إذا كنت تدير متجرًا عبر الإنترنت ، فمن المحتمل أن ترى زيادة حادة في حركة المرور خلال موسم العطلات. مع قيام العملاء الجدد بإدخال معلومات الدفع والعناوين الشخصية الخاصة بهم على موقع الويب الخاص بك ، من المهم أكثر من أي وقت مضى تأمين متجرك عبر الإنترنت استعدادًا لقضاء العطلات.

شهري نوفمبر وديسمبر هما أكثر شهور التسوق ازدحامًا في العام ، مما يجعل أي توقف عن العمل مرتبطًا باختراق أو خرق أمني أكثر تكلفة من أي وقت آخر من العام. لم يكن وقت تشغيل موقع الويب الخاص بك أكثر قيمة من أي وقت مضى ، وهذا هو السبب في أن هذا هو الوقت المثالي لإجراء تدقيق أمني لمتجرك عبر الإنترنت.

أسئلة مهمة لأمان موقع الويب الخاص بك

في نهاية تدقيق أمان موقع الويب الخاص بك ، يجب أن تكون قادرًا على الإجابة على هذه الأسئلة العشرة:

• 1. هل متجري على المنصة الصحيحة؟
• 2. هل متجري على مضيف الويب الصحيح؟
• 3. هل متجري متوافق مع PCI-DSS؟
• 4. هل أجمع الكثير من البيانات عن عملائي؟
• 5. هل أقوم بتشفير الاتصال بين عملائي ومتجري؟
• 6. هل حسابات العملاء الخاصة بي آمنة؟
• 7. هل تم تحديث البرنامج الذي يقوم بتشغيل متجري عبر الإنترنت؟
• 8. هل أزور الواجهة الأمامية لموقعي بانتظام؟
• 9. هل أستخدم CDN و WAF؟
• 10. هل أحمي اتصالي أثناء العمل في الأماكن العامة؟

تدقيق أمان موقع الويب من 10 نقاط

لا تقلق إذا كنت لا تعرف كيفية الإجابة على بعض أو كل هذه الأسئلة. ستعرف كيفية الإجابة على كل هذه الأسئلة بنهاية هذا المنشور.

بينما نتصفح بقية هذا المنشور ، قد ترغب في تدوين ملاحظات حول نتائج تدقيقك ، بالإضافة إلى أي إجراءات يجب اتخاذها. يعد هذا التدقيق أيضًا خدمة ممتازة لتقديمها لعملاء تصميم الويب (في أي وقت من السنة.)

دعنا نبدأ في تدقيق أمان موقع الويب الخاص بك في الإعداد لموسم العطلات.

1. هل متجري على المنصة الصحيحة؟

تعد Shopify و Magento و WordPress ثلاثة من أكثر المنصات شيوعًا التي يستخدمها الأشخاص لإنشاء متاجرهم. لن تكون أي من هذه المنصات حلول تجارة إلكترونية شائعة إذا لم تكن آمنة. تتمتع جميع المنصات الثلاثة بنقاط قوتها وضعفها ، لذا يجب عليك إجراء القليل من البحث لمعرفة أي منها يناسب احتياجاتك بشكل أفضل.

قد تتضمن المراجعة السريعة لمنصتك الحالية الأسئلة التالية:

• 1. هل تقوم المنصة بشكل متكرر بإخراج التحديثات لمعالجة الثغرات الأمنية؟
• 2. هل تستخدم المنصة فريقًا مكرسًا لضمان تلبية المعايير الأمنية؟
• 3. هل النظام الأساسي لديه تاريخ من خروقات البيانات واسعة النطاق أو نقاط الضعف التي تُركت مفتوحة؟
• 4. ما هي سمعة النظام الأساسي على أنه آمن؟

شيء واحد يجب مراعاته هو مدى سهولة نقل متجرك إلى نظام أساسي أو مضيف آخر. إذا كنت بحاجة إلى الابتعاد عن Shopify ، يمكنك الهجرة Shopify إلى WooCommerce. ومع ذلك ، لن يكون الأمر سهلاً مثل نقل متجر WordPress إلى مضيف ويب جديد. يتيح WordPress أيضًا مزيدًا من التخصيص والمرونة للأدوات التي يمكنك استخدامها.

2. هل متجري على مضيف الويب الصحيح؟

يعد وضع موقع الويب الخاص بك على نفس الاستضافة المشتركة مثل مدونة صديقك فكرة سيئة. لماذا ا؟ يضيف موقع التجارة الإلكترونية الكثير من التعقيد الذي يتطلب خبرة أعلى للتأمين بشكل صحيح. لم تقم بإنشاء متجر لأنك حلمت بأن تصبح خبيرًا في الأمن السيبراني ، لذلك يجب أن تفريغ هذه المسؤولية على مضيفك.

الاستثمار في حل استضافة يركز على التجارة الإلكترونية مثل استضافة WooCommerce المدارة من Liquid Web أو استضافة WordPress المُدارة هو السبيل للذهاب. الإفصاح الكامل ، Liquid Web هي شركتنا الأم ، لكنها على محمل الجد استضافة رائعة لك. اذهب إلى متجر الأسعار وابحث عن شركة استضافة أخرى تنافس هذه القيمة بهذا السعر. سيوفر لك وجود مضيف للتجارة الإلكترونية مُدار الكثير من الوقت والمتاعب في إدارة موقعك — الوقت الذي يمكنك استخدامه لتنمية عملك بدلاً من ذلك.

3. هل متجري متوافق مع PCI-DSS؟

إذا كنت تقبل مدفوعات بطاقات الائتمان ، فيجب أن تفي بمعايير أمان بيانات صناعة بطاقات الدفع (PCI-DSS). وفقًا لمجلس معايير أمان PCI الرسمي ، "في حالة قبولك لبطاقات الدفع أو معالجتها ، فإن معايير أمان بيانات PCI تنطبق عليك." تتضمن هذه المعايير أكثر من 300 من متطلبات الأمان المختلفة ، ولكن إليك نظرة عامة على أفضل ممارسات PCI-DSS:

معيار أمان بيانات PCI

عندما تختار أخذ أرقام بطاقات الخصم للأشخاص ، فإن تلبية هذه المتطلبات سيقطع شوطًا طويلاً في منع المهاجم الضار من استنزاف حسابه المصرفي. أود أن أحثك ​​بشدة على الحصول على بعض مشورة الخبراء للتأكد من أنك تلبي متطلبات PCI-DSS.

4. هل أجمع الكثير من البيانات عن عملائي؟

كلما زادت المعلومات التي تجمعها عن عملائك ، زادت المعلومات التي يمكن اختراقها أثناء الخرق. في هذه الأيام ، بالكاد يمكننا قضاء أسبوع دون أن نسمع أن بعض الشركات كانت ضحية لخرق بيانات أدى إلى كشف بيانات العملاء. على سبيل المثال ، في خرق Doordash ، تم اختراق أرقام هواتف العميل وعناوين البريد الإلكتروني وعناوين المنزل وكلمات المرور المجزأة. قد يكون هذا المزيج من المعلومات هو كل ما هو مطلوب للحصول على قرض احتيالي.

يجب ألا تجمع معلومات عن عملائك أكثر مما تحتاج. إذا كنت تبيع منتجات رقمية لا يتم تجديدها تلقائيًا ، فلماذا تقوم بجمع وتخزين العنوان البريدي؟

يجب عليك أيضًا التفكير في استخدام بوابة دفع مثل Stripe. تسمح لك بوابات الدفع بإلغاء تحميل مدفوعات بطاقات الائتمان ، بحيث يمكن لمتجرك قبول المدفوعات عبر الإنترنت دون معالجة أو تخزين أرقام بطاقات الائتمان. سيساعدك Stripe أيضًا في أن تصبح متوافقًا مع PCI-DDS.

لسوء الحظ ، سيكون هناك دائمًا مهاجمون عبر الإنترنت ، ولن يكون هناك نقص في التقارير حول تعرض المواقع للاختراق. سيؤدي تقييد المعلومات التي تجمعها عن عملائك إلى الحد من كمية المعلومات التي يتم الكشف عنها أثناء الخرق. لا يمكنك أن تفقد بيانات العملاء الحساسة التي لا تملكها.

5. هل أقوم بتشفير الاتصال بين عملائي ومتجري؟

يقوم بروتوكول SSL بتشفير الاتصالات التي يكتبها عملاؤك في متصفحهم ويرسلونها إلى موقعك. باستخدام SLL ، عندما يقوم شخص ما بإدخال اسم حسابه وكلمة مروره ، فسيتم حمايته عندما يتم إرسال هذه المعلومات إلى خادم موقعك للتأكيد. إن تشفير اسم المستخدم وكلمة المرور سيجعل من الصعب على المهاجم اعتراض اسم المستخدم وكلمة المرور أثناء الانتقال من المتصفح إلى الخادم الخاص بك.

لن نقضي الكثير من الوقت في هذا الأمر لأننا سنفترض أن كل شخص يستخدم بالفعل شهادة SSL على موقعه. يمكنك التحقق من تدريبنا على WordPress https إذا لم تكن معتادًا على SSL. إذا كنت تستخدم مضيفًا متخصصًا في التجارة الإلكترونية ، فمن المحتمل أن موقعك يستخدم بالفعل بروتوكول SSL بشكل آمن.

6. هل حسابات العملاء الخاصة بي آمنة؟

هجوم القوة الغاشمة هو النوع الأكثر شيوعًا للهجوم على حسابات العملاء. القوة الغاشمة هي نوع من الهجوم عندما يحاول أحد المتطفلين تخمين مجموعة عشوائية من أسماء المستخدمين وكلمات المرور حتى يعثروا على الاسم الصحيح. السبب في أن هجمات القوة الغاشمة شائعة جدًا هو أن حاجز مهارة الدخول منخفض جدًا. يمكنك العثور على الكثير من أدوات كسر كلمة المرور المجانية من خلال بحث سريع في Google.

الخبر السار هو أن استخدام مكون إضافي للأمان في WordPress مثل iThemes Security Pro على موقع WordPress الخاص بك يجعل من السهل منع الهجمات على تسجيل دخول العميل بنجاح.

استنادًا إلى البحث الذي أجرته مدونة أمان Google ، يجب عليك اتباع هذه القواعد الخمس لإيقاف 100٪ من هجمات القوة الغاشمة:

قد تعتقد أنك لن تصعّب على عملائك تسجيل الدخول. أنا أفهم حقًا من أين أتيت ، لكن دعني أشارك قصة سريعة قد تغير رأيك.

كان لدي أحد أفراد عائلتي تعرض أحد حساباتهم للاختراق. ضع في اعتبارك أن المخترق كان قادرًا فقط على تنزيل المنتجات التي اشتراها أفراد العائلة مجانًا. لم يتم تخزين أي من معلوماتهم الشخصية (انظر رقم 4) ، لذلك لم يخرجوا شيئًا. ومع ذلك ، كان هذا الفرد من الأسرة لا يزال مستاء. أعادت الشركة التي تم اختراق الحساب إليها استردادًا كاملاً وأكدت لهم أن حسابهم سيكون آمنًا بمجرد تحديث كلمة المرور الخاصة بهم.

لذلك عند سماع هذا ، قررت أن أبذل قصارى جهدي في انطباع شيرلوك هولمز وأبدأ التحقيق. تمكنت من تحديد أن المخترق على الأرجح عثر على عنوان البريد الإلكتروني وكلمة المرور الخاصين بأحد أفراد العائلة في إحدى عمليات تفريغ خرق البيانات المتعددة. كان أحد أفراد عائلتي يستخدم نفس مجموعة كلمة المرور واسم المستخدم لسنوات. لقد أوضحت لهم جميع خروقات قاعدة البيانات حيث كان عنوان بريدهم الإلكتروني جزءًا من haveibeenpwned.com وشجعتهم على تحديث كلمة المرور الخاصة بهم على جميع حساباتهم قبل اختراق هذه الحسابات أيضًا.

بعد معرفة أن كلمة المرور الخاصة بهم كانت متاحة لأي شخص لاستخدامها ، هل تعتقد أنهم ألقوا باللوم على اختيارهم لكلمة مرور ضعيفة أو تعرض الشركة للاختراق؟ إذا قلت إلقاء اللوم على الشركة ، فستكون على صواب. عندما يروون قصة الاختراق ، هل تعتقد أنهم أكثر عرضة للتحدث بشكل سلبي عن الشركة أو ممارساتهم السيئة في استخدام كلمات المرور؟ على الرغم من أن الخطأ كان كله من جانبهم ، إلا أنهم ما زالوا يعتقدون أن المسؤولية تقع على عاتق الشركة لحماية حساباتهم.

فماذا يمكننا أن نتعلم من هذا؟ الأمر متروك لنا ، بصفتنا أصحاب متاجر ، لطلب كلمات مرور قوية ومصادقة ثنائية لتأمين حسابات العملاء. لأنه عندما يتم اختراق حساب العميل ، فمن المرجح أن يقع اللوم على مالكي المتاجر.

والخبر السار هو أن الأمن قبل iThemes برو المساعد لديه ورد passwordless ميزة جديدة لتسجيل الدخول التي تسمح لك لتطلب من المستخدمين لاستخدام كلمات مرور قوية واثنين عامل التوثيق دون دخول أي وقت مضى على كلمة السر أو رمز مصادقة إضافية. يمكنك الآن تقديم كل الأمان دون التضحية بأي من قابلية الاستخدام.

7. هل تم تحديث البرنامج الذي يقوم بتشغيل متجري عبر الإنترنت؟

لا تقتصر تحديثات البرامج على الميزات الجديدة أو إصلاحات الأخطاء فقط. يمكن أن تتضمن التحديثات أيضًا تصحيحات أمان لمآثر الأمان المعروفة. يعد تشغيل البرامج القديمة ذات الثغرات المعروفة أحد الأسباب الأكثر شيوعًا لاختراق مواقع الويب. من الأهمية بمكان لأمن موقع WordPress الخاص بك أن يكون لديك روتين تحديث. يجب أن تقوم بتسجيل الدخول إلى مواقعك مرة واحدة على الأقل في الأسبوع لإجراء التحديثات.

باستخدام ميزة إدارة الإصدار في البرنامج المساعد iThemes Security Pro ، يمكنك تمكين تحديثات WordPress التلقائية لضمان حصولك على أحدث تصحيحات الأمان. يعد تحديث البرنامج أسهل ما يمكنك القيام به للمساعدة في حماية متجرك عبر الإنترنت.

8. هل أزور الواجهة الأمامية لموقعي بانتظام؟

متى كانت آخر مرة ركضت فيها على الواجهة الأمامية لموقعك أو حتى نظرت إلى صفحتك الرئيسية؟ بصفتنا مالكي مواقع مزدحمة ، فإننا نسجل عادةً الدخول مباشرةً إلى الواجهة الخلفية لمواقعنا لإضافة منتجات ومحتوى جديد وإجراء تحديثات للموقع. يمكن أن يساعدك تصفح صفحات ومنتجات موقعك في العثور على علامات الإصابة. يجب أن تبحث عن علامات العدوى الثلاثة هذه عند فحص الواجهة الأمامية لموقعك أو عند السؤال عن اختراق موقع WordPress الخاص بي.

1. تحقق من صفحتك الرئيسية لمعرفة التغييرات - الهدف الأساسي لبعض الاختراقات هو التصيد على موقع ويب أو اكتساب الشهرة. لذلك يغيرون صفحتك الرئيسية فقط إلى شيء يجدون أنه مضحك أو يتركون بطاقة مخترقة عن طريق الاتصال.
2. ابحث عن أي نوافذ منبثقة ضارة أو رسائل غير مرغوب فيها - هل هناك أي منتجات يتم الإعلان عنها على موقعك ولا تبيعها؟
3. البحث عن عمليات إعادة توجيه غير متوقعة - هل تنقر فوق أحد روابط المنتجات الخاصة بك فقط ليتم إعادة توجيهك إلى متجر ضار يحاول حصاد بيانات عميلك؟

يمكن أن يساعدك استخدام ميزة اكتشاف تغيير الملفات في iThemes Security Pro في جعلك على دراية بأي تغييرات غير متوقعة يتم إجراؤها على موقعك. من الأهمية بمكان أن يتم تنبيهك إلى هجوم ناجح على موقعك ، فكلما تم تحديد الاختراق سريعًا ، يمكنك تخفيف الضرر الذي حدث.

9. هل أستخدم CDN و WAF؟

يمكن أن يساعد استخدام شبكة توصيل المحتوى (CDN) مثل Cloudflare CDN في حماية متجرك من هجمات DDoS. توجد شبكة CDN على خادم مختلف عن موقعك ويمكنها فحص الطلبات الواردة إلى موقعك قبل إرسالها إلى موقعك. هجوم رفض الخدمة (DDos) هو عندما يحاول المهاجم تعطيل موقعك أو إيقافه بفيض من حركة المرور على الإنترنت. اعتمادًا على خطة الاستضافة الخاصة بك ، قد لا يتطلب الأمر الكثير من الزيارات الإضافية لإيقاف موقعك.

يمكن أن يساعد CDN في التخفيف من هجوم DDoS بعدة طرق مختلفة. أول شيء ستفعله شبكة CDN هو المراقبة الفعالة وتحديد أن موقعك يتعرض للهجوم ، وهو أمر بالغ الأهمية. لا يمكنك إيقاف هجوم لم يتم إعدادك لاكتشافه. بمجرد تحديد عناوين IP الضارة ، سيمنع CDN أي طلبات من عناوين IP من الوصول إلى موقعك على الإطلاق.

يجب عليك أيضًا التفكير في استخدام جدار حماية تطبيقات الويب (WAF). يمكن لـ WAF تحديد حركة المرور الضارة وتصفيتها قبل أن تصل إلى موقعك. بخلاف جدار حماية تطبيق الويب PHP ، فإن WAF مثل Cloudflare WAF الذي يوفره ليس على نفس الخادم مثل موقعك. لذلك تتم جميع عمليات التصفية الأمنية خارج الموقع ولا تضيف أي حمل إضافي أو تبطئ موقعك.

10. هل أحمي اتصالي أثناء العمل في الأماكن العامة؟

أحد الأشياء الرائعة في إدارة متجر عبر الإنترنت هو أنه يمكنك العمل في أي مكان. لسوء الحظ ، من المعروف أن شبكات الواي فاي العامة غير آمنة للغاية مما يجعل المكتبات العامة والفنادق والمقاهي والمطارات مواقع رئيسية للمتسللين لاعتراض الاتصالات وجمع كلمات المرور.

لقد عملت ذات مرة مع أحد عملاء iThemes Security Pro الذي لم يتمكن من معرفة كيفية استمرار اختراق حساب المسؤول حتى بعد تغيير كلمة المرور الخاصة به. بعد ذلك ، اكتشفت أنهم يحبون العمل من مكتبتهم المحلية ، وأنهم كانوا متصلين بشبكة wifi دون استخدام شبكة افتراضية خاصة (VPN).

تتيح لك الشبكة الافتراضية الخاصة التواصل بأمان مع البنك الذي تتعامل معه أو متجرك عبر الإنترنت عن طريق تشفير حركة المرور على الإنترنت. نظرًا لأن عميل iThemes Security Pro لم يكن يستخدم VPN لم يتم تشفير حركة المرور الخاصة به واستمر اعتراض كلمة المرور الخاصة به من قبل أحد الممثلين الضارين. بعد أن اقترحنا عليهم محاولة استخدام VPN في المكتبة المحلية ، أبلغونا أن استخدام VPN وضع حدًا لعمليات الاختراق.

إذا كنت بحاجة إلى المزيد من الأدلة حول عدم أمان شبكة wifi العامة ، فإليك مقالًا رائعًا في USA Today كتب فيه صحفي عن تجربته التي تعرضت للاختراق أثناء استخدام شبكة wifi على متن الطائرة: لقد تعرضت للاختراق في الهواء أثناء كتابة قصة Apple-FBI.

الخلاصة: أفضل ممارسات الأمان عبر الإنترنت

يمكن منع معظم الهجمات على متجرك عبر الإنترنت من النجاح من خلال القليل من الإجراءات من جانبك. الآن هو وقت رائع لإجراء تدقيق أمني للتأكد من أن موقعك آمن لموسم العطلات!

يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع WordPress الخاص بك

يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام المصادقة الثنائية لـ WordPress ، وحماية القوة الغاشمة ، وفرض كلمة مرور قوية والمزيد ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

احصل على iThemes Security Pro

مايكل مور

كل أسبوع ، يضع مايكل تقرير WordPress Vulnerability Report معًا للمساعدة في الحفاظ على أمان مواقعك. بصفته مدير المنتجات في iThemes ، فهو يساعدنا في مواصلة تحسين مجموعة منتجات iThemes. إنه الطالب الذي يذاكر كثيرا عملاقًا ويحب التعرف على كل ما يتعلق بالتكنولوجيا ، القديم والجديد. يمكنك أن تجد مايكل يتسكع مع زوجته وابنته ، يقرأ أو يستمع إلى الموسيقى عندما لا يعمل.