نکات کلیدی در جهت افزایش امنیت سایت
شما هم در مکانهای شلوغ جیبتان را سفت میچسبید؟ اگر غافل شوید که در کسری از ثانیه همهچیزتان را میدزدند! متاسفانه اینترنت هم همینطور شده است و دغدغۀ افزایش امنیت سایت و امنیت وردپرس بیشتر از همیشه ذهنها را به خود مشغول کرده است. اگر دوست ندارید مشکلی برای سایتتان و wordfence پیش بیاید، باید اقدامات لازم را جهت تامین امنیت آن انجام دهید. کارهایی که به هر نحوی، هکرها را از رسیدن به هدفشان بازمیدارد. در این مقاله از خطرات و 8 راهکار عملی برای مقابله با آنها میگوییم که منجر به ایمن شدن سایت میشوند. با ما همراه باشید.
حملاتی که امنیت سایت را تهدید میکنند چه هستند؟
هکرها این روزها، کلی راه برای به خطر انداختن امنیت سایت بلد هستند. هر روز هم تعداد زیادی روش جدید کشف میشوند. به همین خاطر باید چهارچشمی مراقب امنیت سایتتان باشید. قبلاً در مقالهای تحت عنوان ، برخی از رایجترین روشهای این جماعت را بررسی کردیم. اگر دوست داشتید میتوانید این مقاله جذاب را هم بخوانید. اما خب اگر بخواهیم روشهای افزایش امنیت سایت را آموزش دهیم، باید مجدداً به برخی از مهمترین حملات رایج از جانب هکرها بپردازیم:
حملات بروت فورس (Brute Force)
در این نوع از حملات، هکر سعی میکند با ترکیبهای مختلف، رمز عبور اکانتها را حدس بزند و وارد آنها شود. این کار به کمک بدافزارهایی که هکرها نوشتهاند انجام میشود.
اکانتی که مورد حمله قرار گرفته است، میتواند متعلق به ادمین یک سایت باشد که دسترسی کامل به همهجای آن دارد. وقتی چنین دسترسیای در اختیار هکرها قرار گیرد، فاجعه رخ میدهد! حتی میتوان گفت نابودی سایت دور از انتظار نیست. بنابراین یکی از خطراتی که شدیداً امنیت وب سایت را تهدید میکند، حمله بروت فورس است. در رابطه با این نوع حملات، یک مقاله مفصل هم داریم. خدمت شما!
فیشینگ (Phishing)
یکی دیگر از روشهای محبوب هکرها، فیشینگ است. اکیداً توصیه میکنیم مقاله را بخوانید تا گرفتار این روش دمدستی و ظاهراً ساده نشوید. در این تکنیک، هکر یک صفحه جعلی درست میکند تا با فریب کاربر، اطلاعات حساس او را بدزدد! مثلاً با جعل صفحه پرداخت یک بانک، هکر به اطلاعات حساب بانکی طعمه دست پیدا میکند.
اگر هکر بتواند به کمک این روش، یکی از ادمینهای سایت با سطح دسترسی بالا را فریب دهد، سپس قادر است اقدامات مخربی را روی سایت پیاده کند. گفته میشود روزانه 30 هزار سایت توسط بدافزارها هک میشوند! بدافزار، نرمافزاری مخرب است که با قصد تخریب و آسیب ساخته میشود و میتواند آسیبهای جدی به ساختار سایت و البته سیستم بازدیدکنندگان وارد کند. جالب است بدانید هر هفته 20 هزار سایت توسط گوگل در بلکلیست قرار میگیرند؛ چراکه دارای بدافزار شناخته شدهاند. به این ترتیب، بهسادگی هرچه تمامتر، ترافیک ارگانیک سایت را از دست خواهند داد.
باجافزارها هم نوعی بدافزار هستند که کمی بیرحمتر عمل میکنند. باجافزارها یک تهدید بسیار جدی برای امنیت سایت محسوب میشوند. به این ترتیب که با قرارگیری روی سایت، آن را از دسترس خارج میکنند. سپس هکر از صاحب سایت میخواهد با پرداخت مبلغی بهعنوان باج، دسترسیاش را پس بگیرد. البته که هیچ تضمینی وجود ندارد بعد از پرداخت مبلغ، سایتتان هم برگردد!
یکی دیگر از روشهای رایج برای تهدید امنیت سایت، استفاده از حملات دیداس است. در این نوع حملات، هکرها با فرستادن ترافیک غیرواقعی به یک وبسایت، پهنای باند آن را اشغال میکنند. به این ترتیب، ترافیک واقعی و بازدیدکنندگان واقعی، نمیتوانند به سایت دسترسی داشته باشند.
به زبان ساده، سایت از دسترس خارج میشود.
همانطور که احتمالاً از نام این روش مشخص است، در حملات مرد میانی، هکر بهصورت غیرمجاز در مسیر ارتباط دو سیستم در فضای اینترنت قرار میگیرد. ممکن است این ارتباط بین بازدیدکننده و سایت باشد. بنابراین تمام اطلاعات محرمانه کاربر لو میرود و خب این موضوع در نهایت به ضرر سایت و بازدیدکننده تمام میشود.
حتی ممکن است کاربر در نهایت به سایت دیگری غیر از سایت شما هدایت شود و خیلی راحت، بازدیدکنندهتان را از دست بدهید. این 5 مورد، رایجترین حملات تحت وب بودند. اما خب انواع دیگری هم هستند که پیشنهاد میکنم در همان مقاله با آنها آشنا شوید. بیایید ببینیم برای مقابله با این تهدیدات چه میتوان کرد؟
12+1 راهکار برای افزایش امنیت سایت
اول از همه اینکه حواستان را جمع کنید. البته در ادامه راهکارهای عملی را هم معرفی خواهیم کرد، اما حواسجمع بودن از مشکلات بسیاری جلوگیری میکند. به هرکسی اعتماد نکنید، هکرها را دست کم نگیرید، از پسوردهای قوی استفاده کنید و اطلاعات محرمانه را جایی درج نکنید.
نکته: اگر سایتتان وردپرسی است، میتوانید مقاله را بخوانید.
راهکارهایی که در ادامه آوردهایم، در افزایش امنیت سایت کمکتان خواهند کرد:
1. سایتتان را دائماً بهروز کنید
یکی از سادهترین راهها برای کوتاه کردن دست هکرها، بهروزرسانی دائمی سایت است. همیشه گوشبهزنگ باشید تا اگر آپدیتی آمد، آن را نصب کنید.
مثلاً اگر آپدیت جدید ارائه کرد، بلافاصله نسخهای که از این CMS دارید را بهروزرسانی کنید. آپدیت پلاگینها را هم فراموش نکنید. بسیاری از حملات روی وبسایتها، از طریق پلاگینها (افزونهها) انجام میگیرند. بهروزرسانی آنها، تا حد بسیار زیادی احتمال خطر را کاهش میدهد. در نتیجه، امنیت سایت افزایش پیدا میکند.
2. از پلاگینهای امنیتی استفاده کنید
افزونههایی وجود دارند که بسیاری از کارهای امنیتی لازم را، بهصورت خودکار برای سایتتان انجام میدهند. اگر دستبهجیب هستید، میتوانید از نسخههای پولی استفاده کنید؛ اما پلاگینهای رایگان زیادی هم وجود دارند که کارتان را پیش میبرند.
از جمله این پلاگینها، میتوان به موارد زیر اشاره کرد:
3. از پروتکل HTTPS استفاده کنید
این پروتکل باعث میشود ارتباطات رمزگذاری شوند و استفاده از آن حالا یک ضرورت است. HTTPS و گواهی SSL، حملات مرد میانی را خنثی میکنند. به این ترتیب، دیگر هکری نمیتواند در بین راه اطلاعات ردوبدلی را بدزدد.
در بسیاری از مواقع، هکرها بهخاطر سهلانگاری کاربر موفق میشوند. هنوز درصد بسیار بالایی از پسوردها، 123456 هستند! سادهترین پسورد ممکن.
سعی کنید ترکیبهای پیچیده برای کلمات عبورتان درست کنید. ترکیبی از حروف، اعداد و سمبلها! اگر هرچندوقت یکبار پسورد را عوض کنید هم که چه بهتر! درضمن، از یک پسورد در همه سایتها و حسابهای کاربری استفاده نکنید. به این فکر کنید که اگر یکی از حسابها هک شود یا پسوردتان لو برود، چه اتفاقی برای سایر اکانتهای شما میفتد؟!
داشتن پسورد قوی، یعنی افزایش امنیت سایت در برابر حملات بروت فورس!
5. موارد اضافی سایت را پاک کنید
هر دیتابیس، اپلکیشن یا پلاگینی میتواند مدخل ورود هکرها و دردسرهای همراهشان باشد. اگر ابزاری روی سایتتان دارید که دیگر از آن استفاده نمیکنید، آن را پاک کنید . در این زمینه حتی مردد هم نباشید. به این فکر کنید که اگر امنیت سایت به خطر بیفتد، چه ضررهایی که نمیکنید.
6. سایتتان را بهصورت منظم اسکن کنید
یک برنامه منظم برای اسکن کردن سایتتان داشته باشید. اسکن بهمنظور پیدا کردن آسیبپذیری و خطرات احتمالی! بعد از هرگونه تغییری اینکار را انجام دهید تا اگر خطری پیش آمد، خیلی زود آن را شناسایی و برطرف کنید.
برنامههای رایگان زیادی وجود دارند که عملیات اسکن را انجام میدهند، اما مسلماً آنهایی که پولی هستند، بهتر از مجانیها عمل میکنند و نمیگذارند چیزی از دستشان در برود.
این فایروالها از وارد شدن اسپم و بدافزارها جلوگیری میکنند.
8. از هاستینگهای معتبر استفاده کنید
همیشه همه کارها برعهده صاحب سایت نیست. بخش مهمی از تامین و افزایش امنیت یک سایت، از وظایف ارائهدهنده هاست آن است. تنظیمات هاست و کانفیگ سرور، نقش مهمی را در موضوع امنیت سایت بازی میکنند.
9. به جای FTP از SFTP/SSH استفاده کنید
این کار را میتوانید با تغییر پروتکل به SFTP – SSH، هر بار که به سرور خود متصل میشوید، انجام دهید.
11. مجوزهای فایلی را کنترل کنید
مجوزهای فایلی اگر خیلی آسان گرفته شوند، به هکر اجازه دسترسی، تغییر یا حذف فایل را میدهد. در برخی موارد حتی هکر برخی از فایلها را نگه میدارد تا با آنها باجگیری کند. مجوزهای توصیه شده را برای فایلها خود تنظیم کنید و اطمینان حاصل کنید که قوانین حداقل مجوز رعایت میشود. برای فایلها: ۶۴۴ و برای دایرکتوری ها: ۷۵۵
12. از قالب و افزونه نال شده استفاده نکنید
اگر خیلی به امنیت وبسایتتان اهمیت میدهید، بهتر است بدانید که قالب و افزونه های نال شده گاهی هرزنامه هایی را به سایت شما اضافه می کنند و سبب کاهش رتبه شما در موتور جستجو میشوند.
بهعلاوه، قالب و افزونه های نال شده امنیت سایتهای وردپرس را تهدید میکنند. برای نمونه میتوانیم به بدافزارهایی که با خود وارد سایت میکنند اشاره کنیم. این کدهای مخرب میتوانند در تمام فایلهای شما مخفی شوند و روند شناسایی و رفع ایراد را دشوارتر کنند.
بخش دیگری از خطر قالب وردپرس نال شده، کدهای پنهانی هستند که اطلاعات را از سایت وردپرس شما سرقت و در اختیار هکرها قرار میدهند. این دادهها میتوانند مواردی مانند نام کاربری، ایمیل و پسوردها را شامل شوند.
در ضمن، حتی ممکن است اگر سایت شما یک فروشگاه آنلاین یا سایت عضویتی باشد، اطلاعات شخصی کاربران را در معرض خطر قرار داده باشید.
پس … تا جای امکان از قالب و افزونه نال شده استفاده نکنید!
نکته آخر: بکاپ، بکاپ و بکاپ!
ممکن است همین فردا هکرها روش جدیدی پیدا کنند و ایمنترین سایتها را هم هک کنند. منظور اینکه هیچوقت امنیت بهصورت 100 درصد تامین نمیشود! به همین خاطر بکاپ گرفتن از هرآنچه که دارید، اولین قدمی است که باید در راستای افزایش امنیت سایت بردارید.