری‌ها، اصلاحات امنیتی را اعمال کنید و پیکربندی‌ها را برای رفع مشکلات تنظیم کنید.
  • ممیزی را مستند کنید. سوابق تفصیلی ممیزی امنیتی، از جمله آسیب پذیری های یافت شده، اقدامات انجام شده و هرگونه خطر مداوم را نگه دارید. این مستندات برای ممیزی های آینده مفید است و به ردیابی پیشرفت های امنیتی شما در طول زمان کمک می کند.

نتیجه گیری

ایمن سازی فروشگاه تجارت الکترونیک Magento شما ادامه دارد process که نیاز به کوشش و رویکردی فعال دارد. در این مقاله، نکات امنیتی ضروری، از استفاده از یک محیط میزبانی امن و به‌روزرسانی منظم مجنتو تا اجرای WAF و انجام ممیزی‌های منظم را پوشش داده‌ایم.

با پیروی از این شیوه‌های امنیتی Magento، می‌توانید از وب‌سایت خود محافظت کنید، از داده‌های مشتری محافظت کنید و از تجربه خرید ایمن برای کاربران خود اطمینان حاصل کنید. امنیت را در اولویت قرار دهید و به طور منظم اقدامات خود را مرور کنید تا وب سایت Magento خود را انعطاف پذیر و به خوبی محافظت کنید.

سوالات متداول نکات امنیتی Magento

چرا بررسی های امنیتی Magento مهم هستند؟

بررسی های امنیتی منظم برای محافظت در برابر تهدیدات در حال تحول، جلوگیری از نقض داده ها، اجتناب از ضررهای مالی و حفظ شهرت برند بسیار مهم است. آنها اطمینان می دهند که فروشگاه Magento شما ایمن و مطابق با استانداردهای صنعت باقی می ماند.

آسیب پذیری های امنیتی رایج در سایت مجنتو چیست؟

آسیب‌پذیری‌های رایج Magento شامل نرم‌افزار قدیمی، گذرواژه‌های ضعیف، درگاه‌های پرداخت ناامن و پنل‌های مدیریت در معرض نمایش است. مهاجمان می توانند از این نقص ها برای دسترسی ممنوع، سرقت داده ها یا به خطر انداختن عملکرد سایت شما سوء استفاده کنند.

چگونه می توان مجنتو را برای مشتریان ایمن تر کرد؟

برای افزایش امنیت Magento، روش‌های توسعه ایمن را اعمال کنید، از گزینه‌های پرداخت سازگار با PCI استفاده کنید، از داده‌های مشتری محافظت کنید، و سیاست‌های امنیتی واضحی را ارائه دهید. علاوه بر این، به مشتریان در مورد شیوه های آنلاین ایمن آموزش دهید تا یک محیط خرید ایمن ایجاد کنید و اعتماد ایجاد کنید.