آیا یک فروشگاه اینترنتی موفق دارید؟ آیا در تلاش می باشید تا فروشگاه خود را از حمله هکرها در اینترنت و سایر نقض های امنیتی در امان نگه دارید؟ در این مقاله به روش های مفید برای افزایش امنیت فروشگاه آنلاین مجنتو اشاره شده است.
امنیت مهمترین نگرانی تمامی صاحبان مشاغل آنلاین می باشد. زیرا وب سایت های تجارت الکترونیک به دلیل در دسترس بودن اطلاعات شخصی و لاگ پرداخت ها، هدف آسان هکرهای پیشرفته هستند. بر همین اساس امنیت فروشگاه اینترنتی مجنتو و تبدیل آن به یک بستر محافظت شده برای جلب اعتماد کاربران بسیار مهم می باشد.
مجنتو یک سیستم مدیریت محتوا (CMS) می باشد که به دلیل ویژگی های ارزشمند و به روزرسانی های روزانه، تأثیر عمده ای در صنعت تجارت آنلاین دارد. در حال حاضر 250 هزار تاجر در سراسر دنیا از مجنتو به عنوان بستر تجاری خود استفاده می نمایند. فرض کنید به دنبال راه اندازی یک فروشگاه آنلاین می باشید. مجنتو یک راه حل مناسب است که تجربه خرید را برای کاربران نیز بهبود می بخشد، در نتیجه درآمدتان نیز افزایش می یابد.
آیا فروشگاه مجنتو شما هک شده است؟
روش هایی که به آن اشاره می شود دنبال کردن آنها بسیار ساده است و به سرعت سایت شما را از هک خارج می نماید. اما پیشنهاد می شود ابتدا اطمینان حاصل نمایید که سایت مجنتو با نقص عملکرد روبرو نشده و در واقع هک شده است. برخی از برنامه ها در این امر به شما کمک می کنند. جدیدترین گزارش امنیتی Astra نشان می دهد که 62 درصد از سایت های مجنتو حداقل یک نقض امنیتی دارند.
چگونه مطمئن می شوید که فروشگاه مجنتو شما مشکل امنیتی ندارد؟
یکی از نکات اساسی برای محافظت در برابر تهدیدات آنلاین، استفاده از WAF مبتنی بر ابر است. با این حال، اگر قصد داشته باشید وضعیت امنیتی فروشگاه خود را بسنجید چه کاری انجام می دهید؟ شما برای اجرای انواع آزمایش ها، نیاز به یک اسکنر امنیتی دارید. اسکنرهای معروفی که می توانید به کمک آن ها از وضعیت امنیتی فروشگاه خود جزئیات دقیق تری در اختیار داشته باشید عبارتند از :
MageReport
تصویر(1)
MageReport یکی از بهترین اسکنرها برای شناسایی نقاط آسیب پذیر مجنتو می باشد. این سایت کاملا رایگان و بدون هیچ گونه هزینه ای می باشد.
موارد قابل بررسی در این سایت عبارتند از :
- حفره های امنیتی مربوط به مدیریت سایت
- پچ های امنیتی 6482 ، 9652 ، 6788 ، 7405
- RCE / آسیب پذیری فرم های وب
- API در معرض هک
- بررسی بدافزار ها
- حملات Brute force
- Gurung Javascript
- باج افزار
و موارد دیگر ...
MageReport هسته اصلی و برنامه های افزودنی را بررسی نمی کند. شما می توانید در MageReport ثبت نام کنید تا هر زمان مشکلی امنیتی در سایت تان مشاهده شد، به شما اطلاع دهد.
Foregenix
تصویر(2)
اسکن بیرونی توسط آزمون Foregenix انجام می شود و یک گزارش سطح بالا از نکات زیر ارائه می دهد:
- سرقت از مجنتو
- بررسی نسخه های منسوخ شده
- بدافزار Cloud Harvester
- کنترل نسخه محافظت نشده
- ربودن اطلاعات کارت های اعتباری
- حمله XSS ، RSS
- بررسی حفره های امنیتی مربوط به مدیریت سایت
- بررسی حفره های امنیتی سایت
Foregenix گزارش بررسی را بر روی سایت نمایش داده و همچنین به صورت PDF به آدرس ایمیل شما ارسال می کند.
Security Patch Tester
Patch tester به طور ویژه برای کمک به فروشگاه اینترنتی شما در برابر آخرین خطرهای امنیتی ساخته شده است.
Security Patch یک ابزار سریع و مفید ارائه می دهد.
SUCURI
تصویر(3)
SUCURI مخصوص مجنتو نیست. با این حال SUCURI اجزای مختلف سایت را بررسی می نماید و برای تجزیه و تحلیل سایت در برابر تهدیدات اولیه بسیار مفید است. این ابزار اطلاعات زیر را در اختیار کاربران قرار می دهد:
- لیست سیاه
- بد افزار
- Defacements
- Injected SPAM
Mage Scan
Mage Scan یک اسکنر آنلاین نیست. شما باید آن را بر روی سرور خود نصب کنید. اگر می خواهید وب سایت مجنتو اینترانت را آزمایش کنید ، Mage Scan می تواند بهترین انتخاب برای شما باشد.
مجنتو Security Scan
قبل از اجرای اسکن نیاز است یک حساب کاربری کاملا رایگان در سایت ایجاد نموده و مالکیت وب خود سایت را تایید کنید. نکته جالب این است که شما می توانید برنامه ریزی کنید که به طور منظم یا هفتگی اسکن ها انجام شود و گزارشات را در آدرس ایمیل خود دریافت نمایید.
Acunetix
تصویر(4)
Security Scan یک اسکنر تحت وب می باشد که هنگام اجرای اسکن، سرعت وب سایت را نیز کاهش نمی دهد.
Acunetix نه تنها مجنتو را بلکه به طور کلی همه موارد مربوط به وب سایت را بررسی می نماید.
نتایج اسکن با بیشترین جزییات ممکن ارائه می شود و به کارشناسان و برنامه نویسان امنیتی کمک می کند تا مشکلات را به سرعت برطرف کنند.
مجنتو Stores Security Tips
تصویر(5)
مهمترین خطر حمله هکرها این است، زمانی متوجه آن شوید، که دیر شده است. بنابراین از قبل می بایست از امنیت وب سایت مراقبت نموده و روزانه سلامت آن بررسی شود.
از آخرین نسخه مجنتو استفاده نمایید
بسیاری از کاربران مجنتو تصور می کنند که به روزرسانی به آخرین نسخه مجنتو اقدام ایمنی نیست. از این رو، آنها از به روزرسانی وب سایت های قدیمی مجنتو خودداری می کنند. در واقع این درست نیست زیرا برنامه نویسان همیشه اشکال زدایی و آزمایش های دقیق را انجام می دهند و مشکلات و حفره های امنیتی را در آخرین نسخه برطرف می نمایند تا نسخه بدون خطای مجنتو را ارائه دهند. بر همین اساس بروز رسانی به آخرین نسخه مجنتو همیشه توصیه می گردد. همچنین با بروزرسانی به آخرین نسخه می توانید از هک وبسایت جلوگیری نموده و از شر خرابی ها راحت شوید. از سوی دیگر از مزایا و قابلیت های جدید تر نیز استفاده نمایید.
استفاده از آدرس منحصر به فرد و یا سفارشی برای دسترسی به بخش مدیریت وبسایت
برای مثال اگر شما از آدرس www.yourdomain.com/admin برای دسترسی به مدیریت سایت استفاده نمایید، هکر ها می توانند به سادگی صفحه مدیریت وب سایت را پیدا نموده و به آن دسترسی داشته باشند.
بر همین اساس، برای جلوگیری از حمله هکرها می بایست به دنبال ساخت یک آدرس منحصر به فرد و سفارشی برای دسترسی به مدیریت سایت تان باشید تا هکرها نتوانند به راحتی به آن دسترسی داشته باشند. ایجاد کد امنیتی برای دسترسی به صفحه مدیریت سایت نکته قابل توجهی برای بهبود امنیت فروشگاه مجنتو می باشد.
استفاده از تایید دو مرحله ای
ایجاد یک گذرواژه سخت برای امنیت یک فروشگاه اینترنتی کافی نیست. به همین دلیل هزاران نفر از دارندگان فروشگاه های آنلاین برای جلوگیری از تهدیدات اینترنتی از تایید دو مرحله ای برای دسترسی به مدیریت سایت خود استفاده می نمایند. مجنتو نیز امکان استفاده از تایید دو مرحله ای را فراهم نموده است که به دارندگان فروشگاه های آنلاین کمک می کند تا امنیت ورود به سیستم مجنتو را افزایش دهند. این عمل، آن ها را از نگرانی در برابر خطرات امنیتی مرتبط با رمز عبور نیز دور نگه می دارد.
استفاده از اتصال SSL / HTTPS
زمانی که قرار بر انتقال اطلاعاتی باشد و زمانی که در حال ارسال اطلاعاتی می باشید، امکان به سرقت رفتن اطلاعات وجود دارد. از این رو استفاده از اتصال ایمن تحت https برای فروشگاه های اینترنتی بسیار مهم و حائز اهمیت می باشد. داشتن یک URL امن SSL / HTTPS مهمترین عنصری است که وب سایت مجنتو شما را با PCI سازگار می کند. با این روش می توانید تجربه یک خرید مطمئن را برای کاربران ایجاد و اعتماد ارزشمند آنها را جلب کنید.
عدم استفاده از سطح دسترسی 777 برای فایل ها
مجنتو پیشنهاد می کند که برای هیچ فایلی سطح دسترسی 777 تنظیم نشود و به محض تکمیل اصلاحات خود، سطح دسترسی فایل مربوطه را اصلاح نمایید.
استفاده از اتصال امن ftp
رهگیری رمز عبور FTP یکی از عادی ترین روش های هک شدن می باشد. شما می توانید این آسیب پذیری را با استفاده از پروتکل SSH File) SFTP) از بین ببرید.
تهیه بکاپ به صورت روزانه
بکاپ گیری روزانه از موثرترین راه ها برای کاهش خطر حملات و یک روش موثر برای بهبود امنیت است.
غیر فعال سازی نمایش directory
برای عدم نمایش فایل های اصلی مجنتو از دید هکر ها، امکان مشاهده directory را در هاست غیر فعال نمایید تا امنیت وب سایت تان افزایش یابد.
عدم استفاده از رمز عبور مدیریت فروشگاه در سایت های دیگر
از رمز عبور مجنتو فقط برای پنل مدیریت سایت استفاده کنید، نه در جای دیگر.
این جمله بر تمام گذرواژه های مهم مورد استفاده شما صدق می کند و گذرواژه های مجنتو نیز از این قاعده مستثنی نیستند.
انتخاب یک رمز عبور قدرتمند
استفاده از یک رمز عبور بسیار سخت، از شما در برابر فاش شدن اطلاعات کاربران محافظت می کند. از رمز عبور های بلند با تلفیقی از اعداد و کاراکترها و حروف های کوچک و بزرگ استفاده نمایید.
حفره های امنیتی مربوط به ایمیل را برطرف نمایید
از آنجا که مجنتو دارای تابع بازیابی رمزهای عبور می باشد، اطمینان حاصل نمایید که ایمیل مدیریت شما توسط افراد دیگر شناخته نشده است تا بتوانید از رمز عبور خود محافظت نمایید.
امنیت مجنتو را به صورت روزانه بررسی نمایید
بررسی روزانه امنیت مجنتو شما را در جریان سلامت فروشگاه قرار می دهد. برای این مورد می توانید از افزونه های مجنتو استفاده نمایید.
دسترسی به پنل مدیریت را فقط برای آدرس ip های تایید شده ارائه دهید
اگر دارای یک ip static مشخص می باشید، می توانید از طریق فایل htaccess موجود در سرویس تان دسترسی سایر ip آدرس ها را به بخش مدیریت فروشگاه محدود نمایید.
نرم افزار آنتی ویروس خود را به روز نگه دارید
آنتی ویروس ها یک وظیفه اساسی در سیاست های امنیتی شما دارند و از شما در برابر ویروس ها و تروجان ها محافظت می کنند. بهتر است قبل از اینکه از انتشار اطلاعات خود رنج ببرید، هزینه محصولات و خدمات آن ها را بپردازید.
رمز عبور های خود را در مرورگر ذخیره نکنید
ممکن است ذخیره رمز عبور در داخل مرورگر بسیار راحت باشد، اما عاقلانه نیست. کسانی که به سیستم شما دست پیدا کنند، می توانند به راحتی نام کاربری و رمز عبور شما را متوجه شده و از آنها استفاده کنند.
از مزایای انجمن های مجنتو استفاده کنید
از آنجا که مجنتو دارای یک جامعه بسیار گسترده از توسعه دهندگان و کاربران می باشد، می توانید از راهنما، آموزش و موضوعات مختلف و برخی توصیه های عالی برای ایمن نگه داشتن فروشگاه خود استفاده کنید.
از یک مرورگر شناخته شده و معتبر استفاده نمایید
مرورگر واسط اصلی بین شما و دنیای وب می باشد و کوکی ها، رمزهای عبور و همچنین آدرس هایی که به آن ها مراجعه می شود را در خود ذخیره می کند. بنابراین از یک مرورگر شناخته شده و معتبر استفاده نمایید در غیر این صورت تمام تلاش های امنیتی شما بی فایده خواهد بود
جلوگیری از MySQL Injection
اگر هکرها به mysql فروشگاه شما نفوذ کنند، می توانند بی سر و صدا به تمام اطلاعات فروشگاه دسترسی داشته و معاملات فاقد اعتبار ایجاد نموده و همچنین اقدام به ایجاد تغییرات در اطلاعات مشتریان کنند. برای رفع این مورد، مجنتو پشتیبانی معتبری برای شکست دادن تمام حملات MySQL Injection در نسخه ها و patch های جدید ارائه می دهد. از این رو پیشنهاد می گردد همیشه از آخرین نسخه مجنتو و patch های ارائه شده استفاده نمایید و همچنین توصیه می شود برای محافظت از فروشگاه خود از فایروال های قدرتمند تحت وب استفاده کنید.
از یک هاستینگ معتبر استفاده کنید
کسانی که از تجارت آنلاین برای مدتی طولانی استفاده می کنند، می دانند که میزبانی مشترک برای هیچ تجارت الکترونیکی گزینه مطمئنی نیست و تجارت الکترونیک نیز از این قاعده مستثنی نمی باشد. از این رو، اگر نمی خواهید امنیت فروشگاه تان با خطر روبرو شود، یک میزبانی مدیریت شده و یا استفاده از یک سرور اختصاصی پیشنهاد می گردد.
استفاده از یک سیستم بکاپ گیری قدرتمند
اگر وب سایت به هر دلیلی هک شود و یا دچار مشکل شده و یا به هر دلیلی بخشی از اطلاعات آن از دست برود، همیشه یک بکاپ به جهت برگشت به زمان قبل از بروز مشکل وجود دارد و این موضوع به شما اطمینان خاطر می دهد که اطلاعات شما از دست نخواهد رفت.
بهترین راه حل ها برای یک سایت مجنتو
در برخی موارد فروشگاه های آنلاین مجنتو به دلیل اقدامات نادرست امنیتی در بخش های دیگری از وبسایت مورد هک قرار می گیرد. به عبارت دیگر همیشه مجنتو مقصر نیست. اگر هر بخش از سیستم یا سرور شما پنجره ای رو به هکرها باز کند، مجنتو نیز آسیب پذیر می شود. نظارت و به روزرسانی مجنتو و کل پیکربندی سرور، معروف به LEMP و یا LAMP ضروری است.
LEMP (Linux ، MySQL ، NGINX ، PHP)
LAMP (Linux ، MySQL ، Apache ، PHP)
اگر وب سایت مجنتو هک شود، لازم است تا چه اقدامی انجام شود؟
قدم اول : اطمینان حاصل نمایید که هک از طریق پلتفرم مجنتو انجام شده است
وقتی یک هکر به سایت شما حمله می کند ممکن است به تمام بخش های آن دسترسی پیدا کند.
به عنوان مثال، فرض کنید که هکر با استفاده از NGINX وارد سیستم شما می شود، در این شرایط او فقط به داده های www دسترسی خواهد داشت و یک یوزر با دسترسی کامل نخواهد بود. یک هکر باهوش همیشه سعی می کند به کل سیستم دسترسی داشته باشد. آنها راه های آسیب پذیری آسان تر را جستجو می کنند تا متوجه شوند به کدام نوع از داده ها می توانند دسترسی پیدا کنند و چگونه می توانند دسترسی های خود را افزایش دهند. هدف نهایی آنها دایرکتوری root سرور است. به محض دسترسی به root سرور، این خطر وجود دارد که قادر به شناسایی تمام تغییرات آنها نباشید.
برای اینکه بدانید هکرها تا کجا می توانند پیش بروند، می بایست یک تجزیه و تحلیل دقیق و مناسب از هر فعالیت و تغییر ایجاد شده در سرور و فروشگاه انجام دهید. این عملیات به زمان نیاز دارد. زمانی که نباید از دست برود.
بنابراین، شما در گام نخست می بایست متوجه شوید که آیا فروشگاه اینترنتی مجنتو شما هک شده است یا خیر، و باید اقدامات لازم را برای جلوگیری از عواقب نامطلوب آن انجام دهید.
نشانه های هک مجنتو
- شکایت مشتریان از فعالیت های کارت های اعتباری آنها
- هشدار های blacklist
- گزارش فعالیت های مخرب توسط ارائه دهنده میزبانی
- ظاهر شدن کلمات کلیدی هرزنامه در سایت
- اصلاحات ناشناخته در پوشه ها یا فایل ها
- تغییرات داخل هسته مجنتو
- لود غیر عادی سرور
- مشاهده فعالیت های ناشناخته توسط مدیر و کاربران سایت
قدم دوم : تصمیم بگیرید وبسایت را از دسترس خارج کنید یا خیر
پس از مشاهده موارد موجود در لیست بالا، از تماس با شرکت توسعه دهنده مجنتو یا مدیر سیستم دریغ نکنید. آنها به سرعت وب سایت شما را تجزیه و تحلیل کرده و به شما می گویند چه خبر است و راه حل چیست. در این مرحله شما باید یک تصمیم اساسی بگیرید. اینکه می بایست وب سایت خود را در از دسترس خارج نمایید، یا خیر. با از دسترس خارج نمودن وب سایت، مسلما کاربران نیز به وب سایت دسترسی نخواهند داشت. شما سرور را از شبکه خاموش می کنید و در این شرایط کاربران قادر به پرداخت سفارشات و ثبت سفارش نیستند و فعالیتی انجام نمی دهند. هیچ یک از هکرها نیز قادر به کنترل از راه دور وب سایت نمی باشند و نمی توانند دیگر به وب سایت آسیب برسانند. فرض کنید در فروشگاه شما در هر ساعت صدها سفارش انجام می شود. خرابی چند ساعته منجر به یک ضرر قابل توجه خواهد شد. اما نگران نباشید شما می توانید پس از رفع مشکل همه چیز را به روال عادی بازگردانید و در بلند مدت ضرر متحمل شده را جبران نمایید.
اگر توانایی کنار آمدن با ضرر و چندین ساعت خرابی را دارید، پیشنهاد می شود سرور را از شبکه خاموش کنید.
قدم سوم : نصب یک مجنتو مطمئن
ابتدا سرور خود را غیر فعال نمایید. اکنون می بایست نسخه جدید مجنتو را دوباره بر روی سرور نصب کنید. این مطمئن ترین روش برای اطمینان از این است که فروشگاه شما مجدد دچار همان حمله نخواهد شد تا تمامی هزینه ها و ضررهای متحمل شده را مجدد تجربه کنید.
پیشنهاد می شود نسخه مجنتو را نه از نسخه بکاپ، بلکه از نسخه ذخیره شده در مخزن git نصب کنید.
چرا از نسخه مجنتو در مخزن git استفاده شود؟
هنگامی که یک فروشگاه مجنتو ایجاد می کنید و از یک سرور محلی استفاده می کنید. از وضعیت قبلی به جز تیم شما - آزمایش کنندگان ، سرپرست ، توسعه دهندگان و غیره - دسترسی نخواهد داشت. این بدان معنی است که آخرین نسخه ذخیره شده در مخزن git به احتمال 99.99٪ کاملا سالم است. حتی اگر از همان آسیب پذیری برخوردار باشد، هنگام راه اندازی فروشگاه وقت خواهید داشت تا این آسیب پذیری را برطرف کنید. با این حال، اگر نسخه مجنتو را از نسخه بکاپ نصب کنید، خطر وجود اسکریپت مخرب یک هکر در آن وجود دارد.
قدم چهارم : تمام نرم افزار ها و patch های مورد نیاز را نصب کنید
هنگام نصب مجنتو اطمینان حاصل کنید که همه بروزرسانی های نرم افزاری و patch های امنیتی مرتبط با مجنتو نیز نصب شده اند.Patch ها یک بسته از فایل های اصلاح شده هسته مجنتو می باشند که مشکلات امنیتی شناسایی شده در مجنتو را برطرف می کنند. یک ابزار خارق العاده بنام MageReport.com وجود دارد که به شما امکان می دهد که بلافاصله بررسی کنید که آیا همه patch های مهم نصب شده اند یا خیر و اینکه چه مشکلات امنیتی اساسی در وب سایت شما وجود دارد.
قدم پنج : پایگاه داده جدید را پیکربندی کنید
هنگامی که تنظیمات نسخه جدید Magento را به اتمام رساندید، جدیدترین نسخه بانک اطلاعاتی وبسایت خود را از نسخه بکاپ جدا کنید. این پایگاه داده شامل آخرین معاملات و کلیه سفارش های اخیر در فروشگاه شما می باشد. با این کار می توانید از لحظه خاموش کردن سرور ، معاملات خود را بازیابی کنید.
لحظه مهم
اگر فروشگاه مجنتو شما هک شد ، باید بدون در نظر گرفتن اطلاعاتی که از کاربران ذخیره شده است، به همه کاربران خود این موضوع را اطلاع رسانی نمایید. با این حال، در عمل به سختی صاحب فروشگاهی پیدا می شود که نسبت به ایده از دست دادن اعتماد کاربر خود مشتاق باشد و این موضوع را به کاربران خود اطلاع رسانی نماید. اگر پرداخت ها از طریق یک درگاه مطمئن در داخل فروشگاه مجنتو انجام شود، هکرها قادر به دسترسی به اطلاعات کارت های اعتباری کاربران نخواهند بود. تمام درگاه های پرداخت معروف مانند Amazon Payments یا PayPal رمزگذاری پیشرفته ای را ارائه می دهند. اگر داده های مربوط به پرداخت هر مشتری را در پایگاه داده خود ذخیره می کنید، اطلاع رسانی به کاربران تان در مورد هک و درخواست از آنها برای تغییر رمز عبور کارت هایشان امری ضروری می باشد.
قدم ششم : آنالیز و مانیتور
شما پایگاه داده و فروشگاه خود را مجدد پیکربندی نموده اید. حال می توانید مجدد سفارشات را بپذیرید و احساس امنیت کنید که هکر دیگر به فروشگاه شما دسترسی ندارد. اکنون وقت آن است که تجزیه و تحلیل کنید که چه عواملی منجر به حمله موفقیت آمیز شده و همه حفره های امنیتی را برطرف کنید.
آسیب پذیری ها و حفره های امنیتی معمولی مجنتو
- آسیب پذیری سرور در "image upload directory"
- استفاده از رمز عبور های بسیار ضعیف در FTP مانند ( نام کاربری admin و رمز عبور 11111 )
- استفاده از نسخه های منسوخ شده مجنتو
- میزبان وب ناامن
- افزونه های دارای باگ