أفضل 10 عمليات اختراق لتأمين لوحة المشرف في Magento

Magento هي مرحلة عالمية رائدة في مجال الأعمال التجارية عبر الإنترنت. Magento ، كما يقول BuiltWith ، يقود أكثر من 22 ٪ من مواقع التجارة الإلكترونية الرئيسية البالغ عددها 100000 موقع. هذا لبناء مواقع صلبة ونفعية للغاية. Magento مورد حقيقي للأمن. كم مرة سمعتها حتى الآن؟

اقض وقتك في تقييم بعض الأساليب لحماية لوحة الإدارة والتخلص من اختراق الموقع.

1.اختر اسم مستخدم وكلمة مرور للمسؤول المعقد

- يجب أن تتضمن كلمة المرور أحرفًا كبيرة وصغيرة وأرقامًا وبعض الرموز من لوحة المفاتيح

- أنشئ كلمة مرور مكونة من ثمانية أحرف على الأقل

- حاول تجنب استخدام اسم الشركة. يمكنك استخدام الصيغة المختصرة للاسم الواضح لك فقط.

- بشكل عام نوصيك بتغيير كلمات المرور كل 3-5 أشهر.

2. لا تستخدم نفس كلمة المرور في كل مكان

للامتناع عن التداول بعيدًا عن الواجهة الخلفية لـ Magento ، يرجى استخدام كلمات مرور متنوعة للسجلات المعزولة. هناك خطر موثوق من اختراق مواقع خارجية ، لذلك قد تكون كلمة مرور Magento الخاصة بك عاجزة. حاول ألا تعيد استخدام كلمة مرور Magento لأي شيء آخر.

3. لا تحفظ كلمة المرور في المتصفح

تعد وظيفة حفظ كلمة مرور المتصفح نقطة ضعف. سيكون من الأفضل عدم تخزين كلمة المرور على جهاز الكمبيوتر الخاص بك. لذلك نوصي باستخدام خدمات إدارة كلمات المرور الخاصة بطرف ثالث.

4. طلب ​​اتصال HTTPS / SSL

هذا هو أحد أهم تقنيات الأمان لموقع Magento. كما تعلم ، فإن صفحات الويب المنقولة باستخدام HTTP: // ليست مشفرة. على العكس من ذلك ، عندما يبدأ عنوان URL للصفحة بـ HTTPS: // يعني أنها تستخدم طبقة مآخذ توصيل آمنة. باستخدام معيار SSL ، فإنك تحمي المعاملات عبر الإنترنت مع عملائك وتمنع موقعك من القرصنة. علاوة على ذلك ، سيساعدك https في بداية عنوان URL على تعزيز مصداقية متجرك. نجد الزوار المعاصرين على دراية ، لذلك يمكنك أن ترى أنهم سيكونون أكثر عرضة للتعامل معك.

هناك أربع خطوات سهلة للحصول على اتصال HTTPS: //: -

- انتقل إلى لوحة الإدارة> النظام> التكوين> عام> الويب> تأمين.
- قم بتغيير إعداد Base_url من "http" إلى "https"
- تمكين استخدام عناوين URL آمنة في الواجهة الأمامية
- تمكين استخدام عناوين URL آمنة في المسؤول

قبل التغيير من http إلى https على موقع الويب الخاص بك ، يرجى مطالبة المسؤول بإعداد اتصال SSL مشفر في Apache.

5. قم بتغيير عنوان URL الافتراضي للمسؤول إلى عنوان URL المخصص

يمكنك استخدام طريقة أخرى للقتال مع هجمات القوة الغاشمة. كثيرًا ما نتعرف على الوصول إلى صفحة مسؤول magento من خلال عنوان URL الخاص بالمسؤول. يميل المبرمجون إلى الشعور بأن طريقة المسؤول هي الطريقة الأكثر مباشرة لبدء التكهن باسم المستخدم وكلمات المرور الخاصة بك. بهذه الطريقة نوصيك بتغيير طريقة المسؤول إلى شيء يصعب كسره. يمكنك تغيير طريقة المسؤول بإحدى الطرق المصاحبة:

انتقل إلى المسؤول> المتاجر> التكوين> متقدم> المسؤول

6. اختبار المتجر لقضايا الأمن المفتوحة

مع الأخذ في الاعتبار الهدف النهائي لتعزيز أمان موقع Magento الخاص بك ، فأنت بحاجة إلى تفعيل تصحيحات Magento Security. يمكن الوصول إلى جميع التصحيحات لتنزيلها من الموقع الرسمي. بمجرد إصلاح متجرك ، يمكنك اختبار الإنشاء الصحيح للتصحيحات من خلال استخدام الإدارات المجانية. هنا يمكنك استخدام ماسح ضوئي لانعدام القوة عبر الإنترنت للتصحيحات: SUPEE-5344 و SUPEE-5994 و SUPEE-6285 و SUPEE-6482 و XML XXE van 2012.

يمكنك أيضًا استخدام ماسح ضوئي آخر للتحقق مما إذا كان متجرك عاجزًا حتى الآن عن أحدث مشكلات الأمان.

7. أخذ نسخة احتياطية من موقع الويب الخاص بك

قم بإنشاء إستراتيجية النسخ الاحتياطي الخاصة بك وإضافة طبقة أخرى من الأمان. نوصيك بشدة بتخزين ملفات النسخ الاحتياطي على خادم مختلف تمامًا عن موقع Magento الإلكتروني الخاص بك المستضاف. من الأفضل الاحتفاظ بنسخ احتياطية متعددة في مواقع مختلفة.

8. استخدم المصادقة الثنائية

تأكد من أمان المسؤول لديك باستخدام مصادقة 2F. تعتمد المصادقة ذات العاملين على تطبيق مصادقة Google. بمجرد مسح المشرفين لرمز الاستجابة السريعة ، يحصلون على رقم عشوائي مكون من ستة أرقام يتم إنشاؤه وتغييره كل 30 ثانية. فقط بعد إدخال مفتاح التحقق على طول حقول المستخدم وكلمة المرور ، يمكن للمسؤولين الوصول إلى لوحة إدارة magento.

هذه الطريقة غير متوفرة في اللون الأرجواني افتراضيًا. ومع ذلك ، فإن سن هذا لصفحة تسجيل الدخول موصوف بعمق. على هذا المنوال ، يمكنك الاستفادة من التعزيزات لتنفيذ هذه الفائدة الأمنية. قم بتجربة الإدارة المحسّنة والأمان للإشراف على الأمن بالعرض عبر موقع Magento.

باستخدام الوحدة ، ستحصل على ضمان إضافي عن طريق تعيين التحقق من اثنين للإشارة إلى عملاء المسؤول.

9. استخدم أحدث إصدار من الماجنتو لموقعك على الويب

أحد الأشياء الأكثر أهمية في إستراتيجية الأمان هو استخدام أحدث إصدار من Magento في تطوير Magento. نوصيك بشدة بتحديث إصدارات Magento للإصدارات الجديدة. تأتي كل ترقية مع ميزات جديدة متوفرة ومشكلات الوظائف الثابتة ومع تصحيحات الأمان المتعلقة بأحدث الهجمات. بمجرد قيامك بتطبيق تصحيحات الأمان على موقع الويب الخاص بك ، فإنك تخطو خطوة أعلى في الأمان. ابق على اطلاع بأحدث الإصدارات ولا تحصل على اختراق موقع Magento.

10. تأمين الواجهة الخلفية لماجينتو ، وتنزيل Magento Connect وخلاصات RSS مع القائمة البيضاء لـ IP

نصيحة أخرى لمنع اختراق مسؤول magento هي القائمة البيضاء لعناوين IP. إذا اعتدت على الوصول إلى صفحة تسجيل دخول المسؤول من نفس أجهزة الكمبيوتر ، فقد يكون هذا قرارًا أمنيًا جيدًا لك. تأكد من أن المستخدمين المطلوبين فقط يمكنهم الوصول إلى مسؤول magento.

وبالتالي نوصي بشدة بتقييد وصول المسؤول إلى عناوين IP المسموح بها. هناك ثلاثة مصادر رئيسية يمكن استخدامها للمساس بأمان موقع الويب الخاص بك:

يُعرف برنامج تنزيل Magento Connect كنقطة دخول لهجمات القوة الغاشمة في الآونة الأخيرة. سيكون من المفيد جدًا تغيير عنوان URL لمدير الاتصال. يمكنك تحديد مسار مختلف تمامًا من أجل إرباك المتسللين. بالإضافة إلى ذلك ، يمكنك تقييد الوصول إلى / downloader / location عن طريق عنوان IP من خلال ملف htaccess.

تعرضت موجزات RSS لهجمات القوة الغاشمة التي ترى أن لها نفس بيانات اعتماد المسؤول. إذا لم تكن بحاجة إلى وصول المستخدمين إلى موجز RSS ، فيمكنك استخدام ميزة الوصول المقيد. بعد إنشاء القائمة البيضاء لعنوان IP ، يمكنك تعيين إعادة توجيه الطلبات من الزوار المقيدين إلى الصفحة الرئيسية.

من المهم للغاية قفل لوحة إدارة magento. لقد التقينا ببعض الأشخاص الذين قاموا بحظر عناوين IP من جميع البلدان الأخرى. يعمل هذا حقًا إذا كنت متأكدًا من أن المستهلكين هم مواطنون.

الموضوعات ذات الصلة: كيفية إعادة تعيين كلمة مرور المسؤول في Magento