آیا صاحب فروشگاه آنلاین هستید؟ به احتمال زیاد وب سایت شما با استفاده از اپن کارت ساخته شده است. در سناریوی امروزی، محبوبیت فروشگاههای آنلاین، اپن کارت را در کانون توجه قرار داده است. این یکی از رایج ترین پلتفرم های منبع باز برای وب سایت های تجارت الکترونیک است. از آنجایی که منبع باز است، هر کسی میتواند به کدهای منبع نگاهی بیاندازد و بفهمد که چه اتفاقی میافتد. بنابراین، اپن کارت خطر هک شدن را دارد. به عنوان یک مالک، باید مراقب وب سایت خود باشید و اقداماتی را برای تقویت امنیت اپن کارت خود انجام دهید. در ادامه این مقاله از ادروم با آموزش افزایش امنیت اپن کارت همراه باشید تا بتوانید سایت خود را ایمن تر از قبل نمایید.
ایمن کردن اپن کارت
در اینجا 16 مرحله برتر برای امنیت کامل فروشگاه اپن کارت شما آورده شده است
- یک سرور میزبانی امن دریافت کنید.
- از آخرین نسخه اپن کارت استفاده کنید
- در حال حذف پوشه نصب
- محافظت از دایرکتوری مدیر
- مجوزهای فایل ها و پوشه ها را مدیریت کنید
- فعال کردن SSL برای وب سایت و پنل مدیریت
- فعال کردن تشخیص تقلب در اپن کارت
- امنیت اپن کارت از طریق برنامه های افزودنی
- احراز هویت دو مرحله ای برای ورود به سیستم
- استفاده از ReCAPTCHA برای احراز هویت کاربران
- محدود کردن انواع فایل های آپلود
- پیاده سازی فایروال ها
- ممیزی های امنیتی منظم
- بدافزار برای شناسایی تهدید اسکن می کند
- جریان پرداخت خود را بررسی کنید
- پشتیبان گیری از فایل ها و داده ها
1. یک سرور میزبانی امن دریافت کنید
سرورهای میزبانی زیادی وجود دارند که خدمات خود را با قیمت بسیار کمی ارائه می دهند. با این حال، همه این سرورهای میزبانی امن نیستند. آنها اغلب میزبانی مشترک هستند و معمولا میزبان هزاران وب سایت دیگر هستند. داشتن چندین وب سایت با پهنای باند یکسان می تواند بر عملکرد یک وب سایت تأثیر بگذارد. همچنین وب سایت شما را در معرض خطرات امنیتی زیادی قرار می دهد.
به عنوان صاحب یک فروشگاه آنلاین، باید یک سرور امن برای میزبانی وب سایت خود داشته باشید. با یک سرویس میزبانی قوی تر، می توانید مطمئن باشید که وب سایت شما از حملات سمت سرور (مانند حملات DDoS) و سایر حملات احتمالی در امان است.
2. از آخرین نسخه اپن کارت استفاده کنید
استفاده از نرم افزارهای قدیمی و قدیمی راه مطمئنی برای هک شدن است. نسخه های جدید با ویژگی های پیشرفته و ایمن تر به همراه وصله های امنیتی منتشر می شوند. با نسخه جدیدتر، می توانید از ویژگی های امنیتی جدید اضافه شده برای محافظت از وب سایت خود و در نتیجه تقویت امنیت اپن کارت خود استفاده کنید. در زمان نوشتن این مطلب، آخرین نسخه اپن کارت – اپن کارت 3.0.3.2 است.
3. حذف پوشه نصب
پس از اتمام نصب، باید پوشه نصب را حذف کنید. اگر پوشه نصب همچنان موجود باشد، هر کسی میتواند به پوشه دسترسی داشته باشد و پس از راهاندازی مجدد نصب، میتواند وبسایت شما را بازنویسی کند.
بنابراین، برای محافظت از وب سایت خود، به «خرید» در سرویس گیرنده FTP خود بروید و سپس پوشه «Install» را حذف کنید.
اپن کارت همچنین به کاربران خود یادآوری می کند که اگر پوشه نصب پس از اتمام راه اندازی شناسایی شود، به عنوان راهی برای اطمینان از امنیت قوی اپن کارت.
4. محافظت از دایرکتوری مدیر
در طول نصب پیش فرض اپن کارت، پیشوند پیش فرض “oc_” است. بنابراین، شناسایی و حمله به وب سایت شما برای مهاجمان آسان تر می شود. برای محافظت از این موضوع، پیشوند را به چیزی آشنا تغییر دهید تا مهاجمان را از هر مسیری پرتاب کنید.
- شناسه و رمز عبور پیش فرض را تغییر دهید:
پس از نصب اولیه، اعتبار پیش فرض باید تغییر کند. اگر تغییر نکند، مهاجم میتواند رمزهای عبور پیشفرض را حدس بزند و به همه فایلها و پوشههای شما دسترسی داشته باشد. از ترکیبی از حروف و اعداد برای ایجاد یک رمز عبور قوی استفاده کنید. - مکان پیش فرض دایرکتوری مدیر خود را تغییر دهید:
در مورد نصب پیشفرض، هر کسی میتواند با استفاده از URL admin به فهرست مدیریت دسترسی پیدا کند. بنابراین، برای جلوگیری از دسترسی غیرمجاز به چنین فایلهای مهمی، باید این URL مدیریت را به چیزی سفارشیتر تغییر دهید. - استفاده از فایل htaccess. در پوشه مدیریت:
بهتر است از اقدامات اضافی برای حفظ پوشه ها و فایل های مدیریت خود استفاده کنید. برای این کار باید از «.htaccess» استفاده کنید. با استفاده از این فایل می توانید دسترسی کاربران به چنین فایل های مهمی را محدود کنید و در نتیجه امنیت اپن کارت را تقویت کنید. این فایل را ویرایش کنید و بررسی های مناسب را ذکر کنید تا فقط کاربران خاصی به آن فایل ها و پوشه ها دسترسی داشته باشند.
5. مجوزهای فایل ها و پوشه ها را مدیریت کنید
برای محافظت از فایلها و پوشهها، باید برای آن پوشهها مجوز تنظیم کنید. هنگام تنظیم مجوزها، باید دسته بندی های مختلف را درک کنید:
- کاربران خواندنی فقط میتوانند فایلهای شما را ببینند و بخوانند
- کاربران Write می توانند فایل های شما را ویرایش کنند
- کاربران Execute می توانند آن فایل ها را اجرا کنند
همچنین، سه نوع کاربر وجود دارد که می توان به آنها مجوز داد:
- کاربر-این مالک فایل است
- گروه – این شامل گروهی از کاربران است. به عنوان مثال، گروهی از اعضای سایت
- جهان – این شامل هر بازدید کننده ای می شود
6. فعال کردن SSL برای وب سایت و پنل مدیریت
معمولاً داده هایی که به عقب و جلو منتقل می شوند رمزگذاری نمی شوند. رمزگذاری ضروری است زیرا هر واسطه می تواند به داده های رمزگذاری نشده دسترسی پیدا کند. این می تواند به مخفی ماندن اطلاعات مهم مانند شناسه ایمیل یا نام کاربری، داده های مالی و غیره منجر شود.
با استفاده از SSL یا HTTPS، می توانید به طور موثر تمام داده های خود را رمزگذاری کنید و از جاسوسی هر کسی در آن جلوگیری کنید. اولین مکانی که باید از آن محافظت کنید پنل مدیریت شما است. اگر دادههای پنل مدیریت شما رمزگذاری نشده باشد، مهاجمان میتوانند به اعتبار ورود شما دسترسی پیدا کنند.
به Settings>>Server بروید. در آنجا گزینه “استفاده از SSL” را خواهید یافت. فقط دکمه رادیویی کنار Yes, Save را علامت بزنید. این همه است.
به عنوان صاحب فروشگاه، نمی خواهید اعتبار مشتریانتان به دست افراد نادرست بیفتد. بنابراین، این مرحله اساسی می تواند شما را از بسیاری از حملات و مهاجمان نجات دهد.
7. فعال کردن تشخیص تقلب در اپن کارت
اپن کارت به شما امکان می دهد تقلب در فروشگاه آنلاین خود را شناسایی کنید. یک شرکت به نام MaxMind دارای سیستمی است که به شما این امکان را می دهد. این سرویس IP هایی را که از ویترین فروشگاه شما بازدید می کنند، تجزیه و تحلیل می کند و هرگونه تقلب بر اساس این IP ها را شناسایی می کند. برای فعال کردن این سرویس باید مشترک شوید.
به تنظیمات بروید. این گزینه را در زیر “عمومی” به عنوان “تقلب” خواهید یافت.
8. اپن کارت Security از طریق برنامه های افزودنی
- نصب افزونه های معتبر:
فقط آن دسته از برنامههای افزودنی را نصب کنید که توسط اپن کارت پشتیبانی میشوند و ترجیحاً از خود اپن کارت در دسترس هستند. نصب هر برنامه افزودنی شخص ثالث می تواند امنیت اپن کارت شما را به خطر بیندازد. افزونه های مورد اعتماد هیچ نقص امنیتی شناخته شده ای ندارند و به طور مداوم به روز می شوند تا از هک شدن در امان بمانند. - همه برنامه های افزودنی خود را به روز کنید:
همه برنامههای افزودنی مورد اعتماد بهطور مرتب با آخرین وصلههای امنیتی و رفع اشکالهای شناخته شده بهروزرسانی میشوند. به روز نگه داشتن برنامه های افزودنی می تواند از وب سایت شما در برابر هرگونه حمله یا اشکال شناخته شده محافظت کند. مهاجمان می توانند به راحتی از یک برنامه افزودنی قدیمی با آسیب پذیری عبور کنند و در نتیجه امنیت اپن کارت شما را تضعیف کنند. - برنامه های افزودنی استفاده نشده یا از بین رفته را حذف نصب کنید:
اگر به طور منظم از برنامه های افزودنی خاصی استفاده نمی کنید، حذف آنها گزینه بهتری است. از آنجایی که آنها به طور مداوم استفاده نمی شوند، ممکن است قدیمی شوند و یک تهدید امنیتی حیاتی اپن کارت باشند.
9. احراز هویت دو مرحله ای برای ورود به سیستم
ورود از طریق شناسه و رمز عبور منسوخ شده است. در عصر امروز، احراز هویت 2 عاملی امنتر از روش سنتی ورود به سیستم در نظر گرفته میشود. هکرهای بد میتوانند به شناسه و رمز عبور شما دسترسی پیدا کنند و به راحتی میتوانند کنترل حساب شما را در دست بگیرند. 2FA (2 Factor Authentication) قدرت کامل را از یک راه ورود به سیستم می گیرد.
در 2FA ابتدا باید از طریق شناسه و رمز عبور معمول خود وارد شوید، پس از آن یک کد منحصر به فرد به شماره موبایل شما ارسال می شود، با وارد کردن آن، به طور کامل وارد می شوید. در این صورت، حتی اگر مهاجمان رمز عبور شما را بدانند، نمی توانند رمز عبور شما را بدانند. بدون دریافت این کد منحصر به فرد در شماره تلفن خود وارد شوید. به عنوان یک مالک، مشتریان شما شایسته ایمن بودن هستند و بنابراین فعال کردن 2FA در وب سایت اپن کارت شما مهم است. با این کار می توانید به مشتریان خود کمک کنید تا در امان بمانند و همچنین هکرهای بد را دور نگه دارید
10. استفاده از ReCAPTCHA برای احراز هویت کاربران
ReCAPTCHA به روشی بسیار برای تأیید اینکه آیا کاربران انسان هستند یا ربات های بد تبدیل شده است. ربات ها اغلب سعی می کنند در وب سایت ها بخزند و داده های مهمی مانند شناسه ایمیل و نام کاربری را جمع آوری کنند. آنها همچنین می توانند ترافیک وب سایت شما را افزایش دهند. برای جلوگیری از دسترسی ربات ها به وب سایت شما. اپن کارت افزونه ای برای دریافت ReCAPTCHA در وب سایت شما ارائه می دهد
11. محدود کردن انواع فایل های آپلود
با محدود کردن نوع فایلهایی که میتوان در وبسایت خود آپلود کرد، میتوانید از وبسایت خود در برابر آپلودهای غیرضروری محافظت کنید و همچنین از آپلود فایلهای مضر توسط کاربران جلوگیری کنید. مهاجمان می توانند از فایل های آلوده استفاده کنند تا وب سایت شما را آسیب پذیر کنند و سپس حملاتی را انجام دهند.
شما می توانید از این موارد جلوگیری کنید:
- وارد پنل مدیریت خود شوید
- رفتن به ‘Systems’>>’Settings’
- در زیر برگه “Option”، “Allow upload file extensions” را خواهید دید.
- انواع فایل های قابل آپلود در وب سایت خود را تغییر دهید.
12. پیاده سازی فایروال ها
ربات ها و مهاجمان همیشه مراقب هستند و می توانند بدون هیچ هشداری حملاتی را انجام دهند. برای محافظت از فروشگاه آنلاین خود در برابر چنین تهدیداتی، باید یک فایروال قوی پیاده سازی کنید که از وب سایت شما در تمام ساعات شبانه روز محافظت کند. یک فایروال خوب تمام ربات های بد و هرگونه حمله هکرها را مسدود می کند.
13. ممیزی های امنیتی منظم
به عنوان مالک وب سایت، باید از نقص های امنیتی وب سایت خود آگاه باشید. درک این نقایص امنیتی اولین قدم برای یک سیستم امنیتی قوی در اطراف وب سایت شما است. بنابراین، انجام ممیزی امنیتی بیرون و خارج از وب سایت شما می تواند به شما در مورد وضعیت و استاندارد امنیت وب سایت خود اطلاع دهد.
شما می توانید از این ابزار برای انجام ممیزی امنیتی خودکار رایگان وب سایت خود استفاده کنید. اگر به دنبال یک نتیجه جامع تر هستید. این برنامه عمیق VAPT (با نام مستعار ممیزی امنیتی) توسط Astra را انتخاب کنید. این تصویر زیر فرآیند VAPT Astra را نشان می دهد.
14. بدافزار برای شناسایی تهدید اسکن می کند
بدافزار یک راه متداول برای مهاجمان برای آسیب پذیر کردن وب سایت شما است. از سرقت اطلاعات گرفته تا انتشار عفونت به کاربران، بدافزارها را می توان برای رسیدن به هر هدفی برنامه ریزی کرد. برای موثرتر کردن آنها، بدافزارها معمولاً طوری برنامه ریزی می شوند که پنهان بمانند و شناسایی آنها دشوار باشد.
اینجاست که اسکن بدافزارها به کمک شما می آید. یک اسکنر بدافزار موثر می تواند بدافزارهای پنهان را شناسایی کرده و آنها را حذف کند.
15. جریان پرداخت خود را بررسی کنید
بخش پرداخت یکی از مهم ترین بخش های فروشگاه اینترنتی است. افزونه های متعددی وجود دارد که با اپن کارت ادغام می شوند و قابلیت هایی را به این گزینه های پرداخت اضافه می کنند. با این حال، به دلیل این برنامههای افزودنی، ممکن است امنیت اپن کارت شما به خطر بیفتد. اگر از یک افزونه قدیمی استفاده می کنید، باید آنها را به روز کنید. اینها رایج ترین انواع هک پرداخت هستند:
- انجام خرید بدون پرداخت
- تغییر قیمت محصولات
- انتقال پرداخت ها به حساب های مهاجم
بررسی کنید که آیا همه گزینه ها و کانال های پرداخت شما خوب کار می کنند یا خیر. اطمینان حاصل کنید که هیچ مغایرت و تغییری در عملکرد اصلی این ماژول ها وجود ندارد
16. پشتیبان گیری از فایل ها و داده ها
داشتن یک نسخه پشتیبان از وب سایت شما همیشه ایده خوبی است. در صورتی که مهاجمان تصمیم به حذف فایل های مهم از وب سایت شما داشته باشند، شما یک نسخه پشتیبان برای بازیابی آن فایل ها و بازگرداندن وب سایت خود به صورت آنلاین خواهید داشت. هر زمان که وب سایت اپن کارت خود را راه اندازی می کنید، همیشه از فایل های لازم نسخه پشتیبان تهیه کنید. اپن کارت گزینه ای برای انجام این کار در اختیار شما قرار می دهد.
پس از ورود به حساب کاربری خود، در قسمت «تنظیمات»، «تعمیر و نگهداری» و سپس «پشتیبان گیری/بازیابی» را پیدا خواهید کرد. در این گزینه، شما می توانید تمام جدول هایی را که باید پشتیبان بگیرید انتخاب کنید. آن جداول بهعنوان SQL ذخیره میشوند هر زمان که نیاز به بازیابی فایلهای پشتیبان داشتید، به برگه «بازیابی» بروید و فایل SQL را آپلود کنید. تهیه نسخه پشتیبان از فایل های خود یک مرحله اضافی برای اطمینان از امنیت قوی اپن کارت است.
جمع بندی
با مطالعه کامل مقال آموزش افزایش امنیت اپن کارت و انجام مراحل فوق قطعاً شما را در برابر تهدیدات رایج و نه چندان رایج ، وب سایت شما را محافظت می کند. همچنین، معیار امنیتی اپن کارت مناسب از سرقت، سوء استفاده یا دستکاری اطلاعات مشتری شما جلوگیری می کند. به عنوان صاحب فروشگاه آنلاین، باید شبانه روز مراقب باشید.