بررسی ۱۰ مورد از کاربردی‌ترین روش‌ها برای افزایش امنیت سایت در برابر هکرها

آیا به عنوان مالک یک وب سایت، چیزی ترسناک‌تر از تصور هک سایت شما و  از بین رفتن همه کارهای شما توسط یک هکر شرور وجود دارد؟

ما دائماً در حال مشاهده اخبار هک و سرقت اطلاعات هستیم. ممکن است پیش خودتان فکر کنید، چرا کسی به دنبال وب سایت کسب و کار کوچک من است؟ اما هک فقط برای شخصیت‌های بزرگ اتفاق نمی‌افتد. بنا بر یک گزارش مشاهده شده است که ۴۳ درصد از سرقت اطلاعات مربوط به کسب و کارهای کوچک می‌باشد.

شما برای ساخت وب سایت و برند تجاری خود خیلی تلاش کرده‌اید، پس می‌توانید با خرید سرور مجازی لینوکس باعث افزایش امنیت سایت خود شده و از هک شدن سایت‌تان جلوگیری کنید.

مهم است که برای محافظت از آن در برابر هکرها و جلوگیری از هک سایت خود به این نکات اساسی توجه کنید.

 

۱۰ گام‌ ساده برای ایمن سازی وب سایت و بالا بردن امنیت وب سایت در برابر هکرها

به دلیل وجود اصطلاحات فنی، ممکن است هنگام خواندن این مقاله نگران شوید. برخی از نکات در ادامه فنی خواهد بود و شما ممکن است بخواهید برنامه نویس وب سایت را در جریان آن‌ها قرار دهید. اما چند قدم برای جلوگیری از هک سایت و بالا بردن امنیت وب سایت شما وجود دارد که می‌توانید در ابتدا انجام دهید و نیازی به دانستن دانش فنی نیست.

 

قدم اول: نصب پلاگین‌های امنیتی

اگر وب سایت خود را با سیستم مدیریت محتوا (CMS) رایگان ساخته‌اید، می‌توانید وب سایت خود را با پلاگین‌های امنیتی برای جلوگیری از هک سایت وبالا بردن امنیت وب سایت، ارتقا دهید. هر یک از گزینه‌های اصلی CMS دارای پلاگین‌های امنیتی بسیاری هستند که به صورت رایگان در دسترس‎ هستند.

 

پلاگین‌های امنیتی برای WordPress

iThemes Security

Bulletproof Security

Sucuri

Wordfence

fail2Ban

 

گزینه‌های امنیتی برای Magento

Amasty

Watchlog Pro

MageFence

 

افزونه‌های امنیتی برای Joomla

JHackGuard

jomDefender

RSFierwall

Antivirus Website Protection

 

این گزینه‌ها آسیب پذیری‌های امنیتی ذاتی در هر پلتفرم را برطرف و انواع دیگری ازتلاش‌ها برای هک کردن وب سایت‌ها را خنثی می‌کنند. علاوه بر این، تمامی وب سایت‌ها (چه یک سایت با CMS طراحی کرده باشید و یا سایتی تحت HTML داشته باشید) می‌توانند با در نظر گرفتن SiteLock از مزایای آن بهره‌مند شوند.

 

SiteLock با فراهم کردن نظارت روزانه بر روی مواردی از قبیل شناسایی بدافزار، شناسایی آسیب پذیری از طریق اسکن کردن ویروس‌های فعال و موارد دیگر، به سادگی با بستن روزنه‌های امنیتی از هک شدن وب سایت جلوگیری می‌کند. اگر تجارت شما به وب سایت خود متکی می‌باشد، SiteLock قطعاً سرمایه گذاری قابل تأملی است.

 

قدم دوم: استفاده از HTTPS

به عنوان یک مشتری، از قبل باید بدانید که هر وقت اطلاعات حساس و مهمی را به یک وب سایت ارائه می‌دهید، همیشه در نوار مرورگر خود به دنبال تصویر قفل سبز و https باشید. این پنج حرف مختصر برای ایجاد امنیت در مقابل هکرها دارای اهمیت است. این نکته به ویژه نشان دهنده امن بودن وب سایت برای ارائه اطلاعات مالی می‌باشد.

 

گواهی SSL از آنجا که انتقال اطلاعات (مانند کارت‌های اعتباری، داده‌های شخصی و اطلاعات تماس) بین وب سایت و سرور شما را ایمن می‌کند، مهم است. در حالی که گواهی SSL همیشه برای وب سایت‌های تجارت الکترونیکی ضروری بوده است، داشتن این گواهی اخیراً برای همه وب سایت‌ها مهم شده است.

 

شما می‌توانید با خرید گواهی SSL از efixhost امنیت سایت خود را تضمین کنید.

 

در سال ۲۰۱۸ یک بروزرسانی برای مرورگر Chrome منتشر کرد. این به روزرسانی امنیتی در ماه جولای اتفاق افتاد و اگر وب سایت شما دارای گواهی SSL نباشد به بازدیدکنندگان وب سایت هشدار می‌دهد. این کار باعث افزایش ترافیک سایت می‌شود، حتی اگر وب سایت شما اطلاعات حساسی را جمع آوری نکند. موتورهای جستجو امنیت، وب سایت را بیش از هر زمان دیگری جدی می‌گیرند زیرا آن‌ها می‌خواهند کاربران تجربه مثبت و ایمنی در مرور وب داشته باشند. با تعهد بیشتر در زمینه امنیت، اگر گواهی SSL ندارید، موتور جستجو ممکن است وب سایت شما را در نتایج جستجو پایین‌تر قرار دهد.

 

این برای شما چه معنی دارد؟ اگر می‌خواهید مردم به برند شما اعتماد کنند، باید برای داشتن گواهی SSL سرمایه‌ گذاری کنید. هزینه گواهینامه SSL زیاد نیست، اما سطح پیشرفته رمزگذاری به مشتریان شما امنیت و اطمینان بیشتری ارائه می‌دهد.

 

پس از خرید گواهی SSL و نصب آن روی دامنه، تبدیل دامنه اتفاق می‌افتد. برای اطمینان به تبدیل شدن سایتتان به یک سایت امن باید مواردی را در نظر بگیرید. در مقاله زیر ما اطلاعات کافی درمورد اقدامات لازم پس از تغییر دامنه را به شما ارائه می‌دهیم.

 

 

قدم سوم:  آپدیت پلتفرم و نرم‌افزار وب سایت

استفاده از CMS همراه با افزونه‌ها و پلاگین‌های مختلف فواید زیادی دارد، اما خطراتی را نیز به همراه دارد. علت اصلی آلودگی وب سایت، آسیب پذیری در اجزای قابل توسعه سیستم مدیریت محتوا است. از آنجا که بسیاری از این ابزارها به عنوان برنامه‌های نرم افزاری open-source ایجاد می‌شوند‌، کد آن‌ها به راحتی در دسترس است. (هم برای توسعه دهندگان خوش فکر و هم برای هکرهای مخرب)

 

هکرها می توانند به مطالعه دقیق این کدها بپردازند و به دنبال آسیب پذیری‌های امنیتی باشند که به آن‌ها امکان می‌دهد با استفاده از هرگونه ضعف پلتفرم یا اسکریپت‌، وب سایت شما را کنترل کنند. برای محافظت از هک شدن وب سایت خود، همیشه مطمئن شوید که سیستم مدیریت محتوا، پلاگین‌ها، برنامه‌ها و اسکریپت‌های نصب شده به روز و آپدیت هستند. اگر وب سایتی را روی وردپرس اجرا می‌کنید، می‌توانید هنگام ورود به داشبورد وردپرس بررسی کنید که آیا به روز هستید یا خیر. در گوشه بالا سمت چپ و در کنار نام سایت خود به دنبال نماد بروزرسانی باشید. برای دسترسی به بروزرسانی‌های وردپرس روی شماره کلیک کنید.

 

قدم چهارم: اطمینان از ایمن بودن رمزهای عبور خود

این قدم یک راه ساده به نظر می‌رسد، اما بسیار مهم است.

 

وسوسه انگیز است که از رمز عبوری که به خاطر سپردن آن برای شما همیشه آسان خواهد بود استفاده کنید. به همین دلیل رایج‌ترین رمز ورود هنوز ۱۲۳۴۵۶ است. شما باید خیلی بهتر از این‌ها عمل کنید تا مانع ورود هکرها و سایر افراد نا‌آشنا شوید.

 

سعی کنید یک رمز عبور کاملاً امن پیدا و آن را طولانی کنید. از ترکیبی از حروف، اعداد و کاراکترهای خاص استفاده کنید. از کلمات کلیدی قابل حدس زدن و آسان مانند تولد یا نام فرزندتان استفاده نکنید. اگر هکری به طریقی به سایر اطلاعات مربوط به شما دسترسی پیدا کند، به راحتی می‌تواند آن‌ها را حدس بزند.

 

نگه داشتن رمز عبور خود در حد استاندارد بالا برای امنیت اولین مرحله است. همچنین باید اطمینان حاصل کنید که همه افرادی که به وب سایت شما دسترسی دارند به همان نسبت رمزهای عبور قوی و پیچیده دارند. یک رمز عبور ضعیف در تیم شما می‌تواند وب سایت شما را در معرض سرقت داده قرار دهد، بنابراین همه کسانی را که دسترسی دارند توجیه کنید.

 

شرایط رمز عبور برای همه کاربران وب سایت از نظر طول و نوع کاراکترها از پیش تعیین شده است. اگر کارمندان شما می‌خواهند از رمزهای عبور آسان و نا‌امنی برای حساب‌های خود استفاده کنند، به خودشان مربوط است اما وقتی نوبت به وب سایت شما می‌رسد، کاملا به شما ارتباط دارد و می‌توانید به آن‌ها تذکر دهید که از رمز عبور با استاندارد بالاتری استفاده کنند.

 

قدم پنجم: سرمایه گذاری در بکاپ‌گیری خودکار

حتی اگر کارهای دیگر موجود در این لیست را انجام دهید، باز هم با خطراتی روبرو خواهید بود. بدترین سناریو هک وب سایت این است که همه چیز را از دست بدهید زیرا فراموش کرده‌اید که از وب سایت خود backup یا نسخه پشتیبان تهیه کنید. بهترین راه برای محافظت از اطلاعات و دیتای خود این است که مطمئن شوید همیشه از قبل نسخه پشتیبان تهیه کرده‌اید.

 

اگرچه هرگونه سرقت داده باعث استرس خواهد شد اما اگر همیشه پشتیبان گیری انجام داده باشید، باز یافتن و ریستور اطلاعات بسیار راحت‌تر انجام می‌شود. شما می‌توانید پشتیبان گیری دستی روزانه یا هفتگی وب سایت خود را تبدیل به یک عادت کنید. اما اگر حتی کمترین احتمال را می‎‌دهید که این مورد را فراموش خواهید کرد، در تهیه نسخه پشتیبان خودکار سرمایه گذاری کنید. این یک روش ارزان برای خرید آرامش ذهن است تا در صورت بروز هرگونه مشکل یک نسخه از اطلاعات از دست رفته در اختیار داشته باشید.

 

تمام مراحل فوق حتی برای دارندگان وب سایت با حداقل تجربه فنی نسبتاً آسان است. نیمه دوم این لیست کمی پیچیده‌تر می‌شود و شما ممکن است بخواهید از یک توسعه دهنده یا یک مشاور فناوری اطلاعات بخواهید تا به شما کمک کند.

 

قدم ششم: انجام اقدامات احتیاطی هنگام بارگذاری فایل از طریق سایت خود

وقتی کسی گزینه بارگذاری چیزی در وب سایت شما را انتخاب می‌کند، می‌تواند با بارگذاری یک فایل مخرب یا رونویسی یکی از فایل‌های مهم موجود برای وب سایت و یا با بارگذاری فایلی بزرگ که کل وب سایت را پایین بیاورد و آن را از دسترس خارج نماید، از این گزینه سواستفاده کند.

 

اولین پیشنهاد این است که در صورت امکان، هیچ بارگذاری فایلی را از طریق وب سایت خود به سادگی قبول نکنید. بسیاری از وب سایت‌های مشاغل و تجارت‌های کوچک بدون ارائه گزینه آپلود فایل به افراد می‌توانند از پس این کار به راحتی برآیند. اگر با این قسمت موافق هستید، می‌توانید از سایر موارد در این مرحله صرف نظر کنید.

 

اما حذف بارگذاری فایل برای همه وب سایت‌ها گزینه‌ای مناسب نیست. برخی از انواع مشاغل، مانند حسابداران یا ارائه دهندگان خدمات پزشکی، باید راهی ایمن برای تهیه مدارک به مشتریان ارائه دهند.

 

اگر نیاز به بارگذاری فایل دارید، با انجام اقدامات زیر می‌توانید مطمئن شوید از وب سایت و اطلاعات خود محافظت می‌کنید:

 

یک لیست سفید از پسوند فایل‌های مجاز ایجاد کنید. با مشخص کردن اینکه وب سایت شما کدام نوع فایل و پسوند را می‌پذیرد، انواع فایل‌های مشکوک را از بین می‌برید.

از تایید نوع فایل استفاده کنید. هکرها با تغییر نام اسناد با پسوندی متفاوت از نوع document و با افزودن نقاط یا فاصله به نام فایل، سعی می‌کنند به راحتی به فیلترهای لیست سفید دسترسی پیدا کنند.

 

حداکثر اندازه فایل را تنظیم کنید. با اجتناب کردن از قبول بارگذاری فایل بیش از یک اندازه خاص، از حملات (distributed denial of service (DDoS خودداری کنید.

 

فایل‌ها را برای بدافزار اسکن کنید. برای بررسی همه فایل‌ها قبل از باز کردن از نرم افزار آنتی ویروس استفاده کنید.

 

هنگام بارگذاری و آپلود، نام فایل‌ها را به طور خودکار و اتوماتیک تغییر دهید. اگر هکرها به دنبال فایلشان باشند، نمی‌توانند دوباره به آن دسترسی پیدا کنند.

 

پوشه بارگذاری را خارج از webroot نگه دارید. این کار مانع از دسترسی هکرها به وب سایت شما از طریق فایلی می شود که بارگذاری می‌کنند.

 

این مراحل می‌توانند بسیاری از آسیب پذیری‌های ذاتی در خصوص بارگذاری فایل در وب سایت شما را از بین ببرد.

 

قدم هفتم: استفاده از استعلامات پارامتر شده

تزریق SQL یا  SQL injection یکی از رایج‌ترین روش‌های هک وب سایت است که بسیاری از سایت‌ها قربانی آن می‌شوند.

 

تزریق به پایگاه داده نوعی فن تزریق کد است که نقص امنیتی نرم‌افزار وب‌سایت را اکسپلویت می‌کند. به این صورت که نفوذگر با یک سری دستورهای اس‌کیوال، عملیاتی را (متفاوت با عملیات عادی مورد نظر طراح وبسایت) در پایگاه داده وب‌سایت آسیب‌پذیر انجام می‌دهد.

 

تزریق SQL یک روش حمله است که هدف آن داده‌های ساکن در پایگاه داده‌ای است که از طریق Firewall محافظت می‌شود. حمله معمولاً به علت مدیریت ضعیف در اعتبار سنجی کدها یا ورودی‌های برنامه اتفاق می‌افتد. حمله تزریق SQL زمانی اتفاق می‌افتد که یک مهاجم قادر به قرار دادن یک سری از عبارت‌های SQL در یک Query با دستکاری داده‌های ورودی کاربر در یک برنامه مبتنی بر وب می‌باشد. البته این مسئله نیز مستقیماً با نحوه مدیریت کدها و ورودی‌های وب سایت رابطه مستقیم دارد. یک حمله‌کننده می‌تواند از نقص‌های برنامه‌نویسی یا حفره‌های امنیتی وب سایت یا نرم‌افزار به راحتی برای دستیابی به اطلاعات یک پایگاه داده استفاده نماید.

 

در صورت داشتن web form یا پارامتر URL که به کاربران سایت امکان ارائه اطلاعات را می‌دهد، تزریق SQL می‌تواند عملیاتی شود. اگر پارامترهای هر قسمت را خیلی باز بگذارید، اشخاصی می‌توانند کدی را در آن‌ها وارد کنند که امکان دسترسی به پایگاه داده و دیتابیس سایت شما را فراهم می‌کند. مهم است که از سایت خود در برابر این امر محافظت کنید زیرا اطلاعات حساس مشتری در پایگاه داده شما نگهداری می‌شود.

 

برای محافظت از وب سایت خود در برابر هک از راه تزریق SQL یا sql injection می‌توانید چندین کار انجام دهید. به طور مثال استفاده از سوالات پارامتر شده یکی از مهم‌ترین و آسان‌ترین موارد برای پیاده سازی است. با استفاده از استعلامات پارامتر شده، کد شما دارای پارامترهای کافی و مشخص است به طوری که دیگر جایی برای هکر وجود ندارد که با آن‌ها درگیر شود.

 

قدم هشتم: استفاده از CSP

حملات اسکریپت نویسی از طریق سایت (XSS) یکی دیگر از تهدیدهای رایج صاحبان سایت است که باید مراقب آن باشند. هکرها راهی پیدا می‌کنند تا کدهای مخرب JavaScript را به صفحات شما برسانند، و در نتیجه می‌توانند دستگاه هر بازدید کننده وب سایت را که در معرض کد است، آلوده کنند.

 

بخشی از مبارزه برای محافظت از سایت شما در برابر حملات XSS ، مشابه سوالات پارامتر شده برای تزریق SQL است. اطمینان حاصل کنید هر کدی که در وب سایت خود برای عملکردهای گوناگون استفاده می‌کنید و اجازه وارد کردن اطلاعات را می‌دهد در حد مجاز باشد، بنابراین جای هیچ  لغزشی را نمی‌گذارید.

 

(Content Security Policy (CSP یکی دیگر از ابزارهای مفیدی است که می‌تواند به محافظت از سایت شما در برابر XSS کمک کند. CSP به شما اجازه می‌دهد که چه دامنه‌هایی را یک صفحه مرورگر با در نظر گرفتن منابع معتبراسکریپت‌ها اجرایی کنید. سپس مرورگر می‌داند که به هیچ اسکریپت یا بدافزار مخربی که ممکن است رایانه بازدید کننده سایت شما را آلوده کند، توجه نکند.

 

Content Security Policy یک سیاست اعلامی است که به ادمین‌های سرور یک برنامه وب اجازه می‌دهد تا مرورگر مشتری را از رفتار مورد انتظار برنامه (از جمله منابع محتوا، منابع اسکریپت، انواع پلاگین و سایر منابع از راه دور) آگاه سازند، که در واقع اجازه می‌دهد مرورگر برای اجرای دقیق‌تر محدودیت‌های امنیتی رفتار کند. یک Content Security Policy که به خوبی اعمال شده است، در واقع بیشتر اشکالات حملات اسکریپت کراس سایت را حذف می‌کند.

 

استفاده از CSP شامل افزودن header مناسب HTTP به صفحه وب شما است كه رشته‌ای از دستورالعمل‌ها را ارائه می‌دهد كه به مرورگر می‌گوید كدام دامنه‌ها مناسب‌اند و چه مواردی از این قاعده مستثنی هستند.

 

قدم نهم: قفل کردن اجازه دسترسی به  فایل و بایگانی

همه وب سایت‌ها را می‌توان به یک سری از فایل‌ها و پوشه‌هایی که در حساب میزبانی سایت ذخیره شده‌اند خلاصه کرد. علاوه بر این که حاوی تمام اسکریپت‌ها و داده‌های مورد نیاز برای کار کردن وب سایت است. به هر یک از این فایل‌ها و پوشه‌ها یک مجموعه مجوز دسترسی اختصاص داده شده است که می‌تواند کنترل کند چه کسانی اجازه خواندن، نوشتن و اجرای هر فایل یا پوشه را نسبت به کاربری خود دارند.

 

در سیستم عامل لینوکس، مجوزها به عنوان یک کد سه رقمی قابل مشاهده هستند که هر رقم یک عدد صحیح بین ۰ تا ۷ است. رقم اول مجوزهای صاحب فایل را نشان می‌دهد، رقم دوم برای هر کسی که به گروه صاحب فایل دسترسی دارد اختصاص داده شده و رقم سوم برای افراد دیگر. تعیین تکلیف به شرح زیر است:

 

۴ به معنی خواندن است.

۲ به معنی نوشتن است.

۱ به معنی اجراست.

۰ به معنی وجود نداشتن مجوز دسترسی برای کاربر است.

 

به عنوان مثال ، کد «۶۴۴» را درنظر بگیرید. در این حالت ، «۶» (یا «۴ + ۲») در ابتدا به مالک فایل امکان خواندن و نوشتن فایل را می‌دهد. «۴» در موقعیت‌های دوم و سوم بدان معنی است که هم کاربران گروه و هم کاربران اینترنت می‌توانند فقط فایل را بخوانند. (محافظت از فایل در برابر دستکاری‌های غیر منتظره)

 

بنابراین، فایلی با مجوزهای «۷۷۷» (یا ۱+۲+۴ / ۱+۲+۴ / ۱+۲+۴) توسط کاربر، گروه و هر کس دیگری در دنیا قابل خواندن ، نوشتن و اجرا کردن است.

 

همانطور که انتظار می‌رود، فایلی که کد مجوزی برای آن در نظر گرفته شده است و به هر کسی در وب امکان نوشتن و اجرای آن را می‌دهد ایمنی کمتری نسبت به  فایلی که قفل شده است تا کلیه حقوق فقط برای مالک محفوظ باشد، دارا است. البته، دلایل معتبری برای دسترسی به سایر گروه‌های کاربران وجود دارد (به عنوان مثال بارگذاری FTP ناشناس)، اما برای جلوگیری از ایجاد خطر امنیتی وب سایت، این موارد را باید به دقت بررسی کرد.

 

برای این منظور، یک قانون اساسی خوب این است که مجوزهای خود را به شرح زیر تنظیم کنید:

 

پوشه‌ها و دایرکتوری‌ها = ۷۵۵

فایل‌های فردی = ۶۴۴

 

برای تنظیم مجوزهای فایل، به cPanel’s File Manager  وارد شوید و یا از طریق FTP به سرور خود متصل شوید. پس از ورود، لیستی از مجوزهای فایل‌های موجود را مشاهده خواهید کرد (مانند مثال زیر که با استفاده از برنامه Filezilla FTP ایجاد شده است):

 

 

ستون آخر در این مثال مجوزهای پوشه و فایل را که در حال حاضر به محتوای وب سایت اختصاص داده شده است را نمایش می‌دهد. برای تغییر این مجوز ها در Filezilla، کافی است روی پوشه یا فایل مورد نظر راست کلیک کرده و گزینه “File permissions” را انتخاب کنید. با انجام این کار صفحه‌ای باز می‌شود که به شما امکان می‌دهد مجوزهای مختلف را با استفاده از یک سری checkbox تعیین کنید:

 

 

با این حال اگر برنامه web host یا FTP شما کمی متفاوت به نظر می‌رسد ولی روند اصلی تغییر مجوزها به همین شکل است.

 

قدم دهم: نگه داشتن پیام‌های خطا

پیام‌های خطای تفصیلی می‌توانند به شما کمک کنند تا تشخیص دهید چه مشکلی وجود دارد، بنابراین خواهید فهمید چگونه آن را برطرف کنید. اما وقتی پیام‌های خطا برای بازدیدکنندگان سایت نمایش داده می‌شوند، می‌تواند نقاط آسیب پذیر وب سایت شما و اطلاعات حساسی را که یک هکر نیاز دارد را فاش کند.

 

بسیار مراقب باشید که چه اطلاعاتی را در یک پیام خطا ارائه می‌دهید، اطلاعاتی را که به یک هکر کمک می‌کند شما را هک کند نمایان نکنید. پیام‌های خطای خود را به اندازه کافی ساده و عمومی نگه دارید تا ناخواسته اطلاعات زیادی را نشان ندهد. اما از ابهام نیز خودداری کنید تا بازدیدکنندگان سایت شما همچنان بتوانند از پیام خطا اطلاعات کافی را بیاموزند و  بدانند در ادامه چه کاری باید انجام دهند یا به شما که صاحب آن هستید اطلاع دهند.

 

نتیجه گیری

از وب سایت خود در برابر هکرها محافظت کنید.امنیت سایت و یادگیری نحوه محافظت در برابر هکرها بخش بزرگی از سلامت و ایمنی سایت شما را در طولانی مدت تامین می‌کند. هیچگاه انجام این اقدامات مهم را به تعویق نیندازید. یکی از راه‌های افزایش امنیت سایت و جلوگیری از هک سایت استفاده از سرور مجازی لینوکس می‌باشد. برای افزایش انیت ویسایت و خرید این سرویس کلیک کنید.