العودة إلى المدونة
2026-06-29Sécurité
تدقيق أمان Magento 2: 15 نقطة يجب التحقق منها في 2026
لماذا يعتبر تدقيق الأمان ضرورياً
في 2026، الهجمات على مواقع التجارة الإلكترونية أصبحت أكثر تطوراً من أي وقت مضى. يبقى Adobe Commerce/Magento 2 هدفاً رئيسياً للقراصنة بسبب شعبيته والبيانات الحساسة التي يتعامل معها.
تدقيق الأمان المنتظم ليس خياراً — بل ضرورة. إليك 15 نقطة يجب التحقق منها دون إخفاق.
1. الإصدارات وتصحيحات الأمان
تأكد من أن نسخة Magento 2 الخاصة بك تستخدم أحدث إصدار متاح. ينشر Adobe تصحيحات أمان منتظمة:
- راجع نشرة أمان Adobe
- طبّق التصحيحات في غضون 48 ساعة من إصدارها
- أتمتة التحديثات باستخدام Composer
2. تكوين وصول المسؤول
- فعّل المصادقة الثنائية (2FA)
- استخدم كلمات مرور قوية ومدير كلمات مرور
- حدّد عدد محاولات تسجيل الدخول
- غيّر رابط الإدارة الافتراضي
3. صلاحيات الملفات والمجلدات
الصلاحيات غير الصحيحة هي باب مفتوح للمهاجمين:
- الملفات: 644
- المجلدات: 755
- app/etc/env.php يجب ألا يكون متاحاً للعموم أبداً
4. أمان قاعدة البيانات
- غيّر بادئة الجدول الافتراضية
- استخدم كلمات مرور قوية للوصول إلى SQL
- حدّد عناوين IP المصرح لها بالاتصال بقاعدة البيانات
5. تكوين Redis و Varnish
- وثّق الوصول إلى Redis
- حدّد عناوين IP المصرح بها لـ Varnish
- استخدم TLS لاتصالات التخزين المؤقت
6. الحماية من هجمات XSS و CSRF
Magento 2 يتضمن حماية أصلية، لكن تحقق من:
- أن مدقّقات XSS نشطة
- أن رموز CSRF تُنشأ لجميع النماذج
- أن وحداتك المخصصة تحترم هذه الآليات
7. أمان المدفوعات
- تحقق من أن وحدات الدفع تستخدم PCI DSS
- فعّل 3D Secure (SCA) للمدفوعات بالبطاقة
- لا تخزن أبداً بيانات بطاقة الائتمان على خادمك
8. API الويب و GraphQL
API هي نواقل هجوم شائعة:
- حدّد الوصول إلى API بواسطة مفتاح التكامل
- فعّل تحديد المعدل
- تحقق من جميع مدخلات GraphQL
9. السجلات والمراقبة
- فعّل تسجيل محاولات تسجيل الدخول الفاشلة
- استخدم New Relic أو ما يعادله لكشف الحالات الشاذة
- احتفظ بالسجلات لمدة 90 يوماً على الأقل
10. شهادة TLS/SSL
- تحقق من أن شهادتك صالحة ومحدثة
- استخدم TLS 1.3 كحد أدنى
- أعد توجيه كل حركة المرور HTTP إلى HTTPS
11. كابتشا وحماية ضد البوتات
Magento 2 يتضمن Google reCAPTCHA v3. تأكد من أنه:
- مفعّل على نماذج تسجيل الدخول
- مفعّل على نماذج التسجيل
- مفعّل على نموذج كلمة المرور المنسية
12. النسخ الاحتياطي وخطة الاسترداد
- انسخ الملفات وقاعدة البيانات يومياً احتياطياً
- خزّن النسخ الاحتياطية خارج الموقع (S3، إلخ)
- اختبر الاستعادة مرة واحدة على الأقل كل ثلاثة أشهر
13. حسابات المستخدمين غير النشطة
- دقّق حسابات المسؤول كل شهر
- أزل أو عطّل الحسابات غير النشطة
- تحقق من أذونات حسابات تكامل API
14. سياسة أمان المحتوى (CSP)
- طبّق CSP صارم لمنع هجمات XSS
- اختبر في وضع التقرير قبل تطبيق وضع المنع
- استخدم وحدة CSP في Magento 2
15. فحص الثغرات الخارجي
- استخدم ماسح ثغرات (Sucuri, Qualys)
- أجرِ اختبارات اختراق سنوية
- تابع CVE (الثغرات والتعرضات الشائعة)
أمان متجرك هو عملية مستمرة. أقوم بإجراء تدقيقات أمان شاملة لـ Magento 2 و Adobe Commerce. اتصل بي لتأمين موقعك.
يمكنني مساعدتك.
دعنا نناقش مشروعك.