آیا به عنوان یک مالک وب سایت، چیزی ترسناک تر از تصور اینکه همه کارهای شما توسط یک هکر شرور، تغییر یافته یا کاملاً از بین رفته باشد، وجود دارد؟ ممکن است فکر کنید، چه کسی به دنبال وب سایت کوچک من می آید؟ اما هک فقط برای بچه های بزرگ اتفاق نمی افتد. یک گزارش نشان داد که مشاغل کوچک قربانی ۴۳٪ از کل هک هستند. پس در نتیجه ایمن سازی وب سایت اهمیت بسیار زیادی دارد.
شما بر روی وب سایت خود (و نام تجاری خود) سخت کار کرده اید – بنابراین مهم است که برای ایمن سازی وب سایت تان از این نکات اساسی در مورد جلوگیری از هک شدن، وقت بگذارید.
گام اول: نصب پلاگین های امنیتی
اگر وب سایت خود را با سیستم مدیریت محتوا وردپرس (CMS) ساخته اید، می توانید وب سایت خود را با پلاگین های امنیتی که به طور فعال از تلاش برای هک وب سایت جلوگیری می کنند، ارتقا دهید. هر یک از گزینه های اصلی CMS پلاگین های امنیتی در دسترس دارند، بسیاری از آن ها به صورت رایگان هستند.
پلاگین های امنیتی برای وردپرس:
- iThemes Security
- Bulletproof Security
- Sucuri
- Wordfence
- fail2Ban
پلاگین های امنیتی برای Magento:
- Amasty
- Watchlog Pro
- MageFence
برنامه های افزودنی امنیتی برای جوملا:
- JHackGuard
- jomDefender
- RSFirewall
- Antivirus Website Protection
این گزینه ها آسیب پذیری های امنیتی موجود در هر سیستم عامل را برطرف می کنند و انواع دیگری از تلاش برای هک کردن را که می توانند وب سایت شما را تهدید کنند، خنثی می کنند.
علاوه بر این، همه وب سایت ها – چه شما یک سایت تحت مدیریت CMS یا صفحات HTML را اجرا می کنید – می توانند از در نظر گرفتن SiteLock بهره مند شوند. SiteLock با ارائه نظارت روزانه بر روی همه موارد، از شناسایی بدافزار گرفته تا شناسایی آسیب پذیری گرفته تا اسکن ویروس فعال و موارد دیگر، به سادگی با بستن روزنه های امنیتی سایت فراتر از آن است. اگر تجارت شما به وب سایت خود متکی باشد، SiteLock قطعاً سرمایه گذاری قابل تأملی است.
گام دوم: استفاده از HTTPS
به عنوان یک مصرف کننده، ممکن است از قبل بدانید که هر زمان اطلاعات حساسی را به یک وب سایت ارائه می دهید، همیشه در نوار مرورگر خود به دنبال تصویر قفل سبز و https باشید. این پنج حرف کوچک برای ایمن سازی وب سایت در برابر هکرها مهم است: آن ها نشان می دهند که تهیه اطلاعات در آن صفحه وب خاص امن است.
گواهی SSL از آنجا مهم است که انتقال اطلاعات – مانند کارت های اعتباری، اطلاعات شخصی و اطلاعات تماس – را بین وب سایت و سرور شما ایمن می کند.
در حالی که یک گواهی SSL همیشه برای وب سایت های تجارت الکترونیکی ضروری بوده است، داشتن یک گواهی اخیراً برای همه وب سایت ها مهم شده است. Google در سال ۲۰۱۸ یک به روزرسانی Chrome را منتشر کرد. به روزرسانی امنیتی در ماه جولای اتفاق افتاد و اگر در وب سایت شما گواهی SSL نصب نشده است، به بازدیدکنندگان وب سایت هشدار می دهد. این باعث می شود که بازدیدکنندگان حتی اگر وب سایت شما اطلاعات حساس را جمع آوری نکند، سریعتر از آن بیرون بروند.
موتورهای جستجو، امنیت وب سایت را بیش از هر زمان دیگری جدی می گیرند زیرا آن ها می خواهند کاربران تجربه مثبت و ایمنی در مرور وب داشته باشند. با تعهد بیشتر در زمینه امنیت، اگر گواهی SSL ندارید، یک موتور جستجو ممکن است وب سایت شما را در نتایج جستجو پایین تر قرار دهد.
این برای شما چه معنی دارد؟ اگر می خواهید مردم به برند شما اعتماد کنند، باید در یک گواهینامه SSL سرمایه گذاری کنید. هزینه یک گواهینامه SSL حداقل است، اما سطح اضافی رمزگذاری که به مشتریان شما ارائه می دهد، به امنیت و اطمینان بیشتر وب سایت شما کمک زیادی می کند.
گام سوم: پلتفورم و نرم افزار وب سایت خود را به روز نگه دارید
استفاده از CMS با افزونه ها مختلف مفید فواید زیادی را به همراه دارد، اما خطراتی را نیز به همراه دارد. علت اصلی آلودگی وب سایت، آسیب پذیری در اجزای قابل توسعه سیستم مدیریت محتوا است.
از آنجا که بسیاری از این ابزارها به عنوان برنامه های نرم افزاری منبع باز ایجاد می شوند، کد آن ها به راحتی در دسترس است – هم برای توسعه دهندگان خوش فکر و هم برای هکرهای مخرب. هکرها می توانند این کد را تخریب کنند و به دنبال آسیب پذیری های امنیتی باشند که به آن ها امکان می دهد با استفاده از هرگونه ضعف سیستم عامل یا اسکریپت، وب سایت شما را کنترل کنند.
برای محافظت از هک شدن وب سایت خود، همیشه مطمئن شوید که سیستم مدیریت محتوای شما، پلاگین ها، برنامه ها و هر اسکریپتی که نصب کرده اید به روز هستند.
اگر وب سایتی را در وردپرس اجرا می کنید، می توانید هنگام ورود به داشبورد وردپرس بررسی کنید که آیا به روز هستید یا خیر. در گوشه بالا سمت چپ در کنار نام سایت خود به دنبال نماد به روزرسانی باشید. برای دسترسی به، به روزرسانی های وردپرس روی شماره کلیک کنید.
گام چهارم: از ایمن بودن رمزهای عبور خود اطمینان حاصل کنید
این یکی ساده به نظر می رسد، اما بسیار مهم است.
وسوسه انگیز است که با استفاده رمز عبوری که می دانید به راحتی می توان به یاد آورد وارد سایت خود شوید. به همین دلیل شماره ۱ و رایج ترین رمز ورود هنوز ۱۲۳۴۵۶ است. شما باید از این بهتر عمل کنید – خیلی بهتر از آن برای جلوگیری از ورود به سیستم از طریق هکرها و سایر افراد خارجی.
سعی کنید یک رمز عبور کاملاً امن پیدا کنید (یا از مولد رمز عبور استفاده کنید). آن را طولانی کنید. از ترکیبی از نویسه ها، اعداد و حروف خاص استفاده کنید. و از کلمات کلیدی قابل حدس زدن آسان مانند تولد یا نام فرزندتان دوری کنید. اگر یک هکر به طریقی به سایر اطلاعات مربوط به شما دسترسی پیدا کند، ابتدا می تواند آن ها را حدس بزند.
نگه داشتن خود در حد استاندارد بالا برای امنیت رمز عبور مرحله اول است. همچنین باید اطمینان حاصل کنید که همه افرادی که به وب سایت شما دسترسی دارند به همان نسبت رمزهای عبور قوی دارند. یک رمز عبور ضعیف در تیم شما می تواند وب سایت شما را در معرض هک داده قرار دهد، بنابراین رمز را با همه کسانی که دسترسی دارند تنظیم کنید.
شرایط موسسه برای همه کاربران وب سایت از نظر طول و نوع کاراکترها. اگر کارمندان شما می خواهند از رمزهای عبور آسان برای حساب های کمتر ایمن خود استفاده کنند، این تجارت آن هاست. اما وقتی نوبت به وب سایت شما می رسد، این تجارت شماست (به معنای واقعی کلمه) و می توانید آن ها را با استاندارد بالاتری حفظ کنید.
گام پنجم: در پشتیبان گیری خودکار سرمایه گذاری کنید
حتی اگر کارهای دیگر موجود در این لیست را انجام دهید، باز هم با خطراتی روبرو خواهید شد. بدترین سناریو هک وب سایت این است که همه چیز را از دست بدهید زیرا فراموش کرده اید که از وب سایت خود پشتیبان تهیه کنید. بهترین راه برای محافظت از خود این است که مطمئن شوید همیشه نسخه پشتیبان تهیه کرده اید.
اگرچه نقض داده مهم نیست، اما وقتی یک نسخه پشتیبان تهیه می کنید، بهبودی بسیار راحت تر انجام می شود. شما می توانید از پشتیبان گیری دستی روزانه یا هفتگی وب سایت خود شروع کنید. اما اگر حتی کوچکترین شانس فراموش کردن وجود دارد، در تهیه نسخه پشتیبان خودکار سرمایه گذاری کنید. این یک روش ارزان برای خرید آرامش ذهنی است.
گام ششم: هنگام قبول بارگذاری پرونده از طریق سایت خود، اقدامات احتیاطی را انجام دهید
وقتی کسی گزینه بارگذاری چیزی را در وب سایت تان دارد، می تواند با بارگذاری یک پرونده مخرب، رونویسی یکی از پرونده های موجود برای وب سایت شما یا بارگذاری پرونده ای آنقدر بزرگ که کل وب سایت تان را از بین ببرد، از این امتیاز سواستفاده کند.
در صورت امکان، به سادگی هیچ بارگذاری پرونده ای را از طریق وب سایت خود قبول نکنید. بسیاری از وب سایت های مشاغل کوچک بدون ارائه گزینه آپلود پرونده می توانند از پس این کار برآیند. اگر این توصیف شماست، می توانید از سایر موارد در این مرحله صرف نظر کنید.
اما حذف بارگذاری پرونده برای همه وب سایت ها گزینه ای نیست. برخی از انواع مشاغل، مانند حسابداران یا ارائه دهندگان خدمات بهداشتی، باید راهی برای ارائه ایمن اسناد به مشتریان ارائه دهند.
اگر نیاز به بارگذاری پرونده دارید، چند مرحله زیر را انجام دهید تا مطمئن از ایمن سازی وب سایت خود مطمئن شوید:
- یک لیست سفید از پسوندهای پرونده مجاز ایجاد کنید. با مشخص کردن اینکه کدام نوع پرونده را می پذیرید، انواع مشکوک پرونده را از بین می برید.
- از تأیید نوع فایل استفاده کنید. هکرها با تغییر نام اسناد با پسوند متفاوت از نوع سند، یا افزودن نقاط یا فاصله به نام فایل، سعی می کنند به راحتی به فیلترهای لیست سفید برسند.
- حداکثر اندازه پرونده را تنظیم کنید. با رد هر پرونده بیش از اندازه خاص، از حملات توزیع شده سرویس (DDoS) خودداری کنید.
- پرونده ها را برای بدافزار اسکن کنید. برای بررسی همه پرونده ها قبل از باز کردن از نرم افزار آنتی ویروس استفاده کنید.
- هنگام بارگذاری، نام فایل ها را به طور خودکار تغییر دهید. اگر هکرها به دنبال پرونده دیگری باشند، هکرها نمی توانند دوباره دسترسی پیدا کنند.
- پوشه بارگذاری را خارج از webroot نگه دارید. این مانع از دسترسی هکرها به وب سایت شما از طریق فایلی می شود که بارگذاری می کنند.
این مراحل می تواند بسیاری از آسیب پذیری های ذاتی اجازه دادن به بارگذاری پرونده در وب سایت شما را از بین ببرد.
گام هفتم: از کوئری های پارامتر شده استفاده کنید
تزریق SQL یکی از رایج ترین هک های وب سایت است که بسیاری از سایت ها قربانی آن می شوند.
در صورت داشتن فرم وب یا پارامتر URL که به کاربران خارجی امکان ارائه اطلاعات را می دهد، تزریق SQL می تواند وارد عمل شود. اگر پارامترهای قسمت را خیلی باز بگذارید، کسی می تواند کدی را در آن ها وارد کند که امکان دسترسی به پایگاه داده شما را فراهم می کند. مهم است که از سایت خود در برابر این امر محافظت کنید زیرا اطلاعات حساس مشتری در بانک اطلاعاتی شما قابل نگهداری است.
برای محافظت از وب سایت خود در برابر هک های تزریق SQL می توانید چند مرحله انجام دهید. استفاده از کوئری های پارامتر شده یکی از مهمترین و آسانترین موارد برای پیاده سازی است. با استفاده از پکوئری های پارامتر شده، کد شما دارای پارامترهای مشخص کافی است به طوری که دیگر جایی برای هکر با آن ها درگیر نخواهد شد.
گام هشتم: استفاده از CSP
حملات اسکریپت نویسی متقابل سایت (XSS) یکی دیگر از تهدیدهای رایج صاحبان سایت است که باید مراقب آن باشند. هکرها راهی پیدا می کنند تا کدهای مخرب JavaScript را بر روی صفحات شما بریزند، که در نتیجه می تواند دستگاه هر بازدید کننده وب سایت را که در معرض کد است، آلوده کند.
بخشی از مبارزه برای ایمن سازی وب سایت شما در برابر حملات XSS، مشابه کوئری های پارامتر شده برای تزریق SQL است. اطمینان حاصل کنید که هر کدی که در وب سایت خود برای عملکردها یا زمینه هایی استفاده می کنید که اجازه ورود را می دهد، در حد مجاز، بنابراین جای هیچ لغزشی را نمی گذارید.
سیاست امنیت محتوا (CSP) یکی دیگر از ابزارهای مفیدی است که می تواند به محافظت از سایت شما در برابر XSS کمک کند. CSP به شما این امکان را می دهد که دامنه هایی را که مرورگر باید در صفحه شما باشد منابع معتبر اسکریپت های اجرایی را در نظر بگیرد. سپس مرورگر می داند که به هیچ اسکریپت یا بدافزاری مخرب که ممکن است رایانه بازدید کننده سایت شما را آلوده کند، توجه نمی کند.
استفاده از CSP شامل افزودن سرصفحه مناسب HTTP به صفحه وب شما است که مجموعه ای از دستورالعمل ها را ارائه می دهد که به مرورگر می گوید چه دامنه هایی مناسب هستند و چه مواردی از این قاعده مستثنی هستند. می توانید جزئیات مربوط به ساخت هدرهای CSP برای وب سایت خود را در اینجا پیدا کنید.
گام نهم: مجوزهای پرونده و فهرست خود را قفل کنید
همه وب سایت ها را می توان در یک سری از پرونده ها و پوشه هایی که در حساب میزبانی وب شما ذخیره شده اند خلاصه کرد. علاوه بر این که حاوی تمام اسکریپت ها و داده های مورد نیاز برای کار کردن وب سایت شما است، به هر یک از این پرونده ها و پوشه ها مجموعه ای از مجوزها اختصاص داده شده است که کنترل می کند چه کسی می تواند هر پرونده یا پوشه داده شده را بخواند، بنویسد و اجرا کند، نسبت به کاربری که دارد یا گروهی که به آن تعلق دارند.
در سیستم عامل لینوکس، مجوزها به عنوان یک کد سه رقمی قابل مشاهده هستند که هر رقم یک عدد صحیح بین ۰-۷ است. رقم اول مجوزهای صاحب پرونده را نشان می دهد، رقم دوم برای هر کس که به گروه صاحب پرونده اختصاص داده شده و رقم سوم برای همه افراد دیگر. وظایف به شرح زیر است:
- ۴ برابر خواندن است
- ۲ برابر بنویسید
- ۱ برابر است با اجرا
- ۰ برابر با هیچ مجوزی برای آن کاربر نیست
به عنوان مثال، کد اجازه “۶۴۴” را انتخاب کنید. در این حالت، یک “۶” (یا “۴ + ۲”) در موقعیت اول به مالک پرونده امکان خواندن و نوشتن پرونده را می دهد. “۴” در موقعیت های دوم و سوم بدان معنی است که هم کاربران گروه و هم کاربران اینترنت می توانند فقط پرونده را بخوانند – از پرونده در برابر دستکاری های غیر منتظره محافظت می کنند.
بنابراین، فایلی با مجوزهای “۷۷۷” (یا ۴ + ۲ + ۱/۴ + ۲ + ۱/۴ + ۲ + ۱) توسط کاربر، گروه و سایر افراد موجود در آن قابل خواندن، نوشتن و اجرای است.
همانطور که انتظار دارید، فایلی که کد مجوزی به آن اختصاص داده شده است و به هر کسی در وب امکان نوشتن و اجرای آن را می دهد، ایمنی بسیار کمتری نسبت به پرونده ای که قفل شده است دارد، به منظور حفظ کلیه حقوق فقط برای مالک است. البته، دلایل معتبری برای دسترسی به سایر گروه های کاربران وجود دارد (بارگذاری FTP ناشناس، به عنوان مثال)، اما برای جلوگیری از ایجاد خطر امنیتی وب سایت، این موارد را باید به دقت بررسی کرد.
به همین دلیل، یک قانون خوب برای تنظیم مجوزها به شرح زیر است:
- پوشه ها و دایرکتوری ها = ۷۵۵
- پرونده های تک = ۶۴۴
برای تنظیم مجوزهای پرونده خود، به File Manager cPanel خود وارد شوید یا از طریق FTP به سرور خود متصل شوید. پس از ورود، لیستی از مجوزهای پرونده موجود خود را مشاهده خواهید کرد (مانند مثال زیر که با استفاده از برنامه Filezilla FTP ایجاد شده است):
ستون آخر در این مثال مجوزهای پوشه و پرونده را که در حال حاضر به محتوای وب سایت اختصاص داده شده است نمایش می دهد. برای تغییر این مجوزها در Filezilla، کافیست روی پوشه یا پرونده مورد نظر راست کلیک کرده و گزینه “File permissions” را انتخاب کنید. با انجام این کار صفحه ای راه اندازی می شود که به شما امکان می دهد مجوزهای مختلف را با استفاده از یک سری کادرهای انتخاب اختصاص دهید:
اگرچه باطن برنامه میزبان وب یا FTP شما کمی متفاوت به نظر می رسد، روند اصلی تغییر مجوزها همان است.
گام دهم: پیام های خطای خود را ساده نگه دارید (اما همچنان مفید است).
پیام های خطای تفصیلی می توانند به شما کمک کنند تا تشخیص دهید چه مشکلی وجود دارد، بنابراین می دانید چگونه آن را برطرف کنید. اما وقتی این پیام های خطا برای بازدیدکنندگان خارج نمایش داده می شود، می توانند اطلاعات حساسی را که به یک هکر بالقوه می گوید دقیقاً نقاط آسیب پذیری وب سایت شما را نشان دهند.
بسیار مراقب باشید که چه اطلاعاتی را در یک پیام خطا ارائه می دهید، بنابراین اطلاعاتی را ارائه نمی دهید که به یک هکر بد کمک می کند شما را هک کند. پیام های خطای خود را به اندازه کافی ساده نگه دارید تا ناخواسته خیلی زیاد فاش نشود. اما از ابهام نیز خودداری کنید، بنابراین بازدید کنندگان شما همچنان می توانند از پیام خطا اطلاعات کافی را بیاموزند تا بدانند که در ادامه چه کاری باید انجام دهند.
ایمن سازی وب سایت از هکرها
امنیت سایت و یادگیری نحوه محافظت در برابر هکرها بخش بزرگی از سلامت و ایمنی سایت شما در طولانی مدت است! انجام این مراحل مهم را به تعویق نیندازید.
در سایت ممتاز سرور ما نیز با پشتیبانی مدام و ایجاد امنیت مناسب برای سرور شما از هک شدن سایت تان توسط بدافزارها و هکرها جلوگیری می کنیم.