كيفية حماية موقع WooCommerce الخاص بك (خطوات + أدوات الأمان)

نشرت: 2021-09-30
how to protect your woocommerce site

هل ترغب في تأمين متجر WooCommerce الخاص بك بما يتجاوز إجراءات الأمان المعتادة في WordPress؟

أنت محق في القيام بذلك. أمان WooCommerce هي لعبة كرة مختلفة لأنك ستتعامل مع بيانات حساسة مثل الدفع ومعلومات المستخدم الشخصية.

تعد المتاجر عبر الإنترنت هدفًا مربحًا للمتسللين ، وبما أن معظم أصحاب الأعمال لا يأخذون الأمن على محمل الجد ، فإنهم يصبحون هدفًا سهلاً أيضًا. الأمر الأكثر إثارة للقلق هو أن 60٪ من الشركات عبر الإنترنت التي تواجه انتهاكًا للبيانات تتوقف عن العمل في غضون 6 أشهر.

بمجرد الاختراق ، يكون طريقًا صعبًا ومكلفًا للتعافي. لذا فإن أفضل طريقة للمضي قدمًا هي أن تكون مستعدًا بتدابير وقائية واستباقية.

في هذا الدليل ، سنوضح كيفية حماية موقع WooCommerce الخاص بك من كل جانب حتى لا يحظى المتسللون بفرصة اقتحام.

هل WooCommerce آمن؟

نعم ، WooCommerce هي منصة آمنة لمتاجر التجارة الإلكترونية. لديها الكثير من تدابير الأمان المضمنة للحفاظ على موقع الويب الخاص بك وبياناته آمنة. يتم دعم المكون الإضافي أيضًا من قبل فريق من الخبراء ويتم صيانته بانتظام للتأكد من أنه يلبي معايير الأمان المتطورة باستمرار.

ومع ذلك ، لا يمكنه حمايتك من التهديدات الأمنية الخارجية مثل الثغرات الأمنية في سمات ومكونات الطرف الثالث وهجمات القوة الغاشمة وهجمات DDoS. ستحتاج إلى اتخاذ الإجراءات بنفسك لتأمين موقعك ضد هذه المخاطر.

لماذا يعتبر أمان WooCommerce مهمًا جدًا

يواجه كل موقع تهديدات إلكترونية وخطر التعرض للاختراق. وتحتاج جميع مواقع الويب إلى اتخاذ إجراءات أمنية كافية لحماية مواقعها على الويب.

ومع ذلك ، هناك قائمة بالأسباب التي تجعل متاجر WooCommerce أكثر عرضةً للخطر.

  • التعامل مع بيانات المستخدم الحساسة: يشارك العملاء معلومات الدفع وتفاصيل بطاقة الائتمان وعناوين الشحن والتفاصيل الشخصية التي تحتاجها للحفاظ على سريتها. في حالة سرقة هذه المعلومات ، يمكن بيعها في السوق السوداء ويمكن أن يقع عملاؤك ضحايا للتسويق غير المرغوب فيه والخداع.
  • بيانات العمل الهامة: أثناء قيامك بتحصيل مدفوعات للمنتجات ، لا يمكنك تحمل محو أي معلومات طلب أو فقدها مثل العناصر والشحن وتفاصيل الاتصال. يمكن للعملاء الإشارة إليك على أنك محتال إذا أخذت مدفوعات ولم تقم بتسليمها.
  • مخاطر الاحتيال والخداع: يمكن للقراصنة اختطاف موقعك وبيع سلع احتيالية وتحويل حركة المرور الخاصة بك وخداع العملاء.

يتوقع العملاء منك أن تضع التدابير الأمنية الصحيحة في مكانها الصحيح. عندما تواجه الشركات انتهاكًا للبيانات ، فإنها تفقد كل الثقة التي بنتها مع عملائها.

في النهاية ، ستخسر العملاء وسمعتك وعملك. مع وجود الكثير على المحك ، يجب أن يكون الأمن من الناحية المثالية أولوية قصوى.

الآن بعد أن عرفت مدى أهمية أمان WooCommerce ، دعنا نتعمق في الخطوات التي تحتاج إلى اتخاذها للتأكد من أن موقع التجارة الإلكترونية الخاص بك آمن.

كيف أجعل موقع WooCommerce الخاص بي آمنًا؟

تتطور التهديدات الإلكترونية باستمرار ويجد المتسللون طرقًا جديدة لاقتحام مواقع الويب بسرعة. لذا فإن الإجراءات الأمنية التقليدية لم تعد تقطعها بعد الآن.

فيما يلي 7 نصائح أمان WooCommerce لتأمين متجرك عبر الإنترنت على الفور.

  1. استخدم مضيف حسن السمعة
  2. قم بتنشيط أدوات الأمان الأساسية
  3. حماية تسجيل الدخول إلى WooCommerce
  4. لوحة تحكم WooCommerce الآمنة
  5. استخدم نماذج الخروج الآمنة
  6. إدارة سمات WooCommerce والإضافات
  7. احتفظ بنسخة احتياطية من WooCommerce في الوقت الفعلي

أدناه ، قمنا بتفصيل كيفية وضع هذه التدابير في مكانها الصحيح. نخبرك أيضًا بما يجب أن توليه اهتمامًا خاصًا لأمان WooCommerce.

1. استخدم مضيف حسن السمعة

موفر استضافة الويب هو المكان الأول للبدء لأنه المكان الذي يتم فيه تخزين ملفات وقاعدة بيانات موقع الويب الخاص بك.

بدون أمان استضافة مناسب ، قد يتعرض موقع الويب الخاص بك بالكامل للمتسللين والعين العام.

بينما تتيح لك خطة الاستضافة الرخيصة توفير بضعة سنتات ، إلا أنها لا تستحق ذلك. من الناحية المثالية ، تريد مضيف ويب يهتم بالأمان والوظائف واحتياجات الاستضافة الخاصة بـ WooCommerce.

Bluehost هي أفضل شركة استضافة ويب ويوصى بها رسميًا بواسطة WordPress.org.

bluehost woocommerce plans

تقدم Bluehost خطط استضافة مصممة لمتاجر WooCommerce. تبدأ خطط WooCommerce الخاصة بهم من 12.95 دولارًا شهريًا فقط. ستحصل على اسم مجال مجاني وشهادة SSL أيضًا. يضاف إلى ذلك ، مع هذه الخطة ، تحصل على:

  • WordPress و WooCommerce مثبتان مسبقًا
  • موضوع Storefont مثبت مسبقًا
  • متجر إلكتروني قابل للتخصيص بالكامل
  • بوابات دفع آمنة
  • زيادة السرعة الحرة CDN
  • المسح الآلي اليومي للبرامج الضارة
  • نسخ احتياطي يومي مجاني للموقع
  • وقت التوقف عن العمل
  • تحليلات حركة الموقع

مع خطة Bluehost WooCommerce ، يتم الاهتمام بالكثير من تفاصيل الأمان الخاصة بك.

بالإضافة إلى ذلك ، ستحصل على نطاق ترددي ومساحة تخزين كافية لتشغيل متجر WooCommerce دون أي عوائق.

لمزيد من المعلومات حول استضافة WooCommerce ، تحقق من تقريرنا حول أفضل خطط استضافة WooCommerce لمقارنة ما هو متاح في السوق.

2. قم بتنشيط أدوات الأمان الأساسية

يتجول المتسللون باستمرار في محاولة لاختراق مواقع الويب. يفعلون ذلك عن طريق برمجة الماسحات الضوئية والروبوتات الضارة للعثور على المواقع المعرضة للخطر.

أفضل طريقة لمكافحة ذلك هي استخدام أدوات الأمان مع فحص البرامج الضارة وجدران الحماية وتشفير البيانات.

1. استخدم ملحق أمان WordPress

لتبدأ ، ستحتاج إلى تنشيط مكون إضافي للأمان على موقعك. عادةً ما تجمع هذه المكونات الإضافية بين جدار حماية وماسح ضوئي للبرامج الضارة ومنظف للبرامج الضارة.

هناك الكثير من المكونات الإضافية للأمان ولكن لا تمنحك جميعها الحماية التي تحتاجها. أنت بحاجة إلى مكون إضافي يقوم تلقائيًا بفحص ومراقبة ومنع التهديدات المحتملة قبل أن يتمكنوا من الوصول إلى موقعك.

أفضل مكون إضافي لأمن WooCommerce في السوق هو Sucuri.

sucuri dashboard

بمجرد إضافة هذا المكون الإضافي للأمان الكل في واحد إلى موقعك ، سوف يقوم Sucuri بما يلي:

  • أضف جدار حماية قويًا لتصفية حركة المرور السيئة
  • قم بالمسح والمراقبة بانتظام بحثًا عن البريد العشوائي والشفرات الضارة
  • تحقق من القوائم السوداء مع محركات البحث والسلطات الأخرى
  • مراقبة وقت تشغيل موقع الويب
  • كشف التغييرات التي تم إجراؤها على DNS (نظام اسم المجال) و SSL
  • إرسال تنبيهات أمنية فورية إليك عبر البريد الإلكتروني والرسائل القصيرة و Slack و RSS

باستخدام Sucuri ، يمكنك أيضًا إضافة توصيات إجراءات الأمان من لوحة القيادة.

apply and revert hardening

يمكنك تطبيق إجراءات التقسية هذه بنقرة واحدة. يتضمن ذلك خطوات تقنية مثل حظر ملفات PHP في الدلائل التي لا تحتاج إلى أن تكون كذلك.

يمنحك Sucuri إعداد أمان قويًا ولكنه يأتي بسعر مرتفع يبلغ 199.99 دولارًا سنويًا. إذا كان هذا خارج ميزانيتك ، فيمكنك تجربة مكونات إضافية للأمان مثل:

  1. أمان iThemes
  2. أمان مضاد للرصاص
  3. SiteLock
  4. مالكير

أثناء تحديد مكون إضافي للأمان ، تأكد من أنه يمنحك جميع الميزات التي تحتاجها لحماية متجر WooCommerce الخاص بك. الاستثمار يستحق ذلك لأن عمليات تنظيف البرامج الضارة واستعادتها ستكون أكثر تكلفة.

2. تثبيت شهادة SSL

ينقل موقع WordPress الخاص بك البيانات بين المتصفحات والخوادم في كل مرة يأتي فيها زائر إلى موقعك. ستقوم شهادة SSL بتشفير هذه البيانات بحيث إذا تمكن المتسللون من سرقة البيانات أثناء نقلها ، فلن يتمكنوا من فعل أي شيء بها لأنها ستبدو مثل هراء.

عند تنشيط SSL ، سترى قفلًا بجوار عنوان URL الخاص بك في شريط عنوان المتصفح. سيستخدم موقع الويب الخاص بك أيضًا HTTPS وهو بروتوكول آمن لنقل البيانات.

https-padlock-with-ssl

سيهتم بعض موفري خدمات استضافة الويب بـ SSL نيابة عنك أو يسمحون لك بشرائها بتكلفة معقولة.

يمكنك أيضًا الحصول على شهادات SSL من مزودين مثل:

  • Lets Encrypt - شهادات مجانية وصديقة للميزانية
  • SSL.com - حماية وافرة تبدأ من 36.75 دولارًا سنويًا
  • DigiCert - شهادات أمان عالية في نطاق واسع من الأسعار

خيار جيد آخر هو استخدام المكون الإضافي Really Simple SSL. إنه يجعل من السهل للغاية تثبيت شهادة SSL بنفسك.

3. حماية تسجيل الدخول إلى WooCommerce

تعد صفحة تسجيل الدخول الخاصة بك واحدة من أكثر المناطق المستهدفة في موقع WooCommerce. يستخدم المتسللون طريقة تسمى هجمات القوة الغاشمة لتخمين بيانات الاعتماد الخاصة بك وتسجيل الدخول ببساطة.

لذا فهذه واحدة من أهم المجالات التي يجب تأمينها وهناك الكثير من الطرق للقيام بذلك.

1. فرض بيانات الاعتماد الآمنة في جميع الأوقات: يدرك المخترقون جيدًا أسماء المستخدمين الشائعة مثل "المسؤول" أو اسمك الخاص مما يسهل عليهم تخمينها. تأكد من استخدام اسم مشرف فريد وكلمة مرور قوية تحتوي على أحرف وأرقام ورموز تجعل من الصعب اختراقها.

strong password

عند إنشاء كلمة المرور الخاصة بك ، سيعرض WordPress تحذيرًا لكلمات المرور الضعيفة. يمكنك متابعة مستوى القوة للتأكد من إنشاء كلمة مرور قوية.

2. انتهاء صلاحية كلمات المرور بانتظام: مع أي حساب عبر الإنترنت ، يجب عليك تغيير كلمة المرور بانتظام. يمكنك استخدام مكون إضافي مثل Expire User Passwords.


مثال على كلمة مرور منتهية الصلاحية

سيتم تلقائيًا إجبار كل مستخدم على موقعك على تغيير كلمات المرور بشكل دوري قبل أن يتمكنوا من تسجيل الدخول مرة أخرى.

الحد من محاولات تسجيل الدخول: يمكنك تحديد عدد محاولات المستخدم لإدخال بيانات الاعتماد الصحيحة وتسجيل الدخول. هذا يعني أن المتسللين سيحصلون على 3 محاولات فقط قبل أن يضطروا إلى المضي قدمًا.

Lost password in WordPress

3. استخدام المصادقة الثنائية: يضيف هذا عملية تحقق من خطوتين لتسجيل الدخول الخاص بك حيث تحتاج إلى توفير رمز مرور لمرة واحدة يتم إرساله إليك في الوقت الفعلي من خلال رسالة نصية قصيرة أو بريد إلكتروني أو تطبيق مصدق.

2fa-code-sucuri

هذا يجعل من الصعب للغاية على المتسللين الوصول لأنهم لن يتمكنوا من التحقق من أنفسهم.

4. تقييد الوصول إلى صفحة تسجيل الدخول: يمكنك إخفاء صفحة تسجيل الدخول الخاصة بك والسماح فقط للمستخدمين الموثوق بهم بالوصول إليها. سيتم تلقائيًا منع جميع المستخدمين الآخرين من مشاهدة هذه الصفحة.

إذا كنت تستخدم Sucuri ، ضمن علامة التبويب التحكم في الوصول بلوحة القيادة ، يمكنك إضافة عناوين IP المدرجة في القائمة البيضاء.

القائمة البيضاء في سوكوري

بتحديد هذا المربع ، سيسمح Sucuri تلقائيًا للمستخدمين الموثوق بهم فقط بالوصول إلى صفحة تسجيل الدخول.

5. إضافة مصادقة HTTP: تخفي مصادقة HTTP صفحة تسجيل الدخول الخاصة بك وتعرض صفحة فارغة مع مربع تسجيل الدخول أعلاها. سيحتاج المستخدم إلى إدخال بيانات اعتماد HTTP أولاً للوصول إلى صفحة تسجيل الدخول.


مصادقة HTTP

لإضافة هذا إلى موقعك ، قم بتسجيل الدخول إلى حساب استضافة الويب الخاص بك ، والوصول إلى cPanel والعثور على "خصوصية الدليل" .

خصوصية الدليل

في الداخل ، من قائمة المجلدات ، حدد موقع مجلد wp-admin وقم بتحريره.

تحرير خصوصية wpadmin

في الصفحة التالية ، أولاً ، قم بتمكين الخيار "حماية كلمة المرور لهذا الدليل" . الآن سيطلب منك cPanel إضافة اسم مستخدم وكلمة مرور.

إضافة كلمة المرور إلى الدليل

تأكد من حفظ الإعدادات الخاصة بك قبل الخروج من هذه الصفحة. الآن أصبح دليل مسؤول WordPress محميًا بكلمة مرور.

عندما تفتح صفحة wp-admin الخاصة بك ، سترى مطالبة بتسجيل الدخول لإدخال اسم المستخدم وكلمة المرور اللذين أنشأتهما للتو.

4. تأمين لوحة معلومات WooCommerce

الآن إذا كان المخترق المستمر قادرًا على تسجيل الدخول إلى لوحة إدارة WordPress الخاصة بك ، فيمكنك أن تجعل من الصعب عليهم فعل أي شيء باستخدامه.

إذا قاموا بأي نشاط مشبوه ، فسيقوم المكون الإضافي للأمان بتسجيله وتنبيهك. إلى جانب ذلك ، يمكنك إضافة هذه الإجراءات:

1. تطبيق أذونات دور المستخدم

إذا كان لديك عدة مستخدمين يعملون على موقع WordPress الخاص بك ، فيمكنك تقييد الأذونات التي لديهم وفقًا لدورهم.

إذا تمكن أحد المتسللين من الاستيلاء على حساب عضو فريقك ، فسيتم تقييد ما يمكنهم فعله.

يتيح لك WordPress إنشاء أدوار لـ:

  • مشرف فائق
  • مدير
  • محرر
  • مؤلف
  • مساهم
  • مشترك

أقوى الأدوار مع جميع تصاريح الوصول هي المشرف والمسؤول المتميز. نوصي بوجود أقل عدد ممكن من المسؤولين.

2. تسجيل الخروج التلقائي للمستخدمين غير النشطين

هناك حيلة أخرى يستخدمها المتسللون وهي اختطاف جلسات التصفح وسرقة ملفات تعريف الارتباط. يتيح لهم ذلك الوصول إلى موقعك من خلال حساب مستخدم نشط دون علمك بذلك.

أفضل طريقة للتغلب على ذلك هي تسجيل خروج المستخدمين غير النشطين بشكل دوري.

تحتوي العديد من مكونات الأمان الإضافية على ميزة تسجيل الخروج من جلسة العمل الخاملة أو يمكنك استخدام المكون الإضافي Inactive Logout.

3. تعطيل البرنامج المساعد ومحرر السمات

إذا قام أحد المتطفلين باختراق موقعك ، فسيستخدمون المكوّن الإضافي ومحرر السمات للوصول مباشرةً إلى رمز موقع الويب الخاص بك.

تعطيل محرر المكونات

في معظم الحالات ، لا تحتاج إلى هذا المحرر بحيث يمكنك ببساطة تعطيله. إذا كنت تستخدم Sucuri ، فيمكنك إضافة هذا الإجراء بنقرة واحدة فقط ضمن إجراءات WordPress Hardening.

لتعطيله بنفسك ، نقترح اتباع هذا الدليل من WPBeginner: كيفية تعطيل محرري السمات والمكونات الإضافية من لوحة إدارة WordPress.

5. استخدم نماذج الدفع الآمن

عندما يتم تقديم نموذج على موقعك ، يتم إرسال بيانات العميل إلى قاعدة بيانات MySQL للمعالجة. إذا كان النموذج الخاص بك غير مؤمن ، يمكن للمتسلل إدخال رمز ضار في حقل النموذج الخاص بك. سيؤدي ذلك بعد ذلك إلى اختراق قاعدة البيانات الخاصة بك وسيُصاب موقعك ببرامج ضارة.

يمكنك التأكد من عدم حدوث ذلك باستخدام نماذج الويب الآمنة. WPForms هو منشئ نماذج WordPress رقم 1 الذي يحتوي على أمان مدمج لكل نموذج تقوم بإنشائه.

anti spam protection in WPForms

سواء أكان نموذج جهة اتصال أو نموذج تسجيل خروج ، تم تمكين الحماية من البريد العشوائي بالفعل.

وإذا كنت ترغب في إضافة طبقات حماية إضافية ، فإن WPForms يتيح لك تمكين CAPTCHA في النماذج الخاصة بك.

Advanced noCaptcha and Invisible Captcha

سيتعين على المستخدم حل لغز صغير أو وضع علامة في المربع لإثبات أنه بشر. هذا يمكن أن يمنع الروبوتات من إرسال النموذج الخاص بك.

6. إدارة ثيمات WooCommerce والإضافات

يتم إنشاء المكونات الإضافية والسمات بواسطة مطورين تابعين لجهات خارجية ، لذا من المهم ألا تستخدم سوى البرامج الموثوقة. بصفتك مالك متجر على الإنترنت ، يجب ألا تختار المكونات الإضافية والسمات الفارغة. غالبًا ما تأتي مع برامج ضارة مثبتة مسبقًا من شأنها أن تصيب موقعك بمجرد تثبيتها

إضافة إلى ذلك ، تحصل المكونات الإضافية والسمات وحتى التثبيت الأساسي لـ WordPress على تحديثات بانتظام. ستراها داخل لوحة معلومات WordPress الخاصة بك عندما تكون متاحة:

updates in wordpress

تتضمن التحديثات عادةً إصلاحات للأخطاء وميزات جديدة وتحسينات على البرنامج. ولكن هناك أوقات يكتشف فيها المطورون نقاط ضعف ومشكلات أمنية. قاموا بإصلاحها وإصدار نسخة محدثة جديدة من البرنامج. تُعرف هذه باسم تصحيحات الأمان.

يمكنك معرفة ما إذا كان التحديث يحمل تصحيحًا أمنيًا من خلال عرض تفاصيل التحديث.

view version details of update

إذا رأيت أنه تحديث أمني ، فقم بتشغيله على الفور للتحديث إلى أحدث إصدار. عند القيام بذلك ، ستتجنب أي مخاطر من الثغرة الأمنية.

security update

إذا كنت قلقًا من احتمال تعطل التحديثات لموقعك ، فيمكنك اختبار التحديث على موقع مرحلي ثم تشغيله على موقعك المباشر.

7. احتفظ بنسخة احتياطية من WooCommerce في الوقت الفعلي

النسخ الاحتياطية هي شبكة الأمان الخاصة بك وضرورية للغاية. عندما تسوء الأمور ، يمكنك استخدام نسخة WordPress الاحتياطية لاستعادة موقعك.   بالنسبة لمتاجر WooCommerce ، لا نوصي باستخدام النسخ الاحتياطية المجانية أو النسخ الاحتياطية لمضيف الويب. الميزات التي يقدمونها ببساطة ليست كافية.

أولاً ، يحتاج حل النسخ الاحتياطي إلى دعم WooCommerce. هناك بعض الأدوات التي لا تقوم بعمل نسخة احتياطية من جدول قاعدة بيانات WooCommerce.

بعد ذلك ، تحتاج إلى نسخ احتياطية تلقائية في الوقت الفعلي. سيضمن ذلك تخزين كل طلب جديد يتم تقديمه على الفور حتى لا تفقد أي معلومات عن المعاملة.

والشيء الآخر الذي يجب البحث عنه هو التكنولوجيا الإضافية. هذا يعني أنه سيتم الاحتفاظ بنسخة احتياطية من التغيير فقط وإضافته إلى النسخة الاحتياطية بدلاً من تشغيل نسخة احتياطية كاملة في كل مرة.

مع ذلك ، لن يتأثر أداء موقع الويب الخاص بك وسرعته أبدًا بعملية النسخ الاحتياطي الثقيلة التي تعمل في الخلفية.

بصرف النظر عن ذلك ، إليك بعض الميزات التي ستستفيد منها:

  • التخزين خارج الموقع
  • تخزين متعدد المواقع
  • النسخ الاحتياطية المشفرة
  • 1-انقر فوق استعادة
  • لوحة القيادة المستقلة

UpdraftPlus هو أفضل مكون إضافي للنسخ الاحتياطي لمواقع WordPress. لكننا نوصي باستخدام مكون إضافي احتياطي يوفر نسخًا احتياطيًا تزايديًا في الوقت الفعلي مع أرشيف لمدة 365 يومًا. يمكنك الحصول على ذلك باستخدام Jetpack Backups أو BlogVault.

لديهم خطط مخصصة لمواقع WooCommerce وتضمن دائمًا نسخ ملفات وقاعدة بيانات WooCommerce احتياطيًا.

لمزيد من الخيارات ، راجع مقارنتنا لأفضل المكونات الإضافية للنسخ الاحتياطي في WordPress.

هذا كل ما لدينا لك اليوم. نأمل أن يكون هذا المنشور قد أعطاك كل ما تحتاجه لتأمين موقع WooCommerce الخاص بك.

لمزيد من المعلومات حول أمان WooCommerce ، راجع مواردنا على:

  • دليل أمان WordPress الكامل (سهل الاستخدام للمبتدئين)
  • أفضل 5 ماسحات للثغرات الأمنية في WordPress للعثور على التهديدات
  • أفضل 9 إضافات لسجل النشاط لتتبع وتدقيق موقع WordPress الخاص بك

ستمنحك هذه المنشورات المزيد من الفرص لإغلاق نقاط الضعف وحماية موقع الويب الخاص بك حتى تتمكن من تشغيل متجرك براحة البال.