آموزش افزایش امنیت اپن کارت

آیا صاحب فروشگاه آنلاین هستید؟ به احتمال زیاد وب سایت شما با استفاده از اپن کارت ساخته شده است. در سناریوی امروزی، محبوبیت فروشگاه‌های آنلاین، اپن کارت را در کانون توجه قرار داده است. این یکی از رایج ترین پلتفرم های منبع باز برای وب سایت های تجارت الکترونیک است. از آنجایی که منبع باز است، هر کسی می‌تواند به کدهای منبع نگاهی بیاندازد و بفهمد که چه اتفاقی می‌افتد. بنابراین، اپن کارت خطر هک شدن را دارد. به عنوان یک مالک، باید مراقب وب سایت خود باشید و اقداماتی را برای تقویت امنیت اپن کارت خود انجام دهید. در ادامه این مقاله از ادروم با آموزش افزایش امنیت اپن کارت همراه باشید تا بتوانید سایت خود را ایمن تر از قبل نمایید.

ایمن کردن اپن کارت

در اینجا 16 مرحله برتر برای امنیت کامل فروشگاه اپن کارت شما آورده شده است

1. یک سرور میزبانی امن دریافت کنید.
2. از آخرین نسخه اپن کارت استفاده کنید
3. در حال حذف پوشه نصب
4. محافظت از دایرکتوری مدیر
5. مجوزهای فایل ها و پوشه ها را مدیریت کنید
6. فعال کردن SSL برای وب سایت و پنل مدیریت
7. فعال کردن تشخیص تقلب در اپن کارت
8. امنیت اپن کارت از طریق برنامه های افزودنی
9. احراز هویت دو مرحله ای برای ورود به سیستم
10. استفاده از ReCAPTCHA برای احراز هویت کاربران
11. محدود کردن انواع فایل های آپلود
12. پیاده سازی فایروال ها
13. ممیزی های امنیتی منظم
14. بدافزار برای شناسایی تهدید اسکن می کند
15. جریان پرداخت خود را بررسی کنید
16. پشتیبان گیری از فایل ها و داده ها

1. یک سرور میزبانی امن دریافت کنید
سرورهای میزبانی زیادی وجود دارند که خدمات خود را با قیمت بسیار کمی ارائه می دهند. با این حال، همه این سرورهای میزبانی امن نیستند. آنها اغلب میزبانی مشترک هستند و معمولا میزبان هزاران وب سایت دیگر هستند. داشتن چندین وب سایت با پهنای باند یکسان می تواند بر عملکرد یک وب سایت تأثیر بگذارد. همچنین وب سایت شما را در معرض خطرات امنیتی زیادی قرار می دهد.

به عنوان صاحب یک فروشگاه آنلاین، باید یک سرور امن برای میزبانی وب سایت خود داشته باشید. با یک سرویس میزبانی قوی تر، می توانید مطمئن باشید که وب سایت شما از حملات سمت سرور (مانند حملات DDoS) و سایر حملات احتمالی در امان است.

2. از آخرین نسخه اپن کارت استفاده کنید
استفاده از نرم افزارهای قدیمی و قدیمی راه مطمئنی برای هک شدن است. نسخه های جدید با ویژگی های پیشرفته و ایمن تر به همراه وصله های امنیتی منتشر می شوند. با نسخه جدیدتر، می توانید از ویژگی های امنیتی جدید اضافه شده برای محافظت از وب سایت خود و در نتیجه تقویت امنیت اپن کارت خود استفاده کنید. در زمان نوشتن این مطلب، آخرین نسخه اپن کارت – اپن کارت 3.0.3.2 است.

3. حذف پوشه نصب
پس از اتمام نصب، باید پوشه نصب را حذف کنید. اگر پوشه نصب همچنان موجود باشد، هر کسی می‌تواند به پوشه دسترسی داشته باشد و پس از راه‌اندازی مجدد نصب، می‌تواند وب‌سایت شما را بازنویسی کند.

بنابراین، برای محافظت از وب سایت خود، به «خرید» در سرویس گیرنده FTP خود بروید و سپس پوشه «Install» را حذف کنید.

اپن کارت همچنین به کاربران خود یادآوری می کند که اگر پوشه نصب پس از اتمام راه اندازی شناسایی شود، به عنوان راهی برای اطمینان از امنیت قوی اپن کارت.

4. محافظت از دایرکتوری مدیر
در طول نصب پیش فرض اپن کارت، پیشوند پیش فرض “oc_” است. بنابراین، شناسایی و حمله به وب سایت شما برای مهاجمان آسان تر می شود. برای محافظت از این موضوع، پیشوند را به چیزی آشنا تغییر دهید تا مهاجمان را از هر مسیری پرتاب کنید.

• شناسه و رمز عبور پیش فرض را تغییر دهید:
  پس از نصب اولیه، اعتبار پیش فرض باید تغییر کند. اگر تغییر نکند، مهاجم می‌تواند رمزهای عبور پیش‌فرض را حدس بزند و به همه فایل‌ها و پوشه‌های شما دسترسی داشته باشد. از ترکیبی از حروف و اعداد برای ایجاد یک رمز عبور قوی استفاده کنید.
• مکان پیش فرض دایرکتوری مدیر خود را تغییر دهید:
  در مورد نصب پیش‌فرض، هر کسی می‌تواند با استفاده از URL admin به فهرست مدیریت دسترسی پیدا کند. بنابراین، برای جلوگیری از دسترسی غیرمجاز به چنین فایل‌های مهمی، باید این URL مدیریت را به چیزی سفارشی‌تر تغییر دهید.
• استفاده از فایل htaccess. در پوشه مدیریت:
  بهتر است از اقدامات اضافی برای حفظ پوشه ها و فایل های مدیریت خود استفاده کنید. برای این کار باید از «.htaccess» استفاده کنید. با استفاده از این فایل می توانید دسترسی کاربران به چنین فایل های مهمی را محدود کنید و در نتیجه امنیت اپن کارت را تقویت کنید. این فایل را ویرایش کنید و بررسی های مناسب را ذکر کنید تا فقط کاربران خاصی به آن فایل ها و پوشه ها دسترسی داشته باشند.

5. مجوزهای فایل ها و پوشه ها را مدیریت کنید
برای محافظت از فایل‌ها و پوشه‌ها، باید برای آن پوشه‌ها مجوز تنظیم کنید. هنگام تنظیم مجوزها، باید دسته بندی های مختلف را درک کنید:

1. کاربران خواندنی فقط می‌توانند فایل‌های شما را ببینند و بخوانند
2. کاربران Write می توانند فایل های شما را ویرایش کنند
3. کاربران Execute می توانند آن فایل ها را اجرا کنند

همچنین، سه نوع کاربر وجود دارد که می توان به آنها مجوز داد:

1. کاربر-این مالک فایل است
2. گروه – این شامل گروهی از کاربران است. به عنوان مثال، گروهی از اعضای سایت
3. جهان – این شامل هر بازدید کننده ای می شود

6. فعال کردن SSL برای وب سایت و پنل مدیریت
معمولاً داده هایی که به عقب و جلو منتقل می شوند رمزگذاری نمی شوند. رمزگذاری ضروری است زیرا هر واسطه می تواند به داده های رمزگذاری نشده دسترسی پیدا کند. این می تواند به مخفی ماندن اطلاعات مهم مانند شناسه ایمیل یا نام کاربری، داده های مالی و غیره منجر شود.

با استفاده از SSL یا HTTPS، می توانید به طور موثر تمام داده های خود را رمزگذاری کنید و از جاسوسی هر کسی در آن جلوگیری کنید. اولین مکانی که باید از آن محافظت کنید پنل مدیریت شما است. اگر داده‌های پنل مدیریت شما رمزگذاری نشده باشد، مهاجمان می‌توانند به اعتبار ورود شما دسترسی پیدا کنند.

به Settings>>Server بروید. در آنجا گزینه “استفاده از SSL” را خواهید یافت. فقط دکمه رادیویی کنار Yes, Save را علامت بزنید. این همه است.

به عنوان صاحب فروشگاه، نمی خواهید اعتبار مشتریانتان به دست افراد نادرست بیفتد. بنابراین، این مرحله اساسی می تواند شما را از بسیاری از حملات و مهاجمان نجات دهد.

تنظیمات SSL در اپن کارت

7. فعال کردن تشخیص تقلب در اپن کارت
اپن کارت به شما امکان می دهد تقلب در فروشگاه آنلاین خود را شناسایی کنید. یک شرکت به نام MaxMind دارای سیستمی است که به شما این امکان را می دهد. این سرویس IP هایی را که از ویترین فروشگاه شما بازدید می کنند، تجزیه و تحلیل می کند و هرگونه تقلب بر اساس این IP ها را شناسایی می کند. برای فعال کردن این سرویس باید مشترک شوید.

به تنظیمات بروید. این گزینه را در زیر “عمومی” به عنوان “تقلب” خواهید یافت.

8. اپن کارت Security از طریق برنامه های افزودنی

1. نصب افزونه های معتبر:
   فقط آن دسته از برنامه‌های افزودنی را نصب کنید که توسط اپن کارت پشتیبانی می‌شوند و ترجیحاً از خود اپن کارت در دسترس هستند. نصب هر برنامه افزودنی شخص ثالث می تواند امنیت اپن کارت شما را به خطر بیندازد. افزونه های مورد اعتماد هیچ نقص امنیتی شناخته شده ای ندارند و به طور مداوم به روز می شوند تا از هک شدن در امان بمانند.
2. همه برنامه های افزودنی خود را به روز کنید:
   همه برنامه‌های افزودنی مورد اعتماد به‌طور مرتب با آخرین وصله‌های امنیتی و رفع اشکال‌های شناخته شده به‌روزرسانی می‌شوند. به روز نگه داشتن برنامه های افزودنی می تواند از وب سایت شما در برابر هرگونه حمله یا اشکال شناخته شده محافظت کند. مهاجمان می توانند به راحتی از یک برنامه افزودنی قدیمی با آسیب پذیری عبور کنند و در نتیجه امنیت اپن کارت شما را تضعیف کنند.
3. برنامه های افزودنی استفاده نشده یا از بین رفته را حذف نصب کنید:
   اگر به طور منظم از برنامه های افزودنی خاصی استفاده نمی کنید، حذف آنها گزینه بهتری است. از آنجایی که آنها به طور مداوم استفاده نمی شوند، ممکن است قدیمی شوند و یک تهدید امنیتی حیاتی اپن کارت باشند.

9. احراز هویت دو مرحله ای برای ورود به سیستم
ورود از طریق شناسه و رمز عبور منسوخ شده است. در عصر امروز، احراز هویت 2 عاملی امن‌تر از روش سنتی ورود به سیستم در نظر گرفته می‌شود. هکرهای بد می‌توانند به شناسه و رمز عبور شما دسترسی پیدا کنند و به راحتی می‌توانند کنترل حساب شما را در دست بگیرند. 2FA (2 Factor Authentication) قدرت کامل را از یک راه ورود به سیستم می گیرد.

در 2FA ابتدا باید از طریق شناسه و رمز عبور معمول خود وارد شوید، پس از آن یک کد منحصر به فرد به شماره موبایل شما ارسال می شود، با وارد کردن آن، به طور کامل وارد می شوید. در این صورت، حتی اگر مهاجمان رمز عبور شما را بدانند، نمی توانند رمز عبور شما را بدانند. بدون دریافت این کد منحصر به فرد در شماره تلفن خود وارد شوید. به عنوان یک مالک، مشتریان شما شایسته ایمن بودن هستند و بنابراین فعال کردن 2FA در وب سایت اپن کارت شما مهم است. با این کار می توانید به مشتریان خود کمک کنید تا در امان بمانند و همچنین هکرهای بد را دور نگه دارید

افزونه احراز هویت دو مرحله ای رایگان اپن کارت

10. استفاده از ReCAPTCHA برای احراز هویت کاربران
ReCAPTCHA به روشی بسیار برای تأیید اینکه آیا کاربران انسان هستند یا ربات های بد تبدیل شده است. ربات ها اغلب سعی می کنند در وب سایت ها بخزند و داده های مهمی مانند شناسه ایمیل و نام کاربری را جمع آوری کنند. آنها همچنین می توانند ترافیک وب سایت شما را افزایش دهند. برای جلوگیری از دسترسی ربات ها به وب سایت شما. اپن کارت افزونه ای برای دریافت ReCAPTCHA در وب سایت شما ارائه می دهد

11. محدود کردن انواع فایل های آپلود
با محدود کردن نوع فایل‌هایی که می‌توان در وب‌سایت خود آپلود کرد، می‌توانید از وب‌سایت خود در برابر آپلودهای غیرضروری محافظت کنید و همچنین از آپلود فایل‌های مضر توسط کاربران جلوگیری کنید. مهاجمان می توانند از فایل های آلوده استفاده کنند تا وب سایت شما را آسیب پذیر کنند و سپس حملاتی را انجام دهند.

شما می توانید از این موارد جلوگیری کنید:

• وارد پنل مدیریت خود شوید
• رفتن به ‘Systems’>>’Settings’
• در زیر برگه “Option”، “Allow upload file extensions” را خواهید دید.
• انواع فایل های قابل آپلود در وب سایت خود را تغییر دهید.

12. پیاده سازی فایروال ها
ربات ها و مهاجمان همیشه مراقب هستند و می توانند بدون هیچ هشداری حملاتی را انجام دهند. برای محافظت از فروشگاه آنلاین خود در برابر چنین تهدیداتی، باید یک فایروال قوی پیاده سازی کنید که از وب سایت شما در تمام ساعات شبانه روز محافظت کند. یک فایروال خوب تمام ربات های بد و هرگونه حمله هکرها را مسدود می کند.

13. ممیزی های امنیتی منظم
به عنوان مالک وب سایت، باید از نقص های امنیتی وب سایت خود آگاه باشید. درک این نقایص امنیتی اولین قدم برای یک سیستم امنیتی قوی در اطراف وب سایت شما است. بنابراین، انجام ممیزی امنیتی بیرون و خارج از وب سایت شما می تواند به شما در مورد وضعیت و استاندارد امنیت وب سایت خود اطلاع دهد.

شما می توانید از این ابزار برای انجام ممیزی امنیتی خودکار رایگان وب سایت خود استفاده کنید. اگر به دنبال یک نتیجه جامع تر هستید. این برنامه عمیق VAPT (با نام مستعار ممیزی امنیتی) توسط Astra را انتخاب کنید. این تصویر زیر فرآیند VAPT Astra را نشان می دهد.

14. بدافزار برای شناسایی تهدید اسکن می کند
بدافزار یک راه متداول برای مهاجمان برای آسیب پذیر کردن وب سایت شما است. از سرقت اطلاعات گرفته تا انتشار عفونت به کاربران، بدافزارها را می توان برای رسیدن به هر هدفی برنامه ریزی کرد. برای موثرتر کردن آنها، بدافزارها معمولاً طوری برنامه ریزی می شوند که پنهان بمانند و شناسایی آنها دشوار باشد.

اینجاست که اسکن بدافزارها به کمک شما می آید. یک اسکنر بدافزار موثر می تواند بدافزارهای پنهان را شناسایی کرده و آنها را حذف کند.

15. جریان پرداخت خود را بررسی کنید
بخش پرداخت یکی از مهم ترین بخش های فروشگاه اینترنتی است. افزونه های متعددی وجود دارد که با اپن کارت ادغام می شوند و قابلیت هایی را به این گزینه های پرداخت اضافه می کنند. با این حال، به دلیل این برنامه‌های افزودنی، ممکن است امنیت اپن کارت شما به خطر بیفتد. اگر از یک افزونه قدیمی استفاده می کنید، باید آنها را به روز کنید. اینها رایج ترین انواع هک پرداخت هستند:

• انجام خرید بدون پرداخت
• تغییر قیمت محصولات
• انتقال پرداخت ها به حساب های مهاجم

بررسی کنید که آیا همه گزینه ها و کانال های پرداخت شما خوب کار می کنند یا خیر. اطمینان حاصل کنید که هیچ مغایرت و تغییری در عملکرد اصلی این ماژول ها وجود ندارد

16. پشتیبان گیری از فایل ها و داده ها
داشتن یک نسخه پشتیبان از وب سایت شما همیشه ایده خوبی است. در صورتی که مهاجمان تصمیم به حذف فایل های مهم از وب سایت شما داشته باشند، شما یک نسخه پشتیبان برای بازیابی آن فایل ها و بازگرداندن وب سایت خود به صورت آنلاین خواهید داشت. هر زمان که وب سایت اپن کارت خود را راه اندازی می کنید، همیشه از فایل های لازم نسخه پشتیبان تهیه کنید. اپن کارت گزینه ای برای انجام این کار در اختیار شما قرار می دهد.

پس از ورود به حساب کاربری خود، در قسمت «تنظیمات»، «تعمیر و نگهداری» و سپس «پشتیبان گیری/بازیابی» را پیدا خواهید کرد. در این گزینه، شما می توانید تمام جدول هایی را که باید پشتیبان بگیرید انتخاب کنید. آن جداول به‌عنوان SQL ذخیره می‌شوند هر زمان که نیاز به بازیابی فایل‌های پشتیبان داشتید، به برگه «بازیابی» بروید و فایل SQL را آپلود کنید. تهیه نسخه پشتیبان از فایل های خود یک مرحله اضافی برای اطمینان از امنیت قوی اپن کارت است.

جمع بندی 

با مطالعه کامل مقال آموزش افزایش امنیت اپن کارت و انجام مراحل فوق قطعاً شما را در برابر تهدیدات رایج و نه چندان رایج ، وب سایت شما را محافظت می کند. همچنین، معیار امنیتی اپن کارت مناسب از سرقت، سوء استفاده یا دستکاری اطلاعات مشتری شما جلوگیری می کند. به عنوان صاحب فروشگاه آنلاین، باید شبانه روز مراقب باشید.