هشدار! سایت شما در خطر است! این را نمیگوییم که شما را بترسانیم اما حقیقت این است. روزانه 50 هزار وبسایت در سراسر دنیا هک میشوند. امار عجیبی است. در این زمینه نمیتوانید با جمله " برای سایت من اتفاق نمیافتد" خودتان را آرام کنید. بسیاری از کسب و کارها با همین روند پیش میروند و فکر میکنند کسی کاری به کار سایت آنها ندارد و هکرها دنبال طعمههای بزرگتر هستند؛ اما این اشتباهی بزرگی است! طبق آمار 43 درصد حملات سایبری علیه کسب و کارهای کوچک اتفاق میافتد. پس باید امنیت سایت را جدی بگیرید. اگر موارد کلیدی در امنیت سایت را رعایت کنید احتمال آن که مشکلی برایتان پیش آید بسیار کم میشود. ما در این مطلب قصدمان همین است؛ میخواهیم خطراتی که در کمین سایت شما هستند را برایتان شرح دهیم و راههای محافظت از سایت را توضیح دهیم.
تهدیدهای متداول برای وبسایتها
وقتی حرف از تهدید وبسایت میشود منظور یک راه نیست؛ روشهای زیادی برای حمله به یک وبسایت وجود دارد. بنابراین قبل از شروع بهتر است که برخی از رایجترین تهدیدهای امنیت سایت را باهم مرور کنیم. اینها مواردی هستند که شما باید از آنها دوری کنید و برای مقابله با آنها خودتان را آماده کنید:
هرزنامه یا اسپم
معمولاً هرزنامهها برایمان بیشتر موجودات آزاردهندهای هستند تا خطرناک! همۀ ما در روز تعداد زیادی اسپم را از صندوق ورودی ایمیلمان پاک میکنیم یا هنگام وبگردی هرازچندگاهی با پاپآپهایی مواجه میشویم که دوست نداریم آنها را ببینیم. ولی هیچوقت به ذهنمان نرسیده که اسپمها میتوانند برای ما و وبسایتمان خطرآفرین باشند.
اما حقیقت این است که اسپمها میتوانند نیت خیلی بدی داشته باشند. یکی از انواع اسپم که میتواند برای وبسایت شما مخرب باشد کامنتهای اسپم است. این کامنتها با نیت بکلینکسازی (Back-link) توسط رباتها تولید میشوند که میتوانند بخش نظرات سایت شما را دچار مشکل کنند.
این نوع نظرات در ظاهر آسیبی به سایت شما وارد نمیکنند و فقط آزاردهنده هستند اما بعضی از این لینکها حاوی بدافزارهایی هستند که ممکن است کاربران سایت شما را به خطر بیندازند! این مشکل بزرگی برای شماست چراکه اگر امنیت کاربران شما به خطر بیافتد گوگل سایت شما را مشمول جریمههای بعضاً سنگینی خواهد کرد!
ویروس و بدافزار
بدافزار یا Malware از ترکیب دو کلمۀ malicious یعنی مخرب و software نرمافزار ساخته شده است. همانطور که از اسمش پیداست نرمافزاری است که با هدف تخریب ساخته شده است! بدافزارها و ویروسها ذات یکسانی دارند و بهمنظور آسیب زدن به شما به سراغتان میآیند. از بین این دو، بدافزار بدون شک تهدید بزرگتری برای وبسایت شماست. برای اثبات این ادعا همین بس که بدانید روزانه بیش از 230،000 بدافزار تولید و روانه بازار میشود! طبق آمار استتیستا اینها رایجترین نوع بدافزارهایی هستند که هر روز به جان سایتها و رایانههای شخصی میافتند:
- Downloader 24.9%
- Remote access trojan 15.5%
- Bot 7.9%
- Password utility 7.6%
- Coin miner 7.2%
- Keylogger 6.5%
- Web shell 5.1%
- Privilege escalation 4.7%
- Reverse shell 4.3%
- Phishing 3.6%
- Worm 3.6%
همانطور که میبینید بدافزارها در اشکال و رنگهای گوناگون حملهور میشوند. برای همین است که خطر بزرگی برای وبسایت شما محسوب میشوند. این نوع از ویروسها اغلب برای دستیابی به اطلاعات شخصی و استفاده از منابع سرورها مورد استفاده قرار میگیرند. هکرها با استفاده از همین بدافزارها و دسترسی به مجوزهای سایت شما (Permissions)، از طریق تبلیغات و افیلیت مارکتینگ پول درمیآورند!
بدافزارها فقط برای سایت شما مخرب نیستند، بلکه کاربرانی که وارد سایت شما میشوند هم از گزند این ویروسها در امان نیستند. ممکن است یک بازدیدکننده با کلیک روی یک لینک، فایل مخربی را دانلود کند که اطلاعات شخصی او را به خطر بیندازد! این وظیفه شماست که جلوی چنین اتفاقاتی را بگیرید و امنیت سایت را تامین کنید.
حملات DDoS
DDoS به حملاتی گفته میشود که در آن هکر با ارسال درخواستهای بسیار زیاد به یک سایت باعث Down شدن سرور آن میشود. ارسال این درخواستها آنقدر زیاد میشود که درنهایت منابع سرور مثل CPU و RAM جوابگوی نیاز نخواهند بود و در نهایت سایت خاموش میشود! در این حالت مدیر سایت باید هرچه سریعتر تلاش کند تا سرور را مجدداً راهاندازی کند، ولی در این زمان سرور بیدفاع میماند و طعمۀ خوبی برای هکرها خواهد بود.
لیست سیاه موتورهای جستجو!
از لحاظ فنی این مورد تهدید امنیتی محسوب نمیشود ولی اگر سایت شما بهخوبی محافظت نشود میتواند رتبه سئوی شما را بهشدت پایین بیاورد! طبق تحقیقات 74 درصد حملات سایبری به سایتها برای لطمه زدن به سئوی آن سایت بوده است!
در قسمت اسپم توضیح دادیم که چگونه وجود کامنتهای اسپم میتواند برای کاربران خطر آفرین باشد. حالا اگر حجم این کامنتها زیاد شود به طبع آن گزارش کاربران از غیرمفید بودن و خطرناک بودن سایت به موتورهای جستجو بیشتر میشود. درنتیجه احتمال رفتن سایت شما به لیست سیاه موتورهای جستجو زیاد میشود. وقتی وارد این لیست سیاه شوید بیرون آمدنتان کار بسیار سختی است! پس حواستان را حسابی جمع کنید.
رمز عبور
این سادهترین و در عین حال مهمترین تهدیدی است که ممکن است سایت شما را به خطر بیاندازد! به همین دلیل است که وقتی میخواهید برای هاست و دیتابیس سایت پسورد انتخاب کنید تاکید میشود که کلمۀ عبور بسیار قوی انتخاب کنید. هکرها کلمه عبورهای ساده مانند admin123 را به راحتی بدست میآورند. پس در انتخاب کلمه عبور دقت کنید. این سایت به شما میگویید چقدر برای یک هکر زمان میبرد تا کلمه عبوری که انتخاب کردید را پیدا کند!
10 راه برای افزایش امنیت سایت
حالا که با مهمترین و رایجترین تهدیدات امنیتی سایت آشنا شدید وقت آن است که از وقوع آنها جلوگیری کنید! با وجود این حجم زیاد از ویروسها و بدافزارها اگر کاری برای محافظت از وبسایتتان نکنید، خطر بزرگی در کمین آن خواهد بود. در ادامه کارهایی که برای افزایش امنیت سایت باید انجام دهید را برایتان آوردهایم.
استفاده از پروتکل HTTPS
اگر وبسایت شما از پروتکل HTTPS استفاده نمیکند باید این مورد را در صدر لیست "کارهایی که برای امنیت سایتم باید بکنم!" قرار دهید. وجود این پروتکل به کاربران این اطمینان را میدهد که سرور شما مطمئن است و هیچکس به اطلاعات آنها دسترسی نخواهد داشت. بدون HTTPS هکرها میتوانند محتوای هر صفحهای را تغییر دهند و اطلاعات بازدیدکنندگان سایت شما را مال خود کنند. برای مثال یک هکر میتواند اطلاعات ورود به سیستم و کلمه عبور کاربران را بدزدد!
پروتکل HTTPS مزایای دیگری هم دارد. وجود این پروتکل رتبهبندی سایتتان در گوگل را بهتر میکند. در واقع گوگل به وبسایتهایی که از این پروتکل امنیتی استفاده میکنند پاداش میدهد! وجود این پروتکل برای کاربران شما هم آرامش بخش است. بیایید بود و نبود این پروتکل را باهم مقایسه کنیم. وقتی سایت شما این پروتکل را داشته باشد، کاربران میتوانند آن را قبل از آدرس سایت شما ببینند و خیالشان از امنیت سایت راحت باشد. اگر سایتتان این پروتکل را نداشته باشد قبل از آدرس عبارت Not Secure به معنی "امن نیست" را خواهند دید.
حتما بخوانید: یک خطای مهم در سایت شما رخ داده است!!آیا شما حاضر به گشت و گذار در سایتی که عبارت "امن نیست" درست قبل از آدرس آن نمایان میشود، هستید؟
علاوه بر اینها شما میتوانید با ترکیب HTTPS و SSL امنیت سایت خودتان بیشتر و بیشتر کنید. SSL که یک گواهینامه امنیتی است برای کسب و کارهایی ecommerce که سایت فروشگاهی دارند، بسیار حیاتی است. چراکه در این وبسایتها اطلاعات بسیار مهمی مانند نام، آدرس و رمز کارتهای بانکی وارد میشود. این گواهینامه لزوماً جلوی ویروس و بدافزارها را نمیگیرد ولی ارتباط بین مرورگر کاربر و سرور سایت را رمزگذاری میکند.
بهروزرسانی نرمافزارها
هر نرمافزاری که روی سایتتان استفاده میکنید باید همیشه بروز باشد. از خود CMS مانند وردپرس و جوملا گرفته تا افزونههایی که روی این CMSها نصب کردهاید. هر دکمه بروزرسانی که در سایت دیدید بدون لحظهای درنگ بفشارید! حالا چرا؟!
این کار علاوه بر رفع باگها و اشکالات احتمالی امنیت نرمافزار راه هم بیشتر میکند. بروزرسانیها معمولاً با افزایش امنیت همراه است. هیچ نرمافزاری کامل نیست و هکرها از همین موضع برای پیداکردن راهی برای نفوذ به سایت شما استفاده میکنند. پس بهتر است هرچه که میشود این راه را از دید آنها مخفی کنید. بسیاری از حملههای سایبری بهصورت خودکار و توسط رباتها انجام میشود. با بروزرسانی بهموقع نرمافزارها، میتوانید احتمال هک شدن توسط هکرها را کمتر کنید.
هاست مطمئن و اختصاصی
اگر از هاست مطمئنی سرور وبسایتتان را خریداری کنید که تمام مسائل امنیتی را رعایت کند سایت شما هم همان سطح امنیت را خواهد داشت؛ البته روی کاغذ! زیرا همیشه اینگونه نیست. استفاده از سرورهای مشترک به دلیل قیمت مقرون به صرفه برای خیلیها جذابیت بالایی دارد و بسیاری از وبسایتها از این نوع سرورها استفاده میکنند. حالا مشکل کار کجاست؟
فرض کنیم که وبسایت شما تمام پروتکلهای امنیتی را رعایت کرده باشد. از آنجایی که اطلاعات شما روی سروری قرار دارد که چند سایت دیگر نیز به آنها دسترسی دارند، آنها هم باید امنیت بالایی داشته باشند. در غیر اینصورت اگر یکی از این وبسایتها به دلیل امنیت پایین هک شود، اطلاعات شما نیز در سرور مشترک به خطر میافتد. البته این به این معنا نیست که این گونه سرورها مناسب نیستند ولی اگر میخواهید امنیت سایت خودتان را بیشتر کنید از سرورهای اختصاصی استفاده کنید.
تغییر کلمه عبور
رمز عبورتان را تغییر دهید! هر چه روی این موضوع تاکید کنیم باز هم کم است. افراد زیادی هستند که از یک کلمه عبور برای همه چیز استفاده میکنند؛ تازه بعضیها هم هستند که تاریخ ثبت رمزشان برمیگردد به دوران دبیرستان! و بیش از 10 سال است که از یک کلمه عبور استفاده میکنند.
حالا بیایید ببینیم مشکل کار کجاست. فرض کنیم که شما عاشق سینما هستید و در سایتهای زیادی برای خواندن آخرین اخبار و نقد و بررسی فیلمها ثبت نام کردید. معمولاً برای ثبت نام از شما درخواست ایمیل میشود. حالا فرض کنید که یکی از این سایتها هک شود و اطلاعات کاربران به دست هکر بیفتد. حالا اگر هکر متوجه شود که شما وبسایتی برای خودتان دارید میتواند با استفاده از اطلاعات شما و کلمه عبوری که برای همهجا یکسان است وارد پنل مدیریتی شما شود!
شاید سناریوی غیرمحتملی باشد ولی باید بدانید که افراد زیادی بهخاطر همین موضوع متضرر شدهاند. پس باز هم تاکید میکنیم که در انتخاب کلمه عبور دقت کنید و اگر برای سایتهای مختلف از یک کلمه عبور استفاده میکنید آنها را تغییر دهید.
آمار: 25 درصد از کلمههای عبور زیر 3 ثانیه هک میشوند! 50 درصد نیز در کمتر از 50 دقیقه شکسته میشوند!
برای انتخاب کلمه عبور سعی کنید از سایتها یا نرمافزارهای تولیدکننده کلمه عبور استفاده کنید تا نتیجه کار قدرتمندتر باشد. برای مثال میتوانید از سایت 1پسورد استفاده کنید. نکته دیگر این که از هاستینگی استفاده کنید که احراز هویت دو مرحلهای استفاده کند. این یک لایه امنیتی دیگر نیز به امنیت سایت اضافه میکند. اگر شرکت ارائهدهنده هاست شما این امکان را ندارد جای نگرانی نیست؛ میتوانید از نرمافزارهایی که برای این منظور طراحی شدهاند استفاده کنید.
از امنیت رایانه شخصی خودتان مطمئن شوید
هیچ چیز بدتر از این نیست که رایانه شخصی خودتان برای وبسایتتان تهدید محسوب شود! بدافزارهایی وجود دارد که فایلهای مخرب را از طریق FTP به وبسایت شما تزریق میکنند. برای هکرها بسیار آسانتر است که از رایانه شما به عنوان دروازه ورود به سایتتان استفاده کنند! بنابراین همیشه مطمئن باشید که کامپیوتر شما یک آنتیویروس قوی و بهروز دارد. چیه تعجب کردید؟ هنوز هم آنتیویروسها مهم هستند. مخصوصاً وقتی درحال گشتن در اینترنت هستید و فایلی را خواسته یا ناخواسته دانلود میکنید.
مجهز بهبروزترین ابزارها باشید
همیشه که نمیشود بهصورت دستی همه چیز را کنترل کرد. هم وقتگیر است هم ممکن است چیزی از زیر دستتان در برود. پس چه باید کرد؟ میتوانید از ابزارهای آنلاین و افزونهها (برای هر CMS متفاوت است) استفاده کنید تا وظیفه کنترل امنیت سایت را به آنها بسپارید. در ادامه لیستی از بهترین افزونههای امنیتی وردپرس را برایتان آوردهایم:
- Sucuri
- iThemes Security Pro
- Jetpack Security
- Wordfence
- BulletProof Security
- All In One WP Security & Firewall
- Google Authenticator
ورود برای افراد متفرقه ممنوع!
خودتان را سرزنش نکنید ولی 95 درصد از حملات سایبری بهخاطر خطای انسانی است. بهترین راه برای پیشگیری کم کردن تعداد افرادی است که میتوانند مرتکب خطا شوند. منظورمان افرادی است که میتوانند به پنل مدیریتی سایت دسترسی داشته باشند. نیازی نیست همه افرادی که برای یک وبسایت فعالیت میکنند به پنل دسترسی داشته باشند.
اگر بخشی از کار شما برونسپاری میشود، برای مثال محتوای سایت، بنرها یا عکس و فیلم، نیازی نیست که آن افراد به پنل مدیریتی دسترسی داشته باشند. اگر هم میخواهید به بعضی افراد این دسترسی را بدهید، نیازی نیست آنها به بخش تنظیمات سایت هم دسترسی داشته باشند.
حتما بخوانید: ارسال پیامک از طریق api keyنکته دیگر اینکه افراد نباید از یک نام کاربری یا کلمه عبور یکسان برای ورود به پنل کاربری استفاده کنند. رعایت نکات امنیتی برای ورود به سایت را به همه آموزش دهید و آن را به طور مداوم بررسی کنید. رعایت این نکات تاثیر زیادی در امنیت سایت شما خواهد داشت و احتمال هک شدن آن را بسیار کمتر خواهد کرد.
پشتیبانگیری مداوم از سایت
وقتی حرف از امنیت سایت باشد همیشه باید خودتان را برای بدترین موقعیتها آماده کنید. قطعاً هیچوقت نمیخواهید خودتان را در این شرایط متصور شوید که سایت شما کامل از دسترس خارج شود. اما در صورت بروز چنین مشکلی باید آمادگی لازم برای رفع آن را داشته باشید؛ راه حل گرفتن نسخه پشتیبان یا همان بکاپ است.
بکاپ گرفتن را به صورت مداوم انجام دهید و نسخه بکاپ را در جای امن با فاصله حداقل 100 متری از نسخه اصلی نگهداری کنید که هکرها به آن دسترسی نداشته باشند! برای این کار میتوانید از افزونهها هم استفاده کنید. در ادامه 3 تا از بهترین افزونههای بکاپگیری وردپرس را برایتان آوردهایم:
از تنظیمات کارخانه بازگردید!
همانطور که قبلاً هم گفتیم خیلی از حملات هکرها به صورت خودکار و توسط رباتها انجام میشود. یکی از ترفندهای هکرها، آموزش رباتها برای پیدا کردن وبسایتی با تنظیمات پیشفرض است! در نتیجه آنها میتوانند طیف گستردهتری از وبسایتها را هدف قرار دهند و با فرستادن ویروس و بدافزاری که برای این تنظیمات طراحی شدهاند به اطلاعات وبسایت دسترسی پیدا کنند. پس کار را برای آنان ساده نکنید! به محض نصب CMS روی هاست بعضی یا همهی تنظیمات پیشفرض را تغییر دهید، مانند:
- تنظیمات بخش نظرات
- کنترلهای کاربران
- قابل مشاهده بودن اطلاعات
- دسترسی به فایلها
آپلود فایلها را محدود کنید
آخرین موردی که باید حواستان به آن باشد آپلود فایل در وبسایت شماست. اینکه هرکس بتواند به راحتی فایلی را در سایت شما آپلود کند از لحاظ امنیتی خیلی دلچسب نخواهد بود. زیرا هر فایلی میتواند حاوی متنی باشد که وقتی در سرور آپلود و اجرا شد، سایت شما را به خطر بیاندازد.
البته بعضی وقتها طبیعت سایت شما این است که درجایی، فایلی آپلود شود؛ مثلاً برای ثبت نام نیاز به فایل رزمه یا عکس پرسنلی داشته باشید. بهترین راه این است که با همه فایلها به عنوان یک تهدید احتمالی برخورد کنید! مثلاً میتوانید این فایلها را در سروری دیگر ذخیره کنید و همیشه آنها را بررسی کنید که مشکلی برایتان بوجود نیاورد.
سخن آخر
امنیت سایت باید همیشه اولویت اول شما باشد. اگر این مقاله را میخوانید و تا الان کاری برای افزایش امنیت سایتتان نکردهاید همین الان دست به کار شوید. در این راهنما گفتیم که تهدیداتی که میتوانند وبسایت شما را به خطر بیندازند کدامند و راههای افزایش امنیت سایت را هم توضیح دادیم. مهمترین مواردی که گفتیم استفاده از پروتکل HTTPS، تغییر مداوم کلمه عبور، استفاده از هاست مطمئن و بکاپ گرفتن از اطلاعات سایت است. اگر مورد دیگری به ذهنتان میرسد در بخش نظرات با ما درمیان بگذارید.