إعداد أدوار المستخدمين وأهم إجراءات الأمان لنظام ماجنتو 2 – ماجنتو

220

[ad_1]

بعد أن تعرفنا في الدروس السابقة على كيفية إعداد المتجر الإلكتروني القائم على نظام ماجنتو من الناحية الأمنية، سنواصل في هذا الدرس مع كيفية إعداد أدوار المستخدمين وكيفية إعداد أهم إجراءات الأمان لنظام ماجنتو.

إعداد أدوار المستخدمين

يستخدم Magento الأدوار والأذونات لإنشاء مستويات مختلفة من الوصول إلى الواجهة الخلفية للنظام، فعندما تبني متجرك لأول مرة تتلقى مجموعة من بيانات اعتماد تسجيل الدخول لدور المسؤول الذي يحتوي على أذونات كاملة، ومع ذلك يمكنك تقييد مستوى الأذونات على أساس “الحاجة إلى المعرفة” للأشخاص الآخرين الذين يعملون على موقعك.

فعلى سبيل المثال: يمكنك منح المسؤول عن المبيعات حق الوصول إلى أدوات وتقارير المبيعات فقط، وليس إلى المناطق التي تحتوي على إعدادات النظام، كما يمكنك تقييد الوصول إلى موقع معين فقط أو مجموعة من المواقع والبيانات المرتبطة بها، إذا كان لديك العديد من العلامات التجارية على نفس تثبيت ماجنتو.

فإذا كان وصول المستخدم الإداري مقيدًا على مواقع ويب و/ أو متاجر معينة، فإن مواقع الويب والمتاجر التي لم تُصرح له باستخدامها إما لن تكون مرئية له، أو تصبح غير نشطة وتُعرض له البيانات الأخرى الخاصة بالمواقع والمتاجر المسموح له بها فقط.

1. إضافة المستخدمين

لنفترض أننا نريد إنشاء حساب لمسؤول المبيعات بالمتجر تكون صلاحياته الوصول إلى لوحة التحكم ومنها يُعرض له قائمة المبيعات فقط، أيضًا يكون له حق الوصول إلى حسابه لتعديل بياناته أو كلمة مروره، ولتنفيذ ذلك اتبع الخطوات التالية:

أولًا، انتقل إلى القائمة الجانبية “النظام”، ثم اختر منها “جميع المستخدمين”.*

كيفية إضافة المستخدمين في المتاجر الإلكترونية المبنية بنظام ماجنتو

ومن النافذة التي ستظهر انقر على زر “أضف مستخدم جديد” الموجود أعلى يمين النافذة.

إضافة مستخدم جديد في ماجنتو

ثانيًا، من النافذة التي ستظهر أكتب بيانات المستخدم الجديد، وتأكد من إدخال عنوان بريد إلكتروني صالح حتى يستلم روابط إعادة تعيين كلمة المرور عليه في حالة نسيانها، وأيضًا يجب أن يكون عنوان البريد غير مستخدم سابقًا على النظام، وتأكد من أن الحقل “هذا الحساب” محدد على “فعال”، كما يمكنك تحديد وقت انتهاء صلاحية الحساب ولن يتمكن المستخدم من تسجيل الدخول على النظام بعد هذا التاريخ، وبعد الانتهاء من تسجيل هذه البيانات أدخل كلمة مرور المسؤول الخاصة بك ثم انقر على زر “حفظ المستخدم”.

051 - أدوار المستخدمين 3.png

سوف يُضاف الحساب الجديد إلى قائمة المستخدمين وسيصلك بريد إلكتروني يخبرك بإنشاء بذلك، لكن إن حاولت تسجيل الدخول به سيرفض النظام وذلك بسبب أننا لم نضف دور لهذا الحساب

052 - أدوار المستخدمين 4.png

ثالثًا، انقر على الحساب للدخول إلى صفحة بيانات الحساب مرةً أخرى، ومن القائمة الجانبية انقر على “دور المستخدم”.

053 - أدوار المستخدمين 5.png

قد لا تجد سوى دور المسؤول فقط، وفي هذه الحالة نحن بحاجة إلى إنشاء دور لمستخدم المبيعات يحتوي على الصلاحيات التي حددناها له.

2. إضافة الأدوار

لكي تمنح شخص ما حق الوصول المقيد إلى الواجهة الخلفية فإن الخطوة الأولى هي إنشاء دور له المستوى المناسب من الأذونات، ثم بعد حفظ الدور يمكنك إضافة مستخدمين جدد وتعيين الدور المقيد لمنحهم وصول محدود إلى الواجهة الخلفية، ولتنفيذ ذلك اتبع الخطوات التالية:

أولاً، انتقل إلى القائمة الجانبية “النظام”، ثم اختر منها “أدوار المستخدم”.

054 - أدوار المستخدمين 6.png

ومن النافذة التي ستظهر انقر على زر “أضف دور جديد” الموجود أعلى يمين النافذة.

055 - أدوار المستخدمين 7.png

ثانيًا، من النافذة التي ستظهر اكتب اسمًا للدور يكون ذو دلالة على وظيفته، وبما أننا ننشئ دور للمبيعات سأختار اسم “Sales” لهذا الدور، ثم بعد ذلك اكتب كلمة مرور المسؤول الخاصة بك.

056 - أدوار المستخدمين 8.png

ثالثًا، من القائمة الجانبية انقر على “مصادر الدور” ثم اختر “مخصص” لنتحكم في تحديد الصلاحيات، ثم بعد الانتهاء من اختيار الصلاحيات انقر على زر “حفظ الدور”.

057 - أدوار المستخدمين 9.png

رابعًا، عُد مرةً أخرى إلى صفحة المستخدمين من خلال النقر على القائمة الجانبية “النظام”، ثم النقر على “جميع المستخدمين”، ثم النقر على المستخدم الذي تريد تعيين الدور الجديد له، ثم من صفحة بيانات المستخدم اكتب كلمة مرور المسؤول الخاصة بك، ثم من القائمة الجانبية انقر على “دور المستخدم”.

058 - أدوار المستخدمين 10.png

خامسًا، الآن حدّد الدور الذي أنشأناه للمستخدم ثم انقر على زر “حفظ المستخدم”.

059 - أدوار المستخدمين 11.png

وستلاحظ الآن أصبح له دور في صفحة المستخدمين، مما يجعلك تستطيع تنفيذ عملية تسجيل الدخول به.

060 - أدوار المستخدمين 12.png

أخيرًا، سجل الخروج من حساب المسؤول ثم سجل الدخول بحساب المبيعات الجديد، فمن المفترض أن تكون النتيجة كما بالصورة التالية:

061 - أدوار المستخدمين 13.png

تهانينا، لقد أصبحت الآن قادرًا على إنشاء المستخدمين وتحديد صلاحياتهم على نظام ماجنتو.

إعداد أهم إجراءات الأمان لنظام ماجنتو

إن أمان كل من بياناتك وبيانات عملائك له أهمية قصوى، لذا أردت أن أشارككم أهم الإجراءات الأمنية عند إعداد متجر Magento جديد. قد تعتقد أن إجراءات الأمان هذه زائدة عن الحاجة (لماذا يجب علي تنفيذ هذه الإجراءات، إذا كنت قد فَعَّلت المصادقة الثنائية للواجهة الخلفية واختبارات جوجل reCAPTCHA للواجهة الأمامية؟)، ولكن فكر فيها على أنها إجراءات لتأمين متجرك في حالة فشل أحد هذه الخيارات في إيقاف المهاجم.

النسخ الاحتياطي لمتجرك

أول شيء يجب مراعاته عند تشغيل متجر Magento هو إنشاء نسخ احتياطية خارجية لمتجرك وخادم الاستضافة، لذلك ستحتاج إلى إنشاء 3 أنواع من النسخ الاحتياطية على أساس منتظم كما يلي:

  1. مرة واحدة في اليوم: يجب إجراء نسخة احتياطية تلقائية من قاعدة البيانات الخاصة بمتجرك، فقاعدة البيانات هي المكان الذي تُحفظ فيه جميع الإعدادات والبيانات الخاصة بمتجرك، لذلك من المهم جدًا إجراء نسخ احتياطي لها بانتظام.
  2. مرة واحدة في اليوم: يجب إجراء نسخة احتياطية من ملفات Magento وصور المنتجات.
  3. مرة واحدة في الأسبوع: يجب إجراء نسخة احتياطية كاملة لخادم الاستضافة، فهذا يضمن أنه في حالة حدوث شيء كارثي لخادم الاستضافة يمكنني على الأقل إعادة إنشائه من نسخة احتياطية حديثة.

تغيير عنوان URL الخاص بالمسؤول

من الأخطاء الشائعة جدًا التي ترتكبها عند إعداد متجر Magento هو ترك عنوان URL الخاص بالواجهة الخلفية هكذا http://yourdomain/admin فإذا كان هناك أي شخص يتطلع إلى الحصول على وصول غير مصرح به إلى الواجهة الخلفية لمتجرك فعادةً ما يكون عنوان http://yourdomain/admin هو أول عنوان يختبره. لذلك ننصحك باستخدام عنوان غامض تعرفه أنت وفريقك فقط، فسيكون استخدام عنوان مثل http://yourdomain/admin_letmein99 أفضل من مجرد استخدام العنوان الافتراضي. بالطبع هذه ليست طريقة مضمونة لمنع أي شخص مصمم على الوصول إلى شاشة تسجيل الدخول الخلفية، إلا أنها تساعد في تقليل التعرض للنصوص البرمجية التي تحاول الوصول إلى متجرك.

062 - إجراءات الأمان 1.png

تعطيل عمليات تسجيل الدخول المتعددة

هناك طريقة آمنة حقًا لضمان عدم استخدام مستخدم آخر لبيانات اعتماد تسجيل الدخول الخاصة بك، فمن خلال تعطيل خيار عمليات تسجيل الدخول المتعددة من أجهزة حاسوب مختلفة يعني أنه عند تسجيل الدخول إلى Magento تلقائيًا سوف يسجل النظام خروج أي شخص آخر يستخدم بيانات الاعتماد الحالية الخاصة بك. وعلى الجانب الآخر إذا طُردت من جلستك أثناء استخدام Magento فأنت حينها ستعلم أن شخصًا ما قد نجح في تسجيل الدخول إلى النظام باسمك، وفي هذه الحالة أنت ستعلم أن لديك مشكلة تحتاج إلى مزيد من التحقيق.

063 - إجراءات الأمان 2.png

استخدم كلمات مرور قوية للمشرف

يجب عليك استخدام كلمة مرور قوية لا يمكن تخمينها بسهولة، يتيح لنا نظام ماجنتو إجبار المستخدم على استخدام كلمة مرور بناءً على القوة التي تحددها، ويمكن أن يتضمن هذا التحديد الحد الأدنى من عدد الأحرف والأرقام، أو يتضمن أحرفًا خاصة أو أحرفًا كبيرة. تلك المعايير متروكة لك تمامًا، ولكن أيًا كان ما تختاره سوف يؤثر أيضًا على عملائك، لذلك لا تجعل الأمر صعبًا للغاية عليهم.

064 - إجراءات الأمان 3.png

ننصحك هنا بالرجوع إلى مقال كلمات المرور: كيفية حفظها واستعمالها في العالم الرقمي.

لا تستخدم أسماء تسجيل دخول واضحة

يشبه امتلاك اسم مستخدم وكلمة مرور وجود مرحلتين من الأمان في مرحلة واحدة، لذلك يجب على المهاجم تخمين اسم المستخدم وكلمة المرور الخاصة بك، وهناك تنسيقان شائعان لإنشاء اسم المستخدم، هما: الاسم العادي مثل “Mostafa” أو “Ahmed”، والآخر هو تضمين نقطة بالاسم مثل “m.amaan” أو “mostafa.a”. لكن بدلاً من ذلك حاول أن تبتكر شيئًا أكثر إبداعًا مثل اسم المستخدم والكود الخاص به، على سبيل المثال “mostafa022”.

تأكد أيضًا من إزالة أي أسماء مثل “Support” أو “Admin” أو “Manager” من قائمة المستخدمين.

تحديد أوقات جلسات الواجهة الخلفية

إن عملية طرد ماجنتو لجلستك بعد فترة من الوقت هو أمر مزعج في بعض الأحيان، تخيل أنك بدأت في معالجة عملية بيع على الواجهة الخلفية ثم انشغلت في التحدث على الهاتف لفترة طويلة مع العميل ثم عندما تأتي لإكمال المعاملة بالضغط على “تقديم الطلب” تجد النظام يطردك بسبب انتهاء مهلة الجلسة ثم يتعين عليك إعادة التشغيل مرة أخرى. وعلى الرغم من أن هذا أمر مزعج لكن لا يدفعك ذلك لتعيين حد مهلة الجلسة لمدة 24 ساعة، أعتقد أن الإعداد الافتراضي هو 20 دقيقة لذلك إذا كنت بحاجة إلى زيادة الوقت فاضبطه لمدة ساعة (وهي 3600 ثانية).

065 - إجراءات الأمان 4.png

فرض تحديث كلمة المرور

يوجد في نظام ماجنتو خيارًا لفرض إعادة تعيين كلمة المرور كل 90 يومًا، لا تتردد في تقليل هذا الإطار الزمني ولكن لا تعطله بالتأكيد، إذ يمكن أن يشعر العديد من المستخدمين بالرضا كلما طالت مدة استخدامهم لنفس كلمة المرور، لكن لا تجعل شعورهم بالرضا يكون على حساب أمان متجرك.

066 - إجراءات الأمان 5.png

استخدم عمليات تسجيل الدخول الحساسة لحالة الأحرف

ميزة رائعة يمكنك استخدامها للمساعدة في محاربة أي شخص يحاول اقتحام الواجهة الخلفية لنظام Magento أوصيك بتمكينها وذلك لتقليل فرصة تخمين كلمة المرور.

067 - إجراءات الأمان 6.png

إزالة المستخدمين القدامى

عندما يغادر أحد أعضاء فريقك غالبًا ما تتغاضى عن إزالة بيانات الاعتماد الخاصة به من نظام ماجنتو، لكن من المفيد التحقق من إزالة جميع إمكانية الوصول إلى جميع المواقع (متجرك الإلكتروني وبوابات الدفع ورسائل البريد الإلكتروني) عندما يكون لديك أحد الموظفين يغادر عملك.

التحقق من وجود مستخدمين جدد بصلاحيات مسؤول

عندما يخترق شخص متجرك الإلكتروني فلن تلاحظ ذلك على الأغلب وذلك لأن هذا المخترق لن يكون غرضه من هذا الاختراق حذف متجرك بالكامل في سلة المهملات، بل ما سيفعله هو إنشاء حساب مسؤول لنفسه حتى يتمكن من تسجيل الدخول والخروج متى يشاء لسرقة بيانات عملائك. لذا حاول تخصيص روتين شهري لك في تدقيق المستخدمين أصحاب صلاحيات المسؤول في Magento، فإذا وجدت مستخدمًا في غير محله فلا تكتفي بحذف الحساب وتنسى أمره، وبدلاً من ذلك تحرّى الأمر عنه لأنه قد لا يزال بإمكانه إنشاء مستخدم آخر.

لا تحفظ كلمة مرورك في برامج FTP

إذا سبق لك استخدام برنامج FTP على جهاز حاسوبك لنقل الملفات من وإلى خادم الاستضافة، فسوف يعرض عليك البرنامج حفظ اسم المستخدم وكلمة المرور بداخله. خذ برنامج FileZilla على سبيل المثال، فعندما تُنشئ إشارة مرجعية جديدة باستخدامه يمكنك اختيار ما إذا كنت تريد حفظ كلمة المرور، ولكن عند اختيارك لهذا الأمر فإن البرنامج يخزن كلمة المرور كنص عادي على محرك الأقراص الثابتة. لذلك ضع هذا الأمر في الحسبان خاصة إذا كنت تستخدم جهاز حاسوب مشترك.

تفعيل إضافة Security.txt

عندما يكتشف الباحثون ثغرات أمنية غالبًا ما تكون قنوات الإبلاغ المناسبة غير متوفرة، ونتيجةً لذلك لن يستطيعوا إبلاغك عن نقاط الضعف الموجودة بمتجرك، لذلك الغرض من ملف security.txt هو تزويد الباحثين الأمنيين بالمعلومات التي يمكنهم استخدامها لإبلاغك عن النتائج التي توصلوا إليها.

068 - إجراءات الأمان 7.png

تحديث نظام Magento

يُعد نظام Magento لاعبًا كبيرًا عندما يتعلق الأمر بمنصات التجارة الإلكترونية، وهذا يجعله هدفًا كبيرًا عندما يتعلق الأمر بالأشخاص الذين يكتشفون الثغرات الأمنية، وينظر بعض الناس إلى العثور على هذه الثغرات على أنها هواية أو وظيفة، فيبلغ بعض الأشخاص عن هذه الثغرات إلى Magento ويستغلها آخرون لتحقيق مكاسب خاصة بهم. وبعد إبلاغ Magento بهذه الثغرات تعمل عادةً على إصلاح المشكلة ثم إصدار إعلان حول التصحيح للجميع عند إطلاقه، وهذا يعني أن المخربون سيعرفون الآن هذه الثغرة ويمكنهم البدء في مهاجمة المتاجر التي مازالت تعمل بالإصدار المصاب بهذه الثغرة، وهنا يكمن سبب أهمية تحديث نظام Magento كلما أُعلن عن تصحيح أو ترقية.

تحديث إضافات الطرف الثالث

في حالة استخدامك لإضافات من جهات خارجية بواسطة مطورين ذوي سمعة طيبة، فهناك احتمال كبير أنهم سيدعمون تلك الإضافات بتحديثات الأمان التي تصدر غالبًا بعد إصدار تحديث لنظام Magento، لكن تكمن المشكلة في عدم إخطارك دائمًا بتلك التحديثات من قِبَل المطورين، وحتى إن أخطروك بتلك التحديثات عن طريق البريد الإلكتروني فقد يُضنف هذا البريد على أنه ترويجي وتتجاهله. لذلك نصيحتي لك هي التحقق من مواقع الويب التي اشتريت منها تلك الإضافات لمعرفة ما إذا كان يوجد تحديث لتلك الإضافة أم لا، ثم اتخذ الإجراءات المناسبة لتحديثها.

خاتمة

وإلى هنا نكون قد وصلنا إلى نهاية هذا الدرس من هذا الدليل الذي تعرفنا فيه على أهم إجراءات الأمان لنظام ماجنتو، وفي الدرس القادم سوف نتناول إعدادات العملاء وقواعد الضرائب.

نتمنى أن يكون هذا الدليل قد أضاف لكم معلومات جديدة ومفيدة، وفي حالة وجود أي استفسارات لا تترددوا في ذكرها لنا في التعليقات.

اقرأ أيضًا

[ad_2]

المصدر