بلاگ | طراحی و توسعه وب سایت
افزایش امنیت سایت در برابر حملات بروت فروس تزریق کد مخرب در mysql و بدافزار

فرناز شایانی 

مرداد 11, 1399

۳ روش کاربردی برای افزایش امنیت سایت

پس از تصمیم گیری برای راه اندازی سایت خود، باید به فکر خرید هاست مناسبی باشید که امنیت محتوا و اطلاعات سایت شما را فراهم کند. افزایش امنیت سایت در برابر هکر‌ها کاری پیچیده اما ضروری برای داشتن سایتی موفق است. عوامل زیادی علاوه بر سرویس هاست حرفه ای و ایمن وجود دارند که بر افزایش امنیت سایت تأثیر می‌گذارند و چشم پوشی از هر کدام ممکن است عواقب جبران ناپذیری به همراه داشته باشد. خوشبختانه راهکار‌های متعددی برای افزایش امنیت سایت در برابر عوامل مخرب وجود دارد که با رعایت آن‌ها از وب‌سایت محافظت می‌گردد. بسیاری از این راهکار‌ها به حداقل تلاش یا سرمایه‌گذاری نیاز دارند.
با تأمین امنیت اطلاعات کاربران و همچنین محتوای خود، از اعتبار خود نیز محافظت خواهید کرد.

در این مقاله ابتدا در خصوص آسیب پذیری یک سایت در برابر هکر‌ها و عوامل مخرب توضیحاتی ارائه و سپس راهکار‌های افزایش امنیت سایت در برابر عوامل مخرب را از جمله تایید هویت دو مرحله‌ایی Two-Factor Authentication (2FA) و جلوگیری از تزریق کد روی دیتابیس (SQL injection) بررسی خواهیم کرد.

 

علت آسیب پذیری وب‌سایت در مقابل هکر‌ها

یکی از دلایلی که امنیت سایت را به خطر می‌اندازد، طیف گسترده از اقداماتی است که هکر‌ها می‌توانند توسط آن‌ها به سایت شما آسیب برسانند. برخی از این حملات عبارتند از:

 

حملات بروت فورس (Brute force attacks)

ربات‌های هکر‌ها تا زمانی که به سایت شما دسترسی پیدا کنند، بار‌ها و بار‌ها اطلاعات ورودی مختلفی را برای ورود به سایت تست می‌کنند. این حملات با نام بروت فورس یا حمله ی جستجوی فراگیر نیز شناخته می‌شوند.

 

حملات دیداس (DDoS)

در حملات دیداس (Denial-of-service attack)، ربات‌ها برای ایجاد حجم بالای ترافیک که سرور سایت شما را تحت الشعاع قرار می‌دهد، استفاده می‌شوند و حجم این حملات و ترافیک به حدی بالا می‌رود که سرور میزبان سایت شما را از دسترس خارج کند.

 

تزریق کد روی دیتابیس (SQL injection)

SQL injection یا تزریق کد روی دیتابیس برای بازیابی اطلاعات حساس از پایگاه داده وب‌سایت شما استفاده می‌شود.

 

استفاده از بدافزارها (Malware)

کد مخرب پنهان شده در فایل‌‌های سایت، می‌تواند مرورگر‌ها و یا رایانه‌ی شما را آلوده کرده و به اطلاعات مهم شما دسترسی یابد و یا امنیت سایت شما را به خطر بیاندازد.
با این وجود این روش ‌ها تنها روش‌‌هایی نیستند که هکر‌ها به وب‌سایت‌‌ها آسیب می‌رسانند. به عنوان مثال آن‌‌ها همچنین ممکن است از طریق آسیب پذیری‌‌های موجود در نرم افزار‌‌های دیگر، مانند افزونه‌های وردپرس، به محتوا یا داده‌‌های شما دسترسی پیدا کنند.

علاوه بر این، سرویس میزبانی وب اشتراکی ممکن است گاهی سبب بروز مشکلات امنیتی شود. اگر سایت دیگری در سرور شما به خطر بیفتد، ممکن است هکر بتواند به سایت شما نیز دسترسی پیدا کند. به همین دلیل برخی از دارندگان سایت ترجیح می‌دهند از یک سرور مجازی (VPS) یا سرور اختصاصی برای حفاظت بیشتر اطلاعات استفاده کنند.

 

۳ روش کاربردی برای افزایش امنیت سایت

همانگونه که گفته شد، علاوه بر روش‌های فوق، روش‌‌های دیگری نیز جهت آسیب رساندن به وب‌سایت وجود دارد که در این مقاله عنوان نشده و به همین جهت روش‌‌های مقابله با آن نیز ذکر نمی‌گردد. روش‌های تخریب یک سایت بسیار زیاد است؛ در نتیجه در این مقاله قصد داریم در مورد سه روش اساسی افزایش امنیت وب‌سایت در برابر عوامل مخرب که احتمالا نادیده گرفته می‌شوند، صحبت کنیم.

 

۱- فعال سازی احراز هویت دو مرحله‌ای (Two-Factor Authentication) جهت جلوگیری از حملات بروت فورس Brute Force

حملات بروت فورس یا حمله‌ی جستجوی فراگیر، به ویژه به کاربر ادمین وب‌سایت، می‌تواند دسترسی هکر‌ها را به تمامی‌ قسمت‌‌های سایت فراهم کند. از آن جا که معمولا کاربر ادمین، دسترسی‌‌ها و مجوز‌‌های زیادی در اختیار دارد، دسترسی یک هکر به این اکانت ادمین، اشکال مختلفی را از جمله سرقت داده‌‌ها، قرار دادن بدافزار‌‌ها در سایت یا از بین بردن محتوا شامل شود.
یک راه‌حل سریع برای متوقف کردن حمله بروت فورس و افزایش امنیت سایت وردپرس، اجرای ۲FA در سایت شماست. این روش امنیتی قبل از دسترسی به سایت، از کاربران می‌خواهد هویت خود را از چند روش تایید کنند.

هر کاربر همچنان نام کاربری و رمز عبور خود را خواهد داشت. با این حال همچنین یک روش تایید اعتبار ثانویه تنظیم می‌گردد.

 

برخی از رایج‌ترین این روش‌‌ها عبارتند از:

  • یک پیام متنی حاوی کد، که کاربر باید در سایت شما وارد کند.
  • ایمیلی که حاوی یک کد باشد که کاربر باید در سایت شما وارد کند.
  • برنامه‌ای که با اعلان به کاربر از ایشان درخواست می‌کند تلاش برای ورود به سیستم را تایید کند.

می‌توانید ۲FA یا همان احراز هویت دو مرحله‌ای را به گونه‌ایی تنظیم کنید تا برای هر بار ورود به سیستم یا فقط نسبت به آدرس‌ IPهای نا ‌آشنا کار کند. بنابراین هکر‌ها برای ورود به سایت شما به یک شناسه ورود و گذرواژه معتبر یا رمز عبور ایمیل یا تلفن هوشمند خود نیاز خواهند یافت که امری بعید است.

بسته به سیستم مدیریت محتوایی که از آن استفاده می‌کنید، چندین روش برای اجرای تایید هویت دو مرحله‌ای وجود دارد. سیستم‌های مدیریت محتوای وردپرس، دروپال و مگنتو، همه دارای تنظیمات یا پلاگین (افزونه) Two-Factor Authentication هستند.
همچنین بهتر است ۲FA را برای اطلاعات کنترل پنل میزبانی تنظیم کنید؛ چرا که یکی از مهم‌ترین شناسه‌‌های کاربری که جزئیات دسترسی به سرور شما را در اختیار دارد.

 

۲- محافظت در برابر تزریق کد به پایگاه داده (SQL injection) با استفاده از یک فایروال یا Web Application Firewall (WAF)

تزریق کد به دیتابیس یا پایگاه داده هنگامی‌اتفاق می‌افتد که هکر‌ها، کد مخرب SQL را در فرم وب‌سایت وارد کنند. این مورد ممکن است شامل صفحه ورود، فرم تماس با ما یا حتی بخش نظرات پست‌‌های وبلاگ یا وردپرس شما باشد.
زمانی که فرم ارسال شد، پایگاه داده شما ورودی را پردازش می‌کند. این روشی بسیار ساده برای هکر‌ها برای اضافه کردن یا اجرای کد‌‌های مخرب در پایگاه داده است. در برخی موارد، هکر به دنبال اطلاعات حساس دیتابیس بوده، در حالی که در برخی موارد، ممکن است پایگاه داده شما را به کلی از بین ببرد.
یکی از ساده‌ترین راهکار‌های افزایش امنیت سایت جهت جلوگیری از تزریق کد به SQL، تنظیم WAF است. فایروال شما رشته‌‌های مخرب را فیلتر می‌کند تا اس کیو ال اینجکشن هرگز به پایگاه داده سایت نرسد.

 

۳- خودداری از نمایش خطای سایت با جزییات (Detailed error)

پیام‌‌های خطای تفصیلی یا Detailed error می‌توانند برای عیب‌یابی در وب‌سایت و همچنین برای توسعه سایت مفید باشند. با این وجود همین خطا‌‌ها می‌توانند آسیب‌پذیری‌‌های وب‌سایت شما را با هکر‌هایی که می‌توانند از آن‌‌ها سوء استفاده کرده و به سایت شما دسترسی پیدا کنند، به اشتراک بگذارند.

بیایید مثالی را بررسی کنیم. فرض کنید یک کاربر مخرب یا هکر سعی دارد به یک فایل در سایت شما دسترسی پیدا کند که دسترسی به این فایل برای کاربران ممنوع است. اگر پیام خطایی مانند «پرونده یافت نشد» یا «فایل یافت نشد» دریافت کند، مهاجم اطلاعات دیگری در اختیار نخواهد داشت.
حال تصور نمایید همین مهاجم با پیام خطایی مانند «دسترسی ممنوع» یا «access denied» روبرو شود. این پیغام به کاربر اعلام می‌کند که آن‌‌ها مکان فایل را پیدا کرده‌اند و فقط برای دستیابی و بازیابی اطلاعات مورد نظر خود نیاز به راهی دارند.

 

هکر‌ها همچنین می‌توانند به همین روش خطا‌‌های دیگری از سایت را نیز بدست آورده تا درباره ساختار فهرست سایت (مسیر فایل‌‌ها و پوشه‌ها) اطلاعات بیشتری کسب کنند.
فعال‌سازی یا بررسی پیغام خطای سایت توسط خودتان روشی ساده برای آزمایش این است که آیا این خطا‌ها می‌توانند اطلاعاتی را که برای هکر‌ها مفید است، فاش کنند یا خیر. با این حال بررسی دقیق کد‌‌ها توسط یک توسعه دهنده وب، تنها راهی است که می‌توان اطمینان کامل حاصل کرد که خطا‌‌های پیچیده‌تر، جزئیات کلیدی را به اشتراک و در اختیار هکر ‌ها نخواهند گذاشت.

 

یک راه‌حل جهت افزایش امنیت سایت وردپرس، جلوگیری از نمایش خطا‌‌های پی‌اچ‌پی در مرورگر‌‌های کاربران است. با افزودن تکه کد زیر در فایل .htaccess می‌توانید این کار را انجام دهید:

php_flag display_errors off

به یاد داشته باشید که پس از اتمام کار، تغییرات را ذخیره نمایید.

متوقف کردن حملات به وب‌سایت همواره آسان نیست؛ به خصوص به دلیل این که روش‌‌های مختلف و زیادی برای دسترسی هکر‌ها به سایت یا میزبانی‌وب وجود دارد. با این حال با پیروی از چند روش ساده می‌توانید یک استراتژی امنیتی چند‌جانبه ایجاد کنید.

 

در این مقاله، چند روش برای افزایش امنیت سایت در برابر هکر‌‌ها و کاربران مخرب که احتمالا نادیده گرفته شده‌اند، بررسی کردیم. شما نیز با رعایت این موارد،‌ از بروز مشکلاتی که ممکن است آینده فعالیت وبسایت شما را به خطر بیاندازد، جلوگیری کنید.

یکی از مهم‌ترین و اساسی‌ترین اقداماتی که برای افزایش امنیت سایت ضروری است و توجه به آن موجب جلوگیری از مشکلات بسیاری می‌شود، خرید هاست مناسب با سطح امنیت بالا است. هم‌اکنون با خرید هاست حرفه‌ای، اول و ضروری‌ترین قدم خود را برای مقابله با هکرها و عوامل مخرب بردارید:

خرید هاست حرفه ای

فرناز شایانی 

كارشناس هاستينگ و ثبت دامنه، مسلط به زبان انگلیسی، علاقه‌مند به موضوعات مرتبط با IoT و شبکه.