امنیت و حفاظت وب سایت: چگونه یک وب سایت را ایمن کنیم

امنیت وب سایت می تواند یک موضوع پیچیده (یا حتی گیج کننده) در یک چشم انداز همیشه در حال تحول باشد. این راهنما به منظور ارائه یک چارچوب روشن برای صاحبان وب سایت است که به دنبال کاهش ریسک و اعمال اصول امنیتی در ویژگی های وب خود هستند.

قبل از شروع، مهم است که به خاطر داشته باشید که امنیت هرگز راه حلی برای تنظیم و جعل آن نیست. درعوض، ما شما را تشویق می‌کنیم که به آن به‌عنوان یک فرآیند مستمر فکر کنید که برای کاهش ریسک کلی نیاز به ارزیابی مداوم دارد.

با استفاده از یک رویکرد سیستماتیک برای امنیت وب سایت، می توانیم آن را به عنوان یک پیاز در نظر بگیریم، با بسیاری از لایه های دفاعی که همه در کنار هم قرار می گیرند تا یک قطعه را تشکیل دهند. ما باید امنیت وب سایت را به صورت جامع ببینیم و با یک استراتژی دفاعی عمیق به آن نزدیک شویم

 

امنیت وب سایت چیست؟

امنیت وب سایت به اقدامات انجام شده برای ایمن سازی وب سایت در برابر حملات سایبری اشاره دارد. این ممکن است شامل محافظت از یک وب سایت در برابر هکرها، بدافزارها، کلاهبرداری یا فیشینگ و خطا باشد. از این نظر، امنیت وب سایت یک فرآیند مداوم و بخشی ضروری از مدیریت یک وب سایت است. حفظ یک وب سایت ایمن برای محافظت از بازدیدکنندگان و کاربران وب سایت شما در برابر حملات، سرقت داده ها و عوامل بد بسیار مهم است.

۱

 

چرا امنیت وب سایت مهم است؟

امنیت وب سایت می تواند چالش برانگیز باشد، به خصوص زمانی که با شبکه بزرگی از سایت ها سر و کار دارید. داشتن یک وب سایت امن به اندازه داشتن یک میزبان وب سایت برای حضور آنلاین افراد حیاتی است. به عنوان مثال، اگر یک وب سایت هک شود و در لیست بلاک قرار گیرد، می تواند تا ۹۸٪ از ترافیک خود را از دست بدهد. نداشتن یک وب سایت ایمن می تواند به اندازه نداشتن وب سایت بدتر یا حتی بدتر باشد. به عنوان مثال، نقض داده های مشتری می تواند منجر به شکایت، جریمه های سنگین و از بین رفتن شهرت شود.

 

۱.۱ استراتژی دفاع در عمق

یک استراتژی دفاعی عمیق برای امنیت وب سایت به عمق دفاع و وسعت سطح حمله نگاه می کند تا ابزارهای مورد استفاده در پشته را تجزیه و تحلیل کند. این رویکرد تصویر دقیق تری از چشم انداز تهدید امنیتی وب سایت امروزی ارائه می دهد.

 

۱.۲ چگونه متخصصان وب امنیت وب سایت را می بینند

ما نمی توانیم آماری را فراموش کنیم که امنیت وب سایت را به موضوعی قانع کننده برای هر تجارت آنلاین تبدیل می کند – صرف نظر از اندازه آنها.

 

پس از تجزیه و تحلیل بیش از ۱۰۰۰ پاسخ نظرسنجی از متخصصان وب، ما برخی از بینش ها را در مورد چشم انداز امنیتی کشف کردیم:

۶۷ درصد از مشتریان حرفه ای وب در مورد امنیت وب سایت سؤال کرده اند، اما تنها کمتر از ۱ درصد از پاسخ دهندگان امنیت وب سایت را به عنوان یک سرویس ارائه می دهند. حدود ۷۲ درصد از متخصصان وب نگران تجربه حمله سایبری به سایت های مشتری هستند.

 

۲

 

چرا وب سایت ها هک می شوند؟

 

 

در سال ۲۰۱۹ بیش از ۱.۹۴ میلیارد وب سایت آنلاین وجود دارد. این زمین بازی گسترده ای را برای بازیگران بد فراهم می کند.

اغلب تصور اشتباهی در مورد اینکه چرا وب سایت ها هک می شوند وجود دارد. مالکان و مدیران اغلب بر این باورند که هک نخواهند شد زیرا سایت‌هایشان کوچک‌تر است، و در نتیجه اهداف کمتر جذابی ایجاد می‌کنند. اگر هکرها بخواهند اطلاعات را بدزدند یا خرابکاری کنند، ممکن است سایت های بزرگتری را انتخاب کنند. برای اهداف دیگر آنها (که رایج تر هستند)، هر سایت کوچکی به اندازه کافی ارزشمند است.

 

اهداف مختلفی هنگام هک کردن وب سایت ها وجود دارد، اما اصلی ترین آنها عبارتند از:

• بهره برداری از بازدیدکنندگان سایت
• سرقت اطلاعات ذخیره شده در سرور
• فریب ربات ها و خزنده ها (سئو کلاه سیاه)
• سوء استفاده از منابع سرور
• هولیگانیسم خالص 

 

توجه داشته باشید:

دستورالعمل ها بسته به نرم افزار سرور و سیستم شما متفاوت خواهد بود. برخی از سیستم‌ها از Certbot پشتیبانی نمی‌کنند، اما می‌توانید فهرستی از مشتریان معتبر دیگر را که باید با محیط سرور شما کار کنند، پیدا کنید.

 

امنیت اطلاعات سیا سه گانه

یک معیار در امنیت اطلاعات، سه گانه سیا است – محرمانه بودن، یکپارچگی و در دسترس بودن. این مدل برای توسعه سیاست هایی برای ایمن سازی سازمان ها استفاده می شود.

 

۳.۱ محرمانه بودن

محرمانگی به کنترل دسترسی به اطلاعات اشاره دارد تا اطمینان حاصل شود که افرادی که نباید دسترسی داشته باشند، دور نگه داشته می شوند. این کار را می توان با رمز عبور، نام کاربری و سایر اجزای کنترل دسترسی انجام داد.

 

۳.۲ صداقت

یکپارچگی تضمین می کند که اطلاعاتی که کاربران نهایی دریافت می کنند دقیق است و توسط هیچ کس دیگری غیر از مالک سایت تغییر نکرده است. این اغلب با رمزگذاری انجام می شود، مانند گواهینامه های لایه سوکت ایمن (SSL) که تضمین می کند داده های در حال انتقال رمزگذاری شده اند.

 

۳.۳ در دسترس بودن

در دسترس بودن این سه گانه را کامل می کند و تضمین می کند که در صورت نیاز می توان به اطلاعات دسترسی داشت. رایج ترین تهدید برای در دسترس بودن وب سایت، حمله انکار سرویس توزیع شده یا حمله DDoS است.

اکنون که پیشینه ای در مورد حملات خودکار و هدفمند داریم، می توانیم برخی از رایج ترین تهدیدات امنیتی وب سایت را بررسی کنیم.

 

 

۴

 

آسیب پذیری ها و تهدیدات وب سایت

بیایید نگاهی به رایج ترین آسیب پذیری های امنیتی وب سایت و تهدیداتی که امروزه وب سایت های مدرن با آن مواجه هستند، بیاندازیم.

 

۴.۱ تزریق SQL

حملات تزریق SQL با تزریق کد مخرب در یک کوئری SQL آسیب پذیر انجام می شود. آنها متکی به مهاجمی هستند که یک درخواست طراحی شده ویژه در پیام ارسال شده توسط وب سایت به پایگاه داده اضافه می کند.

یک حمله موفقیت آمیز، کوئری پایگاه داده را به گونه ای تغییر می دهد که به جای اطلاعاتی که وب سایت انتظار داشت، اطلاعات مورد نظر مهاجم را برمی گرداند. تزریق SQL حتی می تواند اطلاعات مخرب را تغییر داده یا به پایگاه داده اضافه کند.

 

۴.۲ اسکریپت بین سایتی (XSS)

حملات اسکریپت نویسی بین سایتی شامل تزریق اسکریپت های مخرب سمت مشتری به یک وب سایت و استفاده از وب سایت به عنوان یک روش انتشار است.

خطر XSS این است که به مهاجم اجازه می دهد محتوا را به یک وب سایت تزریق کند و نحوه نمایش آن را تغییر دهد و مرورگر قربانی را مجبور کند که کد ارائه شده توسط مهاجم را هنگام بارگذاری صفحه اجرا کند. اگر یک مدیر سایت وارد شده کد را بارگیری کند، اسکریپت با سطح امتیاز آنها اجرا می شود که به طور بالقوه می تواند منجر به تصاحب سایت شود.

 

۴.۳ Credential Brute Force Attacks

دسترسی به بخش مدیریت وب سایت، کنترل پنل یا حتی سرور SFTP یکی از رایج ترین بردارهایی است که برای به خطر انداختن وب سایت ها استفاده می شود. مراحل بسیار ساده می باشند؛ مهاجمان اساساً یک اسکریپت را برنامه‌ریزی می‌کنند تا چندین ترکیب نام کاربری و رمز عبور را امتحان کند تا زمانی که یکی را پیدا کند که کار می‌کند.

پس از اعطای دسترسی، مهاجمان می‌توانند انواع فعالیت‌های مخرب، از کمپین‌های هرزنامه گرفته تا استخراج‌کنندگان سکه و دزدان کارت اعتباری را راه‌اندازی کنند.

 

۴.۴ آلودگی و حملات بدافزار وب سایت

 

با استفاده از برخی از مسائل امنیتی قبلی به عنوان ابزاری برای دسترسی غیرمجاز به یک وب سایت، مهاجمان می توانند:

• اسپم سئو را در صفحه تزریق کنید
• برای حفظ دسترسی، یک درب پشتی رها کنید
• اطلاعات بازدیدکنندگان یا داده های کارت اعتباری را جمع آوری کنید
• برای افزایش سطح دسترسی، اکسپلویت ها را روی سرور اجرا کنید
• از رایانه های بازدیدکنندگان برای استخراج ارزهای دیجیتال استفاده کنید
• اسکریپت های فرمان و کنترل بات نت ها را ذخیره کنید
• نمایش تبلیغات ناخواسته، هدایت بازدیدکنندگان به سایت های کلاهبرداری
• میزبانی دانلودهای مخرب
• حملات را علیه سایت های دیگر راه اندازی کنید

 

۴.۵ DoS/DDoS

حمله انکار سرویس توزیع شده (DDoS) یک حمله اینترنتی غیر نفوذی است. برای از بین بردن وب سایت مورد نظر یا کاهش سرعت آن با پر کردن شبکه، سرور یا برنامه با ترافیک جعلی ساخته شده است.

حملات DDoS تهدیدهایی هستند که صاحبان وب سایت باید با آنها آشنا شوند زیرا بخش مهمی از چشم انداز امنیتی هستند. هنگامی که یک حمله DDoS یک نقطه پایانی آسیب‌پذیر را هدف قرار می‌دهد، حتی مقدار کمی ترافیک برای موفقیت آمیز بودن حمله کافی است.

 

 

۵

 

امنیت وب سایت تجارت الکترونیک و انطباق با PCI

استانداردهای امنیت داده های صنعت کارت پرداخت (PCI-DSS) الزامات را برای صاحبان وب سایت های دارای فروشگاه های آنلاین بیان می کند. این الزامات به شما کمک می کند تا مطمئن شوید که اطلاعات دارنده کارت را که به عنوان یک فروشگاه آنلاین جمع آوری می کنید، به درستی ایمن می کنید.

 

تحت PCI DSS، داده های دارنده کارت که باید ایمن شوند به شماره حساب اصلی کامل (PAN) اشاره دارد، اما ممکن است به شکل یکی از موارد زیر نیز ظاهر شود:

• اطلاعات نوار مغناطیسی کامل (یا معادل تراشه)
• تاریخ انقضا
• کد سرویس
• کد پین ارقام CVV
• نام و/یا نام خانوادگی دارنده کارت

 

مقررات انطباق با PCI صرف نظر از اینکه داده ها را به صورت دیجیتالی، کتبی به اشتراک می گذارید یا با فرد دیگری که به داده ها دسترسی دارد صحبت می کنید اعمال می شود.

برای وب‌سایت‌های تجارت الکترونیک، بسیار مهم است که تمام تلاش خود را انجام دهید تا اطمینان حاصل شود که داده‌های دارنده کارت از مرورگر به وب سرور با رمزگذاری مناسب از طریق HTTPS منتقل می‌شوند. همچنین باید هنگام انتقال به هر سرویس پردازش پرداخت شخص ثالث، به طور ایمن در سرور ذخیره شود و به طور مشابه رمزگذاری شود.

هکرها ممکن است سعی کنند داده های دارنده کارت را در هر زمان، خواه این داده ها در حالت استراحت یا در حال انتقال باشند، سرقت یا رهگیری کنند. راهنمای انطباق PCI و چک لیست ما می تواند به شما کمک کند تا در مورد چگونگی برآورده کردن این الزامات قدم بردارید

 

 

۶

 

چارچوب امنیتی وب سایت

صرف نظر از اندازه کسب و کار شما، ایجاد یک چارچوب امنیتی می تواند به کاهش ریسک کلی شما کمک کند.

موسسه ملی استانداردها و فناوری ایالات متحده (NIST) چارچوب امنیت سایبری را توسعه داده است که اساس چارچوب اصول امنیت وب سایت ما را در این راهنما تشکیل می دهد.

دانستن امنیت یک فرآیند مستمر به این معنی است که با پایه گذاری یک چارچوب امنیتی وب سایت شروع می شود. این چارچوب شامل ایجاد یک “فرهنگ امنیت” است که در آن ممیزی های برنامه ریزی شده به ساده و به موقع نگه داشتن کارها کمک می کند.

پنج عملکرد: شناسایی، محافظت، تشخیص، پاسخ و بازیابی به همراه اقداماتی که باید اعمال شوند با جزئیات بیشتری توضیح داده می شوند.

 

 

 

 

۶.۱ شناسایی

در این مرحله تمام موجودی و مدیریت دارایی مستند و بررسی می شود.

 

موجودی و مدیریت دارایی را می توان یک قدم جلوتر در زیر مجموعه های زیر برد:

• ویژگی های وب
• وب سرورها و زیرساخت ها
• پلاگین ها، برنامه های افزودنی، تم ها و ماژول ها
• ادغام و خدمات شخص ثالث
• نقاط دسترسی / گره ها

 

هنگامی که لیستی از دارایی های وب سایت خود را تهیه کردید، می توانید اقداماتی را برای حسابرسی و دفاع از هر یک از آنها در برابر حملات انجام دهید.

 

۶.۲ محافظت کنید

دلایل زیادی وجود دارد که چرا داشتن اقدامات پیشگیرانه امنیت وب بسیار مهم است، اما از کجا شروع کنید؟ اینها به عنوان فناوری های محافظ و لایه های دفاعی شناخته می شوند.

گاهی اوقات این اقدامات الزامات انطباق مانند PCI را برآورده می کند، یا وصله و سخت کردن محیط هایی را که در برابر حمله آسیب پذیر هستند، آسان می کند. حفاظت همچنین می تواند شامل آموزش کارکنان و سیاست های کنترل دسترسی باشد.

یکی از بهترین راه ها برای ایمن سازی وب سایت، فعال کردن فایروال برنامه های وب است. وقت گذاشتن برای فکر کردن به فرآیندهای امنیتی، ابزارها و پیکربندی ها بر وضعیت امنیتی وب سایت شما تأثیر می گذارد.

 

۶.۳ شناسایی

نظارت مستمر مفهومی است که به پیاده‌سازی ابزارهایی برای نظارت بر وب‌سایت (دارایی‌ها) و هشدار به شما در مورد هرگونه مشکل اشاره دارد.

 

نظارت باید برای تأیید وضعیت امنیتی موارد زیر وجود داشته باشد:

•  رکوردهای DNS
• گواهینامه های SSL
• پیکربندی وب سرور
• به روز رسانی برنامه
• دسترسی کاربر
• یکپارچگی فایل

 

همچنین می‌توانید از اسکنرها و ابزارهای امنیتی (مانند SiteCheck) برای بررسی شاخص‌های آسیب‌پذیری یا آسیب‌پذیری استفاده کنید.

 

۶.۴ پاسخ دهید

تجزیه و تحلیل و کاهش به ایجاد دسته پاسخ کمک می کند. هنگامی که حادثه ای رخ می دهد، باید یک برنامه واکنش در محل وجود داشته باشد. داشتن یک برنامه واکنش قبل از یک حادثه سازش، برای روان معجزه می کند.

 

یک طرح مناسب واکنش به حادثه شامل:

• انتخاب یک تیم یا شخص واکنش به حادثه
• گزارش حادثه برای بررسی یافته ها
• کاهش رویداد

 

در طول فرآیند اصلاح، هرگز نمی دانیم که چه بدافزاری را می یابیم. برخی از مشکلات می توانند به سرعت پخش شوند و سایر وب سایت ها را در محیط های سرور مشترک آلوده کنند (آلودگی متقابل).

 

فرآیند واکنش به حادثه، همانطور که توسط NIST تعریف شده است، به چهار مرحله تقسیم می شود:

• آماده سازی و برنامه ریزی
• تشخیص و تجزیه و تحلیل
• مهار، ریشه کنی و بازیابی
• فعالیت های پس از حادثه

 

داشتن یک مرحله آماده سازی جامع و یک تیم امنیتی وب سایت که می توانید روی آنها حساب کنید برای موفقیت ماموریت بسیار مهم است.

 

در اینجا چیزی است که باید به نظر برسد:

 

آماده سازی و برنامه ریزی

در این مرحله، اطمینان حاصل می کنیم که قبل از وقوع حادثه، تمام ابزار و منابع لازم را در اختیار داریم.

این با بخش های قبلی در چارچوب امنیتی همراه است.

شرکت های میزبان با اطمینان از اینکه سیستم ها، سرورها و شبکه ها به اندازه کافی ایمن هستند، نقش مهمی در این مرحله ایفا می کنند. همچنین مهم است که اطمینان حاصل کنید که توسعه دهنده وب یا تیم فنی شما برای رسیدگی به یک حادثه امنیتی آماده است.

 

 

تشخیص و تجزیه و تحلیل

اگرچه روش های مختلفی برای حمله وجود دارد، اما باید برای مقابله با هر حادثه ای آماده باشیم. پس از صدها هزار پاسخ، بیشتر آلودگی‌ها را به مؤلفه‌های آسیب‌پذیر نصب شده در وب‌سایت (عمدتاً افزونه‌ها)، به خطر انداختن رمز عبور (گذرواژه ضعیف، نیروی بی‌رحمانه) و موارد دیگر محدود می‌کنیم.

بسته به موضوع و هدف، مرحله تشخیص می تواند دشوار باشد. برخی از مهاجمان به دنبال شهرت هستند، برخی دیگر ممکن است بخواهند از منابع استفاده کنند یا اطلاعات حساس (کارت اعتباری) را رهگیری کنند.

در برخی موارد، هیچ علامتی مبنی بر نصب یک درب پشتی وجود ندارد که منتظر دسترسی مهاجم برای فعالیت های مخرب است. بنابراین، به شدت توصیه می شود که مکانیسم هایی را برای اطمینان از یکپارچگی سیستم فایل خود پیاده سازی کنید.

 

مهار، ریشه کنی و بازیابی

در مورد مرحله «محدود کردن، ریشه‌کن کردن و بازیابی»، این فرآیند باید با نوع مشکل موجود در وب‌سایت و استراتژی‌های از پیش تعریف‌شده بر اساس حمله سازگار شود.

به عنوان مثال، عفونت‌های cryptominer معمولاً منابع زیادی را از سرور (leecher) مصرف می‌کنند و قبل از شروع فرآیند اصلاح، تیم واکنش به حادثه باید تهدید را مهار کند. مهار این حمله گامی حیاتی برای جلوگیری از تخلیه منابع اضافی و آسیب بیشتر است.

این سیستم تصمیم گیری و استراتژی ها بخش مهمی از این مرحله است. به عنوان مثال، اگر فایل خاصی را ۱۰۰% مخرب تشخیص دهیم، باید اقدامی برای پاک کردن آن انجام شود. اگر فایل حاوی کد تا حدی مخرب باشد، فقط آن قطعه باید حذف شود. هر سناریو باید فرآیند خاصی داشته باشد.

اگرچه روش های مختلفی برای حمله وجود دارد، اما باید برای مقابله با هر حادثه ای آماده باشیم. پس از صدها هزار پاسخ، بیشتر آلودگی‌ها را به مؤلفه‌های آسیب‌پذیر نصب‌شده در وب‌سایت (بیشتر افزونه‌ها)، به خطر انداختن رمز عبور (گذرواژه ضعیف، نیروی بی‌رحمانه) و موارد دیگر محدود می‌کنیم.

 

فعالیت های پس از حادثه

آخرین اما نه کم‌اهمیت، «فعالیت‌های پس از حادثه» را می‌توان مرحله «درس‌های آموخته‌شده» نیز نامید.

در این مرحله، تیم واکنش به حادثه باید گزارشی ارائه دهد که جزئیات آن چه اتفاق افتاده، چه اقداماتی انجام شده و مداخله چقدر خوب بوده است. ما باید در مورد حادثه فکر کنیم، از آن درس بگیریم و برای جلوگیری از مسائل مشابه در آینده اقدام کنیم. این اقدامات می تواند به سادگی به روز رسانی یک جزء، تغییر رمز عبور یا افزودن فایروال وب سایت برای جلوگیری از حملات در لبه باشد.

بازبینی اقداماتی را که بخش شما باید انجام دهد تا به تقویت وضعیت امنیتی خود ادامه دهد، انجام دهید. در مرحله بعد، مطمئن شوید که این اقدامات را در سریع ترین زمان ممکن انجام می دهید.

 

می توانید تمام اقدامات بعدی را بر اساس نکات زیر استوار کنید:

• دسترسی جهانی به سایت خود (یا مناطق خاص) را از طریق روش های GET یا POST برای به حداقل رساندن قرار گرفتن در معرض محدود کنید.
• مجوزهای دایرکتوری و فایل را به روز کنید تا اطمینان حاصل کنید که دسترسی خواندن/نوشتن به درستی تنظیم شده است.
• نرم افزار/موضوع/افزونه های قدیمی را به روز کنید یا حذف کنید.
• پسوردهای خود را بلافاصله با یک سیاست رمز عبور قوی بازنشانی کنید.
• ۲FA/MFA را تا جایی که ممکن است فعال کنید تا لایه دیگری از احراز هویت اضافه شود.

 

علاوه بر این، اگر به طور فعال از فایروال برنامه کاربردی وب (WAF) استفاده می کنید، پیکربندی موجود خود را برای شناسایی تنظیمات احتمالی که باید انجام شود، بررسی کنید. به یاد داشته باشید که اگرچه WAF ها به رعایت چندین استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) کمک می کنند، اما آنها یک راه حل گلوله نقره ای نیستند. عوامل دیگری نیز وجود دارد که می تواند بر کسب و کار شما تأثیر بگذارد، به خصوص عامل انسانی.

 

۶.۵ بازیابی

برنامه ریزی بهبود زمانی اتفاق می افتد که در صورت وقوع یک حادثه، بررسی کامل تمام مراحل انجام شود. Recover همچنین به داشتن یک برنامه پشتیبان برای موقعیت‌هایی که تمام مراحل قبلی شکست خورده‌اند، برای مثال، در صورت حملات باج‌افزار، مربوط می‌شود. این فرآیند همچنین باید شامل تنظیم زمان برای صحبت با فروشنده امنیتی خود در مورد چگونگی بهبود نقاط ضعف باشد. آنها برای ارائه بینشی در مورد آنچه که می توان انجام داد مجهزتر هستند.

 

یک استراتژی ارتباطی داشته باشید

اگر اطلاعاتی در معرض خطر است، به مشتریان خود اطلاع دهید. این امر به ویژه در صورتی مهم است که شما یک کسب و کار در اتحادیه اروپا هستید که طبق ماده ۳۳ قانون حفاظت از داده های عمومی (GDPR) سازمانی باید ظرف ۷۲ ساعت نقض داده را گزارش کند.

از پشتیبان گیری خودکار استفاده کنید

مهم نیست که برای امنیت وب سایت خود چه کاری انجام می دهید، خطر هرگز صفر نخواهد بود. اگر عملکرد وب سایت شما آسیب دیده باشد، به راهی برای بازیابی سریع داده ها نیاز دارید – نه تنها یک راه، بلکه حداقل دو روش. داشتن یک نسخه پشتیبان محلی از کل برنامه و یک نسخه پشتیبان خارجی که مستقیماً به برنامه متصل نباشد در صورت خرابی سخت افزار یا حمله ضروری است.

 

۷

 

چگونه از وب سایت خود محافظت کنید و امنیت را حفظ کنید

 

اهمیت امنیت وب سایت را نمی توان نادیده گرفت. در این بخش نحوه ایمن سازی و محافظت از وب سایت خود را بررسی خواهیم کرد. این یک راهنمای گام به گام نیست، اما دستورالعمل های امنیتی وب سایت را برای یافتن خدمات مناسب برای نیازهای خود به شما ارائه می دهد.

 

۷.۱ همه چیز را به روز کنید

وب سایت های بی شماری هر روز به دلیل نرم افزارهای قدیمی و ناامن در معرض خطر قرار می گیرند.

مهم است که به محض اینکه یک افزونه یا نسخه CMS جدید در دسترس است، سایت خود را به روز کنید. این به‌روزرسانی‌ها ممکن است فقط شامل پیشرفت‌های امنیتی باشند یا آسیب‌پذیری را اصلاح کنند.

اکثر حملات وب سایت ها خودکار هستند. ربات ها دائماً هر سایتی را که می توانند برای هر فرصت بهره برداری اسکن می کنند. دیگر به‌روزرسانی یک‌بار در ماه یا حتی هفته‌ای یک‌بار به‌اندازه کافی خوب نیست، زیرا ربات‌ها به احتمال زیاد قبل از اصلاح آن آسیب‌پذیری را پیدا می‌کنند.

به همین دلیل است که باید از فایروال وب سایت استفاده کنید که به محض انتشار به روز رسانی ها، حفره امنیتی را عملاً وصله می کند.

اگر یک وب سایت وردپرس دارید، یکی از افزونه هایی که باید در نظر بگیرید WP Updates Notifier است. زمانی که یک افزونه یا به‌روزرسانی هسته وردپرس در دسترس است، به شما ایمیل می‌فرستد.

 

۷.۲ رمزهای عبور قوی داشته باشید

داشتن یک وب سایت امن بستگی زیادی به وضعیت امنیتی شما دارد. آیا تا به حال به این فکر کرده اید که چگونه رمز عبوری که استفاده می کنید می تواند امنیت وب سایت شما را تهدید کند؟

به منظور پاکسازی وب‌سایت‌های آلوده، اصلاح‌کننده‌ها باید با استفاده از جزئیات کاربر سرپرست خود وارد سایت یا سرور مشتری شوند. آنها ممکن است از اینکه ببینند رمزهای عبور root چقدر ناامن هستند شگفت زده شوند. با لاگین هایی مانند admin/admin ممکن است اصلا رمز عبور نداشته باشید.

لیست های زیادی از رمزهای عبور نقض شده آنلاین وجود دارد. هکرها اینها را با لیست کلمات فرهنگ لغت ترکیب می کنند تا لیست های بزرگتری از رمزهای عبور بالقوه ایجاد کنند. اگر گذرواژه‌هایی که استفاده می‌کنید در یکی از این لیست‌ها قرار دارند، زمان زیادی است که سایت شما به خطر بیفتد.

 

بهترین روش های رمز عبور قوی

 

بهترین روش ها برای داشتن یک رمز عبور قوی عبارتند از:

از رمزهای عبور خود استفاده مجدد نکنید: هر رمز عبوری که دارید باید منحصر به فرد باشد. یک مدیر رمز عبور می تواند این کار را آسان تر کند.

داشتن رمزهای عبور طولانی: بیش از ۱۲ کاراکتر را امتحان کنید. هر چه رمز عبور طولانی تر باشد، برنامه کامپیوتری برای شکستن آن زمان بیشتری نیاز دارد.

از گذرواژه‌های تصادفی استفاده کنید: برنامه‌های شکستن رمز عبور می‌توانند در عرض چند دقیقه میلیون‌ها کلمه عبور را حدس بزنند، اگر حاوی کلماتی هستند که به صورت آنلاین یا در فرهنگ لغت یافت می‌شوند. اگر کلمات واقعی در رمز عبور خود دارید، تصادفی نیست. اگر بتوانید به راحتی رمز عبور خود را بیان کنید، به این معنی است که به اندازه کافی قوی نیست. حتی استفاده از جایگزینی کاراکتر (یعنی جایگزینی حرف O با عدد ۰) کافی نیست. چندین مدیر رمز عبور مفید وجود دارد، مانند LastPass (آنلاین) و KeePass 2 (آفلاین). این ابزارها همه رمزهای عبور شما را در قالب رمزگذاری شده ذخیره می کنند و به راحتی می توانند رمزهای عبور تصادفی را با کلیک یک دکمه ایجاد کنند. مدیران رمز عبور با حذف کار به خاطر سپردن گذرواژه‌های ضعیف‌تر یا یادداشت کردن آنها، استفاده از رمزهای عبور قوی را ممکن می‌سازند.

 

۷.۳ یک سایت = یک کانتینر

میزبانی وب‌سایت‌های زیادی روی یک سرور می‌تواند ایده‌آل به نظر برسد، به خصوص اگر یک برنامه میزبانی وب «نامحدود» داشته باشید. متأسفانه، این یکی از بدترین شیوه های امنیتی است که می توانید از آن استفاده کنید. میزبانی بسیاری از سایت ها در یک مکان یک سطح حمله بسیار بزرگ ایجاد می کند.

باید توجه داشته باشید که آلودگی متقاطع بسیار رایج است. زمانی است که سایتی به دلیل ایزوله ضعیف روی سرور یا پیکربندی حساب، تحت تأثیر منفی سایت‌های همسایه در همان سرور قرار می‌گیرد.

به عنوان مثال، یک سرور حاوی یک سایت ممکن است یک نصب وردپرس با یک موضوع و ۱۰ افزونه داشته باشد که به طور بالقوه می تواند توسط یک مهاجم هدف قرار گیرد. اگر اکنون پنج سایت را روی یک سرور واحد میزبانی کنید، مهاجم ممکن است سه نصب وردپرس، دو نصب جوملا، پنج موضوع و ۵۰ افزونه داشته باشد که می‌توانند اهداف بالقوه باشند. بدتر از آن، هنگامی که یک مهاجم یک اکسپلویت را در یک سایت پیدا کرد، عفونت می تواند به راحتی به سایت های دیگر در همان سرور سرایت کند.

این نه تنها می تواند منجر به هک شدن همه سایت های شما به طور همزمان شود، بلکه فرآیند پاکسازی را نیز بسیار وقت گیر و دشوار می کند. مکان های آلوده می توانند به عفونت مجدد یکدیگر ادامه دهند و باعث ایجاد یک حلقه بی پایان شوند.

پس از موفقیت آمیز بودن پاکسازی، اکنون در مورد بازنشانی رمزهای عبور خود، وظیفه بسیار بزرگتری دارید. به جای فقط یک سایت، تعدادی از آنها را دارید. هر رمز عبور مرتبط با هر وب سایت روی سرور باید پس از از بین رفتن عفونت تغییر یابد.

این شامل تمام پایگاه های داده CMS شما و کاربران پروتکل انتقال فایل (FTP) برای هر یک از آن وب سایت ها می شود. اگر این مرحله را رد کنید، همه وب‌سایت‌ها ممکن است دوباره آلوده شوند و باید فرآیند را مجدداً راه‌اندازی کنید.

 

۷.۴ محدود کردن دسترسی و مجوزهای کاربر

کد وب سایت شما ممکن است توسط یک مهاجم هدف قرار نگیرد، اما کاربران شما هدف قرار خواهند گرفت. ثبت آدرس های IP و تمام سابقه فعالیت ها بعداً در تجزیه و تحلیل پزشکی قانونی مفید خواهد بود.

به عنوان مثال، افزایش زیاد تعداد کاربران ثبت نام شده ممکن است نشان دهنده شکست در فرآیند ثبت نام باشد و به اسپمرها اجازه دهد تا سایت شما را با محتوای جعلی پر کنند.

 

اصل کمترین امتیاز

 

اصل کمترین امتیاز حول یک اصل متمرکز است که به دنبال انجام دو چیز است:

• استفاده از حداقل مجموعه امتیازات در یک سیستم به منظور انجام یک عمل
• اعطای آن امتیازات فقط برای زمانی که اقدام لازم است

 

اعطای امتیازات به نقش های خاص به آنها دیکته می کند که چه کاری می توانند انجام دهند و چه کاری نمی توانند انجام دهند. در یک سیستم کامل، نقش هر کسی را که تلاش می‌کند عملی فراتر از آنچه برای آن طراحی شده انجام دهد متوقف می‌کند.

به عنوان مثال، فرض کنید یک مدیر می تواند HTML بدون فیلتر را به پست ها تزریق کند یا دستوراتی را برای نصب افزونه ها اجرا کند. آیا این یک آسیب پذیری است؟ نه، این یک ویژگی است، بر اساس یک عنصر بسیار مهم – اعتماد.

با این حال، آیا یک نویسنده باید از همان امتیازات و دسترسی برخوردار باشد؟ نقش های جداگانه ای را بر اساس اعتماد در نظر بگیرید و همه حساب ها را قفل کنید.

این فقط برای سایت هایی اعمال می شود که چندین کاربر یا ورود به سیستم دارند. مهم است که هر کاربر مجوز مناسبی را که برای انجام کار خود نیاز دارد، داشته باشد. اگر مجوزهای افزایش یافته به طور لحظه ای مورد نیاز است، آن را اعطا کنید. سپس پس از اتمام کار آن را کاهش دهید.

به عنوان مثال، اگر شخصی می خواهد یک پست وبلاگ مهمان برای شما بنویسد، مطمئن شوید که حساب کاربری او دارای امتیازات کامل مدیر نیست. این حساب فقط باید بتواند پست های جدید ایجاد کند و پست های خود را ویرایش کند زیرا نیازی به تغییر تنظیمات وب سایت وجود ندارد.

تعریف دقیق نقش های کاربر و قوانین دسترسی، هرگونه اشتباهی را که ممکن است انجام شود محدود می کند. همچنین پیامدهای حساب‌های در معرض خطر را کاهش می‌دهد و می‌تواند در برابر آسیب‌های وارد شده توسط کاربران سرکش محافظت کند.

این بخشی از مدیریت کاربر است که اغلب نادیده گرفته می شود: مسئولیت پذیری و نظارت. اگر چند نفر یک حساب کاربری واحد را به اشتراک بگذارند و یک تغییر ناخواسته توسط آن کاربر ایجاد شود، چگونه متوجه می‌شوید که کدام فرد در تیم شما مسئول بوده است؟

هنگامی که برای هر کاربر حساب‌های جداگانه‌ای دارید، می‌توانید با بررسی گزارش‌ها و آگاهی از تمایلات معمول آنها، مانند زمان و مکان دسترسی به وب‌سایت، مراقب رفتار آنها باشید. به این ترتیب، اگر کاربر در یک ساعت فرد یا از یک مکان مشکوک وارد سیستم شود، می توانید بررسی کنید.

حفظ گزارش های حسابرسی برای حفظ هر گونه تغییر مشکوک در وب سایت شما حیاتی است. گزارش حسابرسی سندی است که رویدادها را در یک وب‌سایت ثبت می‌کند تا بتوانید ناهنجاری‌ها را شناسایی کنید و با شخص مسئول تأیید کنید که حساب در معرض خطر قرار نگرفته است.

البته ممکن است برای برخی از کاربران انجام دستی گزارش های حسابرسی سخت باشد. اگر یک وب سایت وردپرس دارید، می توانید از افزونه امنیتی رایگان Sucuri استفاده کنید که می تواند از مخزن رسمی وردپرس دانلود شود.

 

مجوزهای فایل

 

مجوزهای فایل مشخص می کند که چه کسی می تواند با یک فایل چه کاری انجام دهد. هر فایل دارای سه مجوز در دسترس است و هر مجوز با یک عدد نشان داده می شود:

• خواندن (۴): محتویات فایل را مشاهده کنید
• نوشتن (۲): محتویات فایل را تغییر دهید
• Execute (1): فایل یا اسکریپت برنامه را اجرا کنید

 

اگر می خواهید چندین مجوز را مجاز کنید، به سادگی اعداد را با هم اضافه کنید، به عنوان مثال. برای اجازه خواندن (۴) و نوشتن (۲) شما مجوز کاربر را روی ۶ تنظیم می کنید. اگر می خواهید به کاربر اجازه دهید (۴)، بنویسد (۲) و (۱) را اجرا کند، مجوز کاربر را روی ۷ تنظیم می کنید.

انواع کاربر

 

همچنین سه نوع کاربر وجود دارد:

Owner: معمولا سازنده فایل است، اما این را می توان تغییر داد. فقط یک کاربر می تواند مالک باشد.

گروه: به هر فایل یک گروه اختصاص داده می شود و هر کاربری که بخشی از آن گروه باشد این مجوزها را دریافت می کند.

عمومی: هر کس دیگری.

 

بنابراین، اگر می‌خواهید مالک دسترسی خواندن و نوشتن داشته باشد، گروه دسترسی فقط خواندنی داشته باشد و عموم دسترسی نداشته باشند، تنظیمات مجوز فایل باید به صورت زیر باشد:

 

 

۷.۵ تنظیمات پیش فرض CMS را تغییر دهید

۷.۶ انتخاب پسوند

انتخاب برنامه‌های افزودنی امن

 

در اینجا مواردی وجود دارد که هنگام تصمیم گیری برای استفاده از برنامه های افزودنی باید به دنبال آنها باشید:

• آخرین باری که افزونه به‌روزرسانی شد: اگر آخرین به‌روزرسانی بیش از یک سال پیش باشد، ممکن است نویسنده کار روی آن را متوقف کرده باشد. از افزونه‌هایی استفاده کنید که به طور فعال در حال توسعه هستند، زیرا نشان می‌دهد که در صورت کشف مشکلات امنیتی، نویسنده حداقل مایل به اجرای یک اصلاح است. علاوه بر این، اگر یک برنامه افزودنی توسط نویسنده پشتیبانی نمی‌شود، اگر به‌روزرسانی‌های اصلی باعث تداخل شوند، ممکن است از کار بیفتد.
• سن برنامه افزودنی و تعداد نصب‌ها: افزونه‌ای که توسط یک نویسنده معتبر ایجاد شده و نصب‌های متعددی دارد، قابل اعتمادتر از برنامه‌ای است که تعداد نصب‌های آن توسط یک برنامه‌نویس برای اولین بار منتشر شده است. نه تنها توسعه دهندگان با تجربه ایده بهتری در مورد بهترین شیوه های امنیتی دارند، بلکه احتمال اینکه با درج کدهای مخرب در برنامه افزودنی خود به شهرت خود آسیب برسانند نیز بسیار کمتر است.
• منابع قانونی و قابل اعتماد: افزونه ها، برنامه های افزودنی و تم های خود را از منابع قانونی دانلود کنید. مراقب نسخه های رایگانی باشید که ممکن است دزدی شده و آلوده به بدافزار باشند. برخی از برنامه های افزودنی وجود دارند که تنها هدف آنها آلوده کردن هر چه بیشتر وب سایت ها به بدافزار است.

۷.۷ پشتیبان گیری از وب سایت داشته باشید

در صورت هک، پشتیبان گیری از وب سایت برای بازیابی وب سایت شما از یک حادثه امنیتی مهم بسیار مهم است. اگرچه نباید جایگزینی برای داشتن یک راه حل امنیتی وب سایت در نظر گرفته شود، یک نسخه پشتیبان می تواند به بازیابی فایل های آسیب دیده کمک کند.

انتخاب بهترین راه حل پشتیبان گیری وب سایت

 

یک راه حل پشتیبان خوب باید شرایط زیر را برآورده کند:

• اول، آنها باید خارج از سایت باشند. اگر نسخه‌های پشتیبان شما در سرور وب‌سایت شما ذخیره می‌شوند، به اندازه هر چیز دیگری در مقابل حملات آسیب‌پذیر هستند. شما باید نسخه های پشتیبان خود را خارج از سایت نگه دارید زیرا می خواهید اطلاعات ذخیره شده شما در برابر هکرها و خرابی سخت افزار محافظت شود. ذخیره کردن نسخه پشتیبان در وب سرور شما نیز یک خطر امنیتی بزرگ است. این پشتیبان‌گیری‌ها همیشه شامل نسخه‌های وصله‌نشده CMS و افزونه‌های شما هستند که به هکرها امکان دسترسی آسان به سرور شما را می‌دهند.
• دوم اینکه پشتیبان گیری شما باید خودکار باشد. شما هر روز کارهای زیادی انجام می دهید که به یاد داشته باشید از وب سایت خود نسخه پشتیبان تهیه کنید ممکن است غیر قابل تصور باشد. از یک راه حل پشتیبان استفاده کنید که می تواند برای رفع نیازهای وب سایت شما برنامه ریزی شود.
• برای اتمام، بازیابی قابل اعتمادی داشته باشید. این به این معنی است که از نسخه های پشتیبان خود نسخه پشتیبان تهیه کرده و آنها را آزمایش کنید تا مطمئن شوید که واقعاً کار می کنند. شما چندین نسخه پشتیبان را برای افزونگی می خواهید. با این کار می توانید فایل ها را از نقطه ای قبل از وقوع هک بازیابی کنید.

 

۷.۸ فایل های پیکربندی سرور

فایل های پیکربندی وب سرور خود را بشناسید: وب سرورهای آپاچی از فایل htaccess.، سرورهای Nginx از nginx.conf، سرورهای Microsoft IIS از web.config استفاده می کنند.

اغلب در فهرست وب ریشه یافت می شود، فایل های پیکربندی سرور بسیار قدرتمند هستند. آنها به شما اجازه می دهند قوانین سرور را اجرا کنید، از جمله دستورالعمل هایی که امنیت وب سایت شما را بهبود می بخشد. اگر مطمئن نیستید که از کدام وب سرور استفاده می کنید، وب سایت خود را از طریق Sitecheck اجرا کنید و روی برگه جزئیات وب سایت کلیک کنید.

 

بهترین روش های وب سرور

 

در اینجا چند بهترین روش برای افزودن برای یک وب سرور خاص وجود دارد:

• جلوگیری از مرور دایرکتوری: این امر از مشاهده محتوای هر دایرکتوری در وب سایت توسط کاربران مخرب جلوگیری می کند. محدود کردن اطلاعات موجود برای مهاجمان همیشه یک اقدام احتیاطی امنیتی مفید است.
• جلوگیری از اتصال سریع تصویر: در حالی که این یک بهبود جدی امنیتی نیست، اما از نمایش تصاویر میزبانی شده در وب سرور شما توسط سایر وب سایت ها جلوگیری می کند. اگر مردم شروع به اتصال تصاویر از سرور شما کنند، پهنای باند برنامه میزبانی شما ممکن است به سرعت از نمایش تصاویر برای سایت شخص دیگری استفاده کند.
• محافظت از فایل های حساس: می توانید قوانینی را برای محافظت از فایل ها و پوشه های خاص تنظیم کنید. فایل های پیکربندی CMS یکی از حساس ترین فایل های ذخیره شده در وب سرور هستند زیرا حاوی جزئیات ورود به پایگاه داده به صورت متن ساده هستند. مکان‌های دیگر، مانند مناطق مدیریت، می‌توانند قفل شوند. همچنین می‌توانید اجرای PHP را در دایرکتوری‌هایی که تصاویر را نگه می‌دارند یا اجازه آپلود را می‌دهند، محدود کنید.

 

۷.۹ یک گواهی SSL نصب کنید

گواهینامه های SSL برای رمزگذاری داده ها در حال انتقال بین میزبان (وب سرور یا فایروال) و مشتری (مرورگر وب) استفاده می شود. این کمک می کند تا اطمینان حاصل شود که اطلاعات شما به سرور مناسب ارسال می شود و رهگیری نمی شود.

برخی از انواع گواهینامه های SSL مانند SSL سازمان یا SSL اعتبار سنجی توسعه یافته، لایه دیگری از اعتبار را اضافه می کنند زیرا بازدیدکننده می تواند جزئیات سازمان شما را ببیند و بداند که شما یک نهاد قانونی هستید.

به عنوان یک شرکت امنیتی وب سایت، وظیفه ما آموزش وب مسترها و اطلاع رسانی به آنهاست که گواهینامه های SSL از وب سایت ها در برابر حملات و هک محافظت نمی کند. گواهی‌های SSL داده‌ها را در حین انتقال رمزگذاری می‌کنند، اما یک لایه محافظ به خود وب‌سایت اضافه نمی‌کنند.

 

۷.۱۰ ابزارهای اسکن و نظارت را نصب کنید

برای اطمینان از یکپارچگی برنامه، تمام مراحل را زیر نظر بگیرید. مکانیسم‌های هشدار می‌توانند زمان پاسخ و کنترل آسیب را در صورت رخنه بهبود بخشند. بدون بررسی و اسکن، چگونه متوجه می شوید که وب سایت شما در معرض خطر قرار گرفته است؟

لاگ حداقل یک ماه می تواند برای تشخیص نقص برنامه بسیار مفید باشد. آنها همچنین نشان می دهند که آیا سرور تحت حمله DDoS یا با استرس غیر ضروری مواجه است.

تمام اقداماتی را که در بخش‌های حیاتی برنامه، به‌ویژه (اما نه منحصراً) در بخش‌های مدیریتی رخ می‌دهند، ثبت و به طور منظم مرور کنید. یک مهاجم می‌تواند سعی کند بعداً از بخش کمتر حیاتی سایت برای دسترسی به سطح بالاتر سوء استفاده کند.

مطمئن شوید که محرک هایی ایجاد می کنید تا در صورت حمله brute force یا تلاش برای سوء استفاده از ویژگی های سایت، از جمله موارد غیر مرتبط با سیستم های احراز هویت، به شما هشدار دهند.

مهم است که مرتباً به‌روزرسانی‌ها را بررسی کرده و آنها را اعمال کنید تا مطمئن شوید که آخرین وصله‌های امنیتی را دارید. این امر به ویژه در صورتی صادق است که فایروال برنامه وب را برای مسدود کردن تلاش‌های سوء استفاده از آسیب‌پذیری فعال نکنید.

 

 

۷.۱۱ بهترین شیوه های امنیت شخصی را دنبال کنید

ایمن سازی رایانه شخصی شما یک وظیفه مهم برای صاحبان وب سایت است. دستگاه های شما می توانند به یک ناقل عفونت تبدیل شوند و باعث هک شدن وب سایت شما شوند.

اگر وب سایت شما هک شده باشد، یک راهنمای امنیتی خوب وب سایت به اسکن رایانه شما برای بدافزار اشاره می کند. بدافزارها از طریق ویرایشگرهای متن و کلاینت‌های FTP از رایانه کاربر آلوده می‌پرند.

شما باید تمام برنامه های استفاده نشده را از رایانه خود حذف کنید. این مرحله مهم است زیرا این برنامه‌ها همچنین می‌توانند مشکلات حریم خصوصی را نیز داشته باشند، درست مانند افزونه‌ها و تم‌های استفاده نشده در وب‌سایت شما.

اگر چیزی نصب نشده باشد، نمی‌تواند تبدیل به یک بردار حمله برای آلوده کردن دستگاه شما، به ویژه برنامه‌های افزودنی مرورگر شود. زمانی که مدیران وب‌سایت‌ها وارد رابط‌های مدیریتی خود شده‌اند، به وب‌سایت‌ها دسترسی کامل دارند. هرچه کمتر در رایانه خود نصب کرده باشید بهتر است.

اگر از هدف یک برنامه خاص مطمئن نیستید، به صورت آنلاین تحقیق کنید تا تأیید کنید که آیا لازم است یا چیزی که می توانید حذف کنید. اگر قصد استفاده از آن را ندارید، آن را حذف کنید.

 

 

۷.۱۲ یک فایروال وب سایت دریافت کنید

استفاده از گواهینامه های SSL به تنهایی برای جلوگیری از دسترسی مهاجم به اطلاعات حساس کافی نیست. یک آسیب‌پذیری در برنامه وب شما می‌تواند به مهاجم اجازه دهد ترافیک را استراق سمع کند، بازدیدکننده‌ای را به وب‌سایت‌های جعلی بفرستد، اطلاعات نادرست را نمایش دهد، یک وب‌سایت را گروگان نگه دارد (باج‌افزار) یا تمام داده‌های آن را پاک کند.

حتی با یک برنامه کاملاً وصله‌شده، مهاجم همچنین می‌تواند سرور یا شبکه شما را با استفاده از حملات DDoS برای کند کردن وب‌سایت یا حذف آن هدف قرار دهد.

یک فایروال برنامه کاربردی وب (WAF) برای جلوگیری از چنین حملاتی علیه وب سایت ها طراحی شده است و به شما امکان می دهد روی تجارت خود تمرکز کنید.

 

 

۷.۱۳ از یک سرویس امنیتی وب سایت استفاده کنید

سرویس امنیتی وب سایت ما از سایت شما در برابر کدهای آسیب پذیر، کنترل های دسترسی ضعیف و بهره برداری از منابع سرور محافظت می کند تا اطمینان حاصل کند که آنلاین و ایمن برای بازدیدکنندگان سایت باقی می ماند. به ما اجازه دهید وب سایت خود را ایمن کنیم تا بتوانید روی کاری که بهترین انجام می دهید تمرکز کنید.

 

۸

 

اقدامات امنیتی اضافی وب سایت

 

 

۸.۱ ابزارهای محافظت از وب سایت

 

در اینجا چند ابزار امنیتی رایگان وب سایت آورده شده است:

• SiteCheck – بررسی امنیت وب سایت رایگان و اسکنر بدافزار
• Sucuri Load Time Tester – سرعت وب سایت را بررسی و مقایسه کنید
• افزونه امنیتی وردپرس Sucuri – حسابرسی، اسکنر بدافزار و سخت‌سازی امنیت برای وب‌سایت‌های وردپرس
• Google Search Console – اعلان‌های امنیتی و ابزارهایی برای اندازه‌گیری ترافیک و عملکرد جستجوی وب‌سایت‌ها
• Bing Webmaster Tools – تشخیص موتورهای جستجو و گزارش های امنیتی
• Yandex Webmaster – جستجوی وب و اطلاعیه های نقض امنیت
• Unmask Parasites – صفحات را برای محتوای غیرقانونی پنهان بررسی کنید
• بهترین نرم افزار امنیت وب سایت – مقایسه خدمات امنیتی وب سایت پولی
• بهترین WAF – مقایسه بهترین فایروال های کاربردی وب مبتنی برابر

 

۸.۲ منابع بیشتر

در اینجا برخی از منابع امنیتی وب سایت آموزشی آورده شده است: 

• Sucuri Labs – تحقیقات تهدید، پایگاه داده امضای بدافزار و آمار
• وبلاگ Sucuri – آخرین اخبار امنیتی وب سایت
• OWASP – پروژه امنیتی برنامه وب باز
• چک لیست الزامات انطباق PCI – چک لیست الزامات انطباق PCI
• موسسه SANS – آموزش امنیت اطلاعات، صدور گواهینامه و تحقیق
• NIST – موسسه ملی استاندارد و فناوری

 

چرا امنیت وب سایت مهم است؟

امنیت وب سایت برای آنلاین نگه داشتن وب سایت و ایمن نگه داشتن آن برای بازدیدکنندگان حیاتی است. بدون توجه مناسب به امنیت وب سایت، هکرها می توانند از وب سایت شما سوء استفاده کنند، آن را آفلاین کنند و بر حضور آنلاین شما تأثیر بگذارند. تاثیرات یک وب سایت هک شده می تواند شامل ضرر مالی، مشکلات شهرت برند و رتبه بندی ضعیف موتورهای جستجو باشد.

 

خطرات امنیتی برای یک وب سایت چیست؟

خطرات امنیتی اصلی یک وب سایت عبارتند از: کد آسیب پذیر، کنترل های دسترسی ضعیف، و بهره برداری از منابع سرور. به عنوان مثال، حملات DDoS می تواند یک وب سایت را در عرض چند دقیقه در دسترس بازدیدکنندگان قرار دهد. دلایل زیادی برای هک شدن وب سایت ها وجود دارد. یک رمز عبور ضعیف یا افزونه قدیمی می تواند منجر به هک شدن وب سایت شود.

چه چیزی یک وب سایت را ایمن می کند؟

یک وب سایت امن دارای فایروال برنامه وب است که برای جلوگیری از حملات و هک ها فعال شده است. همچنین از بهترین شیوه های امنیتی وب سایت پیروی می کند و هیچ مشکل پیکربندی یا آسیب پذیری شناخته شده ای ندارد. می‌توانید از SiteCheck برای مشاهده اینکه آیا یک وب‌سایت دارای فایروال، هر گونه ناهنجاری امنیتی، بدافزار یا در لیست مسدود شده است یا خیر، استفاده کنید.

آیا برای وب سایت خود به امنیت نیاز دارم؟

بله کاملا. امنیت وب سایت در اکثر بسته های میزبانی وب گنجانده نشده است. مسئولیت ایمن سازی وب سایت بر عهده صاحب وب سایت است. امنیت باید یکی از اولین ملاحظات در هنگام راه‌اندازی یک وب‌سایت و یک فرآیند مداوم بررسی باشد. اگر یک وب سایت امن نباشد، می تواند به میوه ای کم ارزش برای مجرمان سایبری تبدیل شود.

چگونه وب سایت خود را ایمن کنم؟

• شما می توانید با پیروی از بهترین روش های امنیتی وب سایت، مانند:
• از فایروال وب سایت استفاده کنید.
• همیشه از آخرین نسخه CMS وب سایت، افزونه ها، تم ها و خدمات شخص ثالث استفاده کنید.
• رمزهای عبور قوی را حفظ و اجرا کنید.
• فقط نوع دسترسی را اعطا کنید که شخصی برای انجام یک کار به آن نیاز دارد.
• ابزارهای اسکن و نظارت را برای اطمینان از یکپارچگی وب سایت خود نصب کنید.
• برای رمزگذاری داده ها، گواهی های SSL را نصب کنید.
• از وب سایت پشتیبان تهیه کنید.

روزانه چند وب سایت هک می شوند؟

برای خوانندگانی که به دنبال آخرین و روندها هستند، وضعیت جرایم سایبری و بدافزار را در آخرین گزارش وب سایت هک شده ۲۰۲۱ خود بیان کرده ایم. ما به بررسی تعداد وب‌سایت‌هایی که در سال ۲۰۲۱ در معرض خطر قرار گرفته‌اند می‌پردازیم، انواع خاصی از بدافزارها و آسیب‌پذیری‌هایی را که در طول تلاش‌های پاکسازی و اصلاح بر مشتریان ما تأثیر می‌گذارند، بررسی می‌کنیم، و توضیح می‌دهیم که چگونه می‌توانید خطر را برای جلوگیری از عفونت کاهش دهید.