العودة إلى المدونة
2026-06-29Sécurité

تدقيق أمان Magento 2: 15 نقطة يجب التحقق منها في 2026


لماذا يعتبر تدقيق الأمان ضرورياً


في 2026، الهجمات على مواقع التجارة الإلكترونية أصبحت أكثر تطوراً من أي وقت مضى. يبقى Adobe Commerce/Magento 2 هدفاً رئيسياً للقراصنة بسبب شعبيته والبيانات الحساسة التي يتعامل معها.


تدقيق الأمان المنتظم ليس خياراً — بل ضرورة. إليك 15 نقطة يجب التحقق منها دون إخفاق.


1. الإصدارات وتصحيحات الأمان


تأكد من أن نسخة Magento 2 الخاصة بك تستخدم أحدث إصدار متاح. ينشر Adobe تصحيحات أمان منتظمة:


  • راجع نشرة أمان Adobe
  • طبّق التصحيحات في غضون 48 ساعة من إصدارها
  • أتمتة التحديثات باستخدام Composer

2. تكوين وصول المسؤول


  • فعّل المصادقة الثنائية (2FA)
  • استخدم كلمات مرور قوية ومدير كلمات مرور
  • حدّد عدد محاولات تسجيل الدخول
  • غيّر رابط الإدارة الافتراضي

3. صلاحيات الملفات والمجلدات


الصلاحيات غير الصحيحة هي باب مفتوح للمهاجمين:


  • الملفات: 644
  • المجلدات: 755
  • app/etc/env.php يجب ألا يكون متاحاً للعموم أبداً

4. أمان قاعدة البيانات


  • غيّر بادئة الجدول الافتراضية
  • استخدم كلمات مرور قوية للوصول إلى SQL
  • حدّد عناوين IP المصرح لها بالاتصال بقاعدة البيانات

5. تكوين Redis و Varnish


  • وثّق الوصول إلى Redis
  • حدّد عناوين IP المصرح بها لـ Varnish
  • استخدم TLS لاتصالات التخزين المؤقت

6. الحماية من هجمات XSS و CSRF


Magento 2 يتضمن حماية أصلية، لكن تحقق من:


  • أن مدقّقات XSS نشطة
  • أن رموز CSRF تُنشأ لجميع النماذج
  • أن وحداتك المخصصة تحترم هذه الآليات

7. أمان المدفوعات


  • تحقق من أن وحدات الدفع تستخدم PCI DSS
  • فعّل 3D Secure (SCA) للمدفوعات بالبطاقة
  • لا تخزن أبداً بيانات بطاقة الائتمان على خادمك

8. API الويب و GraphQL


API هي نواقل هجوم شائعة:


  • حدّد الوصول إلى API بواسطة مفتاح التكامل
  • فعّل تحديد المعدل
  • تحقق من جميع مدخلات GraphQL

9. السجلات والمراقبة


  • فعّل تسجيل محاولات تسجيل الدخول الفاشلة
  • استخدم New Relic أو ما يعادله لكشف الحالات الشاذة
  • احتفظ بالسجلات لمدة 90 يوماً على الأقل

10. شهادة TLS/SSL


  • تحقق من أن شهادتك صالحة ومحدثة
  • استخدم TLS 1.3 كحد أدنى
  • أعد توجيه كل حركة المرور HTTP إلى HTTPS

11. كابتشا وحماية ضد البوتات


Magento 2 يتضمن Google reCAPTCHA v3. تأكد من أنه:


  • مفعّل على نماذج تسجيل الدخول
  • مفعّل على نماذج التسجيل
  • مفعّل على نموذج كلمة المرور المنسية

12. النسخ الاحتياطي وخطة الاسترداد


  • انسخ الملفات وقاعدة البيانات يومياً احتياطياً
  • خزّن النسخ الاحتياطية خارج الموقع (S3، إلخ)
  • اختبر الاستعادة مرة واحدة على الأقل كل ثلاثة أشهر

13. حسابات المستخدمين غير النشطة


  • دقّق حسابات المسؤول كل شهر
  • أزل أو عطّل الحسابات غير النشطة
  • تحقق من أذونات حسابات تكامل API

14. سياسة أمان المحتوى (CSP)


  • طبّق CSP صارم لمنع هجمات XSS
  • اختبر في وضع التقرير قبل تطبيق وضع المنع
  • استخدم وحدة CSP في Magento 2

15. فحص الثغرات الخارجي


  • استخدم ماسح ثغرات (Sucuri, Qualys)
  • أجرِ اختبارات اختراق سنوية
  • تابع CVE (الثغرات والتعرضات الشائعة)

أمان متجرك هو عملية مستمرة. أقوم بإجراء تدقيقات أمان شاملة لـ Magento 2 و Adobe Commerce. اتصل بي لتأمين موقعك.

يمكنني مساعدتك.

دعنا نناقش مشروعك.