امنیت وب سایت

زمان مطالعه 13 دقیقه

امنیت وب سایت چگونه تامین می شود؟

در دنیای جدید امروز و با افزایش روزافزون کاربران اینترنت، هر سازمان، شرکت و یا کسب و کاری به پلتفرمی مجازی برای معرفی و اشتراک کار خود نیاز دارد که بدان وب سایت گفته می شود. در این میان، تعدادی از افراد نیز برای کسب درآمد شروع به سوء استفاده از فضای اینترنت نموده و گاهی امنیت دیگر وب سایت ها را مختل می نمایند.

این افراد هکر نامیده می شوند و برای انجام کار خود روشهایی حرفه ای و قدرتمند به کار می برند. لذا، بحث امنیت وب سایت در این قسمت است که اهمیت بیشتری می یابد. امنیت وب سایت، از اقدامات یا درخواست هایی خاص برای اطمینان از قرارنگرفتن اطلاعات وب سایت در اختیار هکرها یا مجرمان سایبری در هر حالت شکل می گیرد و سطح آسیب پذیری آن را به حداقل می رساند.

همانگونه که می دانیم، وب سایت نوعی پلتفرم مجازی یا سیستم مدیریت محتواست و بطور کلی، ساخت و طراحی یک سیستم مدیریت محتوای کاملا امن کاری غیرممکن و غیر عملی است. همچنین، مسئله امنیت، صرفا به نوع سیستم مدیریت محتوا مربوط نیست.

همچنین، نباید تصور شود که تنها وب سایتهای دولتی و شرکتهای بزرگ می توانند مورد حمله هکرها واقع شوند. حمله هکری در این وب سایتها باعث سلب اعتماد مشتریان می شود. چرا که این افراد اطلاعات خود را در آن وارد می کنند.

در این مقاله، به معرفی عواملی که امنیت وب سایت را به خطر می اندازند پرداخته شده است. همچنین، برای افزایش امنیت وب سایت راهکارهایی ارائه شده که در ادامه ملاحظه می کنیم؛

دلایلی که امنیت وب سایت را تهدید می کنند

هکرها برای نفوذ به وب سایت روشهای قدرتمندی را بکار می گیرند که هر روزه بر تعداد آنها افزوده می شود. لذا مسئله امنیت وب سایت یک مسئله بسیار مهم بوده و نیازمند جدی گرفتن است؛ به این منظور، ابتدا به بررسی عواملی که این امنیت را به خطر می اندازند، می پردازیم؛

– بد افزارها و باج افزارهای سیستم؛ بد افزارهای سیستم، در واقع، آن دسته از نرم افزارهای مخربی هستند که بدون اینکه فرد متوجه گردد، به سایت و سیستم کامپیوتری وی متصل می شوند. بدافزارها انواع بسیاری دارند که هرکدام برای هدفی مشخص طراحی شده اند. این نرم افزارها به صورت رایگان وجود دارند و حاوی کدهای مخربی می باشند که هدف طراح را بر سیستم اعمال می کند. برخی از این بدافزارها در هنگام راه اندازی از کاربر می خواهند تا آنتی ویروس را غیرفعال کند و کار خود را راحت تر انجام دهند.

نمونه هایی از این نرم افزارهای مخرب عبارتند از؛ Spywareها (برداشتن اطلاعات حساس)، Adwareها (نمایش اجباری تبلیغات)، Ransomwareها (اخاذی)، Zombieها (ارسال هرزنامه)، Trojanhorsesها (تخریب، پاکسازی، تغییر و کپی اطلاعات) و …

برطبق مطالعات، روزانه ۳۰ هزار سایت توسط بدافزارها هک می‌شوند. سایت های آلوده به بدافزار، سریعا توسط گوگل شناسایی و در بلک‌ لیست قرار می‌گیرند. و برای یک سایت هیچ چیز، بدتر از ورود به بلک لیست گوگل نمی باشد.

باج‌افزارها، نوعی از بدافزارها هستند که اندکی قدرتمندتر از سایر بدافزارهای معمولی هستند. باج‌افزارها تهدیدی بسیار جدی برای سایت به حساب می آیند و با قرارگیری بر روی سایت، آن را از دسترس خارج می‌کنند.

– حملات Brute Force؛ یک هکر به روشهای مختلف، قادر است تا رمز عبور اکانت ها را یافته و وارد آنها شود؛ مثلا به کمک بدافزارها و … . اگر اکانت مورد حمله، متعلق به ادمین وب سایت باشد، هکر به تمام سایت دسترسی کامل خواهد داشت و این یعنی وقوع یک فاجعه! در این حالت نابودی سایت قطعی است.

– حملات  Phishing؛ این روش هکرها، یک روش دم دستی و ظاهرا ساده ای است و در آن، هکر نآآیک صفحه جعلی درست کرده و با فریب کاربر اطلاعات وی را می دزدد. مثلا گاهی یک هکر با جعل صفحه پرداخت یک بانک به اطلاعات حساب بانکی فرد دسترسی پیدا کند.

– حملات DDos؛ در این روش تخریبی، هکر با فرستادن انواعی از ترافیک غیرواقعی به یک وب‌سایت، به اشغال پهنای باند آن می پردازد. در پی این حملات مکرر، بازدیدکنندگان واقعی وب سایت کاهش یافته و ترافیک واقعی نیز پایین تر می آید.

– حملات MITM؛ در این متد، هکر به صورت غیر مجاز در مسیر ارتباط دو سیستم بازدیدکننده و وب سایت قرارگرفته و تمام اطلاعات محرمانه کاربر را می دزدد.

روش هایی برای افزایش امنیت در وب سایت

همچنان با پیشرفت و توسعه ابزارهای هکرها، روشها و ابزارهای امنیتی گسترده و جامعی نیز، برای افزایش امنیت وب سایت ها توسعه یافته اند که در این بخش، به بررسی این موارد می پردازیم؛

– استفاده از آنتی ویروس قوی و مناسب

از روشهای آسان و مهم امنیتی، استفاده ازیک آنتی ویروس قوی بر روی سیستم می باشد. اصلی ترین وظیفه آنتی ویروس، حفاظت از سیستم و یا وب سایت در برابر فایل های دانلودی می باشد و به طور پیوسته لینک های دانلودی جدید را چک می کنند. از بهترین های آنتی ویروس Norton  و یا McAfee می باشد.

– به روزرسانی دائمی وب سایت

ساده ترین روش مبارزه با هکرها به روزرسانی دائمی وب سایت می باشد. بعنوان مثال، درمورد وردپرس، پس ازآپدیت لازم است تا پلاگین ها نیز آپدیت شوند. باید درنظر داشته باشید که بسیاری از حملات هکری وب‌سایت‌ها، از طریق پلاگین‌ها صورت می گیرند. به همین دلیل، به‌روزرسانی آن‌ها، امنیت سایت را بالا برده و تا حد بسیار زیادی احتمال خطر را کاهش می‌دهد.

– استفاده از پلاگین‌های امنیتی

پلاگین های امنیتی، افزونه‌هایی هستند که اعمال امنیتی لازم برای جلوگیری از دخالت هکرها و حفظ امنیت وب سایت را بصورت خودکار انجام می‌دهند. این پلاگین ها هم نسخه پولی و هم نسخه رایگان دارند و از جمله آنها می توان به مواردی اشاره کرد. از جمله؛

WordFence، BalletProofSecurity، iThemesSecurity، SecuritySucuri و …

– استفاده از پروتکل های HTTPS

این دسته از پروتکل ها، تمامی اطلاعات ارتباطی وب سایت و مششتری را به صورت رمز در می آورند. امروزه، استفاده از این پروتکل ها در وب سایت به یک ضرورت بسیار جدی تبدیل شده است. پروتکل های HTTPS و گواهی  SSL، قادرند هر گونه حمله MITM خنثی ‌کنند. در پی استفاده از این پروتکل ها، هکر هیچگونه دسترسی به اطلاعات ردوبدلی نخواهد داشت.

– انتخاب پسورد قدرتمند

گاهی، هکرهای سایبری به دلیل سهل انگاری کاربر در انتخاب پسورد و رمز عبورهای امنیتی به راحتی موفق به نفوذ به اکانت ها و سرقت اطلاعات مهم افراد می گردند. برای جلوگیری از این امر، بهتر است از ترکیبات پیچیده ای از حروف، اعداد و سمبل ها بعنوان کلمات عبور استفاده کنید. در ضمن، هرچند وقت یکبار نیز لازم است تا پسورد را عوض کنیم. همیشه به یاد داشته باشید که هرگز از یک پسورد در همه سایت‌ها و حساب‌های کاربری استفاده نکنید.

افزون بر این، برای امنیت بیشتروب سایت بهتر است تا نام کاربری پیشفرض را نیز، به عباراتی منحصر به فرد تغییر دهید و از به کاربردن کلماتی مثل  Admin، نام خودتان یا نام وب‌سایت و سایر کلمات آسان بپرهیزید.

– پاک کردن موارد اضافی سایت

باید بدانید که ممکن است در یک وب سایت هرگونه دیتابیس، اپلکیشن یا پلاگینی محل نفوذ هکرها و ایجاد دردسرهای بزرگ باشد.‌ لذا، بهترین کار این است که اگر ابزاری روی وب سایت باشد که استفاده ای مفید از آن نمی کنید، بدون کوچکترین تردیدی پاکش کنید.

– اسکن منظم وب سایت‌

اسکن یک وب سایت، در واقع به معنی کند و کاو و جست و جوی جامع آن به منظور یافتن هرگونه آسیب پذیری و خطرات احتمالی می باشد. لذا، لازم است تا برای اسکن منظم وب سایت برنامه ای باشد تا به محض ایجاد خطری هرچند کوچک در وب سایت، شناسایی و برطرف شود. نسخه هایی از این گونه برنامه ها، هم به صورت پولی و هم رایگان در دسترس هستند.

– استفاده از WAF برای وب سایت

اصطلاح WAF، درواقع مخفف عبارت Web Application Firewall و به معنای فایروالی بین بازدیدکنندگان و وب سایت می باشد که تمام داده‌ ها و اطلاعات رد و بدل شده را زیرنظر دارد. امروزه بیشتر WAF ها دارای یک سیستم ابری می باشند که ترافیک داده دریافتی را ابتدا به Cloud می فرستند و به بررسی آن می پردازند. سپس، در صورت بی‌خطر بودن دیتا، آن را به سایت مقصد ارجاع می دهند. این دسته از فایروال‌ها، از وارد شدن اسپم و بدافزارها به سیستم جلوگیری می‌کنند.

– استفاده از هاستینگ‌ معتبر

بخش اعظم و مهمی از مسئولیت تامین امینت یک وب سایت، بر عهده ارائه دهنده هاست می باشد. بنابراین، قبل از شروع طراحی وب سایت باید در نظر داشته باشیم که تنظیمات هاست و کانفیگ سرور انتخابی باید برای ایجاد امنیت وب سایت طراحی شده باشد.

– استفاده از SFTP/SSH بجای FTP

در اکانت های FTP، بارگزاری فایل ها در وب سرور با استفاده از سرویس گیرنده FTP صورت می گیرد. در Plain FTPها، رمز ورود کاربران رمزگذاری نمی‌شود؛ لذا، خطر هک شدن افزایش می یابد. درحالی که در پروتکل  SFTP/SSH File Transfer، داده‌ها رمزگذاری شده و به سرور فرستاده می‌شوند. بنابراین، استفاده از این پروتکل بر دیگری ارجحیت دارد.

– دسترسی حفاظت‌شده به دایرکتوری wp_admin

بخش  wp-admin، بخش اصلی مدیریت و کنترل وب سایت بوده و دسترسی‌های حفاظت نشده کاربران و اعضای تیم، وب سایت را در معرض حوادثی همچون آلوده شدن به بدافزارها و هک قرار می‌دهد. پس، بهتر است برای هر نقشی وظایف و دسترسی هایی تعریف گردد. همچنین، اضافه کردن لایه احراز هویت در دایرکتوری  Admin نیز، اقدامی موثر خواهد بود.

– کنترل مجوزهای فایلی

در طراحی وب سایت، باید مجوزهای فایلی بسیار جدی در نظر گرفته شوند. زیرا، آسان گرفتن این مجوزها به هکرها اجازه دسترسی، تغییر یا حذف فایل ها را می‌دهند. این مجوزها بهتر است توسط ادمین اصلی تنظیم شوند و نیز قانون حداقل مجوزها نیز باید رعایت گردد؛ این مقدار حداقل برای فایل‌ها ۶۴۴ و برای دایرکتوری ها ۷۵۵ می باشد.

– عدم استفاده از قالب و افزونه نال شده

برخی از قالب ها و افزونه های نال شده، هرزنامه هایی را به وب سایت اضافه کرده و سبب کاهش رتبه آن در موتورهای جست وجو می گردند. می‌شوند. این قالب ها و افزونه ها، کدهای مخربی را به وب سایت وارد می کنند که می‌توانند در تمام فایل‌ها مخفی شده و روند شناسایی و رفع را دشوارتر کنند. گاهی این کدهای مخرب اطلاعات سایت همچون نام کاربری، ایمیل، پسورد و… را سرقت و به هکرها می فرستند.

Web browser closeup on LCD screen with shallow focus with light shining through https padlock. Internet security, SSL certificate, cybersecurity, search engine and web browser concepts

سخن پایانی

با گسترش روش های هک اطلاعات پایه ای و مهم وب سایت ها، روش های امنیتی پیشرفته ای نیز در اختیار طراحان وب سایت ها قرار داده شده است تا طرح خود را از آسیب ها و خطرات حفظ کنند. باید بدانیم که هیچگاه امنیت بصو‌رت ۱۰۰ درصدی تامین نمی‌شود. در اینجاست که نیاز به راهکاری خاص برای مقابله امری ضروری می گردد. این راهکار، چیزی نیست جز بکاپ گرفتن.

بکاپ گرفتن، از اولین اقدامات در راستای افزایش امنیت وب سایت می باشد. در اینصورت، اگر هکری پس از دسترسی به یک سایت آن را از دسترس خارج کرد، می توان با استفاده از بکاپ اطلاعات وب سایت، مجددا آن را راه اندازی کرد.

درنهایت بدانید که هکرها آرام نمی نشینند و همواره به دنبال ایجاد روش هایی نوین برای دورزدن سپرهای امنیتی هستند. پس، ما نیز هرگز نباید دست از مجادله با آنها برداریم؛

تالیف: سقا

7 فروردین 1402

رفرنس:

https://www.sis-eg.com/fa/article/42198-web-security.html

yun.ir/uo5v0a

/https://blog.iranserver.com/website-security-tips