اگر به فکر امنیت سایت تان نیستید پس وب سایت شما در معرض خطر است. البته هدف ترساندن تان نیست، اما این واقعیت دنیای وب است، دنیایی که در آن هر روزه حدود 30000 وب سایت هک می شوند! در این مقاله قصد داریم تا به شما نشان دهیم برای ایمن سازی وب سایت خود چه کاری باید انجام دهید.

تهدیدات رایج امنیت سایت

وب سایت ها به روش های مختلفی مورد حمله قرار می گیرند. بنابراین قبل از اینکه ادامه دهیم، مروری کوتاه بر روی برخی از رایج ‌ترین تهدیدات امنیت ‌سایت داشته باشیم.

اسپم (Spam)

در سایت تان ممکن است با پیام های تبلیغاتی زیادی روبرو شوید که گاها پیشنهادهای وسوسه انگیزی هم می دهند، اما بهتر است که آن ها را نادیده بگیرید. به اینگونه پیام ها هرزنامه گفته می شود که در سایت ها بسیار رایج است. ربات ها با ایجاد لینک در بخش نظرات سایت، سعی در لینک سازی دارند. برای مثال به نمونه های زیر دقت کنید، این ها مواردی هستند که مخرب محسوب می شوند:

  • پیام هایی که ارسال می شوند نامفهوم هستند و ممکن است باعث بسته شدن قسمت نظرات برای دیگر کاربران واقعی شوند.
  • دارای لینک های فیشینگ و بدافزار هستند و ممکن است بر آمار بازدیدکنندگان سایت آسیب برسانند.

علاوه بر این، خزنده های (کرالرها) گوگل اغلب می توانند URL های مخرب را شناسایی کرده و وب سایت شما را به عنوان میزبان هرزنامه ها جریمه کنند. این کار بر روی رتبه سئوی وب سایت تان اثر می گذارد.

ویروس ها و بدافزارها

بدافزار به معنی "نرم افزار مخرب" است. بنابراین بدافزارها و ویروس ها اساساً یک چیزند و بدون شک بزرگترین تهدید برای امنیت وب سایت شما هستند. روزانه 350،000 نمونه بدافزار ایجاد می شود!

ویروس ها اغلب برای دسترسی به داده های خصوصی یا استفاده از منابع سرور ایجاد می شوند. هکرها می توانند بدافزار را به روش های مختلف از جمله ایمیل، تغییر مسیر و هک مستقیم، وارد زیرساخت رایانه شما کنند.

بزرگترین توصیه ما: روی پیوندهای عجیب و غریب کلیک نکنید. ممکن است در یک نگاه خوب به نظر برسند، اما افتادن در دام آن ها آسان تر از آنچه فکر می کنید است. 

با بدافزار، هم شما و هم بازدیدکنندگان وب سایتتان در خطر هستید. شخصی که از سایت شما بازدید می کند می تواند روی لینکی کلیک کند که یک فایل مخرب باشد. وظیفه شما این است که امنیت سایت تان را تامین کنید و از وقوع چنین آسیب پذیری هایی جلوگیری کنید.

ثبت دامنه WHOIS

خرید نام دامنه مانند خرید یک خانه است. شرکتی که خانه را می فروشد باید بداند که به چه کسی می فروشد و بتواند با آن ها تماس بگیرد. در مورد خرید وب سایت هم همینطور است. بسته به کشوری که در آن هستید، از شما خواسته می‌شود اطلاعاتی را درباره خودتان منتشر کنید که در داده ‌های WHOIS ثبت می شود.

جدا از اطلاعات شخصی شما، whois حاوی اطلاعاتی درباره سرورهای نام URL شما یا همان DNS ها است (این ها سرورهایی هستند که نام دامنه شما را به وب سرور واقعی تان متصل می کنند).

هکرها می توانند از این اطلاعات برای محدود کردن سرورتان استفاده کنند. آن ها می توانند از آن به عنوان یک دروازه برای دسترسی به وب سرور شما استفاده کنند.

حملات DDoS

حملات DDoS دسترسی کاربرانی که سعی در بازدید از یک وب سایت خاص دارند را منع می کند. اساساً، هکر از آدرس های IP جعلی برای بارگذاری بیش از حد ترافیک در سرورها استفاده می کند. این کار باعث آفلاین شدن وب سایت می شود. در این روش ترافیک وب سایت شما با درخواست ها و داده های جعلی پر می شود و سرور شما از ارائه خدمات به کاربران اصلی سایتتان، باز می ماند.

لیست سیاه موتورهای جستجو

اگر امنیت سایت تان را تامین نکنید اثرات مخربی در پی دارد. به عنوان مثال، اگر وب سایت شما مورد حمله قرار گیرد، ممکن است گوگل آن را شناسایی کند و رتبه سئوی شما را کاهش دهد.

طبق یک مطالعه اخیر، انگیزه نفوذ به 74 درصد از وب سایت های هک شده به دلایل مرتبط با سئو، مانند اضافه کردن بک لینک بوده است. آن ها همچنین می توانند صفحات وب جدیدی را در سایتتان ایجاد کنند یا با استفاده از ریدایرکت، یک سایت کاملاً متفاوت را نمایش دهند تا رتبه شما را پایین بیاورند و رتبه هر سایتی را که می خواهند افزایش دهند.

اگر تعداد زیادی از کاربران، سایت شما را هرزنامه یا ناامن گزارش کنند، به لیست سیاه موتور جستجو اضافه می شوید. بهترین راه برای جلوگیری از گزارش شدن به گوگل این است که طبق قوانین آن بازی کنید. این کار با افزایش امنیت سایت شما شروع می شود.

چگونه امنیت سایت را تامین کنیم؟

حالا که با برخی از رایج ترین تهدیدات امنیتی آشنا شده اید، باید در مورد جلوگیری از وقوع آن ها در وب سایت خود اقداماتی را انجام دهید.

نمی توانید همین طوری تصور کنید که وب سایتتان امن است. اگر کاری برای تقویت امنیت سایت انجام نداده اید، احتمالاً در برابر حملات آسیب پذیر است. حتی اگر کاری انجام داده اید، باید سایت خود را به روز کنید و مطمئن شوید که هنوز امن است. اینترنت به سرعت تغییر می کند و جایی برای استفاده از کلمه "احتمالا" وجود ندارد!

از پروتکل HTTPS استفاده کنید.

اگر وب‌ سایت شما در حال حاضر از پروتکل HTTPS استفاده نمی ‌کند، باید در بالای لیست اولویت‌ های تان قرار بگیرد. پروتکل HTTPS اساسا به بازدیدکنندگان وب سایت شما می گوید که با سرور مناسب در حال تعامل هستند و هیچ چیز دیگری نمی تواند محتوایی را که مشاهده می کنند تغییر دهد یا رهگیری کند.

بدون HTTPS یک هکر می تواند اطلاعات موجود در صفحه را تغییر دهد تا اطلاعات شخصی بازدیدکنندگان سایت شما را جمع آوری کند. به عنوان مثال، آن ها می توانند اطلاعات ورود و رمز عبور کاربران را سرقت کنند.

پروتکل HTTPS همچنین رتبه جستجوی شما را بهبود می بخشد. گوگل به وب سایت هایی که از این معیار امنیتی استفاده می کنند پاداش می دهد. این پروتکل خیال بازدید کنندگان سایت تان را هم آسوده می کند. وقتی در حال بازدید از سایت شما هستند، در کنار URL  چنین چیزی را مشاهده می کنند:

پروتکل Https مهمترین بخش امنیتی سایت است

این سایت ایمن و قابل اعتماد است. اکنون، آن را با سایتی مقایسه کنید که از پروتکل HTTPS استفاده نمی کند. URL در مرورگر وب به شکل زیر خواهد بود:

نمونه ای از یک سایت نا ایمن

قطعا در این وب سایت احساس امنیت نمی کنیم. علاوه بر این، می ‌توانید HTTPS را با گواهی SSL یا همان TLS (لایه سوکت‌های امن) ترکیب کنید تا امنیت سایت تان بیشتر شود. این مورد برای وب سایت های فروشگاهی ضروری است زیرا کاربران اطلاعات حساسی مانند شماره کارت اعتباری، نام و آدرس را در سایت ثبت می کنند.

نرم افزار خود را به روز کنید

مطمئن شوید که جدیدترین نسخه نرم افزار وردپرس یا دیگر CMS ها، افزونه ها و هر چیز دیگری که نیاز به به روزرسانی دارد را دارید.

علاوه بر رفع اشکالات، به روزرسانی نرم افزار معمولاً با پیشرفت های امنیتی همراه است. هیچ نرم افزاری کامل نیست هکرها همیشه به دنبال راه هایی برای استفاده از آسیب پذیری ها هستند.

بسیاری از حملات سایبری خودکار هستند. مجرمان از ربات ها برای اسکن وب سایت هایی که آسیب پذیر هستند استفاده می کنند. بنابراین، اگر نرم افزارهای خود را مرتب به روز نمی کنید، هکرها قبل از اینکه بتوانید کاری انجام دهید، سایت تان را به آسانی شناسایی و مورد هدف قرار می دهند.

یک هاستینگ ایمن انتخاب کنید

اگر از ارائه دهنده میزبانی که امنیت سرورهای خود را تامین می کند، هاست خریداری کنید، امنیت سایت شما هم در سطوح سرور تامین است. اما همیشه اینگونه نیست.

اگر به دلیل قیمت پایین - که وسوسه کننده نیز هست - میزبانی مشترک تهیه کنید، ممکن است امنیت سایت تان را به خطر بیاندازید. همانطور که از نام آن پیداست، در صورت انتخاب این نوع برنامه میزبانی، سرور سایت شما با وب سایت های دیگر به اشتراک گذاشته می شود!

اگر یکی از آن سایت ها مورد حمله قرار گیرد، یک هکر می تواند به سروری که شما هم از آن استفاده می کنید، دسترسی پیدا کند. این بدان معناست که هکرها ممکن است به وب سایت شما آسیب بزنند حتی اگر شما مستقیماً هدف نباشید.

منظور این نیست که نباید از میزبانی مشترک استفاده کنید و در برخی مواقع بسته به نوع وب سایت تان، این نوع میزبانی بهترین گزینه است؛ اما اگر سایت شما حاوی اطلاعات مهمی از کاربران است گزینه های دیگری مانند VPS و یا هاست اختصاصی انتخاب بهتری هستند.

رمز عبور خود را تغییر دهید

این کار را به طور منظم (هر 6 ماه تا یک سال) انجام دهید و انجام آن بسیار مهم است. بعضی افراد از رمز عبور یکسانی برای همه اکانت های خود استفاده می کنند. مشکل اینجاست:

اگر هکرها به رمز عبور شما دسترسی پیدا کنند، چیزهای دیگری مانند حساب های بانکی، حساب شبکه های اجتماعی و موارد دیگر را هم امتحان خواهند کرد. اگر رمز عبور یکسانی را روی چندین حساب مختلف نگه داشته اید، در واقع کلید اصلی زندگی اینترنتی خود را به هکرها داده اید.

به طرز تکان دهنده ای، 25 درصد از رمزهای عبور را می توان تنها در سه ثانیه هک کرد.

کامپیوتر شخصی خود را ایمن کنید

هکرها می توانند با سرقت لاگین FTP از طریق رایانه شخصی شما، فایل های مخرب را به وب سایت ها تزریق کنند. به همین دلیل است که شما به یک آنتی ویروس خوب در رایانه خود نیاز دارید.

از ابزارهایی برای نظارت بر امنیت خود استفاده کنید

شما هرگز نمی توانید به صورت دستی از حملات به سایت خود جلوگیری کنید. در عوض، به دنبال ابزارها و منابع آنلاینی باشید که امنیت سایت شما را برای شما کنترل می کنند. برای مثال اگر از وردپرس استفاده می کنید افزونه های فایروال می توانند در تامین امنیت سایت به شما کمک کنند.

دسترسی کاربران را محدود کنید

95 درصد از حملات امنیت سایبری نتیجه خطای انسانی است. به همین دلیل بسیار مهم است که خود و کارمندان تان را در مورد اهمیت امنیت سایبری آموزش دهید. بهترین راه برای جلوگیری از این امر، محدود کردن تعداد افرادی است که می توانند خطا کنند.

همه کارمندان کسب و کار شما نباید به وب سایت دسترسی داشته باشند و در صورت نیاز بسته به فعالیتی که دارند به آن ها اجازه دسترسی و تغییر در سایت را بدهید.

از وب سایت خود نسخه پشتیبان تهیه کنید

وقتی نوبت به ایمن سازی وب سایت می رسد، همیشه باید برای بدترین شرایط آماده شوید. قطعا نمی خواهید هیچ تجربه بدی داشته باشید اما در صورتی که سایت شما دچار مشکل شد بهتر است از قبل از آن بکاپ گرفته باشید.

بنابراین سعی کنید از یک پلاگین پشتیبان مانند BackupBuddy استفاده کنید (البته اگر وب سایت شما وردپرسی است) تا مطمئن شوید که چیزی را در وب سایت خود در نتیجه حمله سایبری از دست نمی دهید.

نمونه ای از یک افزونه بکاپ وردپرس

تغییر تنظیمات پیش فرض CMS

بسیاری از حملات سایبری این روزها خودکار هستند. هکرها ربات ها را برای یافتن سایت هایی با تنظیمات پیش فرض برنامه ریزی می کنند. به این ترتیب می توانند طیف وسیع تری از وب سایت ها را هدف قرار دهند و با استفاده از همان نوع بدافزار یا ویروس به آن دسترسی پیدا کنند.

هنگامی که CMS مورد نظر خود را نصب کردید، برخی از تنظیمات پیش فرض را تغییر دهید:

  • تنظیم نظرات
  • کنترل کاربران
  • قابل مشاهده بودن اطلاعات
  • مجوزهای فایل

نتیجه

امنیت وب سایت باید اولویت تان باشد. هکرها به دنبال سایت هایی هستند که امنیت پایینی دارند و موارد بالا را رعایت نکرده اند، به همین دلیل گزینه مناسبی برای حمله هستند. اگر امنیت سایت خود را به طور کامل رعایت کنید، نیازی نیست که شب ها نگران بخوابید. پس همین الان یک لیست از موارد بالا بردارید و به ترتیب در سایت تان بررسی کنید.