چگونه از امنیت سایتتان مطمئن شوید!

هشدار! سایت شما در خطر است! این را نمی‌گوییم که شما را بترسانیم اما حقیقت این است. روزانه 50 هزار وب‌سایت در سراسر دنیا هک می‌شوند. امار عجیبی است. در این زمینه نمی‌توانید با جمله " برای سایت من اتفاق نمی‌افتد" خودتان را آرام کنید. بسیاری از کسب و کارها با همین روند پیش می‌روند و فکر می‌کنند کسی کاری به کار سایت آنها ندارد و هکرها دنبال طعمه‌های بزرگ‌تر هستند؛ اما این اشتباهی بزرگی است! طبق آمار 43 درصد حملات سایبری علیه کسب و کارهای کوچک اتفاق می‌افتد. پس باید امنیت سایت را جدی بگیرید. اگر موارد کلیدی در امنیت سایت را رعایت کنید احتمال آن که مشکلی برایتان پیش آید بسیار کم می‌شود. ما در این مطلب قصدمان همین است؛ می‌خواهیم خطراتی که در کمین سایت شما هستند را برایتان شرح دهیم و راه‌های محافظت از سایت را توضیح دهیم.

تهدیدهای متداول برای وب‌سایت‌ها

وقتی حرف از تهدید وب‌سایت می‌شود منظور یک راه نیست؛ روش‌های زیادی برای حمله به یک وب‌سایت وجود دارد. بنابراین قبل از شروع بهتر است که برخی از رایج‌ترین تهدیدهای امنیت سایت را باهم مرور کنیم. این‌ها مواردی هستند که شما باید از آنها دوری کنید و برای مقابله با آنها خودتان را آماده کنید:

هرزنامه یا اسپم

معمولاً هرزنامه‌ها برایمان بیشتر موجودات آزاردهنده‌ای هستند تا خطرناک! همۀ ما در روز تعداد زیادی اسپم را از صندوق ورودی ایمیل‌مان پاک می‌کنیم یا هنگام وب‌گردی هرازچندگاهی با پاپ‌آپ‌هایی مواجه می‌شویم که دوست نداریم آنها را ببینیم. ولی هیچ‌وقت به ذهنمان نرسیده که اسپم‌ها می‌توانند برای ما و وب‌سایتمان خطرآفرین باشند.

اما حقیقت این است که اسپم‌ها می‌توانند نیت خیلی بدی داشته باشند. یکی از انواع اسپم که می‌تواند برای وب‌سایت شما مخرب باشد کامنت‌های اسپم است. این کامنت‌ها با نیت بک‌‌لینک‌سازی (Back-link) توسط ربات‌ها تولید می‌شوند که می‌توانند بخش نظرات سایت شما را دچار مشکل کنند.

این نوع نظرات در ظاهر آسیبی به سایت شما وارد نمی‌کنند و فقط آزاردهنده هستند اما بعضی از این لینک‌ها حاوی بدافزارهایی هستند که ممکن است کاربران سایت شما را به خطر بیندازند! این مشکل بزرگی برای شماست چراکه اگر امنیت کاربران شما به خطر بیافتد گوگل سایت شما را مشمول جریمه‌های بعضاً سنگینی خواهد کرد!

ویروس و بدافزار

بدافزار یا Malware از ترکیب دو کلمۀ malicious یعنی مخرب و software نرم‌افزار ساخته شده است. همانطور که از اسمش پیداست نرم‌افزاری است که با هدف تخریب ساخته شده است! بدافزارها و ویروس‌ها ذات یکسانی دارند و به‌منظور آسیب زدن به شما به سراغتان می‌آیند. از بین این دو، بدافزار بدون شک تهدید بزرگتری برای وب‌سایت شماست. برای اثبات این ادعا همین بس که بدانید روزانه بیش از 230،000 بدافزار تولید و روانه بازار می‌شود! طبق آمار استتیستا این‌ها رایج‌ترین نوع بدافزارهایی هستند که هر روز به جان سایت‌ها و رایانه‌های شخصی می‌افتند:

1. Downloader 24.9%
2. Remote access trojan 15.5%
3. Bot 7.9%
4. Password utility 7.6%
5. Coin miner 7.2%
6. Keylogger 6.5%
7. Web shell 5.1%
8. Privilege escalation 4.7%
9. Reverse shell 4.3%
10. Phishing 3.6%
11. Worm 3.6%

همانطور که می‌بینید بدافزارها در اشکال و رنگ‌های گوناگون حمله‌ور می‌شوند. برای همین است که خطر بزرگی برای وب‌سایت شما محسوب می‌شوند. این نوع از ویروس‌ها اغلب برای دست‌یابی به اطلاعات شخصی و استفاده از منابع سرورها مورد استفاده قرار می‌گیرند. هکرها با استفاده از همین بدافزارها و دسترسی به مجوزهای سایت شما (Permissions)، از طریق تبلیغات و افیلیت مارکتینگ پول درمی‌آورند!

بدافزارها فقط برای سایت شما مخرب نیستند، بلکه کاربرانی که وارد سایت شما می‌شوند هم از گزند این ویروس‌ها در امان نیستند. ممکن است یک بازدیدکننده با کلیک روی یک لینک، فایل مخربی را دانلود کند که اطلاعات شخصی او را به خطر بیندازد! این وظیفه شماست که جلوی چنین اتفاقاتی را بگیرید و امنیت سایت را تامین کنید.

حملات DDoS

DDoS به حملاتی گفته می‌شود که در آن هکر با ارسال درخواست‌های بسیار زیاد به یک سایت باعث Down شدن سرور آن می‌شود. ارسال این درخواست‌ها آنقدر زیاد می‌شود که درنهایت منابع سرور مثل CPU و RAM جوابگوی نیاز نخواهند بود و در نهایت سایت خاموش می‌شود! در این حالت مدیر سایت باید هرچه سریع‌تر تلاش کند تا سرور را مجدداً راه‌اندازی کند، ولی در این زمان سرور بی‌دفاع می‌ماند و طعمۀ خوبی برای هکرها خواهد بود.

لیست سیاه موتورهای جستجو!

از لحاظ فنی این مورد تهدید امنیتی محسوب نمی‌شود ولی اگر سایت شما به‌خوبی محافظت نشود می‌تواند رتبه سئوی شما را به‌شدت پایین بیاورد! طبق تحقیقات 74 درصد حملات سایبری به سایت‌ها برای لطمه زدن به سئوی آن سایت بوده است!

در قسمت اسپم توضیح دادیم که چگونه وجود کامنت‌های اسپم می‌تواند برای کاربران خطر آفرین باشد. حالا اگر حجم این کامنت‌ها زیاد شود به طبع آن گزارش کاربران از غیرمفید بودن و خطرناک بودن سایت به موتورهای جستجو بیشتر می‌شود. درنتیجه احتمال رفتن سایت شما به لیست سیاه موتورهای جستجو زیاد می‌شود. وقتی وارد این لیست سیاه شوید بیرون آمدنتان کار بسیار سختی است! پس حواستان را حسابی جمع کنید.

رمز عبور

این ساده‌ترین و در عین حال مهمترین تهدیدی است که ممکن است سایت شما را به خطر بیاندازد! به همین دلیل است که وقتی می‌خواهید برای هاست و دیتابیس سایت پسورد انتخاب کنید تاکید می‌شود که کلمۀ عبور بسیار قوی انتخاب کنید. هکرها کلمه عبورهای ساده مانند admin123 را به راحتی بدست می‌آورند. پس در انتخاب کلمه عبور دقت کنید. این سایت به شما می‌گویید چقدر برای یک هکر زمان می‌برد تا کلمه عبوری که انتخاب کردید را پیدا کند!

10 راه برای افزایش امنیت سایت

حالا که با مهم‌ترین و رایج‌ترین تهدیدات امنیتی سایت آشنا شدید وقت آن است که از وقوع آنها جلوگیری کنید! با وجود این حجم زیاد از ویروس‌ها و بدافزارها اگر کاری برای محافظت از وب‌سایت‌تان نکنید، خطر بزرگی در کمین آن خواهد بود. در ادامه کارهایی که برای افزایش امنیت سایت باید انجام دهید را برایتان آورده‌ایم.

استفاده از پروتکل HTTPS

اگر وب‌سایت شما از پروتکل HTTPS استفاده نمی‌کند باید این مورد را در صدر لیست "کارهایی که برای امنیت سایتم باید بکنم!" قرار دهید. وجود این پروتکل به کاربران این اطمینان را می‌دهد که سرور شما مطمئن است و هیچ‌کس به اطلاعات آنها دسترسی نخواهد داشت. بدون HTTPS هکرها می‌توانند محتوای هر صفحه‌ای را تغییر دهند و اطلاعات بازدیدکنندگان سایت شما را مال خود کنند. برای مثال یک هکر می‌تواند اطلاعات ورود به سیستم و کلمه عبور کاربران را بدزدد!

پروتکل HTTPS مزایای دیگری هم دارد. وجود این پروتکل رتبه‌بندی سایتتان در گوگل را بهتر می‌کند. در واقع گوگل به وب‌سایت‌هایی که از این پروتکل امنیتی استفاده می‌کنند پاداش می‌دهد! وجود این پروتکل برای کاربران شما هم آرامش بخش است. بیایید بود و نبود این پروتکل را باهم مقایسه کنیم. وقتی سایت شما این پروتکل را داشته باشد، کاربران می‌توانند آن را قبل از آدرس سایت شما ببینند و خیالشان از امنیت سایت راحت باشد. اگر سایتتان این پروتکل را نداشته باشد قبل از آدرس عبارت Not Secure به معنی "امن نیست" را خواهند دید.

آیا شما حاضر به گشت و گذار در سایتی که عبارت "امن نیست" درست قبل از آدرس آن نمایان می‌شود، هستید؟

حتما بخوانید: تبلیغات هدفمند در لارستان ، پیدا کردن مشتریان در چند ثانیه !

علاوه بر این‌ها شما می‌توانید با ترکیب HTTPS و SSL امنیت سایت خودتان بیشتر و بیشتر کنید. SSL که یک گواهینامه امنیتی است برای کسب و کارهایی ecommerce که سایت فروشگاهی دارند، بسیار حیاتی است. چراکه در این وب‌سایت‌ها اطلاعات بسیار مهمی مانند نام، آدرس و رمز کارت‌های بانکی وارد می‌شود. این گواهینامه لزوماً جلوی ویروس‌ و بدافزارها را نمی‌گیرد ولی ارتباط بین مرورگر کاربر و سرور سایت را رمزگذاری می‌کند.

به‌روزرسانی نرم‌افزارها

هر نرم‌افزاری که روی سایتتان استفاده می‌کنید باید همیشه بروز باشد. از خود CMS مانند وردپرس و جوملا گرفته تا افزونه‌هایی که روی این CMSها نصب کرده‌اید. هر دکمه بروزرسانی که در سایت دیدید بدون لحظه‌ای درنگ بفشارید! حالا چرا؟!

این کار علاوه بر رفع باگ‌ها و اشکالات احتمالی امنیت نرم‌افزار راه هم بیشتر می‌کند. بروزرسانی‌ها معمولاً با افزایش امنیت همراه است. هیچ نرم‌افزاری کامل نیست و هکرها از همین موضع برای پیداکردن راهی برای نفوذ به سایت شما استفاده می‌کنند. پس بهتر است هرچه که می‌شود این راه را از دید آنها مخفی کنید. بسیاری از حمله‌های سایبری به‌صورت خودکار و توسط ربات‌ها انجام می‌شود. با بروزرسانی به‌موقع نرم‌افزارها، می‌توانید احتمال هک شدن توسط هکرها را کمتر کنید.

هاست مطمئن و اختصاصی

اگر از هاست مطمئنی سرور وب‌سایتتان را خریداری کنید که تمام مسائل امنیتی را رعایت کند سایت شما هم همان سطح امنیت را خواهد داشت؛ البته روی کاغذ! زیرا همیشه اینگونه نیست. استفاده از سرورهای مشترک به دلیل قیمت مقرون به صرفه برای خیلی‌ها جذابیت بالایی دارد و بسیاری از وب‌سایت‌ها از این نوع سرورها استفاده می‌کنند. حالا مشکل کار کجاست؟

فرض کنیم که وب‌سایت شما تمام پروتکل‌های امنیتی را رعایت کرده باشد. از آنجایی که اطلاعات شما روی سروری قرار دارد که چند سایت دیگر نیز به آنها دسترسی دارند، آنها هم باید امنیت بالایی داشته باشند. در غیر اینصورت اگر یکی از این وب‌سایت‌ها به دلیل امنیت پایین هک شود، اطلاعات شما نیز در سرور مشترک به خطر می‌افتد. البته این به این معنا نیست که این گونه سرورها مناسب نیستند ولی اگر می‌خواهید امنیت سایت خودتان را بیشتر کنید از سرورهای اختصاصی استفاده کنید.

تغییر کلمه عبور

رمز عبورتان را تغییر دهید! هر چه روی این موضوع تاکید کنیم باز هم کم است. افراد زیادی هستند که از یک کلمه عبور برای همه چیز استفاده می‌کنند؛ تازه بعضی‌ها هم هستند که تاریخ ثبت رمزشان برمی‌گردد به دوران دبیرستان! و بیش از 10 سال است که از یک کلمه عبور استفاده می‌کنند.

حالا بیایید ببینیم مشکل کار کجاست. فرض کنیم که شما عاشق سینما هستید و در سایت‌های زیادی برای خواندن آخرین اخبار و نقد و بررسی فیلم‌ها ثبت نام کردید. معمولاً برای ثبت نام از شما درخواست ایمیل می‌شود. حالا فرض کنید که یکی از این سایت‌ها هک شود و اطلاعات کاربران به دست هکر بیفتد. حالا اگر هکر متوجه شود که شما وب‌سایتی برای خودتان دارید می‌تواند با استفاده از اطلاعات شما و کلمه عبوری که برای همه‌جا یکسان است وارد پنل مدیریتی شما شود!

شاید سناریوی غیرمحتملی باشد ولی باید بدانید که افراد زیادی به‌خاطر همین موضوع متضرر شده‌اند. پس باز هم تاکید می‌کنیم که در انتخاب کلمه عبور دقت کنید و اگر برای سایت‌های مختلف از یک کلمه عبور استفاده می‌کنید آنها را تغییر دهید.

آمار: 25 درصد از کلمه‌های عبور زیر 3 ثانیه هک می‌شوند! 50 درصد نیز در کمتر از 50 دقیقه شکسته می‌شوند!

برای انتخاب کلمه عبور سعی کنید از سایت‌ها یا نرم‌افزارهای تولید‌کننده کلمه عبور استفاده کنید تا نتیجه کار قدرتمندتر باشد. برای مثال می‌توانید از سایت 1پسورد استفاده کنید. نکته دیگر این که از هاستینگی استفاده کنید که احراز هویت دو مرحله‌ای استفاده کند. این یک لایه امنیتی دیگر نیز به امنیت سایت اضافه می‌کند. اگر شرکت ارائه‌دهنده هاست شما این امکان را ندارد جای نگرانی نیست؛ می‌توانید از نرم‌افزارهایی که برای این منظور طراحی شده‌اند استفاده کنید.

از امنیت رایانه شخصی خودتان مطمئن شوید

هیچ‌ چیز بدتر از این نیست که رایانه شخصی خودتان برای وب‌سایتتان تهدید محسوب شود! بدافزارهایی وجود دارد که فایل‌های مخرب را از طریق FTP به وب‌سایت شما تزریق می‌کنند. برای هکرها بسیار آسان‌تر است که از رایانه شما به عنوان دروازه ورود به سایتتان استفاده کنند! بنابراین همیشه مطمئن باشید که کامپیوتر شما یک آنتی‌ویروس قوی و به‌روز دارد. چیه تعجب کردید؟ هنوز هم آنتی‌ویروس‌ها مهم هستند. مخصوصاً وقتی درحال گشتن در اینترنت هستید و فایلی را خواسته یا ناخواسته دانلود می‌کنید.

مجهز به‌بروزترین ابزارها باشید

همیشه که نمی‌شود به‌صورت دستی همه چیز را کنترل کرد. هم وقت‌گیر است هم ممکن است چیزی از زیر دستتان در برود. پس چه باید کرد؟ می‌توانید از ابزارهای آنلاین و افزونه‌ها (برای هر CMS متفاوت است) استفاده کنید تا وظیفه کنترل امنیت سایت را به آنها بسپارید. در ادامه لیستی از بهترین افزونه‌های امنیتی وردپرس را برایتان آورده‌ایم:

• Sucuri
• iThemes Security Pro
• Jetpack Security
• Wordfence
• BulletProof Security
• All In One WP Security & Firewall
• Google Authenticator

ورود برای افراد متفرقه ممنوع!

خودتان را سرزنش نکنید ولی 95 درصد از حملات سایبری به‌خاطر خطای انسانی است. بهترین راه برای پیش‌گیری کم کردن تعداد افرادی است که می‌توانند مرتکب خطا شوند. منظورمان افرادی است که می‌توانند به پنل مدیریتی سایت دسترسی داشته باشند. نیازی نیست همه افرادی که برای یک وب‌سایت فعالیت می‌کنند به پنل دسترسی داشته باشند.

اگر بخشی از کار شما برون‌سپاری می‌شود، برای مثال محتوای سایت، بنرها یا عکس و فیلم، نیازی نیست که آن افراد به پنل مدیریتی دسترسی داشته باشند. اگر هم می‌خواهید به بعضی افراد این دسترسی را بدهید، نیازی نیست آنها به بخش تنظیمات سایت هم دسترسی داشته باشند.

نکته دیگر اینکه افراد نباید از یک نام کاربری یا کلمه عبور یکسان برای ورود به پنل کاربری استفاده کنند. رعایت نکات امنیتی برای ورود به سایت را به همه آموزش دهید و آن را به طور مداوم بررسی کنید. رعایت این نکات تاثیر زیادی در امنیت سایت شما خواهد داشت و احتمال هک شدن آن را بسیار کمتر خواهد کرد.

حتما بخوانید: مزایا و معایب باشگاه مشتریان چیست؟

پشتیبان‌گیری مداوم از سایت

وقتی حرف از امنیت سایت باشد همیشه باید خودتان را برای بدترین موقعیت‌ها آماده کنید. قطعاً هیچوقت نمی‌خواهید خودتان را در این شرایط متصور شوید که سایت شما کامل از دسترس خارج شود. اما در صورت بروز چنین مشکلی باید آمادگی لازم برای رفع آن را داشته باشید؛ راه حل گرفتن نسخه پشتیبان یا همان بکاپ است.

بکاپ گرفتن را به صورت مداوم انجام دهید و نسخه بکاپ را در جای امن با فاصله حداقل 100 متری از نسخه اصلی نگهداری کنید که هکرها به آن دسترسی نداشته باشند! برای این کار می‌توانید از افزونه‌ها هم استفاده کنید. در ادامه 3 تا از بهترین افزونه‌های بکاپ‌گیری وردپرس را برایتان آورده‌ایم:

• UpdraftPlus
• All-in-One WP Migration
• BackWPup

از تنظیمات کارخانه بازگردید!

همانطور که قبلاً هم گفتیم خیلی از حملات هکرها به صورت خودکار و توسط ربات‌ها انجام می‌شود. یکی از ترفندهای هکرها، آموزش ربات‌ها برای پیدا کردن وب‌سایتی با تنظیمات پیش‌فرض است! در نتیجه آنها می‌توانند طیف گسترده‌تری از وب‌سایت‌ها را هدف قرار دهند و با فرستادن ویروس و بدافزاری که برای این تنظیمات طراحی شده‌اند به اطلاعات وب‌سایت دسترسی پیدا کنند. پس کار را برای آنان ساده نکنید! به محض نصب CMS روی هاست بعضی یا همه‌ی تنظیمات پیش‌فرض را تغییر دهید، مانند:

• تنظیمات بخش نظرات
• کنترل‌های کاربران
• قابل مشاهده بودن اطلاعات
• دسترسی به فایل‌ها

آپلود فایل‌ها را محدود کنید

آخرین موردی که باید حواستان به آن باشد آپلود فایل در وب‌سایت شماست. اینکه هرکس بتواند به راحتی فایلی را در سایت شما آپلود کند از لحاظ امنیتی خیلی دلچسب نخواهد بود. زیرا هر فایلی می‌تواند حاوی متنی باشد که وقتی در سرور آپلود و اجرا شد، سایت شما را به خطر بیاندازد.

البته بعضی وقت‌ها طبیعت سایت شما این است که درجایی، فایلی آپلود شود؛ مثلاً برای ثبت نام نیاز به فایل رزمه یا عکس پرسنلی داشته باشید. بهترین راه این است که با همه فایل‌ها به عنوان یک تهدید احتمالی برخورد کنید! مثلاً می‌توانید این فایل‌ها را در سروری دیگر ذخیره کنید و همیشه آنها را بررسی کنید که مشکلی برایتان بوجود نیاورد.

سخن آخر

امنیت سایت باید همیشه اولویت اول شما باشد. اگر این مقاله را می‌خوانید و تا الان کاری برای افزایش امنیت سایت‌تان نکرده‌اید همین الان دست به کار شوید. در این راهنما گفتیم که تهدیداتی که می‌توانند وب‌سایت شما را به خطر بیندازند کدامند و راه‌های افزایش امنیت سایت را هم توضیح دادیم. مهم‌ترین مواردی که گفتیم استفاده از پروتکل HTTPS، تغییر مداوم کلمه عبور، استفاده از هاست مطمئن و بکاپ گرفتن از اطلاعات سایت است. اگر مورد دیگری به ذهنتان می‌رسد در بخش نظرات با ما درمیان بگذارید.