چگونه از وبسایت خود محافظت کنیم؟
امنیت سایت می تواند موضوعی پیچیده (یا حتی گیج کننده) باشد که همیشه در حال تحول است. این راهنما برای ایجاد یک چارچوب مشخص برای صاحبان وبسایت است که به دنبال کاهش خطر و به کارگیری اصول امنیتی بر روی وبسایت خود هستند .
قبل از شروع ، بسیار مهم است که بخاطر بسپاریم که ایجاد امنیت، در یک مرحله انجام نمیشود. بلکه باید به آن را یك فرآیند مداوم فرض کنید كه نیاز به ارزیابی مداوم برای كاهش خطرات كلی سایت دارد .
ابزار سئویی پیشنهادیبررسی امنیت سایت
با استفاده از رویکردی منظم برای امنیت سایت، می توانیم پروسه ایمن سازی را به یک پیاز تشبیه کنیم که لایه های بسیار زیادی دارد. لایه های آن در جهت دفاع بوده و همه با هم جمع می شوند تا یک قطعه را تشکیل دهند . ما باید امنیت سایت را به صورت جامع مشاهده کنیم و با استراتژی دفاع در عمق، به آن نزدیک شویم.
امنیت سایت چیست؟
امنیت وبسایت اقداماتی است که برای ایمن سازی سایت در برابر حملات سایبری انجام می شود. امنیت سایت یک فرایند مداوم است و بخش مهمی از مدیریت یک وب سایت را تشکیل می دهد.
امنیت وب سایت بسیار مهم است، زیرا هیچ کس نمی خواهد یک وب سایت هک شده داشته باشد. داشتن یک وب سایت ایمن، به اندازه داشتن خود وب سایت برای حضور آنلاین و راه درآمد، حیاتی است. به عنوان مثال اگر یک وب سایت هک شده و در لیست سیاه قرار گرفته باشد، تا 98٪ از ترافیک خود را از دست می دهد. نداشتن یک وب سایت امن می تواند بدتر از داشتن وب سایت بد باشد. به عنوان مثال، امنیت پایین می تواند منجر به نقض اطلاعات مشتری شده که درگیری، جریمه های سنگین و ازبین رفتن محبوبیت سایت را در پی خواهد داشت.
این مطلب میتونه کمکت کنه!افزایش ترافیک سایت
استراتژی دفاع در عمق
استراتژی دفاع در عمق برای امنیت وب سایت، به عمق دفاع و وسعت سطح حمله نگاه می کند تا ابزارهای مورد استفاده را برای امنیت تجزیه و تحلیل کند. این رویکرد، تصویری دقیق تر از چشم انداز تهدید امنیت وب سایت امروز را ارائه می دهد.
نگاه حرفه ای ها به امنیت وبسایت چگونه است؟
ما نمی توانیم آمار را فراموش کنیم، زیرا باعث می شود امنیت وب سایت، صرف نظر از اندازه وبسایت ، موضوعی قانع کننده برای هر تجارت آنلاین باشد.
پس از تجزیه و تحلیل بیش از 1000 پاسخ نظرسنجی از متخصصان وب، از بینش هایی درباره منظره امنیتی پرده برداشتیم:
67٪ مراجعین وب درباره امنیت وب سایت سؤال کرده اند، اما تنها کم تر از 1٪ از پاسخ دهندگان، امنیت وب سایت را به عنوان خدمات ارائه می دهند.
حدود 72٪ متخصصان وب، نگران تجربه حمله سایبری در سایت های مشتری هستند.
چرا وبسایت ها هک می شوند؟
بیش از 1.94 میلیارد وب سایت وجود دارد. این یک زمین بازی عالی و گسترده برای فعالان مجرم است.
غالباً تصور اشتباهی در مورد هک شدن وب سایت ها وجود دارد. دارندگان و سرپرستان این وبسایت ها غالباً معتقدند که هک نمی شوند، زیرا سایت های آن ها کوچک است و بنابراین امنیت کم تری را اعمال می کنند. آن ها عقیده دارند اگر هکرها بخواهند اطلاعاتی را بدزدند یا خرابکاری هایی انجام دهند ، می توانند سایت های بزرگتری را انتخاب کنند. اما هکر ها برای اهداف دیگرشان (که رایج تر است) ، سایت های کوچک را نیز به اندازه کافی ارزشمند می دانند.
برای هک کردن وب سایت ها اهداف مختلفی وجود دارد، اما اصلی ترین ها شامل این موارد هستند:
بهره برداری از بازدید کنندگان سایت.
سرقت اطلاعات ذخیره شده در سرور.
فریب ربات ها و خزنده ها (سئوی کلاه سیاه).
سوء استفاده از منابع سرور.
شیطنت خالص (جبران خسارت).
این مطلب میتونه کمکت کنه!سئوی کلاه سیاه چیست ؟
حملات وب سایت خودکار
متاسفانه این حملات کیفیت اتوماسیون را کاهش می دهند و اجازه می دهند تا احتمال قرار گرفتن در معرض جرم، و شانس برای موفق به سازش، صرف نظر از میزان ترافیک و یا محبوبیت از وب سایت افزایش یابد.
در حقیقت، اتوماسیون در دنیای هک کردن پادشاهی می کند. حملات خودکار اغلب شامل آسیب پذیری های شناخته شده برای تحت تأثیر قرار دادن زیر مجموعه بزرگی از سایت ها می باشد، گاهی اوقات حتی بدون اطلاع صاحب سایت.
حملات خودکار در فرصت های مختلف انجام می شوند. برخلاف تصور عموم، حملات خودکار به دلیل سهولت دسترسی، بسیار رایج تر از حملاتی هدفمند و دستی است.
ملاحظات امنیتی CMS
با استفاده از سیستم مدیریت محتوای منبع باز (CMS) مثل WordPress ، Magento ، Joomla به طور متوسط، حفظ امنیت برای صاحب سایت آسانتر می شود.
در حالی که این سیستم عامل ها اغلب به روزرسانی های امنیتی مکرر را ارائه می دهند، استفاده از مؤلفه های قابل توسعه شخص ثالث – مانند افزونه ها یا مضامین – منجر به آسیب پذیری هایی می شود که حمله کنندگان می توانند به راحتی از آن استفاده کنند.
ما راهنماهای امنیتی وب سایت دقیقی را برای هر CMS محبوب تهیه کرده ایم تا به صاحبان وب سایت کمک کنیم از سایت های خود محافظت کنند و تهدیدات را کاهش دهند.
امنیت اطلاعات CIA Triad
امنیت اطلاعات وبسایت دارای سه اصل است – محرمانه بودن، یکپارچگی و در دسترس بودن.
از این مدل برای توسعه سیاست های تأمین امنیت سایت ها استفاده می شود.
محرمانه بودن
محرمانه بودن به کنترل دسترسی اطلاعات گفته می شود، افرادی که دسترسی ندارند، بعدا هم دسترسی پیدا نکنند. این کار را می توان با تعیین گذرواژه ها، نام های کاربری و سایر مؤلفه های کنترل دسترسی انجام داد.
یکپارچگی
یکپارچگی اطمینان حاصل می کند که اطلاعاتی که کاربران نهایی دریافت می کنند، توسط کسی غیر از صاحب سایت تغییر نمی یابد و فقط او می تواند آن ها را تغییر دهد. این نوع امنیت اغلب با رمزگذاری انجام می شود، مانند گواهینامه های (Secure Socket Layer (SSL که اطمینان حاصل می کنند که داده ها در هنگام گذر، رمزگذاری شوند.
این مطلب میتونه کمکت کنه!آموزش فعالسازی SSL
در دسترس بودن
اصل در دسترس بودن، این مثلث را دور می زند و اطمینان می دهد که در صورت لزوم، می توان به اطلاعات دسترسی داشت. شایع ترین تهدید برای دسترسی به وب سایت، حمله (Distributed Denial of Service (DDoS است.
اکنون که در حملات خودکار و هدفمند پیش زمینه ای داریم، می توانیم به رایج ترین تهدید های امنیتی وب سایت بپردازیم.
آسیب پذیری ها و تهدیدات وب سایت
در این قسمت از سایت رایج ترین آسیب پذیری ها و تهدیدات امنیتی وب سایت ذکر شده است:
تزریق SQL
حملات تزریق SQL با تزریق کد مخرب در یک پرس و جوی آسیب پذیر SQL انجام می شود. این کدها به مهاجم اجازه میدهند در پیامی که وب سایت به پایگاه داده ارسال می کند، درخواستی خاص و ساختگی را اضافه کند.
یک حمله موفق، کوئری پایگاه داده را به گونه ای تغییر می دهد که بتواند به جای اطلاعات اصلی وبسایت، اطلاعات مورد نظر مهاجم را بازگرداند. تزریق SQL حتی می تواند اطلاعات پایگاه داده را تغییر دهد یا اطلاعات مخرب را به پایگاه داده اضافه کند.
اسکریپت نویسی ضربدری سایت (XSS)
حملات اسکریپت کراس یا ضربدری سایت، شامل تزریق اسکریپت های مخرب سمت مشتری، به یک وب سایت و استفاده از وب سایت به عنوان یک روش انتشار است.
خطر XSS این است که به یک مهاجم اجازه می دهد تا محتوا را در یک وب سایت تزریق کند و نحوه نمایش آن را تغییر دهد و مرورگر قربانی را مجبور کند تا هنگام بارگیری صفحه، کد ارائه شده توسط مهاجم را وارد کند. اگر سرپرست سایت وارد شده و کد را بارگیری کند، اسکریپت با سطح امتیاز آنها اجرا می شود که می تواند منجر به تصاحب سایت شود.
حمله های Credential Brute Force
دسترسی به ناحیه مدیریتی وب سایت، کنترل پنل یا حتی به سرور SFTP یکی از بردارهای رایج است که برای به خطر انداختن وب سایت ها استفاده می شود. این مراحل بسیار ساده می باشند؛ مهاجمان در اصل، یک اسکریپت را اجرا میکنند تا چندین نام کاربری و کلمه عبور را امتحان کنند تا زمانی که یک نام کاربری و رمز درست را پیدا کنند.
مهاجمان پس از امکان دسترسی می توانند انواع فعالیت های مخرب، از کمپین های اسپم گرفته تا سرقت اطلاعات کارت های اعتباری را انجام دهند.
حملات بدافزار ویروس ها به وب سایت
مهاجمان با استفاده از برخی از موارد امنیتی قبلی به عنوان ابزاری برای دسترسی غیرمجاز به وب سایت، می توانند اقدامات زیر را انجام دهند:
ابزار سئویی پیشنهادیابزار بررسی بدافزار و ویروس توسط گوگل
تزریق سئوی اسپم در صفحه.
ایجاد یک در پشتی برای حفظ دسترسی.
جمع آوری اطلاعات بازدید کننده یا داده های کارت اعتباری.
سوء استفاده بر روی سرور برای افزایش سطح دسترسی
استفاده از از رایانه های بازدید کنندگان برای تصاحب ارزهای رمزگذاری شده.
ذخیره اسکریپت های فرمان و کنترل Botnetها.
نمایش تبلیغات ناخواسته، هدایت بازدید کنندگان به سایت های کلاهبرداری.
میزبانی دانلودهای مخرب
حمله به سایت های دیگر.
حمله DoS / DDoS
حمله DDoS یک حمله اینترنتی غیرقابل نفوذ است . در این حمله ، مهاجم با استفاده از ترافیک جعلی و سنگین کردن شبکه، سرور یا اپلیکیشن، تلاش میکند تا سایت را با اختلال روبرو سازد یا باعث کندی آن شود.
حملات DDoS تهدیدهایی هستند که صاحبان وب سایت، باید خود را با آن آشنا سازند زیرا یک قطعه مهم از منظر امنیتی است. هنگامی که یک حمله DDoS یک نقطه پایانی آسیب پذیر منابع را هدف قرار می دهد، حتی مقدار کمی ترافیک نیز برای موفقیت حمله کافی است.
امنیت وب سایت های فروشگاهی و انطباق PCI
استاندارد های امنیتی داده های صنعت پرداخت با کارت (PCI-DSS)، الزامات را برای صاحبان وب سایت های فروش آنلاین ارائه می دهد. این الزامات به شما اطمینان می دهد که می توانید داده های دارنده کارت را که به عنوان یک فروشگاه اینترنتی جمع می کنید به طور صحیح و تضمینی ایمن سازی کنید.
PCI به امنیت دارنده کارت و اطلاعات مربوط به شماره کامل حساب اصلی یا PAN اشاره دارد، اما ممکن است به شکل یکی از موارد زیر نیز ظاهر شود:
پداده های نوار مغناطیسی کامل (یا معادل تراشه)
تاریخ انقضا
کد خدمات
پین کد
CVV
نام و نام خانوادگی دارنده کارت
مقررات مربوط به انطباق PCI ، بدون توجه به اینکه داده ها را به صورت دیجیتالی یا به صورت کتبی به اشتراک می گذارید، اعمال می شود یا حتی ممکن است هنگامی که برای دسترسی به داده های دیگر با فرد دیگری صحبت می کنید، دست به کار شود.
برای وب سایت های تجارت الکترونیکی ، بسیار مهم است که اطمینان حاصل شود که داده های دارنده کارت از مرورگر به سرور وب، با رمزگذاری صحیح از طریق HTTPS، منتقل می شود. همچنین هنگام انتقال به هرگونه خدمات پردازش پرداخت شخص ثالث، باید به طور ایمن روی سرور ذخیره شود.
هکرها ممکن است سعی کنند داده های دارنده کارت را در هر زمان سرقت یا رهگیری کنند، خواه داده ها در حالت ساکن باشد و یا در حال انتقال. راهنما ها و رعایت چک لیست PCI می تواند به ما کمک کند تا چگونگی پاسخگویی به این شرایط را بفهمیم.
چارچوب امنیت وب سایت
صرف نظر از اندازه تجارت شما، ایجاد یک چارچوب امنیتی می تواند به کاهش خطر کلی کمک کند.
موسسه ملی استاندارد اطلاعات و فناوری ایالات متحده، چارچوب امنیت سایبری را ایجاد کرده است که اساس چارچوب اصول امنیت وب سایت ما را در این راهنما تشکیل می دهد.
دانستن امنیت، یک فرایند مداوم است که برای شروع آن با ایجاد یک چارچوب امنیت وب سایت آغاز می کنیم. این چارچوب مستلزم ایجاد “فرهنگ امنیتی” است که در آن حسابرسی های برنامه ریزی شده به ساده و به موقع به انجام شدن کارها کمک می کند.
پنج عملکرد شناسایی، محافظت، کشف، پاسخ و بازیابی با در ادامه با جزئیات بیشتر توضیح داده می شوند.
شناسایی (Identify)
در این مرحله تمام موجودی و مدیریت دارایی مستندسازی و بررسی می شود. موجودی و مدیریت دارایی را می توان این گونه نام برد:
خصوصیات وب
سرورها و زیرساخت های وب
افزونه ها، قالب ها، مضامین و ماژول ها
ادغام ها و خدمات شخص ثالث
نقاط دسترسی / گره ها.
پس از تهیه لیستی از دارایی های وب سایت خود، می توانید برای ممیزی و دفاع از هرکدام از آن ها در برابر حملات، قدم بردارید.
محافظت (Protect)
دلایل زیادی وجود دارد که چرا اجرای اقدامات پیشگیرانه بسیار مهم است، اما از کجا باید کار را شروع کنید؟ این اقدامات به عنوان فناوری های محافظتی و لایه های دفاعی شناخته می شوند.
بعضی اوقات این اقدامات ، الزامات مربوط به انطباق مانند PCI را برآورده می کند، یا پچ کردن و ایمن سازی محیط هایی که در معرض حمله قرار دارند را آسان می کند. حفاظت همچنین می تواند شامل سیاست های آموزش کارکنان و کنترل دسترسی باشد.
یکی از بهترین راه های محافظت از وب سایت شما، فعال کردن فایروال برنامه است. وقت گذاشتن برای فکر کردن به روش ها و راه های محافظتی، از طریق فرآیندهای امنیتی، ابزارها و پیکربندی ها ، بر وضعیت امنیتی وب سایت شما تأثیر خواهد گذاشت.
تشخیص (Detect)
نظارت مداوم مفهومی است که با اجرای ابزارهایی برای نظارت بر وبسایت(دارایی) شما انجام میشود. این ابزارها باید وجود هرگونه مشکل را به شما اطلاع دهند.
برای تأیید وضعیت امنیتی ، نظارت باید روی موارد زیر انجام شود:
[lgc_column grid=”50″ tablet_grid=”50″ mobile_grid=”100″ last=”false”][/lgc_column]
[lgc_column grid=”50″ tablet_grid=”50″ mobile_grid=”100″ last=”false”]
سوابق DNS
گواهینامه های SSL
پیکربندی سرور وب
به روز رسانی برنامه
دسترسی کاربر
یکپارچگی پرونده سایت
همچنین می توانید از اسکنرها و ابزار های امنیتی مانندsitecheck برای اسکن کردن شاخص های سازش یا آسیب پذیری استفاده کنید.
[/lgc_column]
پاسخ (Respond)
تجزیه و تحلیل به ایجاد دسته پاسخ کمک می کند. هنگامی که حادثه ای رخ داد ، باید یک برنامه پاسخگویی وجود داشته باشد. داشتن یک برنامه پاسخگویی قبل از حادثه سازش ، شگفت انگیز است.
یک برنامه پاسخ مناسب در مورد حادثه، شامل موارد زیر است:
انتخاب تیم یا شخص پاسخ دهنده حادثه
گزارش حادثه برای بررسی یافته ها
کاهش واقعه
در طی روند ترمیم، ما هرگز نمیتوانیم پیشبینی کنیم که با چه بدافزارهایی روبرو خواهیم شد. برخی از مشکلات می توانند به سرعت گسترش یابند و سایر وب سایت ها را در محیط های سرور اشتراکی آلوده کنند. (آلودگی متقابل)
روند پاسخ به حادثه، همانطور که توسط NIST تعریف شده است، به چهار مرحله گسترده تقسیم می شود:
تهیه و برنامه ریزی
تشخیص و تجزیه و تحلیل
مهار، ریشه کن کردن و بازیابی
فعالیت های بعد از حادثه
داشتن یک مرحله آماده سازی جامع و یک تیم امنیتی وب سایت که بتوانید روی آن حساب کنید، برای موفقیت این مرحله بسیار مهم است.
اقدامات باید این گونه باشند:
آماده سازی و برنامه ریزی
در این مرحله، باید مطمئن شویم که قبل از وقوع یک حادثه، همه ابزار و منابع لازم را در اختیار داریم.
این اقدام به صورت مشترک با بخش های قبلی در چارچوب امنیتی پیش می رود.
شرکت های هاستینگ با اطمینان از امنیت کافی سیستم ها، سرورها و شبکه ها در این مرحله نقش اساسی دارند. همچنین اطمینان حاصل کنید که توسعه دهنده وب یا تیم فنی شما برای رسیدگی به یک حادثه امنیتی آماده است.
تشخیص و تجزیه و تحلیل
اگرچه روش های مختلفی برای حمله وجود دارند، اما ما باید برای رسیدگی به هرگونه حادثه آماده باشیم. بعد از صدها هزار پاسخ، ما بیشتر ویروس های آسیب زننده را به اجزای نصب شده در وب سایت (بیشتر پلاگین ها)، سازش های رمز عبور (رمز عبور ضعیف ، brute force) و سایر موارد محدود می کنیم.
بسته به مشکل و قصدی که داریم، مرحله تشخیص می تواند کمی مشکل باشد. برخی از مهاجمان به دنبال شهرت هستند، برخی دیگر ممکن است بخواهند از منابع استفاده کنند یا اطلاعات حساس (کارت اعتباری) را به دست آورند.
در بعضی موارد، هیچ علامتی مبنی بر نصب یک پشتوانه یا در پشتی که مهاجم برای فعالیت های مخرب ازآن استفاده میکند، وجود ندارد. بنابراین، باید مکانیزمی پیاده سازی کنید که یکپارچگی سیستم فایلی شما را تضمین کند.
مهار، ریشه کن کردن و بازیابی
این روند باید با نوع مشکل موجود در وب سایت و استراتژی های از پیش تعریف شده بر اساس حمله انجام شده، سازگار شود.
به عنوان مثال، ویروس های کریپتوماینر (cryptominer)، معمولاً منابع زیادی را از طریق سرور (Leecher) مصرف می کنند و قبل از شروع روند اصلاح، تیم پاسخ به حادثه باید اقدام کند. مهار این حمله، یک اقدام اساسی برای جلوگیری از هدر رفتن منابع اضافی و آسیب بیشتر است.
این سیستم و استراتژی های تصمیم گیری، بخش مهمی از این مرحله است. به عنوان مثال، اگر یک پرونده خاص را 100٪ مخرب تشخیص دهیم، باید اقدامی برای پاک کردن آن انجام شود. اگر پرونده حاوی کد جزئی مخرب باشد، فقط باید آن قطعه حذف شود. هر سناریو باید یک روند خاص داشته باشد.
اگرچه روش های مختلفی برای حمله وجود دارد، اما باید برای رسیدگی به هرگونه حادثه آماده باشیم.
فعالیت های پس از حادثه
آخرین مرحله که بعنوان “فعالیت های پس از وقوع حادثه ” شناخته می شود، می تواند “مرحله درس عبرت ها ” نیز نامیده شود. در این مرحله، تیم واکنش حوادث باید گزارشی را ارائه دهد تا بیان کند جزئیات آن اتفاق چه بوده است، چه اقداماتی انجام شده است و حمله یا مداخله چگونه انجام شده است. باید درباره این حادثه تأمل کنید، از آن درس بگیرید و برای جلوگیری از وقوع مشکلات مشابه در آینده اقدام کنید. این اقدامات می تواند به آسانی به روزرسانی یک جزء، تغییر گذرواژه ها یا اضافه کردن فایروال وب سایت باشد تا از حملات در آینده جلوگیری شود.
برای ادامه استحکام وضعیت امنیتی خود، یک بررسی انجام دهید. بعد از آن، اطمینان حاصل کنید که این اقدامات را در اسرع وقت انجام دهید.می توانید تمام اقدامات بعدی را بر اساس نکات زیر پایه گذاری کنید:
دسترسی جهانی به سایت خود (یا مناطق خاص) را با استفاده از روش های GET یا POST محدود کنید تا قرار گرفتن در معرض حمله به حداقل برسد.مستندات و
مجوزهای پرونده را به روز کنید تا اطمینان حاصل شود که دسترسی های خواندن / نوشتن به درستی تنظیم شده است.
نرم افزار / تم / افزونه منسوخ را به روز رسانی یا حذف کنید.
رمزهای عبور خود را فوراً با یک خط مشی رمز عبور قوی تنظیم مجدد کنید.
برای افزودن یک لایه اضافی، تأیید اعتبار 2FA / MFA را فعال کنید.
علاوه بر این ها، اگر از یک فایروال برنامه وب (WAF) استفاده می کنید، پیکربندی موجود خود را بررسی کنید تا در صورت وجود گزینه هایی مناسب برای ایمن سازی بیشتر، آن ها را نیز فعال کنید.
به یاد داشته باشید که حتی اگر WAF ها در رعایت چندین استاندارد مربوط به امنیت داده کارت های پرداخت کمک کنند، اما باز هم همه اقدامات امنیتی نیستند. عوامل دیگری نیز وجود دارد که می تواند در کار شما، به ویژه در مورد عوامل انسانی تأثیر بگذارد.
بازیابی
برنامه ریزی بازیابی یا ریکاوری زمانی اتفاق می افتد که بررسی کامل کلیه مراحل انجام شده باشد. ریکاوری همچنین به معنای داشتن یک برنامه پشتیبان برای موقعیت هایی است که که در آن تمام مراحل قبلی شکست خورده اند به عنوان مثال ، در صورت حملات باج افزار.
این فرایند همچنین باید شامل صحبت با متخصص امنیتی شما در مورد چگونگی بهبود زمینه های ضعف نیز باشد. آن ها از تجهیزات بهتری برای ارائه بینش و آگاهی در مورد آنچه می توان انجام داد، برخوردار هستند.
یک استراتژی ارتباطی داشته باشید.
اگر اطلاعات شما در معرض خطر است، به مشتریان خود اطلاع دهید. این امر به صورت ویژه برای شرکت هایی که در اتحادیه اروپا هستند، مهم است و باید طبق 72 ماده آئین نامه عمومی حفاظت از داده ها ، نقض داده ها را طی 72 ساعت گزارش دهند.
از پشتیبان گیری خودکار استفاده کنید.
مهم نیست که برای تأمین امنیت وب سایت خود چه کاری انجام می دهید، اما خطر هرگز صفر نخواهد شد. اگر عملکرد وب سایت شما آسیب دیده است، به روشی برای بازیابی سریع اطلاعات نیاز دارید – نه تنها یک راه روش، بلکه حداقل دو روش نیاز است. داشتن پشتیبان محلی از کل برنامه و تهیه یک نسخه پشتیبان خارجی که به طور مستقیم در صورت خرابی سخت افزار یا حمله به برنامه وصل نشده باشد، ضروری است.
چگونه می توان وب سایت خود را ایمن کرد؟
اهمیت امنیت وب سایت را نمی توان نادیده گرفت. در این بخش نحوه ایمن سازی و محافظت از وب سایت شما را بررسی خواهیم کرد. این یک راهنمای گام به گام نیست اما شما را راهنمایی می کند تا بتوانید خدمات مناسب را برای نیازهای خود پیدا کنید.
همه چیز را به روزرسانی کنید.
وب سایت های بی شماری هر روز به دلیل نرم افزارهای منسوخ و ناامن به خطر می افتند.
مهم است که به محض دسترسی به افزونه جدید یا نسخه CMS ، سایت خود را به روز کنید. این به روز رسانی ها ممکن است حاوی پیشرفت های امنیتی باشند.
اکثر حملات به وب سایت ها به صورت خودکار انجام می شود. ربات ها به طور مداوم هر سایتی را که می توانند برای هرگونه فرصت بهره برداری، مفید باشند را اسکن می کنند. دیگر بروزرسانی یکبار در ماه یا حتی یک بار در هفته هم کافی نیست زیرا ربات ها به احتمال زیاد آسیب پذیری را قبل از پچ شدن آن، پیدا می کنند.
به همین دلیل شما باید از فایروال وب سایت استفاده کنید که به محض انتشار به روزرسانی ها، عملاً سوراخ امنیتی را برطرف خواهد کرد.
رمز عبور های قوی
داشتن وب سایت ایمن به وضعیت و اقدامات امنیتی شما بستگی دارد. آیا تاکنون به این فکر کرده اید که چگونه رمزهای عبور استفاده شده می توانند امنیت وب سایت شما را تهدید یا تامین کنند؟
به منظور پاکسازی وب سایت های آلوده، باید با استفاده از جزئیات کاربری مدیریت، وارد پنل مدیریت سایت یا سرور شوید. ممکن از از ناامنی و سادگی این جزئیات کاربری متعجب شوید. برای مثال استفاده از نام کاربری و رمزadmin/admin، مانند این است که هیچ رمزی برای ورود به وبسایت خود نگذاشته اید.
لیست های بسیاری از رمز عبورهای آنلاین وجود دارد. هکرها اینها را با لیست واژه های لغت نامه ترکیب می کنند تا لیست های بزرگتری از کلمات عبور احتمالی را تولید کنند. اگر گذرواژههایی که شما استفاده می کنید، در یكی از آن لیست ها قرار گرفته است ، مورد حمله قرار گرفتن وبسایت شما حتمی است.
بهترین شیوه های تعیین رمزهای عبور
بهترین روش های شما برای داشتن رمز عبور قوی عبارتند از:
از رمز های عبور خود استفاده مجدد نکنید: هر رمز عبوری که دارید، باید منحصر به فرد باشد. یک مدیریت صحیح از رمز عبور می تواند این کار را آسان تر کند.
دارای گذر واژه های طولانی: رمزهایی با بیش از 12 کاراکتر را امتحان کنید. هرچه گذرواژه طولانی تر باشد، حدس آن توسط برنامه های کامپیوتری سخت تر خواهد بود.
از رمزهای عبور تصادفی استفاده کنید: اگر حاوی کلماتی است که به صورت آنلاین یا در فرهنگ لغت یافتید، بهتر است بدانید برنامه های رمز عبور می توانند میلیون ها رمز را در عرض چند دقیقه حدس بزنند. اگر در گذرواژه خود کلمات واقعی دارید، یعنی رمز شما تصادفی نیست. اگر به راحتی می توانید رمز عبور خود را حدس بزنید و یا تلفظ کنید، به این معنی است که به اندازه کافی قوی نیست. حتی استفاده از روش تعویض کاراکترها (یعنی جایگزین کردن حرف O با عدد 0) کافی نیست. چندین برنامه مدیریت رمز عبور مانند LastPass (آنلاین) و KeePass 2 (آفلاین) وجود دارد که رمز های شما را با فرمت رمزگذاری شده ذخیره می کنند و به راحتی می توانند با کلیک یک دکمه، رمزهای عبور تصادفی تولید کنند. با استفاده از برنامه های مدیریت رمزعبور، میتوانید از رمزهای قوی و پیچیده استفاده کنید و دیگر نگران از یاد بردن آن ها نباشید.
یک سایت= یک کانتینتر
میزبانی وب سایت های بسیاری بر روی یک سرور واحد می تواند ایده آل به نظر برسد، به خصوص اگر برنامه میزبانی وب، “نامحدود” باشد. اما متأسفانه، این یکی از بدترین روش های امنیتی است که می توانستید به کار بگیرید. میزبانی بسیاری از سایت ها در یک مکان، سطح حمله بسیار وسیعی را فراهم می کند.
باید توجه داشته باشید که آلودگی متقابل سایت ها یا همان cross-site contamination بسیار رایج است. آلودگی متقابل زمانی اتفاق می افتد که که یک سایت به دلیل سطح پایین ایزوله شدن روی سرور یا پیکربندی ضعیف حساب، تحت تأثیر سایت های همسایه در همان سرور قرار بگیرد.
به عنوان مثال، یک سرور حاوی یک سایت، ممکن است یک نصب وردپرس با یک موضوع و 10 افزونه داشته باشد که به طور بالقوه توسط یک مهاجم قابل هدفگیری است. اگر اکنون میزبان پنج سایت در یک سرور واحد هستید، یک مهاجم ممکن است دارای سه نصب وردپرس، دو نصب جوملا، پنج موضوع و 50 افزونه باشد که می توانند اهداف بالقوه آن ها باشند. زمانی کار بدتر می شود که یک مهاجم در یک سایت سوء استفاده کند، سپس ویروس می تواند به راحتی در سایر سایت های میزبانی شده روی همان سرور پخش شود.
این امر نه تنها می تواند باعث هک شدن کلیه سایت های شما شود، بلکه باعث می شود روند پاکسازی بسیار وقت گیرتر و مشکل تر شود. سایت های آلوده می توانند به برقراری مجدد یکدیگر بپردازند و باعث ایجاد حلقه بی پایان شوند.
پس از موفقیت آمیز بودن پاکسازی، نوبت به تنظیم مجدد گذرواژهها می رسد. در این حالت، گذرواژه همه وبسایت های موجود روی آن سرور، باید پس از از بین رفتن ویروس تغییر یابد.
این تغییر شامل کلیه بانک های اطلاعاتی CMS و انتقال فایل FTP کاربران، برای هر یک از این وب سایت ها می شود. اگر این مرحله را نادیده بگیرید و از آن بگذرید، وب سایت ها می توانند دوباره به هم متصل شوند و باید کل پروسه را مجدداً انجام دهید.
محدودیت دسترسی کاربر و مجوزها
کد وب سایت شما ممکن است مورد حمله یک مهاجم قرار نگیرد، بلکه به کاربران حمله شود. ضبط آدرس هایIP و کل تاریخچه فعالیت، بعداً در تحقیقات مفید خواهد بود.
به عنوان مثال افزایش زیاد تعداد کاربران ثبت شده، ممکن است نشانه عدم موفقیت در روند ثبت نام باشد و به اسپم ها اجازه دهد تا سایت شما را با محتوای جعلی درگیر کنند.
اصل حداقل امتیاز
اصل حداقل امتیازات، حول محور اصولی است که به دنبال تحقق دو چیز هستند:
استفاده از مجموعه حداقل امتیازات در یک سیستم به منظور انجام یک عمل
اعطای آن امتیازات فقط برای زمان لازم عمل
اعطای امتیاز به نقش های خاص،مشخص میکند هرکاربر چه کارهایی را میتواند انجام دهند و چه کارهایی را نمیتواند انجام دهد. در یک سیستم کامل، نقشی وجود خواهد داشت که درصورت تلاش کاربران در انجام عملی فراتر از آنچه برای آن طراحی شده اند، مانع آن ها می شود.
به عنوان مثال، بیایید بگوییم کاربری با نقش مدیریت یا administrator قادر به استفاده از کدهای HTML در پست ها یا اجرای دستوراتی برای نصب افزونه ها است. آیا این آسیب پذیری است؟ نه، این یک ویژگی بر اساس یک عنصر بسیار مهم به نام اعتماد است.
با این حال، آیا یک نویسنده یا author باید از همین امتیازات و دسترسی برخوردار باشد؟ نقش های جداگانه را بر اساس اعتماد در نظر بگیرید و همه حساب ها را قفل کنید.
این فقط در مورد سایت هایی که دارای چندین کاربر هستند، صدق می کند. مهم این است که هر کاربر اجازه لازم برای انجام کار خود را داشته باشد. اگر مجوزهای بیشتری برای انجام یک کار خاص مورد نیاز است، دسترسی آن ها رافعال کنید و بعد از اتمام کار، آن ها راغیرفعال سازید.
به عنوان مثال، اگر شخصی می خواهد یک پست وبلاگ مهمان را برای شما بنویسد، اطمینان حاصل کنید که حساب آن از امتیازات مدیرکل برخوردار نیست. این حساب فقط باید قادر به ایجاد پست های جدید و ویرایش پست های خاص خود باشد، بنابراین دیگر نیازی به امکان تغییر تنظیمات وب سایت نیست.
داشتن نقش های دقیق تعریف شده برای کاربر و قوانین دسترسی، احتمال خطا کردن را محدود می کند. همچنین باعث کاهش احتمالی حساب های مصالحه شده می شود و می تواند در از وبسایت دربرابر صدمات وارده توسط کاربران سرکش محافظت کند.
این یک بخش غالباً از سمت مدیریت کاربر نادیده گرفته می شود: پاسخگویی و نظارت.
اگر چندین نفر یک حساب کاربری واحد را به اشتراک بگذارند و یک تغییر ناخواسته توسط آن کاربر ایجاد شود، چگونه می دانید کدام یک از اعضای تیم شما مسئول آن بوده است؟
هنگامی که برای هر کاربر حساب جداگانه دارید، می توانید با مرور گزارش ها و دانستن تمایلات معمول آن ها، مانند زمان و جایی که به طور عادی به وب سایت دسترسی پیدا می کنند، رفتار آن ها را کنترل کنید. به این ترتیب، اگر کاربر در ساعتی عجیب یا از یک مکان مشکوک وارد شود، می توانید به این موضوع پی ببرید.
نگه داشتن اطلاعات مربوط به حسابرسی برای حفظ هرگونه تغییر مشکوک در وب سایت شما بسیار مهم است. گزارش حسابرسی (audit log)، سندی است که وقایع را در یک وب سایت ثبت می کند، بنابراین می توانید ناهنجاری ها را تشخیص داده و شخص مسئول در به خطر افتادن سایت را تأیید کنید.
ممکن است انجام برخی از گزارش های حسابرسی به صورت دستی برای برخی از کاربران دشوار باشد. اگر یک وب سایت WordPress دارید، می توانید از افزونه امنیتی رایگانSucuri استفاده کنید که می تواند از مخزن رسمی WordPress بارگیری شود.
مجوزهای پرونده
مجوزهای پرونده تعریف می کنند چه کسی می تواند برای یک پرونده چه کاری انجام دهد. هر پرونده دارای سه مجوز در دسترس است و هر مجوز توسط یک شماره ارائه می شود:
بخوانید (4): مشاهده محتوای پرونده
بنویسید (2): محتوای پرونده را تغییر دهید
اجرا کنید (1): پرونده یا برنامه را اجرا کنید
اگر می خواهید چندین مجوز به یک حساب کاربری اختصاص دهید، به سادگی اعداد را اضافه کنید. به عنوان مثال، اجازه خواندن (4) و نوشتن (2) را می توانید برای کاربر روی 6 تنظیم کنید. اگر می خواهید به کاربر اجازه دهید خواندن (4)، نوشتن (2) و اجرا (1) را انجام دهد، سپس مجوز کاربر را روی 7 قرار می دهید.
انواع کاربر
همچنین سه نوع کاربر وجود دارد:
مالک: معمولاً سازنده پرونده می تواند اطلاعات را تغییر دهد. فقط یک کاربر می تواند مالک باشد.
گروه: به هر پرونده گروهی اختصاص داده می شود و هر کاربر که بخشی از آن گروه باشد، این مجوزها را دریافت می کند.
عمومی: همه افراد دیگر.
بنابراین، اگر می خواهید مالک و یا گروهی خاص دسترسی به خواندن و نوشتن داشته باشد و عموم مردم دسترسی نداشته باشند، تنظیمات اجازه پرونده باید به صورت زیر ذخیره گردد.
تنظیمات پیش فرض CMS را تغییر دهید
سیستم های مدیریت محتوای امروزی (با وجود قابلیت استفاده آسان) می تواند از منظر امنیتی برای کاربران نهایی مشکل باشد. تاکنون رایج ترین حملات علیه وب سایت ها کاملاً خودکار است. بسیاری از این حملات تنها به تنظیمات پیش فرض کاربران متکی هستند. این بدان معنی است که شما می توانید با تغییر تنظیمات پیش فرض هنگام نصب CMS مورد نظر خود، از تعداد زیادی از حملات جلوگیری کنید.
به عنوان مثال، برخی از برنامه های CMS توسط کاربر قابل نوشتن است و به کاربر اجازه می دهد افزونه های مورد نظر خود را نصب کند.
تنظیماتی وجود دارد که ممکن است بخواهید برای کنترل نظرات، کاربران و قابلیت Visibility اطلاعات کاربر، تنظیم کنید. مجوزهای پرونده، نمونه دیگری از تنظیمات پیشفرض است که می تواند حمله به سایت را مشکل سازد.
می توانید هنگام نصب CMS یا پس از آن ، این تنظیمات پیش فرض را تغییر دهید، اما انجام آن ها را فراموش نکنید.
انتخاب افزونه ها
قابلیت توسعه برنامه هایCMS چیزی است که معمولاً وب مسترها آن را دوست دارند، اما میتواند یکی از برزگترین نقاط ضعف هم محسوب شود. افزونه هایی وجود دارند که تقریباً عملکردی را که می توانید تصور کنید ارائه می دهند. اما چگونه می دانید کدام یک از آنها برای نصب امن است؟
انتخاب افزونه های ایمن
نکات زیر، مواردی هستند که بهتر است هنگام تصمیم گیری برای نصب یک افزونه ، درنظر بگیرید.
زمان آخرین به روزرسانی: اگر آخرین به روزرسانی بیش از یک سال پیش بود، ممکن است نویسنده افزونه ، کار روی آن را متوقف کرده باشد. از افزونه هایی استفاده کنید که توسعه آنها همچنان ادامه داشته باشد، زیرا این تداوم نشان می دهد که نویسنده حداقل در صورت کشف مشکلات امنیتی، مایل به اصلاح آن است. علاوه بر آن، اگر پسوندی توسط نویسنده پشتیبانی نشود، ممکن است در صورت بروز اختلافات اصلی، کار را متوقف کند.
سن افزونه و تعداد نصب های آن: افزونه ایجاد شده توسط یک برنامه نویس یا نویسنده باتجربه که دارای نصب های بی شماری است، قابل اعتمادتر از یک نسخه دارای تعداد معدود نصب است که توسط یک برنامه نویس تازه کار منتشر شده است. توسعه دهندگان باتجربه نه تنها ایده های بهتری در مورد بهترین شیوه های امنیتی دارند، بلکه احتمال وجود کد مخرب در برنامه های آنها ، بسیار کم تر است زیرا در آن صورت به شهرت خود آسیب می رسانند.
منابع قانونی و قابل اعتماد: افزونه ها، برنامه های افزودنی و مضامین خود را از منابع قانونی بارگیری کنید. مراقب نسخه های رایگان باشید که ممکن است دزدی و یا آلوده به بدافزارها باشند. برخی برنامه های افزودنی وجود دارد که تنها هدف آنها آلوده کردن هرچه بیشتر وب سایت با بدافزار است.
پشتیبان گیری وب سایت
تهیه نسخه پشتیبان وب سایت در صورت هک، برای بازیابی وب سایت شما از یک حادثه مهم امنیتی بسیار مهم است. اگرچه لازم نیست جایگزینی برای داشتن راه حل امنیتی وب سایت در نظر گرفته شود، اما تهیه نسخه پشتیبان می تواند به بازیابی فایل های آسیب دیده کمک کند.
انتخاب بهترین راه تهیه نسخه پشتیبان از وب سایت
یک راه حل پشتیبان خوب، باید شرایط زیر را برآورده کند:
اول، آن ها باید از سایت خارج شوند. اگر نسخه پشتیبان تهیه شده شما در سرور وب سایت شما ذخیره شود، مانند هر چیز دیگری که در آنجاست، در برابر حملات آسیب پذیر هستند. شما باید نسخه پشتیبان خود را خارج از سایت نگه دارید، زیرا می خواهید داده های ذخیره شده شما در برابر هکرها و خرابی سخت افزار محافظت شود. ذخیره کردن نسخه پشتیبان در وب سرور شما نیز یک خطر مهم امنیتی است. این نسخه های پشتیبان همواره حاوی نسخه های غیرقابل مشاهده CMS و پسوندها هستند و به هکرها امکان دسترسی آسان به سرور شما را می دهند.
دوم، تهیه نسخه پشتیبان شما باید خودکار باشد. شما هر روز کارهای زیادی انجام می دهید که به خاطر آوردن تهیه نسخه پشتیبان از وب سایت را غیرممکن می سازد. از یک راه حل پشتیبان استفاده کنید که بتواند برای رفع نیازهای وب سایت شما برنامه ریزی کند.
برای اتمام کار، بازیابی قابل اطمینان داشته باشیذ. این اقدام بدان معنی است که یک نسخه های پشتیبان از نسخه پشتیبان تهیه کنید و آن ها را تست کنید تا مطمئن شوید که به درستی کار می کنند. برای افزونگی چندین پشتیبان می خواهید . با این کار می توانید پرونده ها را از یک نقطه قبل از بروز هک ، بازیابی کنید.
پرونده های پیکربندی سرور
با فایل های پیکربندی وب سرور خود آشنا شوید: سرورهای وب Apache از فایل .htaccess استفاده می کنند، سرورهای Nginx از nginx.conf استفاده می کنند، سرورهای IIS Microsoft از web.config استفاده می کنند.
غالباً در فهرست مستندات وب، فایل های پیکربندی سرور بسیار قدرتمند هستند. آنها به شما امکان می دهند قوانین سرور، از جمله بخشنامه هایی را که امنیت وب سایت شما را بهبود می بخشد را اجرا کنید. اگر مطمئن نیستید از کدام وب سرور استفاده می کنید، وب سایت خود را از طریق Sitecheck آنالیز کرده و به بخش Website Details توجه کنید.
بهترین وب سرورها
در اینجا چند روش برتر برای اضافه کردن به یک سرور وجود دارد:
جلوگیری از مرور مستندات: این کار باعث می شود کاربران مخرب از مشاهده محتویات هر فهرست در وب سایت دیدن نکنند. محدود کردن اطلاعات در دسترس مهاجمان، همیشه یک احتیاط امنیتی مفید است.
از image hotlinking جلوگیری کنید: اگرچه این یک بهبود امنیتی نیست، اما مانع از نمایش برای تصاویر میزبانی شده در سرور شما ، در وب سایت های دیگر می شود. اگر افراد شروع به استفاده تصاویر در سرور شما کنند، ممکن است پهنای باند هاستینگ شما به دلیل نمایش تصاویر شما در وبسایت های دیگر به سرعت به پایان برسد.
از فایل های حساس محافظت کنید: می توانید قوانینی را برای محافظت از پرونده ها و پوشه های خاص تنظیم کنید. پرونده های پیکربندی CMS یکی از حساس ترین پرونده هایی است که در وب سرور ذخیره می شود، زیرا شامل جزئیات ورود به دیتابیس است. سایر مکان ها، مانند مناطق مدیریتی نیز می توانند قفل شوند. همچنین می توانید اجرای پی اچ پی را در دایرکتوری هایی که دارای تصاویر هستند و همچنین اجازه بارگذاری را محدود کنید.
یک گواهیSSL نصب کنید
از گواهینامه هایSSL برای رمزگذاری داده ها در انتقال بین میزبان (وب سرور یا فایروال) و مشتری (مرورگر وب) استفاده می شود . این گواهی اطمینان حاصل می كند كه اطلاعات شما به درستی به سرور ارسال شده و رهگیری نمی شوند.
برخی از انواع گواهینامه های SSL مانند organization SSL یا extended validation SSL ، لایه ای از اعتبار را اضافه می کنند، زیرا با وجود آن، بازدید کننده می تواند اطلاعات سازمان شما را ببیند و بداند که شما یک نهاد قانونی هستید.
به عنوان یک شرکت امنیتی وب سایت، وظیفه ما این است که به وب مسترها آموزش داده و به آن ها اطلاع دهیم که گواهینامه های SSL از وب سایت آن ها در برابر حملات و هک شدن محافظت نمی کند. گواهینامه های SSL، داده ها را رمزگذاری می کنند، اما یک لایه محافظ به خود وب سایت اضافه نمی کنند.
نصب ابزار های اسکن و نظارتی
نظارت بر هر مرحله یک راه برای اطمینان از یکپارچگی برنامه است. مکانیسم های هشدار دهنده می توانند در صورت بروز مشکل، زمان پاسخ و کنترل آسیب را بهبود بخشند. بدون بررسی و اسکن، آیا میتوانید از به خطر افتادن وبسایت خود مطلع شوید؟
حداقل یک ماه از وارد شدن های مربوط می تواند برای تشخیص نقض برنامه کاربردی بسیار مفید باشد. این آمار همچنین نشان می دهند که آیا سرور تحت حمله DDoS قرار گرفته یا با فشار غیرضروری مواجه است.
ضبط و بررسی مرتب تمام عملکردهایی که در قسمت های مهم برنامه رخ می دهد را خصوصاً ( به طور انحصاری) در مناطق مدیریتی ثبت نکنید. مهاجم می تواند بعداً از قسمت کمتری از سایت برای سطح دسترسی بالاتر استفاده کند.
محرک یا triggerهایی ایجاد کنید تا در صورت وقوع brute force یا تلاش برای بهره برداری از هر یک از ویژگی های وبسایت، به شما هشدار دهند.
بسیار مهم است که به طور مرتب به روزرسانی ها را بررسی کرده و از آن ها استفاده کنید تا آخرین اقدامات امنیتی را برای وبسایت خود فعال کرده باشید مخصوصا اگر فایروال را فعال نکرده اید تا تلاش های سواستفاده از آسیب پذیری های سایت را مسدود کنند.
بهترین اقدامات امنیتی امنیت شخصی را دنبال کنید
ایمن سازی رایانه شخصی، یک اقدام مهم برای دارندگان وب سایت است. دستگاه های شما می توانند به یک وکتور ویروس تبدیل شده و باعث هک شدن وب سایت شما شوند.
در صورت هک شدن وب سایت شما،حتما کامپیوتر خود را برای یافتن بدافزار اسکن کنید. بدافزارها از طریق ویرایشگرهای متنی و سرویس دهندگان FTP از یک رایانه آلوده منتقل می شوند.
شما باید تمام برنامه های استفاده نشده را از رایانه خود حذف کنید. این مرحله بسیار مهم است، زیرا این برنامه ها می توانند مشکلاتی مربوط به حریم خصوصی را نیز به وجود آورند، دقیقاً مانند پلاگین های بلااستفاده و مضامین موجود در وب سایت شما.
اگر چیزی نصب نشده باشد، نمی تواند به یک وکتور حمله تبدیل شود تا سیستم و وبسایت شما را آلوده کند.به ویژه افزونه های مرورگر. این افزونه ها وقتی وب مستر به قسمت مدیدیتی وبسایت خود وارد می شوند، دسترسی کاما به وبسایت پیدا میکنند. بنابراین هرچه افزونه ها یا برنامه های کمتری در کامپیوتر خود نصب کنید بهتر است.
اگر از هدف یک برنامه خاص مطمئن نیستید، بصورت آنلاین در مورد آن تحقیق کنید تا ببینید آیا میتوانید برخی از دسترسی های آن را حذف کنید یا خیر.
یک Firewall وب سایت بگیرید.
استفاده از گواهینامه هایSSL به تنهایی برای جلوگیری از دسترسی مهاجمان به اطلاعات حساس کافی نیست. آسیب پذیری اپلیکیشن یا وبسایت شما می تواند به مهاجم اجازه دهد تا از ترافیک استراق سمع کند، بازدید کننده را به وب سایت های جعلی ارسال کند، اطلاعات دروغین را به نمایش بگذارد، یک باج افزار در وبسایت نگه دارد یا تمام داده های سایت را پاک کند.
مهاجمین می توانند حتی با یک برنامه که بصورت کامل پچ شده است، سرور یا شبکه شما را مورد حملات DDoS قرار دهد تا سرعت یک وب سایت را کند کنند یا آن را کاملا خراب کنند.
فایروال برنامه وب WAF برای جلوگیری از چنین حملاتی علیه وب سایت ها طراحی شده است و به شما امکان می دهد تا روی کار خود تمرکز کنید.
از یک سرویس امنیت وب سایت استفاده کنید.
برای کمک به محافظت از وب سایت های خود و تبدیل شدن اینترنت به مکانی امن تر، از این منابع و ابزار رایگان استفاده کنید.
ابزارهای امنیتی وب سایت
در اینجا برخی از ابزارهای امنیتی وب سایت رایگان ارائه شده است:
SiteCheck : بررسی رایگان امنیت وب سایت و اسکنر بدافزار
Sucuri Load Time Tester : سرعت وب سایت را بررسی و مقایسه کنید
افزونه امنیتی وردپرس Sucuri : ممیزی، اسکنر بدافزار و سخت شدن امنیت برای وب سایت های وردپرس
کنسول جستجوی Google : اطلاعیه ها و ابزارهای امنیتی برای اندازه گیری میزان ترافیک و عملکرد جستجوی وب سایت ها
Bing Webmaster Tools : گزارش های تشخیصی و امنیتی موتور جستجوگر
Yandex Webmaster : اعلان های جستجوی وب و نقض امنیت وب
Unmaskparasites : صفحات را برای محتوای غیرقانونی پنهان بررسی کنید
سؤالات متداول درباره امنیت وب سایت
چرا امنیت وب سایت مهم است؟
انجام اقدامات امنیتی وب سایت برای نگه داری آنلابن و امن سازی بازدید کننده ها، حیاتی است. بدون توجه مناسب به امنیت وب سایت، هکرها می توانند از وب سایت شما سوء استفاده کنند، آن را حذف کرده و بر حضور آنلاین شما تأثیر بگذارند. تأثیرات وب سایت هک شده می تواند شامل ضرر مالی، مشکلات شهرت برند و تضعیف رتبه در نتایج موتورهای جستجوگر باشد.
خطرات امنیتی برای وب سایت چیست؟
خطرات اصلی امنیتی یک وب سایت شامل: کد آسیب پذیر، کنترل های دسترسی ضعیف و بهره برداری از منابع سرور است. به عنوان مثال ، حملات DDoS می تواند یک وب سایت را در عرض چند دقیقه از دسترس بازدید کنندگان خارج کند. دلایل زیادی برای هک شدن وب سایت ها وجود دارد. یک رمز عبور ضعیف یا افزونه منسوخ می تواند به هک شدن یک وب سایت منجر شود.
چگونه می توانید به یک وب سایت ایمن بگویید؟
یک وب سایت ایمن دارای یک فایروال اپلیکیشن وب است است که برای جلوگیری از حمله و هک ها فعال شده است. همچنین بهترین اقدامات امنیتی وب سایت را دنبال می کند و هیچ گونه مشکلات پیکربندی یا آسیب پذیری های شناخته شده ای ندارد. می توانید از SiteCheck استفاده کنید تا ببینید که آیا وب سایت شما دارای فایروال، هرگونه ناهنجاری امنیتی یا نرم افزارهای مخرب یا لیست سیاه است یا خیر.
آیا برای وب سایت خود نیاز به امنیت دارم؟
بله کاملا.اکثر پلن ها یا بسته های هاستینگ شامل خدمات ایمن سازی وبسایت نیستند. مسئولیت تأمین وب سایت بر عهده صاحب وب سایت است. امنیت باید یکی از اولین اقدامات در هنگام راه اندازی وب سایت و روند بررسی مداوم باشد. اگر وب سایت ایمن نباشد، می تواند به بستری مناسب برای مجرمان سایبری تبدیل شود.
چگونه می توان وب سایت خود را ایمن کرد؟
می توانید وب سایت خود را با رعایت بهترین شیوه های امنیتی وب سایت، مانند داشتن فایروال وب سایت، ایمن کنید. با استفاده از آخرین نسخه CMS وب سایت ، افزونه ها، مضامین و خدمات شخص ثالث و اجرای الزامات رمزعبور قوی نیز می توان این امنیت را برقرار کرد.
منبع مقاله: sucuri.net
امنیت سایت خود را چگونه افزیش دهیم؟
فهرست مقاله [پنهان سازی]
1 چگونه از وبسایت خود محافظت کنیم؟
2 امنیت سایت چیست؟
2.1 استراتژی دفاع در عمق
2.2 نگاه حرفه ای ها به امنیت وبسایت چگونه است؟
3 چرا وبسایت ها هک می شوند؟
3.1 حملات وب سایت خودکار
3.2 ملاحظات امنیتی CMS
4 امنیت اطلاعات CIA Triad
4.1 محرمانه بودن
4.2 یکپارچگی
4.3 در دسترس بودن
5 آسیب پذیری ها و تهدیدات وب سایت
5.1 تزریق SQL
5.2 اسکریپت نویسی ضربدری سایت (XSS)
5.3 حمله های Credential Brute Force
5.4 حملات بدافزار ویروس ها به وب سایت
5.5 حمله DoS / DDoS
6 امنیت وب سایت های فروشگاهی و انطباق PCI
7 چارچوب امنیت وب سایت
7.1 شناسایی (Identify)
7.2 محافظت (Protect)
7.3 تشخیص (Detect)
7.4 پاسخ (Respond)
7.5 بازیابی
8 چگونه می توان وب سایت خود را ایمن کرد؟
8.1 همه چیز را به روزرسانی کنید.
8.2 رمز عبور های قوی
8.3 یک سایت= یک کانتینتر
8.4 محدودیت دسترسی کاربر و مجوزها
8.5 مجوزهای پرونده
8.6 تنظیمات پیش فرض CMS را تغییر دهید
8.7 انتخاب افزونه ها
8.8 پشتیبان گیری وب سایت
8.9 پرونده های پیکربندی سرور
8.10 یک گواهیSSL نصب کنید
8.11 نصب ابزار های اسکن و نظارتی
8.12 بهترین اقدامات امنیتی امنیت شخصی را دنبال کنید
8.13 یک Firewall وب سایت بگیرید.
8.14 از یک سرویس امنیت وب سایت استفاده کنید.
8.15 سؤالات متداول درباره امنیت وب سایت
چگونه از وبسایت خود محافظت کنیم؟
امنیت سایت می تواند موضوعی پیچیده (یا حتی گیج کننده) باشد که همیشه در حال تحول است. این راهنما برای ایجاد یک چارچوب مشخص برای صاحبان وبسایت است که به دنبال کاهش خطر و به کارگیری اصول امنیتی بر روی وبسایت خود هستند .
قبل از شروع ، بسیار مهم است که بخاطر بسپاریم که ایجاد امنیت، در یک مرحله انجام نمیشود. بلکه باید به آن را یك فرآیند مداوم فرض کنید كه نیاز به ارزیابی مداوم برای كاهش خطرات كلی سایت دارد .
ابزار سئویی پیشنهادیبررسی امنیت سایت
با استفاده از رویکردی منظم برای امنیت سایت، می توانیم پروسه ایمن سازی را به یک پیاز تشبیه کنیم که لایه های بسیار زیادی دارد. لایه های آن در جهت دفاع بوده و همه با هم جمع می شوند تا یک قطعه را تشکیل دهند . ما باید امنیت سایت را به صورت جامع مشاهده کنیم و با استراتژی دفاع در عمق، به آن نزدیک شویم.
امنیت سایت چیست؟
امنیت وبسایت اقداماتی است که برای ایمن سازی سایت در برابر حملات سایبری انجام می شود. امنیت سایت یک فرایند مداوم است و بخش مهمی از مدیریت یک وب سایت را تشکیل می دهد.
امنیت وب سایت بسیار مهم است، زیرا هیچ کس نمی خواهد یک وب سایت هک شده داشته باشد. داشتن یک وب سایت ایمن، به اندازه داشتن خود وب سایت برای حضور آنلاین و راه درآمد، حیاتی است. به عنوان مثال اگر یک وب سایت هک شده و در لیست سیاه قرار گرفته باشد، تا 98٪ از ترافیک خود را از دست می دهد. نداشتن یک وب سایت امن می تواند بدتر از داشتن وب سایت بد باشد. به عنوان مثال، امنیت پایین می تواند منجر به نقض اطلاعات مشتری شده که درگیری، جریمه های سنگین و ازبین رفتن محبوبیت سایت را در پی خواهد داشت.
این مطلب میتونه کمکت کنه!افزایش ترافیک سایت
استراتژی دفاع در عمق
استراتژی دفاع در عمق برای امنیت وب سایت، به عمق دفاع و وسعت سطح حمله نگاه می کند تا ابزارهای مورد استفاده را برای امنیت تجزیه و تحلیل کند. این رویکرد، تصویری دقیق تر از چشم انداز تهدید امنیت وب سایت امروز را ارائه می دهد.
نگاه حرفه ای ها به امنیت وبسایت چگونه است؟
ما نمی توانیم آمار را فراموش کنیم، زیرا باعث می شود امنیت وب سایت، صرف نظر از اندازه وبسایت ، موضوعی قانع کننده برای هر تجارت آنلاین باشد.
پس از تجزیه و تحلیل بیش از 1000 پاسخ نظرسنجی از متخصصان وب، از بینش هایی درباره منظره امنیتی پرده برداشتیم:
67٪ مراجعین وب درباره امنیت وب سایت سؤال کرده اند، اما تنها کم تر از 1٪ از پاسخ دهندگان، امنیت وب سایت را به عنوان خدمات ارائه می دهند.
حدود 72٪ متخصصان وب، نگران تجربه حمله سایبری در سایت های مشتری هستند.
چرا وبسایت ها هک می شوند؟
بیش از 1.94 میلیارد وب سایت وجود دارد. این یک زمین بازی عالی و گسترده برای فعالان مجرم است.
غالباً تصور اشتباهی در مورد هک شدن وب سایت ها وجود دارد. دارندگان و سرپرستان این وبسایت ها غالباً معتقدند که هک نمی شوند، زیرا سایت های آن ها کوچک است و بنابراین امنیت کم تری را اعمال می کنند. آن ها عقیده دارند اگر هکرها بخواهند اطلاعاتی را بدزدند یا خرابکاری هایی انجام دهند ، می توانند سایت های بزرگتری را انتخاب کنند. اما هکر ها برای اهداف دیگرشان (که رایج تر است) ، سایت های کوچک را نیز به اندازه کافی ارزشمند می دانند.
برای هک کردن وب سایت ها اهداف مختلفی وجود دارد، اما اصلی ترین ها شامل این موارد هستند:
بهره برداری از بازدید کنندگان سایت.
سرقت اطلاعات ذخیره شده در سرور.
فریب ربات ها و خزنده ها (سئوی کلاه سیاه).
سوء استفاده از منابع سرور.
شیطنت خالص (جبران خسارت).
این مطلب میتونه کمکت کنه!سئوی کلاه سیاه چیست ؟
حملات وب سایت خودکار
متاسفانه این حملات کیفیت اتوماسیون را کاهش می دهند و اجازه می دهند تا احتمال قرار گرفتن در معرض جرم، و شانس برای موفق به سازش، صرف نظر از میزان ترافیک و یا محبوبیت از وب سایت افزایش یابد.
در حقیقت، اتوماسیون در دنیای هک کردن پادشاهی می کند. حملات خودکار اغلب شامل آسیب پذیری های شناخته شده برای تحت تأثیر قرار دادن زیر مجموعه بزرگی از سایت ها می باشد، گاهی اوقات حتی بدون اطلاع صاحب سایت.
حملات خودکار در فرصت های مختلف انجام می شوند. برخلاف تصور عموم، حملات خودکار به دلیل سهولت دسترسی، بسیار رایج تر از حملاتی هدفمند و دستی است.
ملاحظات امنیتی CMS
با استفاده از سیستم مدیریت محتوای منبع باز (CMS) مثل WordPress ، Magento ، Joomla به طور متوسط، حفظ امنیت برای صاحب سایت آسانتر می شود.
در حالی که این سیستم عامل ها اغلب به روزرسانی های امنیتی مکرر را ارائه می دهند، استفاده از مؤلفه های قابل توسعه شخص ثالث – مانند افزونه ها یا مضامین – منجر به آسیب پذیری هایی می شود که حمله کنندگان می توانند به راحتی از آن استفاده کنند.
ما راهنماهای امنیتی وب سایت دقیقی را برای هر CMS محبوب تهیه کرده ایم تا به صاحبان وب سایت کمک کنیم از سایت های خود محافظت کنند و تهدیدات را کاهش دهند.
امنیت اطلاعات CIA Triad
امنیت اطلاعات وبسایت دارای سه اصل است – محرمانه بودن، یکپارچگی و در دسترس بودن.
از این مدل برای توسعه سیاست های تأمین امنیت سایت ها استفاده می شود.
محرمانه بودن
محرمانه بودن به کنترل دسترسی اطلاعات گفته می شود، افرادی که دسترسی ندارند، بعدا هم دسترسی پیدا نکنند. این کار را می توان با تعیین گذرواژه ها، نام های کاربری و سایر مؤلفه های کنترل دسترسی انجام داد.
یکپارچگی
یکپارچگی اطمینان حاصل می کند که اطلاعاتی که کاربران نهایی دریافت می کنند، توسط کسی غیر از صاحب سایت تغییر نمی یابد و فقط او می تواند آن ها را تغییر دهد. این نوع امنیت اغلب با رمزگذاری انجام می شود، مانند گواهینامه های (Secure Socket Layer (SSL که اطمینان حاصل می کنند که داده ها در هنگام گذر، رمزگذاری شوند.
این مطلب میتونه کمکت کنه!آموزش فعالسازی SSL
در دسترس بودن
اصل در دسترس بودن، این مثلث را دور می زند و اطمینان می دهد که در صورت لزوم، می توان به اطلاعات دسترسی داشت. شایع ترین تهدید برای دسترسی به وب سایت، حمله (Distributed Denial of Service (DDoS است.
اکنون که در حملات خودکار و هدفمند پیش زمینه ای داریم، می توانیم به رایج ترین تهدید های امنیتی وب سایت بپردازیم.
آسیب پذیری ها و تهدیدات وب سایت
در این قسمت از سایت رایج ترین آسیب پذیری ها و تهدیدات امنیتی وب سایت ذکر شده است:
تزریق SQL
حملات تزریق SQL با تزریق کد مخرب در یک پرس و جوی آسیب پذیر SQL انجام می شود. این کدها به مهاجم اجازه میدهند در پیامی که وب سایت به پایگاه داده ارسال می کند، درخواستی خاص و ساختگی را اضافه کند.
یک حمله موفق، کوئری پایگاه داده را به گونه ای تغییر می دهد که بتواند به جای اطلاعات اصلی وبسایت، اطلاعات مورد نظر مهاجم را بازگرداند. تزریق SQL حتی می تواند اطلاعات پایگاه داده را تغییر دهد یا اطلاعات مخرب را به پایگاه داده اضافه کند.
اسکریپت نویسی ضربدری سایت (XSS)
حملات اسکریپت کراس یا ضربدری سایت، شامل تزریق اسکریپت های مخرب سمت مشتری، به یک وب سایت و استفاده از وب سایت به عنوان یک روش انتشار است.
خطر XSS این است که به یک مهاجم اجازه می دهد تا محتوا را در یک وب سایت تزریق کند و نحوه نمایش آن را تغییر دهد و مرورگر قربانی را مجبور کند تا هنگام بارگیری صفحه، کد ارائه شده توسط مهاجم را وارد کند. اگر سرپرست سایت وارد شده و کد را بارگیری کند، اسکریپت با سطح امتیاز آنها اجرا می شود که می تواند منجر به تصاحب سایت شود.
حمله های Credential Brute Force
دسترسی به ناحیه مدیریتی وب سایت، کنترل پنل یا حتی به سرور SFTP یکی از بردارهای رایج است که برای به خطر انداختن وب سایت ها استفاده می شود. این مراحل بسیار ساده می باشند؛ مهاجمان در اصل، یک اسکریپت را اجرا میکنند تا چندین نام کاربری و کلمه عبور را امتحان کنند تا زمانی که یک نام کاربری و رمز درست را پیدا کنند.
مهاجمان پس از امکان دسترسی می توانند انواع فعالیت های مخرب، از کمپین های اسپم گرفته تا سرقت اطلاعات کارت های اعتباری را انجام دهند.
حملات بدافزار ویروس ها به وب سایت
مهاجمان با استفاده از برخی از موارد امنیتی قبلی به عنوان ابزاری برای دسترسی غیرمجاز به وب سایت، می توانند اقدامات زیر را انجام دهند:
ابزار سئویی پیشنهادیابزار بررسی بدافزار و ویروس توسط گوگل
تزریق سئوی اسپم در صفحه.
ایجاد یک در پشتی برای حفظ دسترسی.
جمع آوری اطلاعات بازدید کننده یا داده های کارت اعتباری.
سوء استفاده بر روی سرور برای افزایش سطح دسترسی
استفاده از از رایانه های بازدید کنندگان برای تصاحب ارزهای رمزگذاری شده.
ذخیره اسکریپت های فرمان و کنترل Botnetها.
نمایش تبلیغات ناخواسته، هدایت بازدید کنندگان به سایت های کلاهبرداری.
میزبانی دانلودهای مخرب
حمله به سایت های دیگر.
حمله DoS / DDoS
حمله DDoS یک حمله اینترنتی غیرقابل نفوذ است . در این حمله ، مهاجم با استفاده از ترافیک جعلی و سنگین کردن شبکه، سرور یا اپلیکیشن، تلاش میکند تا سایت را با اختلال روبرو سازد یا باعث کندی آن شود.
حملات DDoS تهدیدهایی هستند که صاحبان وب سایت، باید خود را با آن آشنا سازند زیرا یک قطعه مهم از منظر امنیتی است. هنگامی که یک حمله DDoS یک نقطه پایانی آسیب پذیر منابع را هدف قرار می دهد، حتی مقدار کمی ترافیک نیز برای موفقیت حمله کافی است.
امنیت وب سایت های فروشگاهی و انطباق PCI
استاندارد های امنیتی داده های صنعت پرداخت با کارت (PCI-DSS)، الزامات را برای صاحبان وب سایت های فروش آنلاین ارائه می دهد. این الزامات به شما اطمینان می دهد که می توانید داده های دارنده کارت را که به عنوان یک فروشگاه اینترنتی جمع می کنید به طور صحیح و تضمینی ایمن سازی کنید.
PCI به امنیت دارنده کارت و اطلاعات مربوط به شماره کامل حساب اصلی یا PAN اشاره دارد، اما ممکن است به شکل یکی از موارد زیر نیز ظاهر شود:
پداده های نوار مغناطیسی کامل (یا معادل تراشه)
تاریخ انقضا
کد خدمات
پین کد
CVV
نام و نام خانوادگی دارنده کارت
مقررات مربوط به انطباق PCI ، بدون توجه به اینکه داده ها را به صورت دیجیتالی یا به صورت کتبی به اشتراک می گذارید، اعمال می شود یا حتی ممکن است هنگامی که برای دسترسی به داده های دیگر با فرد دیگری صحبت می کنید، دست به کار شود.
برای وب سایت های تجارت الکترونیکی ، بسیار مهم است که اطمینان حاصل شود که داده های دارنده کارت از مرورگر به سرور وب، با رمزگذاری صحیح از طریق HTTPS، منتقل می شود. همچنین هنگام انتقال به هرگونه خدمات پردازش پرداخت شخص ثالث، باید به طور ایمن روی سرور ذخیره شود.
هکرها ممکن است سعی کنند داده های دارنده کارت را در هر زمان سرقت یا رهگیری کنند، خواه داده ها در حالت ساکن باشد و یا در حال انتقال. راهنما ها و رعایت چک لیست PCI می تواند به ما کمک کند تا چگونگی پاسخگویی به این شرایط را بفهمیم.
چارچوب امنیت وب سایت
صرف نظر از اندازه تجارت شما، ایجاد یک چارچوب امنیتی می تواند به کاهش خطر کلی کمک کند.
موسسه ملی استاندارد اطلاعات و فناوری ایالات متحده، چارچوب امنیت سایبری را ایجاد کرده است که اساس چارچوب اصول امنیت وب سایت ما را در این راهنما تشکیل می دهد.
دانستن امنیت، یک فرایند مداوم است که برای شروع آن با ایجاد یک چارچوب امنیت وب سایت آغاز می کنیم. این چارچوب مستلزم ایجاد “فرهنگ امنیتی” است که در آن حسابرسی های برنامه ریزی شده به ساده و به موقع به انجام شدن کارها کمک می کند.
پنج عملکرد شناسایی، محافظت، کشف، پاسخ و بازیابی با در ادامه با جزئیات بیشتر توضیح داده می شوند.
شناسایی (Identify)
در این مرحله تمام موجودی و مدیریت دارایی مستندسازی و بررسی می شود. موجودی و مدیریت دارایی را می توان این گونه نام برد:
خصوصیات وب
سرورها و زیرساخت های وب
افزونه ها، قالب ها، مضامین و ماژول ها
ادغام ها و خدمات شخص ثالث
نقاط دسترسی / گره ها.
پس از تهیه لیستی از دارایی های وب سایت خود، می توانید برای ممیزی و دفاع از هرکدام از آن ها در برابر حملات، قدم بردارید.
محافظت (Protect)
دلایل زیادی وجود دارد که چرا اجرای اقدامات پیشگیرانه بسیار مهم است، اما از کجا باید کار را شروع کنید؟ این اقدامات به عنوان فناوری های محافظتی و لایه های دفاعی شناخته می شوند.
بعضی اوقات این اقدامات ، الزامات مربوط به انطباق مانند PCI را برآورده می کند، یا پچ کردن و ایمن سازی محیط هایی که در معرض حمله قرار دارند را آسان می کند. حفاظت همچنین می تواند شامل سیاست های آموزش کارکنان و کنترل دسترسی باشد.
یکی از بهترین راه های محافظت از وب سایت شما، فعال کردن فایروال برنامه است. وقت گذاشتن برای فکر کردن به روش ها و راه های محافظتی، از طریق فرآیندهای امنیتی، ابزارها و پیکربندی ها ، بر وضعیت امنیتی وب سایت شما تأثیر خواهد گذاشت.
تشخیص (Detect)
نظارت مداوم مفهومی است که با اجرای ابزارهایی برای نظارت بر وبسایت(دارایی) شما انجام میشود. این ابزارها باید وجود هرگونه مشکل را به شما اطلاع دهند.
برای تأیید وضعیت امنیتی ، نظارت باید روی موارد زیر انجام شود:
[lgc_column grid=”50″ tablet_grid=”50″ mobile_grid=”100″ last=”false”][/lgc_column]
[lgc_column grid=”50″ tablet_grid=”50″ mobile_grid=”100″ last=”false”]
سوابق DNS
گواهینامه های SSL
پیکربندی سرور وب
به روز رسانی برنامه
دسترسی کاربر
یکپارچگی پرونده سایت
همچنین می توانید از اسکنرها و ابزار های امنیتی مانندsitecheck برای اسکن کردن شاخص های سازش یا آسیب پذیری استفاده کنید.
[/lgc_column]
پاسخ (Respond)
تجزیه و تحلیل به ایجاد دسته پاسخ کمک می کند. هنگامی که حادثه ای رخ داد ، باید یک برنامه پاسخگویی وجود داشته باشد. داشتن یک برنامه پاسخگویی قبل از حادثه سازش ، شگفت انگیز است.
یک برنامه پاسخ مناسب در مورد حادثه، شامل موارد زیر است:
انتخاب تیم یا شخص پاسخ دهنده حادثه
گزارش حادثه برای بررسی یافته ها
کاهش واقعه
در طی روند ترمیم، ما هرگز نمیتوانیم پیشبینی کنیم که با چه بدافزارهایی روبرو خواهیم شد. برخی از مشکلات می توانند به سرعت گسترش یابند و سایر وب سایت ها را در محیط های سرور اشتراکی آلوده کنند. (آلودگی متقابل)
روند پاسخ به حادثه، همانطور که توسط NIST تعریف شده است، به چهار مرحله گسترده تقسیم می شود:
تهیه و برنامه ریزی
تشخیص و تجزیه و تحلیل
مهار، ریشه کن کردن و بازیابی
فعالیت های بعد از حادثه
داشتن یک مرحله آماده سازی جامع و یک تیم امنیتی وب سایت که بتوانید روی آن حساب کنید، برای موفقیت این مرحله بسیار مهم است.
اقدامات باید این گونه باشند:
آماده سازی و برنامه ریزی
در این مرحله، باید مطمئن شویم که قبل از وقوع یک حادثه، همه ابزار و منابع لازم را در اختیار داریم.
این اقدام به صورت مشترک با بخش های قبلی در چارچوب امنیتی پیش می رود.
شرکت های هاستینگ با اطمینان از امنیت کافی سیستم ها، سرورها و شبکه ها در این مرحله نقش اساسی دارند. همچنین اطمینان حاصل کنید که توسعه دهنده وب یا تیم فنی شما برای رسیدگی به یک حادثه امنیتی آماده است.
تشخیص و تجزیه و تحلیل
اگرچه روش های مختلفی برای حمله وجود دارند، اما ما باید برای رسیدگی به هرگونه حادثه آماده باشیم. بعد از صدها هزار پاسخ، ما بیشتر ویروس های آسیب زننده را به اجزای نصب شده در وب سایت (بیشتر پلاگین ها)، سازش های رمز عبور (رمز عبور ضعیف ، brute force) و سایر موارد محدود می کنیم.
بسته به مشکل و قصدی که داریم، مرحله تشخیص می تواند کمی مشکل باشد. برخی از مهاجمان به دنبال شهرت هستند، برخی دیگر ممکن است بخواهند از منابع استفاده کنند یا اطلاعات حساس (کارت اعتباری) را به دست آورند.
در بعضی موارد، هیچ علامتی مبنی بر نصب یک پشتوانه یا در پشتی که مهاجم برای فعالیت های مخرب ازآن استفاده میکند، وجود ندارد. بنابراین، باید مکانیزمی پیاده سازی کنید که یکپارچگی سیستم فایلی شما را تضمین کند.
مهار، ریشه کن کردن و بازیابی
این روند باید با نوع مشکل موجود در وب سایت و استراتژی های از پیش تعریف شده بر اساس حمله انجام شده، سازگار شود.
به عنوان مثال، ویروس های کریپتوماینر (cryptominer)، معمولاً منابع زیادی را از طریق سرور (Leecher) مصرف می کنند و قبل از شروع روند اصلاح، تیم پاسخ به حادثه باید اقدام کند. مهار این حمله، یک اقدام اساسی برای جلوگیری از هدر رفتن منابع اضافی و آسیب بیشتر است.
این سیستم و استراتژی های تصمیم گیری، بخش مهمی از این مرحله است. به عنوان مثال، اگر یک پرونده خاص را 100٪ مخرب تشخیص دهیم، باید اقدامی برای پاک کردن آن انجام شود. اگر پرونده حاوی کد جزئی مخرب باشد، فقط باید آن قطعه حذف شود. هر سناریو باید یک روند خاص داشته باشد.
اگرچه روش های مختلفی برای حمله وجود دارد، اما باید برای رسیدگی به هرگونه حادثه آماده باشیم.
فعالیت های پس از حادثه
آخرین مرحله که بعنوان “فعالیت های پس از وقوع حادثه ” شناخته می شود، می تواند “مرحله درس عبرت ها ” نیز نامیده شود. در این مرحله، تیم واکنش حوادث باید گزارشی را ارائه دهد تا بیان کند جزئیات آن اتفاق چه بوده است، چه اقداماتی انجام شده است و حمله یا مداخله چگونه انجام شده است. باید درباره این حادثه تأمل کنید، از آن درس بگیرید و برای جلوگیری از وقوع مشکلات مشابه در آینده اقدام کنید. این اقدامات می تواند به آسانی به روزرسانی یک جزء، تغییر گذرواژه ها یا اضافه کردن فایروال وب سایت باشد تا از حملات در آینده جلوگیری شود.
برای ادامه استحکام وضعیت امنیتی خود، یک بررسی انجام دهید. بعد از آن، اطمینان حاصل کنید که این اقدامات را در اسرع وقت انجام دهید.می توانید تمام اقدامات بعدی را بر اساس نکات زیر پایه گذاری کنید:
دسترسی جهانی به سایت خود (یا مناطق خاص) را با استفاده از روش های GET یا POST محدود کنید تا قرار گرفتن در معرض حمله به حداقل برسد.مستندات و
مجوزهای پرونده را به روز کنید تا اطمینان حاصل شود که دسترسی های خواندن / نوشتن به درستی تنظیم شده است.
نرم افزار / تم / افزونه منسوخ را به روز رسانی یا حذف کنید.
رمزهای عبور خود را فوراً با یک خط مشی رمز عبور قوی تنظیم مجدد کنید.
برای افزودن یک لایه اضافی، تأیید اعتبار 2FA / MFA را فعال کنید.
علاوه بر این ها، اگر از یک فایروال برنامه وب (WAF) استفاده می کنید، پیکربندی موجود خود را بررسی کنید تا در صورت وجود گزینه هایی مناسب برای ایمن سازی بیشتر، آن ها را نیز فعال کنید.
به یاد داشته باشید که حتی اگر WAF ها در رعایت چندین استاندارد مربوط به امنیت داده کارت های پرداخت کمک کنند، اما باز هم همه اقدامات امنیتی نیستند. عوامل دیگری نیز وجود دارد که می تواند در کار شما، به ویژه در مورد عوامل انسانی تأثیر بگذارد.
بازیابی
برنامه ریزی بازیابی یا ریکاوری زمانی اتفاق می افتد که بررسی کامل کلیه مراحل انجام شده باشد. ریکاوری همچنین به معنای داشتن یک برنامه پشتیبان برای موقعیت هایی است که که در آن تمام مراحل قبلی شکست خورده اند به عنوان مثال ، در صورت حملات باج افزار.
این فرایند همچنین باید شامل صحبت با متخصص امنیتی شما در مورد چگونگی بهبود زمینه های ضعف نیز باشد. آن ها از تجهیزات بهتری برای ارائه بینش و آگاهی در مورد آنچه می توان انجام داد، برخوردار هستند.
یک استراتژی ارتباطی داشته باشید.
اگر اطلاعات شما در معرض خطر است، به مشتریان خود اطلاع دهید. این امر به صورت ویژه برای شرکت هایی که در اتحادیه اروپا هستند، مهم است و باید طبق 72 ماده آئین نامه عمومی حفاظت از داده ها ، نقض داده ها را طی 72 ساعت گزارش دهند.
از پشتیبان گیری خودکار استفاده کنید.
مهم نیست که برای تأمین امنیت وب سایت خود چه کاری انجام می دهید، اما خطر هرگز صفر نخواهد شد. اگر عملکرد وب سایت شما آسیب دیده است، به روشی برای بازیابی سریع اطلاعات نیاز دارید – نه تنها یک راه روش، بلکه حداقل دو روش نیاز است. داشتن پشتیبان محلی از کل برنامه و تهیه یک نسخه پشتیبان خارجی که به طور مستقیم در صورت خرابی سخت افزار یا حمله به برنامه وصل نشده باشد، ضروری است.
چگونه می توان وب سایت خود را ایمن کرد؟
اهمیت امنیت وب سایت را نمی توان نادیده گرفت. در این بخش نحوه ایمن سازی و محافظت از وب سایت شما را بررسی خواهیم کرد. این یک راهنمای گام به گام نیست اما شما را راهنمایی می کند تا بتوانید خدمات مناسب را برای نیازهای خود پیدا کنید.
همه چیز را به روزرسانی کنید.
وب سایت های بی شماری هر روز به دلیل نرم افزارهای منسوخ و ناامن به خطر می افتند.
مهم است که به محض دسترسی به افزونه جدید یا نسخه CMS ، سایت خود را به روز کنید. این به روز رسانی ها ممکن است حاوی پیشرفت های امنیتی باشند.
اکثر حملات به وب سایت ها به صورت خودکار انجام می شود. ربات ها به طور مداوم هر سایتی را که می توانند برای هرگونه فرصت بهره برداری، مفید باشند را اسکن می کنند. دیگر بروزرسانی یکبار در ماه یا حتی یک بار در هفته هم کافی نیست زیرا ربات ها به احتمال زیاد آسیب پذیری را قبل از پچ شدن آن، پیدا می کنند.
به همین دلیل شما باید از فایروال وب سایت استفاده کنید که به محض انتشار به روزرسانی ها، عملاً سوراخ امنیتی را برطرف خواهد کرد.
رمز عبور های قوی
داشتن وب سایت ایمن به وضعیت و اقدامات امنیتی شما بستگی دارد. آیا تاکنون به این فکر کرده اید که چگونه رمزهای عبور استفاده شده می توانند امنیت وب سایت شما را تهدید یا تامین کنند؟
به منظور پاکسازی وب سایت های آلوده، باید با استفاده از جزئیات کاربری مدیریت، وارد پنل مدیریت سایت یا سرور شوید. ممکن از از ناامنی و سادگی این جزئیات کاربری متعجب شوید. برای مثال استفاده از نام کاربری و رمزadmin/admin، مانند این است که هیچ رمزی برای ورود به وبسایت خود نگذاشته اید.
لیست های بسیاری از رمز عبورهای آنلاین وجود دارد. هکرها اینها را با لیست واژه های لغت نامه ترکیب می کنند تا لیست های بزرگتری از کلمات عبور احتمالی را تولید کنند. اگر گذرواژههایی که شما استفاده می کنید، در یكی از آن لیست ها قرار گرفته است ، مورد حمله قرار گرفتن وبسایت شما حتمی است.
بهترین شیوه های تعیین رمزهای عبور
بهترین روش های شما برای داشتن رمز عبور قوی عبارتند از:
از رمز های عبور خود استفاده مجدد نکنید: هر رمز عبوری که دارید، باید منحصر به فرد باشد. یک مدیریت صحیح از رمز عبور می تواند این کار را آسان تر کند.
دارای گذر واژه های طولانی: رمزهایی با بیش از 12 کاراکتر را امتحان کنید. هرچه گذرواژه طولانی تر باشد، حدس آن توسط برنامه های کامپیوتری سخت تر خواهد بود.
از رمزهای عبور تصادفی استفاده کنید: اگر حاوی کلماتی است که به صورت آنلاین یا در فرهنگ لغت یافتید، بهتر است بدانید برنامه های رمز عبور می توانند میلیون ها رمز را در عرض چند دقیقه حدس بزنند. اگر در گذرواژه خود کلمات واقعی دارید، یعنی رمز شما تصادفی نیست. اگر به راحتی می توانید رمز عبور خود را حدس بزنید و یا تلفظ کنید، به این معنی است که به اندازه کافی قوی نیست. حتی استفاده از روش تعویض کاراکترها (یعنی جایگزین کردن حرف O با عدد 0) کافی نیست. چندین برنامه مدیریت رمز عبور مانند LastPass (آنلاین) و KeePass 2 (آفلاین) وجود دارد که رمز های شما را با فرمت رمزگذاری شده ذخیره می کنند و به راحتی می توانند با کلیک یک دکمه، رمزهای عبور تصادفی تولید کنند. با استفاده از برنامه های مدیریت رمزعبور، میتوانید از رمزهای قوی و پیچیده استفاده کنید و دیگر نگران از یاد بردن آن ها نباشید.
یک سایت= یک کانتینتر
میزبانی وب سایت های بسیاری بر روی یک سرور واحد می تواند ایده آل به نظر برسد، به خصوص اگر برنامه میزبانی وب، “نامحدود” باشد. اما متأسفانه، این یکی از بدترین روش های امنیتی است که می توانستید به کار بگیرید. میزبانی بسیاری از سایت ها در یک مکان، سطح حمله بسیار وسیعی را فراهم می کند.
باید توجه داشته باشید که آلودگی متقابل سایت ها یا همان cross-site contamination بسیار رایج است. آلودگی متقابل زمانی اتفاق می افتد که که یک سایت به دلیل سطح پایین ایزوله شدن روی سرور یا پیکربندی ضعیف حساب، تحت تأثیر سایت های همسایه در همان سرور قرار بگیرد.
به عنوان مثال، یک سرور حاوی یک سایت، ممکن است یک نصب وردپرس با یک موضوع و 10 افزونه داشته باشد که به طور بالقوه توسط یک مهاجم قابل هدفگیری است. اگر اکنون میزبان پنج سایت در یک سرور واحد هستید، یک مهاجم ممکن است دارای سه نصب وردپرس، دو نصب جوملا، پنج موضوع و 50 افزونه باشد که می توانند اهداف بالقوه آن ها باشند. زمانی کار بدتر می شود که یک مهاجم در یک سایت سوء استفاده کند، سپس ویروس می تواند به راحتی در سایر سایت های میزبانی شده روی همان سرور پخش شود.
این امر نه تنها می تواند باعث هک شدن کلیه سایت های شما شود، بلکه باعث می شود روند پاکسازی بسیار وقت گیرتر و مشکل تر شود. سایت های آلوده می توانند به برقراری مجدد یکدیگر بپردازند و باعث ایجاد حلقه بی پایان شوند.
پس از موفقیت آمیز بودن پاکسازی، نوبت به تنظیم مجدد گذرواژهها می رسد. در این حالت، گذرواژه همه وبسایت های موجود روی آن سرور، باید پس از از بین رفتن ویروس تغییر یابد.
این تغییر شامل کلیه بانک های اطلاعاتی CMS و انتقال فایل FTP کاربران، برای هر یک از این وب سایت ها می شود. اگر این مرحله را نادیده بگیرید و از آن بگذرید، وب سایت ها می توانند دوباره به هم متصل شوند و باید کل پروسه را مجدداً انجام دهید.
محدودیت دسترسی کاربر و مجوزها
کد وب سایت شما ممکن است مورد حمله یک مهاجم قرار نگیرد، بلکه به کاربران حمله شود. ضبط آدرس هایIP و کل تاریخچه فعالیت، بعداً در تحقیقات مفید خواهد بود.
به عنوان مثال افزایش زیاد تعداد کاربران ثبت شده، ممکن است نشانه عدم موفقیت در روند ثبت نام باشد و به اسپم ها اجازه دهد تا سایت شما را با محتوای جعلی درگیر کنند.
اصل حداقل امتیاز
اصل حداقل امتیازات، حول محور اصولی است که به دنبال تحقق دو چیز هستند:
استفاده از مجموعه حداقل امتیازات در یک سیستم به منظور انجام یک عمل
اعطای آن امتیازات فقط برای زمان لازم عمل
اعطای امتیاز به نقش های خاص،مشخص میکند هرکاربر چه کارهایی را میتواند انجام دهند و چه کارهایی را نمیتواند انجام دهد. در یک سیستم کامل، نقشی وجود خواهد داشت که درصورت تلاش کاربران در انجام عملی فراتر از آنچه برای آن طراحی شده اند، مانع آن ها می شود.
به عنوان مثال، بیایید بگوییم کاربری با نقش مدیریت یا administrator قادر به استفاده از کدهای HTML در پست ها یا اجرای دستوراتی برای نصب افزونه ها است. آیا این آسیب پذیری است؟ نه، این یک ویژگی بر اساس یک عنصر بسیار مهم به نام اعتماد است.
با این حال، آیا یک نویسنده یا author باید از همین امتیازات و دسترسی برخوردار باشد؟ نقش های جداگانه را بر اساس اعتماد در نظر بگیرید و همه حساب ها را قفل کنید.
این فقط در مورد سایت هایی که دارای چندین کاربر هستند، صدق می کند. مهم این است که هر کاربر اجازه لازم برای انجام کار خود را داشته باشد. اگر مجوزهای بیشتری برای انجام یک کار خاص مورد نیاز است، دسترسی آن ها رافعال کنید و بعد از اتمام کار، آن ها راغیرفعال سازید.
به عنوان مثال، اگر شخصی می خواهد یک پست وبلاگ مهمان را برای شما بنویسد، اطمینان حاصل کنید که حساب آن از امتیازات مدیرکل برخوردار نیست. این حساب فقط باید قادر به ایجاد پست های جدید و ویرایش پست های خاص خود باشد، بنابراین دیگر نیازی به امکان تغییر تنظیمات وب سایت نیست.
داشتن نقش های دقیق تعریف شده برای کاربر و قوانین دسترسی، احتمال خطا کردن را محدود می کند. همچنین باعث کاهش احتمالی حساب های مصالحه شده می شود و می تواند در از وبسایت دربرابر صدمات وارده توسط کاربران سرکش محافظت کند.
این یک بخش غالباً از سمت مدیریت کاربر نادیده گرفته می شود: پاسخگویی و نظارت.
اگر چندین نفر یک حساب کاربری واحد را به اشتراک بگذارند و یک تغییر ناخواسته توسط آن کاربر ایجاد شود، چگونه می دانید کدام یک از اعضای تیم شما مسئول آن بوده است؟
هنگامی که برای هر کاربر حساب جداگانه دارید، می توانید با مرور گزارش ها و دانستن تمایلات معمول آن ها، مانند زمان و جایی که به طور عادی به وب سایت دسترسی پیدا می کنند، رفتار آن ها را کنترل کنید. به این ترتیب، اگر کاربر در ساعتی عجیب یا از یک مکان مشکوک وارد شود، می توانید به این موضوع پی ببرید.
نگه داشتن اطلاعات مربوط به حسابرسی برای حفظ هرگونه تغییر مشکوک در وب سایت شما بسیار مهم است. گزارش حسابرسی (audit log)، سندی است که وقایع را در یک وب سایت ثبت می کند، بنابراین می توانید ناهنجاری ها را تشخیص داده و شخص مسئول در به خطر افتادن سایت را تأیید کنید.
ممکن است انجام برخی از گزارش های حسابرسی به صورت دستی برای برخی از کاربران دشوار باشد. اگر یک وب سایت WordPress دارید، می توانید از افزونه امنیتی رایگانSucuri استفاده کنید که می تواند از مخزن رسمی WordPress بارگیری شود.
مجوزهای پرونده
مجوزهای پرونده تعریف می کنند چه کسی می تواند برای یک پرونده چه کاری انجام دهد. هر پرونده دارای سه مجوز در دسترس است و هر مجوز توسط یک شماره ارائه می شود:
بخوانید (4): مشاهده محتوای پرونده
بنویسید (2): محتوای پرونده را تغییر دهید
اجرا کنید (1): پرونده یا برنامه را اجرا کنید
اگر می خواهید چندین مجوز به یک حساب کاربری اختصاص دهید، به سادگی اعداد را اضافه کنید. به عنوان مثال، اجازه خواندن (4) و نوشتن (2) را می توانید برای کاربر روی 6 تنظیم کنید. اگر می خواهید به کاربر اجازه دهید خواندن (4)، نوشتن (2) و اجرا (1) را انجام دهد، سپس مجوز کاربر را روی 7 قرار می دهید.
انواع کاربر
همچنین سه نوع کاربر وجود دارد:
مالک: معمولاً سازنده پرونده می تواند اطلاعات را تغییر دهد. فقط یک کاربر می تواند مالک باشد.
گروه: به هر پرونده گروهی اختصاص داده می شود و هر کاربر که بخشی از آن گروه باشد، این مجوزها را دریافت می کند.
عمومی: همه افراد دیگر.
بنابراین، اگر می خواهید مالک و یا گروهی خاص دسترسی به خواندن و نوشتن داشته باشد و عموم مردم دسترسی نداشته باشند، تنظیمات اجازه پرونده باید به صورت زیر ذخیره گردد.
تنظیمات پیش فرض CMS را تغییر دهید
سیستم های مدیریت محتوای امروزی (با وجود قابلیت استفاده آسان) می تواند از منظر امنیتی برای کاربران نهایی مشکل باشد. تاکنون رایج ترین حملات علیه وب سایت ها کاملاً خودکار است. بسیاری از این حملات تنها به تنظیمات پیش فرض کاربران متکی هستند. این بدان معنی است که شما می توانید با تغییر تنظیمات پیش فرض هنگام نصب CMS مورد نظر خود، از تعداد زیادی از حملات جلوگیری کنید.
به عنوان مثال، برخی از برنامه های CMS توسط کاربر قابل نوشتن است و به کاربر اجازه می دهد افزونه های مورد نظر خود را نصب کند.
تنظیماتی وجود دارد که ممکن است بخواهید برای کنترل نظرات، کاربران و قابلیت Visibility اطلاعات کاربر، تنظیم کنید. مجوزهای پرونده، نمونه دیگری از تنظیمات پیشفرض است که می تواند حمله به سایت را مشکل سازد.
می توانید هنگام نصب CMS یا پس از آن ، این تنظیمات پیش فرض را تغییر دهید، اما انجام آن ها را فراموش نکنید.
انتخاب افزونه ها
قابلیت توسعه برنامه هایCMS چیزی است که معمولاً وب مسترها آن را دوست دارند، اما میتواند یکی از برزگترین نقاط ضعف هم محسوب شود. افزونه هایی وجود دارند که تقریباً عملکردی را که می توانید تصور کنید ارائه می دهند. اما چگونه می دانید کدام یک از آنها برای نصب امن است؟
انتخاب افزونه های ایمن
نکات زیر، مواردی هستند که بهتر است هنگام تصمیم گیری برای نصب یک افزونه ، درنظر بگیرید.
زمان آخرین به روزرسانی: اگر آخرین به روزرسانی بیش از یک سال پیش بود، ممکن است نویسنده افزونه ، کار روی آن را متوقف کرده باشد. از افزونه هایی استفاده کنید که توسعه آنها همچنان ادامه داشته باشد، زیرا این تداوم نشان می دهد که نویسنده حداقل در صورت کشف مشکلات امنیتی، مایل به اصلاح آن است. علاوه بر آن، اگر پسوندی توسط نویسنده پشتیبانی نشود، ممکن است در صورت بروز اختلافات اصلی، کار را متوقف کند.
سن افزونه و تعداد نصب های آن: افزونه ایجاد شده توسط یک برنامه نویس یا نویسنده باتجربه که دارای نصب های بی شماری است، قابل اعتمادتر از یک نسخه دارای تعداد معدود نصب است که توسط یک برنامه نویس تازه کار منتشر شده است. توسعه دهندگان باتجربه نه تنها ایده های بهتری در مورد بهترین شیوه های امنیتی دارند، بلکه احتمال وجود کد مخرب در برنامه های آنها ، بسیار کم تر است زیرا در آن صورت به شهرت خود آسیب می رسانند.
منابع قانونی و قابل اعتماد: افزونه ها، برنامه های افزودنی و مضامین خود را از منابع قانونی بارگیری کنید. مراقب نسخه های رایگان باشید که ممکن است دزدی و یا آلوده به بدافزارها باشند. برخی برنامه های افزودنی وجود دارد که تنها هدف آنها آلوده کردن هرچه بیشتر وب سایت با بدافزار است.
پشتیبان گیری وب سایت
تهیه نسخه پشتیبان وب سایت در صورت هک، برای بازیابی وب سایت شما از یک حادثه مهم امنیتی بسیار مهم است. اگرچه لازم نیست جایگزینی برای داشتن راه حل امنیتی وب سایت در نظر گرفته شود، اما تهیه نسخه پشتیبان می تواند به بازیابی فایل های آسیب دیده کمک کند.
انتخاب بهترین راه تهیه نسخه پشتیبان از وب سایت
یک راه حل پشتیبان خوب، باید شرایط زیر را برآورده کند:
اول، آن ها باید از سایت خارج شوند. اگر نسخه پشتیبان تهیه شده شما در سرور وب سایت شما ذخیره شود، مانند هر چیز دیگری که در آنجاست، در برابر حملات آسیب پذیر هستند. شما باید نسخه پشتیبان خود را خارج از سایت نگه دارید، زیرا می خواهید داده های ذخیره شده شما در برابر هکرها و خرابی سخت افزار محافظت شود. ذخیره کردن نسخه پشتیبان در وب سرور شما نیز یک خطر مهم امنیتی است. این نسخه های پشتیبان همواره حاوی نسخه های غیرقابل مشاهده CMS و پسوندها هستند و به هکرها امکان دسترسی آسان به سرور شما را می دهند.
دوم، تهیه نسخه پشتیبان شما باید خودکار باشد. شما هر روز کارهای زیادی انجام می دهید که به خاطر آوردن تهیه نسخه پشتیبان از وب سایت را غیرممکن می سازد. از یک راه حل پشتیبان استفاده کنید که بتواند برای رفع نیازهای وب سایت شما برنامه ریزی کند.
برای اتمام کار، بازیابی قابل اطمینان داشته باشیذ. این اقدام بدان معنی است که یک نسخه های پشتیبان از نسخه پشتیبان تهیه کنید و آن ها را تست کنید تا مطمئن شوید که به درستی کار می کنند. برای افزونگی چندین پشتیبان می خواهید . با این کار می توانید پرونده ها را از یک نقطه قبل از بروز هک ، بازیابی کنید.
پرونده های پیکربندی سرور
با فایل های پیکربندی وب سرور خود آشنا شوید: سرورهای وب Apache از فایل .htaccess استفاده می کنند، سرورهای Nginx از nginx.conf استفاده می کنند، سرورهای IIS Microsoft از web.config استفاده می کنند.
غالباً در فهرست مستندات وب، فایل های پیکربندی سرور بسیار قدرتمند هستند. آنها به شما امکان می دهند قوانین سرور، از جمله بخشنامه هایی را که امنیت وب سایت شما را بهبود می بخشد را اجرا کنید. اگر مطمئن نیستید از کدام وب سرور استفاده می کنید، وب سایت خود را از طریق Sitecheck آنالیز کرده و به بخش Website Details توجه کنید.
بهترین وب سرورها
در اینجا چند روش برتر برای اضافه کردن به یک سرور وجود دارد:
جلوگیری از مرور مستندات: این کار باعث می شود کاربران مخرب از مشاهده محتویات هر فهرست در وب سایت دیدن نکنند. محدود کردن اطلاعات در دسترس مهاجمان، همیشه یک احتیاط امنیتی مفید است.
از image hotlinking جلوگیری کنید: اگرچه این یک بهبود امنیتی نیست، اما مانع از نمایش برای تصاویر میزبانی شده در سرور شما ، در وب سایت های دیگر می شود. اگر افراد شروع به استفاده تصاویر در سرور شما کنند، ممکن است پهنای باند هاستینگ شما به دلیل نمایش تصاویر شما در وبسایت های دیگر به سرعت به پایان برسد.
از فایل های حساس محافظت کنید: می توانید قوانینی را برای محافظت از پرونده ها و پوشه های خاص تنظیم کنید. پرونده های پیکربندی CMS یکی از حساس ترین پرونده هایی است که در وب سرور ذخیره می شود، زیرا شامل جزئیات ورود به دیتابیس است. سایر مکان ها، مانند مناطق مدیریتی نیز می توانند قفل شوند. همچنین می توانید اجرای پی اچ پی را در دایرکتوری هایی که دارای تصاویر هستند و همچنین اجازه بارگذاری را محدود کنید.
یک گواهیSSL نصب کنید
از گواهینامه هایSSL برای رمزگذاری داده ها در انتقال بین میزبان (وب سرور یا فایروال) و مشتری (مرورگر وب) استفاده می شود . این گواهی اطمینان حاصل می كند كه اطلاعات شما به درستی به سرور ارسال شده و رهگیری نمی شوند.
برخی از انواع گواهینامه های SSL مانند organization SSL یا extended validation SSL ، لایه ای از اعتبار را اضافه می کنند، زیرا با وجود آن، بازدید کننده می تواند اطلاعات سازمان شما را ببیند و بداند که شما یک نهاد قانونی هستید.
به عنوان یک شرکت امنیتی وب سایت، وظیفه ما این است که به وب مسترها آموزش داده و به آن ها اطلاع دهیم که گواهینامه های SSL از وب سایت آن ها در برابر حملات و هک شدن محافظت نمی کند. گواهینامه های SSL، داده ها را رمزگذاری می کنند، اما یک لایه محافظ به خود وب سایت اضافه نمی کنند.
نصب ابزار های اسکن و نظارتی
نظارت بر هر مرحله یک راه برای اطمینان از یکپارچگی برنامه است. مکانیسم های هشدار دهنده می توانند در صورت بروز مشکل، زمان پاسخ و کنترل آسیب را بهبود بخشند. بدون بررسی و اسکن، آیا میتوانید از به خطر افتادن وبسایت خود مطلع شوید؟
حداقل یک ماه از وارد شدن های مربوط می تواند برای تشخیص نقض برنامه کاربردی بسیار مفید باشد. این آمار همچنین نشان می دهند که آیا سرور تحت حمله DDoS قرار گرفته یا با فشار غیرضروری مواجه است.
ضبط و بررسی مرتب تمام عملکردهایی که در قسمت های مهم برنامه رخ می دهد را خصوصاً ( به طور انحصاری) در مناطق مدیریتی ثبت نکنید. مهاجم می تواند بعداً از قسمت کمتری از سایت برای سطح دسترسی بالاتر استفاده کند.
محرک یا triggerهایی ایجاد کنید تا در صورت وقوع brute force یا تلاش برای بهره برداری از هر یک از ویژگی های وبسایت، به شما هشدار دهند.
بسیار مهم است که به طور مرتب به روزرسانی ها را بررسی کرده و از آن ها استفاده کنید تا آخرین اقدامات امنیتی را برای وبسایت خود فعال کرده باشید مخصوصا اگر فایروال را فعال نکرده اید تا تلاش های سواستفاده از آسیب پذیری های سایت را مسدود کنند.
بهترین اقدامات امنیتی امنیت شخصی را دنبال کنید
ایمن سازی رایانه شخصی، یک اقدام مهم برای دارندگان وب سایت است. دستگاه های شما می توانند به یک وکتور ویروس تبدیل شده و باعث هک شدن وب سایت شما شوند.
در صورت هک شدن وب سایت شما،حتما کامپیوتر خود را برای یافتن بدافزار اسکن کنید. بدافزارها از طریق ویرایشگرهای متنی و سرویس دهندگان FTP از یک رایانه آلوده منتقل می شوند.
شما باید تمام برنامه های استفاده نشده را از رایانه خود حذف کنید. این مرحله بسیار مهم است، زیرا این برنامه ها می توانند مشکلاتی مربوط به حریم خصوصی را نیز به وجود آورند، دقیقاً مانند پلاگین های بلااستفاده و مضامین موجود در وب سایت شما.
اگر چیزی نصب نشده باشد، نمی تواند به یک وکتور حمله تبدیل شود تا سیستم و وبسایت شما را آلوده کند.به ویژه افزونه های مرورگر. این افزونه ها وقتی وب مستر به قسمت مدیدیتی وبسایت خود وارد می شوند، دسترسی کاما به وبسایت پیدا میکنند. بنابراین هرچه افزونه ها یا برنامه های کمتری در کامپیوتر خود نصب کنید بهتر است.
اگر از هدف یک برنامه خاص مطمئن نیستید، بصورت آنلاین در مورد آن تحقیق کنید تا ببینید آیا میتوانید برخی از دسترسی های آن را حذف کنید یا خیر.
یک Firewall وب سایت بگیرید.
استفاده از گواهینامه هایSSL به تنهایی برای جلوگیری از دسترسی مهاجمان به اطلاعات حساس کافی نیست. آسیب پذیری اپلیکیشن یا وبسایت شما می تواند به مهاجم اجازه دهد تا از ترافیک استراق سمع کند، بازدید کننده را به وب سایت های جعلی ارسال کند، اطلاعات دروغین را به نمایش بگذارد، یک باج افزار در وبسایت نگه دارد یا تمام داده های سایت را پاک کند.
مهاجمین می توانند حتی با یک برنامه که بصورت کامل پچ شده است، سرور یا شبکه شما را مورد حملات DDoS قرار دهد تا سرعت یک وب سایت را کند کنند یا آن را کاملا خراب کنند.
فایروال برنامه وب WAF برای جلوگیری از چنین حملاتی علیه وب سایت ها طراحی شده است و به شما امکان می دهد تا روی کار خود تمرکز کنید.
از یک سرویس امنیت وب سایت استفاده کنید.
برای کمک به محافظت از وب سایت های خود و تبدیل شدن اینترنت به مکانی امن تر، از این منابع و ابزار رایگان استفاده کنید.
ابزارهای امنیتی وب سایت
در اینجا برخی از ابزارهای امنیتی وب سایت رایگان ارائه شده است:
SiteCheck : بررسی رایگان امنیت وب سایت و اسکنر بدافزار
Sucuri Load Time Tester : سرعت وب سایت را بررسی و مقایسه کنید
افزونه امنیتی وردپرس Sucuri : ممیزی، اسکنر بدافزار و سخت شدن امنیت برای وب سایت های وردپرس
کنسول جستجوی Google : اطلاعیه ها و ابزارهای امنیتی برای اندازه گیری میزان ترافیک و عملکرد جستجوی وب سایت ها
Bing Webmaster Tools : گزارش های تشخیصی و امنیتی موتور جستجوگر
Yandex Webmaster : اعلان های جستجوی وب و نقض امنیت وب
Unmaskparasites : صفحات را برای محتوای غیرقانونی پنهان بررسی کنید
سؤالات متداول درباره امنیت وب سایت
چرا امنیت وب سایت مهم است؟
انجام اقدامات امنیتی وب سایت برای نگه داری آنلابن و امن سازی بازدید کننده ها، حیاتی است. بدون توجه مناسب به امنیت وب سایت، هکرها می توانند از وب سایت شما سوء استفاده کنند، آن را حذف کرده و بر حضور آنلاین شما تأثیر بگذارند. تأثیرات وب سایت هک شده می تواند شامل ضرر مالی، مشکلات شهرت برند و تضعیف رتبه در نتایج موتورهای جستجوگر باشد.
خطرات امنیتی برای وب سایت چیست؟
خطرات اصلی امنیتی یک وب سایت شامل: کد آسیب پذیر، کنترل های دسترسی ضعیف و بهره برداری از منابع سرور است. به عنوان مثال ، حملات DDoS می تواند یک وب سایت را در عرض چند دقیقه از دسترس بازدید کنندگان خارج کند. دلایل زیادی برای هک شدن وب سایت ها وجود دارد. یک رمز عبور ضعیف یا افزونه منسوخ می تواند به هک شدن یک وب سایت منجر شود.
چگونه می توانید به یک وب سایت ایمن بگویید؟
یک وب سایت ایمن دارای یک فایروال اپلیکیشن وب است است که برای جلوگیری از حمله و هک ها فعال شده است. همچنین بهترین اقدامات امنیتی وب سایت را دنبال می کند و هیچ گونه مشکلات پیکربندی یا آسیب پذیری های شناخته شده ای ندارد. می توانید از SiteCheck استفاده کنید تا ببینید که آیا وب سایت شما دارای فایروال، هرگونه ناهنجاری امنیتی یا نرم افزارهای مخرب یا لیست سیاه است یا خیر.
آیا برای وب سایت خود نیاز به امنیت دارم؟
بله کاملا.اکثر پلن ها یا بسته های هاستینگ شامل خدمات ایمن سازی وبسایت نیستند. مسئولیت تأمین وب سایت بر عهده صاحب وب سایت است. امنیت باید یکی از اولین اقدامات در هنگام راه اندازی وب سایت و روند بررسی مداوم باشد. اگر وب سایت ایمن نباشد، می تواند به بستری مناسب برای مجرمان سایبری تبدیل شود.
چگونه می توان وب سایت خود را ایمن کرد؟
می توانید وب سایت خود را با رعایت بهترین شیوه های امنیتی وب سایت، مانند داشتن فایروال وب سایت، ایمن کنید. با استفاده از آخرین نسخه CMS وب سایت ، افزونه ها، مضامین و خدمات شخص ثالث و اجرای الزامات رمزعبور قوی نیز می توان این امنیت را برقرار کرد.
منبع مقاله: sucuri.net
