Account security (אבטחת חשבון) ב-Shopify מתחילה בכך שכל חיבור מחשב או מכשיר נייד לרשת כולל סיכון. גם עסקים קטנים יכולים להיות יעד לניסיונות גניבת פרטים, השתלטות על חשבון או הונאה.

Phishing, vishing, or smishing (דיוג באימייל, בטלפון או ב-SMS) הם ניסיונות להשיג מידע ופרטי התחברות. הם יכולים להיראות כאילו הגיעו ממקור אמין, ולכן צריך להיזהר מקישורים חשודים, קבצים מצורפים, אתרים ושיחות טלפון שמבקשות מידע רגיש.

במדריך הזה

העלאת מסמכים ונתונים רגישים

Shopify Support תבקש מסמכים רגישים רק דרך עמוד העלאה מאובטח שמתחיל ב-app.shopify.com או .shopify.com.

שימוש בחשבונות משתמש נפרדים

בעל החנות לא צריך לשתף את פרטי ההתחברות שלו עם אף אחד, כולל עובדים. פרטי הבעלים צריכים להישמר סודיים ומאובטחים בכל זמן. כל משתמש שנכנס לחנות צריך לקבל חשבון צוות ייחודי עם הרשאות ספציפיות.

אם אתם חושבים שמישהו נכנס לחשבון בלי הרשאה, פעלו מיד לאבטחת הנתונים. אם אינכם מצליחים להתחבר, עברו אל Troubleshooting login (פתרון בעיות כניסה).

שכבות אבטחה נוספות

Passkeys (מפתחות גישה) ו-Two-step authentication (אימות דו-שלבי) מוסיפים שכבת אבטחה שמקשה על גישה לא מורשית. שכבה כזאת יכולה להפחית סיכון להשתלטות על חשבון, דליפת מידע והפסדים כספיים.

בקטגוריה הזאת

  • Account security best practices (שיטות עבודה מומלצות לאבטחת חשבון).
  • Protect your account against phishing, vishing, and smishing (הגנה מפני דיוג באימייל, בטלפון וב-SMS).
  • Transport Layer Security (TLS).
  • Add Secondary Email (הוספת אימייל משני).
  • Verifying your email addresses (אימות כתובות אימייל).
  • Viewing Shopify compliance reports (צפייה בדוחות תאימות של Shopify).

זיהוי Phishing, Vishing ו-Smishing

Phishing (דיוג באימייל או באתר), vishing (דיוג בשיחת טלפון) ו-smishing (דיוג ב-SMS) מנסים להשיג מידע או login credentials (פרטי התחברות). ההודעה יכולה להיראות כאילו הגיעה מספק מוכר, משירות משלוחים, מגוף תשלום או אפילו מ-Shopify. לכן Shopify מדגישה זהירות בקישורים חשודים, בקבצים מצורפים, באתרים שמבקשים סיסמה, ובשיחות שבהן מבקשים מידע רגיש.

בכל בקשה חריגה, בדקו את הכתובת, את ההקשר ואת הפעולה המבוקשת. אם קישור מוביל לעמוד שאינו נראה כמו Shopify, אם מבקשים קוד חד-פעמי, אם מבקשים להעלות מסמך רגיש למקום לא מוכר, או אם מתקשרים אליכם ודוחקים למסור מידע מיד, עצרו ובדקו דרך ערוץ רשמי. האיום אינו רק גניבת סיסמה; הוא יכול להוביל לשינוי payout (תשלום מועבר), גישה לנתוני לקוחות, או שינוי הגדרות חנות.

שימוש בטוח ב-Content > Files

Shopify מזהירה במפורש שלא להשתמש ב-Content > Files כמקום אחסון למסמכים חסויים. האזור הזה מיועד לקבצים שצריכים להיות זמינים ציבורית בחנות, כמו product media (מדיה למוצר), downloadable content (תוכן להורדה), ותמונות storefront (חזית החנות).

אם Shopify Support מבקשת מסמך רגיש, המקור מציין שההעלאה צריכה להתבצע רק דרך עמוד מאובטח שמתחיל ב-app.shopify.com או .shopify.com. אל תעלו צילום תעודה, מסמך בנק, חוזה, רשימת לקוחות או כל מידע אישי ל-Files רק כי זה נוח. אחרי העלאה לא נכונה, הקובץ עלול להיות נגיש ציבורית או להישאר במערכת מעבר למה שהתכוונתם.

חשבונות משתמש נפרדים והרשאות

בעל החנות לא אמור לשתף את credentials (פרטי ההתחברות) שלו עם עובדים, פרילנסרים או ספקים. כל אדם שנכנס לחנות צריך Staff account (חשבון צוות) ייחודי עם PermissionsPermissions / הרשאותהרשאות שקובעות אילו משתמשים או אפליקציות יכולים לצפות, לערוך או לבצע פעולות בחנות.פתיחה במילון (הרשאות) שמתאימות לעבודה שלו. כך אפשר לדעת מי ביצע פעולה, להסיר גישה כשאדם מפסיק לעבוד עם העסק, ולצמצם נזק אם חשבון אחד נפרץ.

שיתוף סיסמה יוצר בעיה כפולה: אין אחריות אישית ברורה, ואי אפשר לצמצם הרשאות למשתמש מסוים. אם עובד צריך לבצע פעולה, צרו לו תפקיד מתאים דרך Roles (תפקידים). אם ספק חיצוני צריך גישה זמנית, תנו גישה ממוקדת והסירו אותה בסיום העבודה.

תגובה לחשד לגישה לא מורשית

אם אתם חושבים שמישהו נכנס לחשבון ללא הרשאה, פעלו מיד לאבטחת הנתונים. התחילו משינוי סיסמה, בדיקת אמצעי אימות, בדיקת משתמשים ותפקידים, ובדיקה של אזורים רגישים כמו תשלומים, חיוב, אפליקציות, לקוחות והגדרות חנות. אם אינכם מצליחים להיכנס, עברו לתהליך Troubleshooting login (פתרון בעיות כניסה) במקום לפתוח חשבון חלופי לא מתועד.

במקביל, בדקו האם בוצעו שינויים לא צפויים: פרטי תשלום, כתובות אימייל, משתמשים חדשים, אפליקציות חדשות, או שינויי הגדרות. תיעוד מהיר של הממצאים יעזור לכם להבין את היקף האירוע ולפעול מול Shopify Support במקרה הצורך.

שילוב Passkeys ואימות דו-שלבי

Security features (תכונות אבטחה) כמו Passkeys (מפתחות גישה) ו-Two-step authentication (אימות דו-שלבי) מוסיפות שכבה שמקשה על גישה לא מורשית. Passkey מצמצם שימוש בסיסמה ומגן טוב יותר מול phishing (דיוג), ואימות דו-שלבי דורש שלב נוסף מעבר לסיסמה.

Shopify מציינת ש-Shopify Payments דורשת Two-step authentication (אימות דו-שלבי). בלי זה, החשבון פחות מאובטח וה-payouts (תשלומים מועברים) עלולים להיות מושהים. לכן בעל חנות שמקבל תשלומים דרך Shopify Payments צריך לראות באימות דו-שלבי דרישת תפעול בסיסית, לא תוספת אופציונלית.

עמודי ההמשך בקטגוריית Account security

הקטגוריה כוללת עמודי המשך לשיטות עבודה מומלצות, הגנה מפני phishing, vishing ו-smishing, Transport Layer Security (TLS), הוספת Secondary Email (אימייל משני), אימות כתובות אימייל וצפייה בדוחות תאימות של Shopify. התפקיד של עמוד זה הוא לתת תמונת מסגרת; העמודים הספציפיים מפרטים איך להקשיח את החשבון, לזהות ניסיונות הונאה, ולוודא שהערוצים הרשמיים של Shopify משמשים למסמכים ולתמיכה.

שאלות נפוצות

האם לתת למשתמש הרשאת מנהל מלאה כדי לחסוך זמן?

לא כברירת מחדל. Shopify ממליצה לתת הרשאות לפי התפקיד בפועל, ולהפריד הרשאות רגישות כמו תשלומים, חיוב, לקוחות, אפליקציות והגדרות חנות.

מה לבדוק אחרי שינוי הרשאות או אבטחה?

בדקו שהמשתמש יכול לבצע את המשימות הדרושות לו, שאין לו גישה לאזורים שאינם קשורים לתפקידו, ושקיימת דרך שחזור מאובטחת כמו אימות דו-שלבי וקודי שחזור.