تأمين الموقع الإلكتروني يعد من أهم النقاط التي يجب أن يهتم بها أصحاب المواقع الإلكتروني وترتفع تلك الأهمية إلى الضعف أو أكثر في المتاجر الإلكتروني، وذلك لأن المتاجر الإلكترونية تضم كافة بيانات العملاء من تفاصيل الحساب البنكي أو البطاقة المصرفية وكذلك الاسم والعنوان وغير ذلك.

والأمر يرتبط أيضًا بثقة العملاء بالمتجر الإلكتروني خصوصًا على المدى البعيد وذلك لأن إذا تعرض المتجر الإلكتروني لأي نوع من أنواع سرقة المعلومات أو غير ذلك سيكون من الصعب إعادة كسب الثقة مرة أخرى.

لذلك خلال مقال اليوم سنتحدث عن أهم ثغرات المتاجر الإلكترونية التي تظهر من بوابات الدفع وإضافات الطرف الثالث وغير ذلك وسنوضح لكم كيفية تأمين وحماية بيانات العملاء في متجرك الإلكتروني بشكل كافي، ولكن بداية الأمر دعنا نتعرف أكثر عن أهمية تأمين بيانات العملاء على المتجر الإلكتروني، فتابع القراءة معنا.

أهمية تأمين بيانات العملاء في متجرك الإلكتروني

كما ذكرنا في المقدمة أن تأمين المتجر الإلكتروني بشكل كامل يعد من أهم الخطوات التقنية التي يجب أن تهتم بها وذلك لأنها تؤثر على المتجر الإلكتروني بشكل مباشر وكذلك على العملاء أيضًا، وأهم أسباب تأمين المتجر الإلكتروني هو الآتي:

• حماية المتجر الإلكتروني: إنشاء متجر إلكتروني جديد وضبط كافة الإعدادات الرئيسية ورفع المنتجات وتجهيز بوابات الدفع ووسائل الشحن والعلامة التجارية بشكل كامل يحتاج إلى تخصيص وقت ليس بقليل وكذلك قدر كبير من المجهود بالإضافة إلى التكاليف المالية، وعند تعرض المتجر الإلكتروني للاختراق فأنك قد تخسر المجهود والوقت والتكلفة التي تم استثمارها في الخطوات السابقة وتخسر مشروعك الإلكتروني وتحتاج للبدء من البداية.
• موثوقية العلامة التجارية: إذا تعرض المتجر الإلكتروني للإختراق يمكن معالجة تلك المشكلة إذا كنت تعتمد على تدابير أمنية جيدة على سبيل المثال النسخ الإحتياطي أو غير ذلك ثم تقوم باسترجاع المتجر الإلكتروني، ولكن بعد ذلك ستجد أن العملاء التي كانت تثق في المتجر الإلكتروني قد فقدت تلك الموثوقية تمامًا وستحتاج إلى وقت ومجهود كبير من أجل إعادة كسب الثقة وتوجد مئات الأمثلة العالمية التي أعلنت إنهاء نشاطها التجاري بسبب فقد ثقة العملاء بها.
• الحفاظ على بيانات العملاء: قد تتقبل الخسارة السابقة وتبدأ في تأسيس نشاط تجاري من البداية تمامًا بالرغم من صعوبة الأمر ولكن الأمر ليس مرتبط بك فقط بل مرتبط أيضًا بعملاء المتجر الإلكتروني الذين قاموا بكتابة بياناتهم الشخصية على سبيل المثال الاسم والعنوان ورقم الهاتف بالإضافة إلى البطاقة المصرفية وغير ذلك، لذلك ستجد أن الخسائر وصلت أيضًا لبعض عملاء متجرك الإلكتروني وستكون المسئولية عليك بالتأكيد أيضًا.
• المسائلة القانونية والمالية: إذا تعرض العملاء بالفعل إلى خسائر بسبب اختراق متجرك الإلكتروني سيكون لديهم الحق في المطالبة القانونية بالتعويضات القضائية والمالية الكافية لهم وسيكون لديهم كامل الحق في هذا الأمر بالتأكيد، وهذا قد يزيد الخسائر عليك أيضًا.
• خسارة نتائج محركات البحث: إذا تعرض المتجر الإلكتروني للاختراق فإن أول العناصر التي تتأثر بهذا الأمر هو محركات البحث مباشرًا، حيث يمكن أن تتدارك الأمر سريعًا قبل أن تخسر المتجر الإلكتروني أو بيانات العملاء ولكن ستتفاجئ أنك قد خسرت أغلب نتائج محركات البحث وستحتاج إلى خطة تحسين محركات بحث كاملة من أجل العودة بالنتائج الأولى مرة أخرى.

ومن خلال النقاط السابقة ستلاحظ أن اختراق المتجر الإلكتروني سيسبب لك خسائر فادحة على المستوى الشخصي أو القضائي وكذلك على مستوى عملاء المتجر الإلكتروني.

لذلك يجب عليك تأمين المتجر الإلكتروني لأقصى درجة ممكنة، وخلال الفقرات التالية سنوضح لكم أهم الثغرات التي يعُتمد عليها في اختراق المتجر الإلكتروني وكيفية تأمين المتجر الإلكتروني وبيانات العملاء بشكل كامل، فتابع القراءة معنا.

خطوات تأمين بيانات العملاء في متجرك الإلكتروني

توجد بعض التدابير الأمنية التي يجب أن تحافظ عليها لتأمين بيانات العملاء والأمر مرتبط أيضًا بتأمين المتجر الإلكتروني بشكل عام، لذلك سنقدم لكم في النقاط التالية أهم التدابير الأمنية التي يجب أن تراعيها للحصول على مستوى متقدم من الأمان على متجرك الإلكتروني. 

1- الاعتماد على شركة استضافة ذات معايير حماية قوية

كافة ملفات المتجر الإلكتروني وقواعد البيانات يتم رفعها وتخزينها على خادم شركة الاستضافة ويتم نقل البيانات من خلاله إلى خادم متصفح الويب، لذلك يجب الاعتماد على شركة استضافة توفر خوادم ذات معايير حماية قوية.

بداية الأمر يجب أن تراجع مدى قوة جدار الحماية على خادم شركة الاستضافة ودوره في فحص وإيقاف حركات المرور الغير مرغوب فيها أو ذات معدل الخطورة العالي على متجرك الإلكتروني ويساعد على التصدي إلى كافة هجمات الإختراق وهجمات DDoS وغير ذلك.

كما يجب أن توفر أدوات أمنية تعمل على فحص الخادم بشكل دوري بحثًا على الملفات الضارة ويتم إرسال إشعار بتلك الملفات الضارة أو التعامل معها بشكل تلقائي ويكون ذلك الأمر بتكلفة إضافية ليست مرتفعة في أغلب الأمر.

 وكذلك يجب أن يكون لشركة الاستضافة أدوات أمنية تساعد على عزل المواقع التي تشترك على نفس الخادم وذلك لعدم انتقال الملفات الضارة من موقع إلى أخر.

وبالتأكيد يجب مراجعة جودة الدعم الفني حيث يجب أن توفر شركة الاستضافة دعم فني متاح 24 ساعة على مدار العام وتوفير أكثر من طريقة تواصل للعملاء على سبيل المثال الدردشة المباشرة وذلك لسرعة التواصل مع الدعم الفني عند حدوث أي مشكلة أمنية على المتجر الإلكتروني.

 ويمكنك مراجعة مقال استضافة المواقع وأنواعها ومعايير اختيار خطة الاستضافة الملائمة كدليل شامل يساعدك على اختيار الاستضافة الأنسب لمتجرك الإلكتروني.

2- تثبت شهادة SSL 

شهادة Secure Socket Layer والمعروفة باختصار SSL تعد من أهم التدابير الأمنية بالنسبة للمواقع الإلكترونية بشكل عام والمتاجر الإلكترونية بشكل خاص حيث تعمل على تشفير البيانات التي يتم نقلها من خادم الويب إلى خادم شركة الاستضافة.

وبالتالي تكون كافة بيانات العملاء من الاسم والبريد الإلكتروني ورقم الهاتف والعنوان والبيانات المصرفية وغير ذلك مؤمنة ومشفرة بشكل كامل خلال انتقالها إلى خادم شركة الاستضافة.

والجدير بالذكر أن أغلب متصفحات الويب الرئيسية على سبيل المثال متصفح Google Chrome أو متصفح FireFox أو غير ذلك تقوم بتصنيف المتاجر الإلكتروني بأنها غير أمنة وتظهر إشعار للعميل إذا كان غير مثبت عليها شهادة SSL.

كما أن تكلفة شهادة SSL ليست مرتفع بل ستجد أن أغلب شركات الاستضافة الرئيسية تقدم تلك الشهادة بشكل مجاني مع كافة خطط الاستضافة المختلفة.

ويمكنك مراجعة مقال شهادة SSL وطريقة عملها وأفضل مزوديها وكيفية استخدامها في الووردبريس كدليل شامل يساعدك على التعرف على شهادة SSL وطريقة الحصول عليها وتنصيبها على موقعك الإلكتروني بشكل تفصيلي.

3- تحسين نظام الووردبريس وإصدار PHP

نظام الووردبريس هو نظام إدارة محتوى مفتوح المصدر وهذا يعني أن الكود البرمجي متاح للوصول إليه بشكل مجاني مما يجعل المخترقين في عملية بحث دائمة للوصول إلى ثغرات النظام الأمنية التي يستطيعون الاعتماد عليها في اختراق المواقع الإلكتروني.

 لذلك ستجد أن شركة Automattic المسئولة عن تطوير وتأمين نظام الووردبريس تقوم باصدار تحديثات بشكل دوري تساعد على غلق جميع الثغرات الأمنية السابقة وتطوير حماية النظام وحل المشاكل الشائعة.

لذلك يجب مراعاة تحديث نظام الووردبريس بشكل دوري وستجد أن أغلب شركات الاستضافة تقوم بتوفير خيار تحديث تلقائي لنظام الووردبريس فيمكنك الاعتماد عليه بشكل مباشر أو التحديث يدويًا أو الاستعانة بالدعم الفني الخاص بشركة الاستضافة أيضًا.

ويمكنك مراجعة مقال كيفية تحديث موقع الووردبرس بأمانٍ دون حدوث أية مشاكل بالموقع من أجل التعرف بشكل تفصيلي على طريق تحديث إصدار الووردبريس على متجرك الإلكتروني

ونفس الأمر ينطبق على إصدار PHP حيث أن لغة PHP هي اللغة البرمجية التي يعتمد عليها نظام الووردبريس ويتم تطوير تلك اللغة بشكل دوري أيضًا مثلها مثل لغات البرمجة الأخرى.

 وأهم النقاط المميزة في إصدارات PHP الأحدث هو تحسين الثغرات الأمنية وتأمين قواعد البيانات وستجد أن شركة Automattic توصى مؤخرًا بالاعتماد على إصدار PHP 7.4 كحد أدني.

ويمكنك أيضًا تحديث إصدار PHP بشكل يدوي من داخل لوحة تحكم الاستضافة أو بالاعتماد على الدعم الفني مباشرًا وهذا الخيار الأفضل ويجب مراعاة دائمًا تجهيز نسخة احتياطية من المتجر الإلكتروني قبل تحديث إصدار PHP.

ويمكنك مراجعة مقال كيفية تحديث PHP لموقعك الووردبريس وأهمية ذلك من أجل التعرف على طريقة تحديث اصدار PHP على متجرك الإلكتروني.

4- ضبط سياسة كلمات مرور قوية على المتجر الإلكتروني

اختراق حساب العملاء على موقعك الإلكتروني لا يشترط أن يكون بسبب وجود ثغرات أمنية في نظام تأمين متجرك الإلكتروني نفسه، ولكن يمكن أن تكون بسبب ضعف كلمة المرور التي يعتمد عليها العملاء وبالتالي تكون سهلة التنبؤ.

وبالفعل يوجد نوع من أنواع الهجوم على المتاجر الإلكترونية يعرف باسم هجوم القوة العمياء والذي يعتمد على الحصول على اسم المستخدم من مشاركة العملاء على المتجر الإلكتروني ثم يتم تخمين كلمات المرور طبقًا لقوائم ضخمة من كلمات المرور المتعارف عليها حتى يتم الوصول إلى كلمة المرور الصحية، وعند الدخول إلى حساب العميل يستطيع الحصول على كافة بياناته الشخصية والبنكية الهامة.

وبالفعل يمتلك نظام الووردبريس نظام جيد في تعيين كلمة مرور الحسابات الجديدة ولكن بمميزات محدودة لذلك يجب تحسين هذا النظام لتوليد كلمات مرور أكثر قوة وأمانًا على موقعك الإلكتروني ويفضل أن تكون كالآتي:

• أن يتم توليد كلمات مرور قوية لكل حساب بشكل منفصل تلقائيًا.
• يجب أن تكون كلمات المرور طويلة على الأقل 8 حروف وأرقام وكلما كانت أطول كلما كان أفضل.
• يجب أن تكون كلمات المرور مزيجيًا بين الحروف الكبيرة والحروف الصغيرة والأرقام والرموز بعنصر على الأقل من كل قسم.
• لا يجب أن تكون حروف أو أرقام كلمة المرور متتالية أو ذات تسلسل مرتبط.

ويوفر نظام الووردبريس أغلب تلك التدابير ولكن ليست بالشكل الكافي خصوصًا في حالة إعادة ضبط كلمة المرور لذلك يجب تطوير تلك التدابير بواسطة التعديل على الكود البرمجي لمتجرك الإلكتروني أو بالاعتماد على إضافة Password Policy Manager | Password Manager المجانية إذا كنت تعتمد على نظام الووردبريس.

5- تمكين خيار المصادقة الثنائية 2FA على متجرك الإلكتروني

خيار المصادقة الثنائية والمعروف باختصار 2FA يعد من تدابير الأمان الهامة أيضًا على المتاجر الإلكتروني لمنع الوصول الغير مصرح لحسابات العملاء على المتجر الإلكتروني.

على سبيل المثال إذا تم اختراق البريد الإلكتروني لأحد العملاء يستطيع بسهولة الاعتماد على خيار إعادة ضبط كلمة المرور وضبط كلمة مرور جديدة للحساب والدخول إلى المتجر الإلكتروني ولكن هذا الأمر يكون أصعب في حالة ربط خيار المصادقة الثنائية بالتسجيل حتى إذا استغرق الأمر من العميل وقت أكبر لتسجيل الدخول ولكن ذلك بهدف تأمين الطرفين.

وتوجد العديد من الخيارات التي يمكن أن تعتمد عليها في المصادقة الثنائية سواء عن طريق البريد الإلكتروني أو رسالة نصية على الهاتف المحمول أو تطبيق على الهاتف المحمول وغير ذلك.

ويمكنك الاعتماد على إضافة Jetpack في تفعيل تلك الخاصية والتحكم بها بشكل مجاني أو الاعتماد على إضافة iThemes Security Pro للتحكم في خاصية المصادقة الثنائية بشكل متقدم.

6- الاعتماد على بوابات دفع موثوقة 

بوابات الدفع تعد من أهم الثغرات الأمنية التي يلجأ إليها المخترقين من أجل الحصول على بيانات العملاء خصوصًا أنها تتعامل مع بيانات الدفع والحسابات والبطاقات البنكية بشكل مباشر.

لذلك يجب عليك اختيار بوابة دفع تمتلك معايير أمان متقدمة على سبيل المثال حاصة على شهادة PC LEVEL 1 والتي تعد أعلى شهادة إلكترونية لأمان المدفوعات المالية وتخضع أيضًا لمراقبة هيئة السلوك المالية في المملكة المتحدة البريطانية FCA وهيئة مراقبة المدفوعات المالية FinCEN في الولايات المتحدة الأمريكية.

كما يجب أن تصل درجة تشفير البيانات على بوابة الدفع إلى 128 بت كحد أدني بواسطة محرك Verisign وتقوم بفحص المدفوعات بشكل تلقائي عن طريق جدار حماية متقدم يعمل على إيقاف المدفوعات ذات معدل الخطورة المرتفع وغير ذلك.

وبالفعل ستجد العديد من بوابات الدفع والبنوك الإلكترونية التي تتوافق مع كافة معايير الأمان السابقة على سبيل المثال بنك باي بال Paypal أو بنك Skrill أو بوابة الدفع 2Checkout وغيرهم الكثير.

كما يجب أن تقوم بإزالة خيار تخزين بيانات الدفع تمامًا من بوابة الدفع حتى لا يستطيع المخترق الوصول إلى تلك البيانات في أسوأ الأحوال عند اختراق بيانات المتجر الإلكتروني.

ويفضل أيضًا أن تعتمد على بوابات الدفع الخارجية والتي يتم إتمام عملية الدفع من خلالها خارج الموقع الإلكتروني بالرغم من عدم تفضيل العملاء لتلك الطريقة في إتمام الدفع ولكن في تلك الحالة ستتم عملية الدفع بالكامل من خلال خادم بوابة الدفع المؤمن وبالتالي لن يتعرض العميل لخطر تمامًا في حالة اختراق متجرك الإلكتروني.

والنقطة الأخير يجب الاعتماد على إضافات بوابات الدفع الرسمية على سبيل المثال عند البحث عن إضافة Paypal على الووردبريس ستجد عشرات الإضافات المختلفة التي توفر الربط بين المتجر الإلكتروني وبنك باي بال ولكن دائمًا قم بالاعتماد على الإضافة الرسمية ويفضل الحصول عليها مباشرًا أيضًا من الموقع الرسمي لبوابة الدفع حتى تتأكد أنها مؤمنة بشكل كامل.

ويمكنك مراجعة مقال أهم بوابات الدفع على متاجر ووكومرس مع طريقة تفعيلها خطوة بخطوة

7- عدم الاعتماد على أدوات الطرف الثالث الغير رسمية

يحتاج أصحاب المتاجر الإلكتروني إلى أدوات الطرف الثالث من أجل تقديم خدمة محددة بشكل سريع على سبيل المثال الربط من شركات الشحن أو سحب بيانات العملاء أو سحب أو رفع المنتجات على المتجر الإلكتروني وغير ذلك.

كافة تلك الأدوات تكون غير رسمية وهي محاولة من المبرمجين لتوفير تلك الخاصية لأصحاب المتاجر الإلكترونية، وقد تكون مؤمنة بالفعل ولكن الكود البرمجي لها ضعيف يسهل على المخترقين الوصول إلى ثغرات أمنية بداخلة، أو يمكن أن يكون الكود البرمجي به بالفعل ملفات ضارة على متجرك الإلكتروني.

لذلك يفضل عدم الاعتماد على أدوات الطرف الثالث الغير رسمية على متجرك الإلكتروني ولكن يمكن أن تعتمد على الإضافات الرسمية من الموقع الرسمي للخدمة ويجب أن تقوم بمراجعة تقييمات الإضافة ومستوى الأمان الخاص بها قبل التنصيب على متجرك الإلكتروني.

8- تثبيت جدار حماية متقدم على متجرك الإلكتروني

يواجه المتجر الإلكتروني العديد من الهجمات الغير مباشرة على هيئة طلبات خفية للمتجر الإلكتروني والتي تؤدي إلى الوصول إلى بيانات العملاء والتعامل معها بشكل غير أخلاقي وإحدى أشهر تلك الهجمات هي Credit card skimming.

وهجمات Credit card skimming هي عبارة عن أكواد برمجية يتم تضمينها في طلبات شراء أو قوالب أو إضافات أو صور منتجات أو غير ذلك، وبعد ذلك تذهب تلك الملفات إلى بوابة الدفع وتقوم بنسخ كافة بيانات البطاقة المصرفية وإرسالها إلى طرف خارجي، وتم تصميم تلك الهجمات من أجل مهاجمة متاجر Magento ولكن تطورت حتى أصبح تضم أغلب المنصات الرئيسية كمنصة WooCommerce أو منصة PrestaShop

وتوجد العديد من الهجمات الأخرى التي تستهدف بوابات الدفع أو بيانات العملاء فقط دون أن تشعر به بداخل المتجر الإلكتروني لذلك يجب بداية الأمر أن تقوم بتثبت جدار حماية تطبيق الويب (WAF) والذي يعمل على منع تضمين SQL داخل ملفات الموقع الإلكتروني وكذلك تحليل كافة الحركات على متجرك الإلكتروني وإيقاف الحركات ذات نسبة الخطورة المرتفعة تلقائيًا وتوجد العديد من الخيارات التي يمكن أن تعتمد عليها على سبيل المثال Cloudflare WAF أو Nexcess ModSecurity.

كما يجب تثبيت جدار حماية داخلي على المتجر الإلكتروني Firewall والذي يعمل أيضًا على فرز كافة الحركات على المتجر الإلكتروني وفحص كافة ملفات الموقع بحثًا عن الملفات الضارة والتخلص منها بشكل تلقائي وكذلك توجد العديد من الخيارات التي يمكن أن تعتمد عليها على سبيل المثال إضافة MalCare Security Solution أو إضافة Sucuri Security أو إضافة Wordfence وغير ذلك الكثير.

ويمكنك مراجعة مقال تعرف على مفهوم جدار الحماية وأهميته لموقعك الووردبريس للتعرف على جدار الحماية بشكل أكثر تفصيلًا وأفضل الإضافات وطريقة التنصيب على موقعك الووردبريس.