همه کسایی که وبسایت دارن باید به امنیتش هم فکر کنند. حتی وب سایت های کوچیک هم خیلی اوقات هدف حمله های اسپم و صفحات فیشینگ قرار میگیرن. پس هیچ وقت فکر نکنید چون سایتتون کوچیکه کسی بهش توجه نمیکنه که بخواد روش اقدام مجرمانه ای انجام بده.
حتی وبلاگهای بی گناه هم اگه امنیت درست و حسابی نداشته باشن میتونن تبدیل بشن به اسلحه های دزدهای هویت و اطلاعات مشتریان سایتهای فروشگاهی رو فاش کنند. حتی کوچکترین روزنه ای کافیه که یه نفر بتونه انتقامشو بگیره.
حتی اگه از خدمات هاستینگ قدرتمندی استفاده میکنید، باز هم وجود ابزارهای امنیتی مهم و ضروریه.
شاید تعجب کنید ولی اکثر هک ها و جرمهای سایبری بدون اینکه طرفشونو بشناسند اتفاق افتاده. و فقط بخاطر اینکه این روزنه های نفوذ وبسایتها کوچیکند و کسایی که وظیفه نگهداری از سایت رو به عهده دارند بهشون توجهی نمیکنند.
چطور وبسایتتونو از دست هکرها حفظ کنید
تقریبا 50% از صنایع کوچک ظرف 12 ماه دچار نفوذ شدند. این نشون میده هیچ فعالیت آنلاینی در امان نیست.
در ادامه با بعضی از نکات امنیتی که باید توسط کسایی که وظیفه نگهداری از سایت رو به عهده دارند رعایت بشه آشنا میشیم. از هر سیستم مدیریت محتوایی که استفاده کنید یا حتی اگه با کدنویسی سایتتونو درست کرده باشید، امنیت باید اولویتتون باشه. توجه به امنیت وب سایت، علاوه بر شما، مهمونهاتون هم حفظ میکنه.
از دیتابیس و فایلها به طور منظم پشتیبان بگیرید
یکی از معمول ترین نکاتی که من همیشه تو مشاوره هام میگم، پشتیبان گیریه. هر کاری که میکنید، بعدش یه پشتیبان بگیرید، حتی اگه فقط چند خط کد اضافه کرده باشید. اینطوری اگه اتفاق بدی بیفته، مثلا اگه یه هکر همه محتوای وبسایتتونو پاک کنه، خیلی سریع میتونید مشکل رو حل کنید، بدون اینکه چیز از دست بدید.
برای پشتیبان گیری روشهای مختلفی وجود داره. خیلی ها از برنامه های FTP مثل فایل زیلا استفاده میکنند و همه فایلها رو روی کامپیوترشون کپی میکنند. اگه از وردپرس استفاده میکنید میتونید افزونه هایی مثل UpdraftPlus نصب کنید که خودشون بطور خودکار از دیتابیس و فایلها پشتیبان میگیرن. فقط یادتون نره این پشتیبان گیری ها رو به طور منظم انجام بدید.
ارزش افزونه های امنیتی رو دست کم نگیرید
در گذشته، تقریبا 50% از شرکتهای تحقیقاتی امریکا، انگلیس، آلمان و کانادا مورد حمله باج افزارها قرار گرفتند. البته منظورم این نیست که دیگه افزونه های امنیتی به این جور جرایم پایان دادند، بلکه میخوام بگم این مسئله اهمیت توجه به امنیت قوی در سایت رو بیشتر میکنه.
اگه از سیستم مدیریت محتوا – مثل وردپرس، جوملا یا دروپال- استفاده میکنید باید حتما از افزونه ها و ماژولهای امنیتی استفاده کنید. خیلی از این افزونه ها و ماژولها رایگانند و سایت رو از طیف وسیعی از حملات حفظ میکنند. از روباتها گرفته تا آدمها.
خیلی از افزونه ها و ماژولها بعنوان پلتفرمهای چندکاره عمل میکنند و شامل فایروال، لیست سیاه IP، امکانات مراقبت دائم و اندازه گیری های امنیت ورد به سایت هستند. بعضی ها حتی با Ipv6 سازگاری پیدا کردند. خیلی از متخصصان معتقدند بخاطر وسعتی که اینترنت پیدا خواهد کرد، Ipv6 آینده اتصال به نت میشه.
به طور منظم فایلها و تغییرات رو بررسی کنید
بعضی از ماژولها و افزونه های امنیتی توانایی اسکن فایل هم دارند. یعنی میتونید وب سایتتونو از فایلهای ناشناخته و تغییراتی که هکرها و روباتها بوجود میارند حفظ کنید. مثلا برای وردپرس، افزونه Wordfence انواع بدافزارها و اسکریپتهای backdoor رو شناسایی میکنه.
یادتونه گفتم هکرها از وبسایتتون برای فیشینگ استفاده میکنند؟ برای این کار معمولا یه فایل به وبسایت اضافه میکنند و کاری میکنند که یه سایت میکروی قانونی به نظر برسه و از این طریق اطلاعات کارت بانکی مشتریها رو میدزدند.
مثلا صفحات پرداختی درست میکنند که قلابیه و کاربر فکر میکنه وارد صفحه اصلی بانک شده. وقتی اطلاعاتشو وارد کرد، هکر اطلاعات کارت بانکی کاربر رو میدزده. اگه این فایلها رو اسکن کنید میتونید به این مدل حملات خاتمه بدید.
استفاده از نام کاربری و رمز عبور سخت
نزدیک به 60% از صنایع کوچک رمز عبور و نام کاربری کارمندانشونو مدیریت نمیکنند. همین چشم پوشی، در ها رو بروی حملات مجرمانه باز میکنه.
یه مدل حمله این مدلیه که فرد مجرم یا یه روبات به روش آزمون و خطا، اطلاعات ورود اعضا رو حدس میزنه. بعضی ها استفاده از نام کاربری و رمز عبور پیچیده براشون عذاب آوره ولی بدونید که این کار تا حد زیادی خطر هک شدن رو کاهش میده.
میتونید برای نام کاربری، آدرس ایمیلتونو استفاده کنید و برای رمز عبور کاراکترهای طولانی و قوی بکار ببرید تا هک کردنتون مشکل باشه. پیشنهاد میکنم همین الآن این کارو بکنید و به هیچ وجه از پیش فرض "admin" برای نام کاربریتون استفاده نکنید. همین نام کاربری ساده کمک میکنه هکرها 50% اطلاعات رو بدونند.
فایلهای مهم رو بروز نگهدارید
فایلهای مهم مثل فایلهای جوملا و وردپرس باید به طور منظم بروزرسانی بشن. در همه سیستم های مدیریت محتوا، نسخه های جدیدتر همیشه بعد از اصلاح باگ ها و رفع راههای نفود ارائه میشن و موندن روی نسخه های قدیمی یعنی باز گذاشتن وب سایت برای حمله های هکرها.
خیلی از این سیستمها طوری نتظیم شده اند که بطور خودکار بروز میشن. اما بعضی از نرم افزارهای دیگه نیاز به توجه دارند. اگه یه نسخه فروشگاه، ویکی یا سایر سیستمهای مدیریت محتوا منتشر شد، باید بلافاصله نصبش کنید، وگرنه سایتتون یه سوراخ گنده داره که راه ورود مجرمهاست.
افزونه هاتونو بروز نگهدارید
به جز فایلهای مهم، ماژولها، افزونه ها و اکستنشن ها رو هم باید بروز نگهدارید. حتی بهترین برنامه نویسها هم ممکنه راههای نفوذی پشت کدهاشون جا بذارن. با بروز نگهداشتن این افزودنی ها میتونید تا حد زیادی خودتونو از حمله هکرها در امان نگهدارید.
در حاشیه اینم بگم که بد نیست از نظر طراحی و عملکرد، add-on ها رو هم بروز نگهدارید. خیلی از توسعه دهنده ها قابلیتهای جدیدی بهشون اضافه میکنند و قبلی ها رو هم ارتقا میدن. شاید با یه بروزرسانی یه قابلیت جدید بهتون اضافه بشه که دیگه به یه ابزاری که قبلا نصب کرده بودید نیازی نداشته باشید.
همیشه از کدهای خوب استفاده کنید
چه بخواهید خودتون وبسایتتونو از صفر بسازید و کدنویسیش کنید، چه بخواهید به سیستم مدیریت محتوا خط هایی از کدها رو اضافه کنید، در هر حال از کدهای خوب استفاده کنید. برای یه قابلیت یا شکل و شمایل خاصی ممکنه راههای میانبری هم باشه، اما همین راهها میتونن شما رو در برابر حملات آسیب پذیر کنند.
اگه میخواهید خودتون وبسایتتونو کدنویسی کنید، پیشنهاد میکنم اول برای شناختن زیر و بم پلتفرمها وقت بذارید. میتونید از مقالاتی که آنلاین روی سایتهای معتبر در دسترس هستن استفاده کنید.
فقط از اسکریپتهای منابع مورد اعتماد استفاده کنید
روی اینترنت اسکریپتهای خوبی میشه پیدا کرد. این قطعات کد قابلیت اینو دارن که عملکرد یا ظاهر خاصی رو به صفحاتتون اضافه کنند اما در عین حال هم ممکنه با هدف توزیع محتوای مخرب روی نت گذاشته شده باشند. تشخیصش مشکله مگر اینکه خودتون خط به خطشو بگردید.
برای جلوگیری از این مشکلات همیشه از اسکریپتهایی استفاده کنید که از منابع معتبر معرفی شده باشند. توسعه دهنده ها یا شرکتهایی که اسنیپت ارائه میدن رو گوگل کنید و ببینید کاربرها چه نظری در موردشون دارن، دنبال افراد شاکی و ناراضی بگردید. حتی اگه یک مورد شکایت دیدید، مطمئن باشید اون شرکت معتبر نیست.
نقش ها و اجازه ها رو درست تعیین کنید
نقشهای کاربر در سیستمهایی مثل وردپرس، جوملا و دروپال سطح دسترسی افراد رو در وبسایت تعیین میکنه. اگه به اشتباه مشخص بشن، ممکنه به یه فرد انتقام جو دسترسی زیادی بدید و خسارات زیادی به خودتون وارد کنید. به همین خاطر باید حتما از درست بودن نقشها و اجازه ها (permissions) مطمئن بشید. به خصوص وقتی میخواهید برای هر نقش، قوانین خاصی تعیین کنید.
بطور پیشفرض، سیستمهای مدیریت محتوا برای اداره کاربرهای عضو کنترل خوبی دارند. اما وقتی میخواهید افزونه ای به وب سایتتون اضافه کنید، این نقشها ممکنه روی یه خط قرار نگیرند. هر چند وقت چک کنید تا مطمئن بشید سلسله مراتب اجازه ها تغییری نکرده باشن.
گفته میشه بیشترین اشکالات امنیتی از طرف کارمندها به وب سایت وارد شده. چه عمدی و چه سهوی، عنصر انسانی نقش مهمی در منافذ امنیتی ایفا میکنه. مواظب باشید کی روی وب سایتتون چی کار میتونه بکنه.
فقط از ماژول ها و افزونه های امتحان شده استفاده کنید
خیلی از مردم ممکنه از یه توسعه دهنده خارج از شرکت خودشون یا شرکاشون افزونه های به اصطلاح عالی ببینند. متاسفانه این افزونه ها میتوننن نقص هایی در سایت بوجود بیارن. با یه نصب ساده میتونید کنترل ادمین رو به توسعه دهنده بدید، بدون اینکه خودتون متوجه بشید.
من نمیگم به هیچ وجه از افزونه های شرکت های دیگه استفاده نکنید، اتفاقا برعکس، روی اینترنت پره از توسعه دهنده های عالی و درستکار. اما باید همیشه راجع به منبعی که میخواهید ازش افزونه بگیرید تحقیق کنید و بعد اقدام به نصب افزونه کنید. پیشنهاد میکنم برای شروع کار، از کانالهای رسمی افزونه نصب کنید. مثلا مستقیما از سایت رسمی وردپرس افزونه بگیرید.
گوگل آنالتیکس وب سایتتونو بررسی کنید و نسبت به رفتارهای عجیب بی توجه نباشید
گوگل آنالتیکس خیلی بیشتر از نمایش تعداد بازدیدکننده های سایت براتون کار انجام میده. میتونه فعالیتهای مشکوک رو هم شناسایی کنه. مثلا اگه ترافیک زیادی از طریق کلیدواژه هایی که مال خودتون نیستن یا کلیدواژه هایی که مشخص نیست چی هستند، وارد یکی از صفحات سایتتون بشن میتونه یه زنگ هشدار باشه.
افزایش ترافیک یه صفحه نامشخص هم میتونه ناشی از فیشینگی باشه که تو ساختار فایلهاتون ایجاد کرده اند، که بالاتر گفتیم بخاطر همین باید فایلهاتونو اسکن کنید. اگه این کارو نکنید، بخاطر بکارگیری تکنیکهای بد، عملکردتون روی موتورهای جستجو پایین میاد.
حمله های فیشینگ بیشترین عامل دزدی اطلاعات بوده اند که بیش از 55% از کل حمله های سایبری رو تشکیل میدن. سال 95 هشتمین سالی بود که حمله های فیشینگ، شماره یک شدند.
از یک لایه سوکت امن استفاده کنید
لایه سوکتهای امن یا SSL انتقال داده از صفحات وب به بازدیدکننده رو پنهان میکنند و به این ترتیب دزدی اطلاعات رو طی انتقال برای همه غیرممکن میکنند. SSL یه خط مستقیم از داده درست میکنه که شما و دریافت کننده رو محافظت میکنه. البته اگه بخواهید از این قابلیت بهره ببرید معمولا باید سالانه مبلغ کمی بابت نگهداری بپردازید، اما مسلما ارزششو داره.
استفاده از گواهی SSL هم برای بهینه سازی موتور جستجو نقش داره. چون موتورهایی مثل گوگل وبسایتها رو در استاندارد بالایی نگه میدارند تا برای کاربرها امن و مطمئن باشند.
حتی با اینکه 86 درصد از افسران ارشد اطلاعات امریکا اعلام کردند قدم بعدی هکرها دزدی کلیدهای گواهی برای رمزگذاری خواهد بود، هنوز هم SSL روش معتبری برای حفاظت سایت به حساب میاد.
مواظب دسترسی فولدها و فایلها باشید
اگه از روی عملکرد سایتتون به چیزی شک کردند باید حتما permission فولدرها و فایلهاتونو چک کنید. اعدادی که برای permission وارد میکنید، سطح دسترسی مردم رو محدود میکنه. این سطح میتونه فقط در حد خوندن باشه، یا نوشتن یا در حد اجرا. خیلی از متخصصها میگن نباید هیچ وقت فایلهاتونو برای مردم باز بذارید، چون اینطوری موقعیت رو برای هکرها فراهم میکنید که کنترل سایتتونو برای اهداف مختلف در دست بگیرند.
دسترسی فایلها و فولدرها میتونه هم با استفاده از برنامه های FTP مثل فایل زیلا انجام بشه و هم به کمک فایل منیجرِ سی پنل. هر عنصری که روی سایتتون هست یه سطح دسترسی هم با خودش داره که میتونید خیلی راحت اعدادشو بر حسب نیازتون تغییر بدید. اما اگه با کار آشنایی ندارید ممکنه اشتباه کنید و نتیجه عکس بگیرید. پیشنهاد میکنم از یه متخصص کمک بگیرید یا قبل از تغییر دادن اعداد، دسترسیها رو یاد بگیرید.
از جدیدترینها با خبر باشید
یکی از بهترین راههای امن نگهداشتن سایت اینه که از جدیدترین اخبار امنیتی باخبر باشید. عضو خبرنامه های امنیتی بشید، اخبار هک های جدید و پروفایلهای اجتماعی شرکتهای امنیت مجازی رو دنبال کنید. این کارها باید جزء وظایف هفتگی یا ماهانه تون بشه. آگاهی، بهترین راه پیشگیری از هر مشکلیه.
ابزارهایی مثل Netvibes برای این کار هم بوجود اومدند که میتونید خودتون برای کلیدواژه های خاصی در موتورهای جستجو، شبکه های اجتماعی، خوراک RSS، سایتها و سایر محتوای آنلاین شخصی سازیش کنید. مثل این میمونه که کل اخبار سراسر جهان رو یکجا دریافت کنید.
همیشه سایتتونو امن نگهدارید
باید همیشه، کسب آگاهی در مورد حفظ وب سایت از هکرها بخشی از استراتژی هر توسعه ای باشه. حمله های سایبری میتونن تمام زحماتی که برای ساخت وب سایتتون کشیدید رو به عقب برگردونند. من دیگه نمیدونم چجوری به اهمیت امنیت وب سایت تأکید کنم که حتما شما این نکات رو جدی بگیرید و رعایت کنید. قبل از اینکه هکرها از منافذ وب سایتتون به درون بخزند، همشونو پر کنید.