5 مشكلات أمنية في WooCommerce وخطة حماية مكونة من 12 خطوة
نشرت: 2018-02-01وفقًا لتقرير صادر عن مكتب الإحصاء الأمريكي، شهد الربع الرابع من عام 2021 218.5 مليار دولار من المبيعات عبر الإنترنت، أي ما يعادل زيادة قدرها 9.4% عن الربع الرابع من عام 2020. والأمر الأكثر إثارة للإعجاب هو حقيقة أن التجارة الإلكترونية شكلت 12.9% من إجمالي المبيعات عبر الإنترنت. إجمالي مبيعات التجزئة في الربع الرابع من عام 2021.
نظرًا لأن التسوق عبر الإنترنت أصبح خيارًا أكثر قابلية للتطبيق (وملاءمة) للمستهلكين، فقد حان الوقت لشركات التجارة الإلكترونية لمعالجة العقبات الفريدة التي تقف في طريقهم لإغلاق المزيد من الأعمال. بالنسبة لمستخدمي WordPress، يجب أن تكون التهديدات الأمنية المحتملة لـ WooCommerce هي أول ما يجب النظر إليه.
هذا هو الأمر: لمجرد أن العملاء يتعلمون الثقة في الأعمال التجارية عبر الإنترنت فيما يتعلق بأموالهم ومعلوماتهم الشخصية، فهذا لا يعني أنه ليس لديهم تحفظات بشأن مدى أمان التسوق عبر الإنترنت. ولديهم سبب وجيه للشعور بالتوتر.
لا تستهدف تهديدات أمان WooCommerce تجار التجزئة الكبار فقط. إذا كان موقع التجارة الإلكترونية الخاص بك يحتوي على شيء ذي قيمة يستحق السرقة، فقد تجد موقعك هدفًا للمتسللين في يوم من الأيام أيضًا .
بدلاً من الانتظار حتى يصل أحد هذه التهديدات إلى موقعك، يجب عليك العمل على بناء خطة وقائية استباقية، سواء حصلت على مساعدة بشأنها أو قمت بتأمين موقع WordPress الخاص بك بنفسك.
مفتاح الوقاية؟ فهم ماهية التهديدات، وأين سيهاجمون، وكيفية إبعادهم . دعونا نتحقق من أكبر التهديدات الأمنية لـ WooCommerce والحلول للرد عليها.
التهديدات الأمنية لـ WooCommerce التي تحتاج إلى معرفتها
إذا كان لشركتك وجود على الإنترنت، فيجب أن تهتم بالأمن بشكل عام. لكن بالنسبة لشركات التجارة الإلكترونية التي تتعامل في المعاملات النقدية بشكل يومي، فإن الاهتمام بالأمن ليس كافيًا. يجب أن تكون مهووسًا بماهية تلك التهديدات الأمنية وكيفية إبعادها عن موقعك.
فيما يلي التهديدات الأكثر شيوعًا التي يواجهها مستخدمو WooCommerce:
1. البريد العشوائي
تعد تعليقات المدونة ونماذج الاتصال بمثابة دعوة مفتوحة لمرسلي البريد العشوائي الذين يريدون ترك روابط مصابة على موقعك أو ينتظرونك أنت وموظفيك في صندوق الوارد الخاص بك. ولا يؤثر هذا على أمان الموقع فحسب، بل يؤثر أيضًا على سرعة الموقع.
2. هجمات القوة الغاشمة
في بعض الأحيان، يستخدم المتسللون هجمات القوة الغاشمة حيث يرسلون العديد من كلمات المرور أو عبارات المرور على أمل تخمينها بشكل صحيح في النهاية.
يعد هذا أمرًا خطيرًا بشكل خاص لمواقع WordPress نظرًا لأن /wp-login.php و /wp-admin/ هما صفحات تسجيل الدخول الافتراضية. أسهل طريقة للحماية من هذه الأنواع من الهجمات هي تغيير عنوان تسجيل الدخول الخاص بك أو استخدام المكونات الإضافية للأمان لمنع محاولات تسجيل الدخول المتكررة.
3. عدم وجود التشفير
هل لاحظت يومًا أن معظم مواقع الويب في الوقت الحاضر تحتوي على قفل أخضر في شريط التنقل؟ هذه شارة تشير للزائرين إلى أن الموقع مؤمن باستخدام طبقة المقابس الآمنة (SSL). SSL هو بروتوكول أمان يقوم بتشفير البيانات ويضمن عدم قيام أي شخص باختطاف اتصالك. 
بكل بساطة، بدون طبقة المقابس الآمنة (SSL)، يمكن لطرف ثالث اعتراض البيانات المرسلة من وإلى موقع الويب. يمكن أن يكون هذا أي شيء بدءًا من كلمات المرور ومعلومات بطاقة الائتمان والملفات الحساسة والمزيد.
هذا ليس كل شيء رغم ذلك. في محاولة لتعزيز الأمن والخصوصية، بدأت Google في معاقبة المواقع التي لا تحتوي على طبقة المقابس الآمنة (SSL). لذا فإن عدم الحصول عليها ليس أمرًا غير آمن فحسب، بل يمكن أن يضر أيضًا بحركة المرور العضوية الخاصة بك.
4. البرامج الضارة
البرمجة النصية عبر المواقع، وحقن SQL، والإعلانات الضارة، وبرامج الفدية... هذه أنواع مختلفة من البرامج الضارة التي تهدف إلى الوصول إلى الواجهة الخلفية لموقع الويب الخاص بك لأغراض سرقة البيانات الحساسة - منك ومن عملائك. عندما قام الباحث ويليم دي جروت بدراسة 6000 متجر عبر الإنترنت في عام 2015، وجد أن أكثر من نصفها مصاب ببرمجة جافا سكريبت الضارة. وبحلول نهاية العام، كانت جميع المتاجر تقريبًا قد سقطت تحت التهديد.
وهذه ليست الحالة الوحيدة المزعجة لحقن البرامج الضارة.
كان هناك موقع eBay، الذي تم اختراق قاعدة بياناته في عام 2014. وعلى الرغم من أن العملاء لم يخسروا أموالهم بشكل مباشر نتيجة للتهديد الأمني، إلا أن معلومات تسجيل الدخول وكلمة المرور الخاصة بهم تعرضت للخطر.
كان هناك أيضًا موقع Target في عام 2013، والذي أدت شراكته مع بائع خارجي لديه أنظمة غير آمنة إلى وقوع هجوم. سُرقت بطاقات الائتمان والبيانات الشخصية لعشرات الملايين من العملاء، واضطرت شركة Target إلى دفع أكثر من 18 مليون دولار في الدعاوى القضائية نتيجة لذلك.
5. هجمات حجب الخدمة (DDoS).
تفعل هجمات رفض الخدمة الموزعة (DDoS) بالضبط ما يوحي به الاسم: فهي تطغى على خادم الموقع وتجعل الموقع غير متصل بالإنترنت. يعد الهجوم الآلي الذي وقع عام 2016 ضد شركة Dyn أحد أبرز الأمثلة على هذا النوع من التهديدات.
خطة الأمن والحماية من التهديدات الخاصة بك في WooCommerce
من المهم ملاحظة أن الهجمات على موقعك لا تحدث دائمًا بغرض سرقة معلومات بطاقة الائتمان الخاصة بعملائك أو تفاصيلهم الشخصية. قد يقوم المتسللون والروبوتات بالتنقيب في موقعك للوصول إلى بيانات شركتك أيضًا. بل إن هناك أوقاتًا لا يكون فيها الهدف ماليًا بطبيعته.
بغض النظر عن نوع التهديد الأمني الذي تواجهه، يمكنك أن تتخيل مدى التكلفة التي يمكن أن يؤدي إليها ذلك في نهاية المطاف على صافي أرباحك وسمعتك . وهنا يأتي دور خطة الحماية من التهديدات.
1. أمان الخادم
أولاً وقبل كل شيء، تأكد من أنك تستخدم شركة استضافة ويب تثق في أنها تضع أمان موقعك في الاعتبار.
وهذا يعني أنه يجب أن يكون هناك جدار حماية من جانب الخادم، وخيار لإضافة CDN، وتوافر شهادة SSL، وخطط الاستضافة التي لا تتطلب منك مشاركة بيئة الخادم مع مواقع الويب الأخرى.
فيما يتعلق بما يمكنك القيام به لحماية خادم الاستضافة الخاص بك بشكل أفضل، قم بالتعرف على أفضل ممارسات أمان Apache.
2. أمن بوابة الدفع
تعد المكونات الإضافية لبوابة الدفع جزءًا مهمًا من أمان بطاقة الائتمان لـ WooCommerce. باختصار، مزود الدفع الخاص بك هو الذي سيتعامل مع جميع معاملات العملاء ويضمن أمان بياناتهم.
إذا كنت تواجه صعوبة في العثور على مزود بوابة الدفع، فهو المكون الإضافي للمدفوعات الخاص بـ WooCommerce. تضمن WooCommerce Payments إرسال جميع البيانات الحساسة مباشرة إلى معالج الدفع، دون تخزينها على الإطلاق في قاعدة بيانات مواقعك، مما يجعلها آمنة من المهاجمين.
3. برامج مكافحة الفيروسات والبرامج الضارة
قم بتجهيز أجهزة الكمبيوتر المتصلة بشبكتك ببرامج مكافحة الفيروسات والبرامج الضارة.
4. جدار الحماية
من الناحية المثالية، يمتلك مضيف الويب الخاص بك جدار حماية لخادمك. يجب عليك أيضًا التفكير في الحصول على واحدة لجهاز الكمبيوتر الخاص بك وكذلك لموقع الويب نفسه. تأتي العديد من المكونات الإضافية للأمان (مثل All In One WP Security & Firewall) مزودة بجدار حماية مدمج، حتى تتمكن من إزالة ذلك من قائمتك مع تعزيز أمان WordPress الخاص بك في نفس الوقت.
5. مانع البريد العشوائي
كما هو مذكور أعلاه، يمكن أن يمثل البريد العشوائي مشكلة لموقع التجارة الإلكترونية الخاص بك إذا كان لديك مدونة عليه أو نموذج اتصال عام. إذا كان الأمر كذلك، فاستخدم المكون الإضافي Akismet لإبعاد التهديدات المعروفة عن موقعك.
6. شهادة SSL
لم تعد شهادة SSL اختيارية لمواقع التجارة الإلكترونية، على الأقل وفقًا لمعايير Google. إنها طريقة سهلة (وغالبًا ما تكون مجانية) لإضافة طبقة إضافية من التشفير إلى المعاملات التي تتم هناك.
7. الامتثال PCI
لدى مجلس معايير أمان PCI إرشادات صارمة فيما يتعلق بكيفية تأمين موقع الويب الخاص بك في حالة المشاركة في التجارة الإلكترونية.
يتضمن ذلك قواعد حول نوع استضافة الويب، ومستوى الأمان على مستوى معالجة الدفع، وما إلى ذلك. تأكد من التعرف على هذه الأمور والالتزام بها أثناء إنشاء موقعك وصيانته.
8. CDN
تعد شبكات CDN طريقة رائعة لمنع هجمات DDoS على موقع الويب الخاص بك. فكر في CDN كطبقة أخرى من الاستضافة لموقع التجارة الإلكترونية الخاص بك، وهذا يعني طبقات إضافية من الأمان أيضًا.
9. الإضافات الأمنية
كما هو مذكور أعلاه، سيكون المكون الإضافي للأمان خطوة ذكية للحفاظ على أمان تثبيت WordPress والواجهة الأمامية لموقعك.
بالإضافة إلى حماية موقعك من البرامج الضارة وهجمات DDoS، يمكن للمكونات الإضافية للأمان أيضًا حظر محاولات تسجيل الدخول المتكررة وتنبيهك بأن شخصًا ما يحاول اختراق موقعك بالقوة. نوصي بـ iThemes Security Pro لهذا الغرض.
10. الإضافات الاحتياطية
لا تنس الحصول على البرنامج المساعد للنسخ الاحتياطي والاستعادة. بغض النظر عن مدى تحصين موقع التجارة الإلكترونية الخاص بك، فإن المتسللين لديهم كل الوقت في العالم لتجربة طرق جديدة لاختراق طريقهم.
من المهم أن تكون مستعدًا بطريقة للتعافي بسرعة إذا حدث شيء ما لموقعك.
11. قم بالتحديث بانتظام
عندما لا يحصل البرنامج على التحديثات المطلوبة أو حتى المقترحة من الموفر، فإنك تعرض أعمال التجارة الإلكترونية الخاصة بك للخطر. لذلك، حافظ على تحديث كل شيء وقم بذلك بانتظام. هذا يتضمن:
- حاسوبك
- شبكة شركتك
- برنامج الخادم الخاص بك
- نسخة PHP الخاصة بك
- جوهر ووردبريس
- الإضافات والموضوعات الخاصة بـ WordPress
12. كلمات المرور
على الرغم من أنك قد تتوقع أن المتسللين يتجهون مباشرة للحصول على معلومات بطاقة الائتمان (وهو ما يفعلونه)، إلا أنهم يستهدفون أيضًا معلومات تسجيل دخول المستخدم.
في الواقع، يقول تقرير صادر عن CMSWire أن 75% من جميع الهجمات على مواقع التجارة الإلكترونية خلال موسم العطلات لعام 2016 كانت تستهدف تسجيل الدخول. وغني عن القول أن سياسات أمان كلمة المرور الصارمة (بما في ذلك المصادقة الثنائية) أمر لا بد منه.
Woocommerce vs Shopify أيهما أفضل من حيث الأمان؟
إذا كنت بدأت للتو في التجارة الإلكترونية، فقد يكون من الصعب تحديد النظام الأساسي الأفضل لعملك، خاصة عندما يتعلق الأمر بشيء بالغ الأهمية مثل الأمان.
لسوء الحظ، لا يوجد فائز واضح بين Shopify وWooCommerce عندما يتعلق الأمر بالسلامة.
من ناحية، كمنصة مستضافة Shopify لا يتطلب أي إعداد تقريبًا ويتضمن الكثير من ميزات الأمان. من ناحية أخرى، يتيح لك WooCommerce المضي قدمًا في إجراءات الأمان الخاصة بك عن طريق إعداد الأشياء بنفسك.
وفي النهاية، يعود الأمر إلى الاختيار الشخصي. قد يختار أصحاب الأعمال المحنكين في مجال الكمبيوتر WooCommerce لتعدد استخدامات نظام WordPress البيئي، بينما قد يفضل شخص أقل دراية بالتكنولوجيا Shopify.
ملخص
في نهاية المطاف، هدفك هو توفير مكان آمن للعملاء للتسوق عبر الإنترنت. وتريد أيضًا إدارة الأعمال بطريقة تحافظ على حماية أرباحك النهائية أيضًا.
بالإضافة إلى التهديدات والحلول الأمنية لـWordPress WooCommerce المذكورة أعلاه، يجب عليك أيضًا التفكير في إجراء عمليات تدقيق أمنية منتظمة على موقع WordPress الخاص بك.
إذا كنت تخشى العملية أو غير متأكد إذا كان لديك الوقت الكافي لتخصيصه لمحاربة جميع أنواع التهديدات التي يواجهها موقع WooCommerce الخاص بك، فاستأجر شريك صيانة WordPress موثوقًا لمساعدتك. أو قد ترغب في إلقاء نظرة على بعض من أفضل منصات التجارة الإلكترونية الأخرى أو التفكير في إنشاء متجر خاص بك عبر الإنترنت.
هل تريد تقديم ملاحظاتك أو الانضمام إلى المحادثة؟أضف تعليقاتك على تويتر.
حفظ حفظ
حفظ حفظ
حفظ حفظ