تمیزکاری و ارتقاء امنیت وب‌سایت، با آپدیت‌های دقیق و منظم!

دسته بندی: آموزش, امنیت
نکات طلایی در بروزرسانی (Update) سایت

بیشتر این آسیب‌پذیری‌ها با آپدیت (یا به‌روزرسانی) حل می‌شوند. مثلاً اگر یکی از افزونه‌های وردپرس باگ داشته باشد و امنیت سایت‌تان را به‌خطر بیندازید، به احتمال زیاد، با آپدیت کردن مشکلش رفع می‌شود.حالا این آپدیت کردن هم راه‌وچاه خودش را دارد و اگر نتوانید درست آن را انجام دهید، ممکن است که کماکان امنیت سایت در خطر باشد، یا اینکه اصلاً همه‌ چیز  بهم بریزد. در این مقاله می‌خواهیم موارد مهمی که باید به‌صورت منظم چک کنید و از به‌روز بودن آن‌ها مطمئن شوید، یادآور شویم و نکات مهمی را با هم مرور کنیم. پیشنهاد می‌کنیم حتما به بخش امنیت سایت را در وبلاگ ایران‌سرور سری بزنید در این بخش ما به‌صورت ماهانه گزارش‌هایی از آسیب‌پذیری‌های موجود در سیستم‌های مختلف، مثل وردپرس و جوملا ارائه می‌کنیم.

امنیت سایت

چرا به‌روزرسانی وردپرس مداوم خیلی مهم است؟

اگر تا کنون با وردپرس کارکرده باشید و یک وبسایت وردپرسی داشته باشید قطعا متوجه این موضوع شده اید که بروزرسانی های زیادی در فواصل زمانی کوتاه برای هسته وردپرس و افزونه هایی که نصب کرده اید منتشر می‌شود. شاید این موضوع را بی اهمیت و یا حتی آزاردهنده بدانید و توجهی به آن نکنید. اشتباهی که بسیاری از مدیران وبسایت انجام می‌دهند.

وردپرس و امنیت سایت

ضمنا ذکر این نکته ضروری است که بروزرسانی وردپرس فقط مربوط به بحث امنیت وبسایت نیست. بروزرسانی آپدیت‌های وردپرس اهمیت زیادی دارد و دلایل اصلی آن به شرح زیر است:

  • امنیت: آپدیت‌های وردپرس اغلب شامل وصله‌های امنیتی هستند که آسیب‌پذیری‌های جدید را برطرف می‌کنند. عدم بروزرسانی به موقع می‌تواند وبسایت شما را در معرض حملات هکری و بدافزارها قرار دهد.
  • بهبود عملکرد: بروزرسانی‌های جدید معمولاً شامل بهبودهای عملکردی و بهینه‌سازی‌هایی هستند که می‌توانند سرعت بارگذاری وبسایت شما را افزایش دهند و تجربه کاربری بهتری ارائه دهند.
  • اضافه کردن ویژگی‌های جدید: هر نسخه جدید وردپرس ممکن است ویژگی‌های جدیدی را معرفی کند که می‌تواند به بهبود قابلیت‌های وبسایت شما کمک کند.
  • سازگاری با پلاگین‌ها و تم‌ها: آپدیت وبسایت می‌تواند باعث سازگاری بهتر با پلاگین‌ها و تم‌های جدید شود. نسخه‌های قدیمی ممکن است با نسخه‌های جدید پلاگین‌ها یا تم‌ها سازگار نباشند.
  • رفع اشکالات: بروزرسانی وبسایت شامل رفع اشکالات و باگ‌های موجود در نسخه‌های قبلی هستند. این اشکالات ممکن است بر عملکرد و امنیت وبسایت تأثیر بگذارند.
  • پشتیبانی: نسخه‌های قدیمی وردپرس ممکن است دیگر پشتیبانی نشوند. با استفاده از نسخه‌های جدید، می‌توانید از پشتیبانی رسمی و به‌روز بهره‌مند شوید.

چگونه یک وبسایت را آپدیت کنیم؟

البته این یک سوال کلی است و منظور از آپدیت یا بروزرسانی وب‌سایت می‌تواند اشاره به بخش‌های مختلفی داشته باشد. شما در ۳ زمینه میتوانید وبسایت خود را بروز کنید:

1. آپدیت‌های امنیتی

آپدیت امنیتی یعنی تنظیماتی را در سرور و وبسایت خود پیاده کنید که منجر به افزایش سطح امنیت وبسایت شما و کاهش ریسک خطرات هک و … شود. برای آپدیت وب‌سایت از نظر امنیتی به عنوان مثال باید ورود دو مرحله ای وردپرس، مخفی کردن آدرس ورود ادمین و ربات شناس Captcha را فعال کنید تا احتمال آسیب وب‌سایت شما کاهش یاید.

2. آپدیت‌های محتوایی

آپدیت محتوایی یعنی انتشار محتوای جدید متنی و تصویری در وبسایت که باعث افزایش بازدید و رتبه شما در گوگل نیز می‌شود. داشتن یک وبلاگ پویا و فعال در کنار اپدیت مطالب قبلی و هرس مطالب بی ارزش به معنای اپدیت محتوایی است.

3. آپدیت‌های تکنیکال (فنی)

آپدیت تکنیکال به بحث های مرتبط با سیستم مدیریت محتوا، پلاگین ها و ساختار صفحات وب‌سایت شماست. بروزرسانی افزونه های وب‌سایت، تصحیح ساختار صفحات وب با صفحه‌سازها و کانفیگ سرعت وب‌سایت جزو آپدیت های تکنیکال محسوب می‌شوند.

آیا مشکلات امنیتی فقط متوجه وب‌سایت های مطرح و برندهای معتبر است؟

البته که یک فروشگاه نوپا اینترنتی در مقایسه با ایران سرور و دیجی کالا و اسنپ کمتر در معرض خطر است اما این به معنی این نیست که کلا آسوده خاطر باشد! بلکه گاها این موضوع برعکس می‌شود. خیلی‌ها فکر می‌کنند چون کسب‌وکار کوچکی و نوپایی دارند، اصلاً هکرها از کنارشان هم رد نمی‌شوند؛ چه برسد به اینکه بخواهند به سیستم‌شان نفوذ کنند و اطلاعات‌شان را گرو بگیرند! اما این تصور اشتباه است!

وب‌سایت‌های کوچک طعمه اصلی هکرها هستند!

بهتر است بدانید، نقاط آسیب‌پذیر نرم‌افزارها و عدم دقت و سخت گیری در کنترل سطوح دسترسی، وب‌سایت‌های کوچک را به اهدافی راحت و در دسترس برای هکرها تبدیل می‌کند. حالا جالب این‌جاست که گاهی این سایت‌های کوچک که در یک هاست اشتراکی قرار گرفته‌اند، زمینۀ نفود به دیگر سایت‌های مشترک را هم فراهم می‌کنند.

امنیت و هکرها

چه بخش‌هایی از سایت باید آپدیت شوند؟

به‌طور خلاصه اگر بخواهیم بگوییم، شما باید به‌صورت منظم، برای بررسی و به‌روزرسانی بخش‌های زیر، برنامه داشته باشید:

  • سیستم‌ مدیریت محتوای وب‌سایت
  • پلاگین‌ها (افزونه یا ماژول)
  • قالب‌ها
  • اکستنشن‌ها
  • نرم‌افزارهای مدیریت سرور

1. سیستم‌های مدیریت محتوا (CMS)

وردپرس، دروپال، جوملا، وردپرس، پرستاشاپ و … همگی سیستم‌های مدیریت محتوا هستند. سیستم مدیریت محتوا به طور خلاصه همان پلتفرمی است که برای طراحی وب‌سایت از آن استفاده می‌کنید. معمولا اکثر وبسایت ها از CMS وردپرس استفاده می‌کنند.

بیشتر بخوانید: آشنایی با انواع cms و انتخاب CMS متناسب با نیاز شما

وردپرس و سیستم های مدیریت محتوا

 

آخرین گزارش منتشر شده شرکت امنیت سایبری Sucuri درمورد سایت‌های هک شده نشان می‌دهد که 83 درصد تمام وب‌سایت‌های مورد حمله قرار گرفته از سیستم WordPress استفاده می‌کرد‌ه‌اند. اگرچه این آمار لزوماً به این معنی نیست که WordPress پلتفرمی ناامن‌تر از بقیه سیستم‌های مدیریت محتوا است بلکه دلیل آن ساده است. بیشتر وبسایت ها بر روی پلتفرم وردپرس ساخته میشوند.

در تصویر می‌توانید نمودار توزیع CMS وب‌سایت‌های آلوده شده را ببینید

نمودار توزیع cms

نمودار توزیع پلتفرم های وب‌سایت‌های آلوده شده

وبسایت ها و CMS

سیستم مدیریت محتوای انتخابی شما هر چه که باشد، انجام هرگونه آپدیت مورد نیاز را به شما هشدار می‌دهد. لطفا این هشدارها را نادیده نگیرید!

حتما بخوانید: اگر از وردپرس استفاده می‌کنید و می‌خواهید نحوه تنظیم بروز رسانی در وردپرس آشنا شوید. به مقاله آپدیت خودکار وردپرس مراجعه کنید.

2. پلاگین‌ها

هر پلاگینی پیش از افزوده شدن به وب سایت شما باید خیلی دقیق بررسی شود؛ چون ممکن است که افزونه حامل بدافزار باشد یا آسیب‌پذیری‌هایی داشته باشند. برخی از این پلاگین‌ها از ابتدا با نیت بد طراحی شده‌اند و برخی دیگر آنقدرها هم بد شروع نمی‌کنند؛ اما در نبود مدیریت یا توجه کافی، به‌آسانی می‌توانند تبدیل به یک پلاگین بدجنس و مخرب شوند.

چند توصیه مهم برای وقتی که قصد افزودن پلاگین جدید به وب‌سایت خود را دارید:

  • پس توضیحات پلاگین را به‌دقت بخوانید و سابقۀ آن را بررسی کنید.
  • پلاگین‌ها را تنها از منابع معتبر و مورد اعتماد مثل مخزن وردپرس یا وبسایت های معتبر تولید کننده دانلود کنید.
  • چک کنید که آخرین به‌روزرسانی امنیتی ارائه شده برای پلاگین موردنظر شما کِی بوده؟ آیا زمان زیادی از آن گذشته؟
  • اگر پلاگینی رایگان نیست به دنبال نسخه رایگان آن در اینترنت نباشید. آن را مستقیما از توسعه‌دهنده آن بخرید.
  • نظرات کاربران را بخوانید. آیا نظراتی منفی در مورد امنیت پلاگین می یابید؟
  • گاهی کمتر، بهتر است! پس با پلاگین‌های غیرضروری سایت‌تان را شلوغ نکنید.

بیشتر بخوانید: افزونه وردپرس چیست؟ لیستی از پلاگین های وردپرس

در صورتی که می‌خواهید همۀ افزونه‌های موجود را در یک نگاه ببینید، از سایدبار وردپرس روی افزونه‌ها (یا Plugins) کلیک کنید. در صفحۀ بعدی شما می‌توانید لیست تمام افزونه‌های نصب شده را ببینید و در صورت نیاز با کلیک روی «هم‌اکنون به‌روز نمایید»، افزونه مورد نظر را آپدیت کنید.

نکته: البته توجه داشته باشید که چنانچه از نسخه کرک شده یا نال شده پلاگین استفاده می‌کنید قاعدتا نمی‌توانید از وبسایت اصلی آپدیت ها را دریافت کنید. برای این منظور باید به صورت دستی و از یک منبع قابل اعتماد آخرین نسخه پلاگین را دریافت و نصب کنید.

3. تم‌ها

درست مثل پلاگین‌ها، تم‌ها هم نیاز به آپدیت  مداوم و بررسی دقیق پیش از نصب دارند. یادتان باشد هکرها از هر کجا که بتوانند سوء‌استفاده خواهند کرد. پس حواس‌جمع باشید و پیش از افزودن هرگونه تم به وب‌سایت، به این نکات مهم توجه کنید:

  • آیا تم مورد نظر واقعا برای وب‌سایت شما ضروریست؟
  • آیا می‌توانید به منبعی که تم را در آنجا یافته‌اید، اعتماد کنید؟
  • آیا توسعه دهنده تم، نقاط ضعف امنیتی احتمالی را به‌وسیلۀ ارائه وصله (Patch) رفع خواهد کرد؟

تم‌ها به‌راحتی می توانند تبدیل به بستر مناسبی برای بدافزارهایی از نوع سئوی کلاه سیاه (ترفیع غیرقانونی وب‌سایت در موتورهای جستجوگر)، بدافزار تبلیغاتی (Malvertising) و حملات Backdoors شوند.

چنانچه تم رایگانی پیدا کردید که در ۶ ماه گذشته به‌روزرسانی نداشته، شاید آن‌چنان که فکر می‌کنید این تم رایگان نباشد! کافی است به مبلغ پولی فکر کنید که ممکن است با آلوده شدن وب‌سایت شما از جیب‌تان برود!

راه حل: همیشه سعی کنید از محبوب ترین و معتبر ترین تم ها برای وبسایت خود استفاده کنید و اگر نمیتوانید با استفاده از تم های معتبری نظیر Hello Elementor وبسایت خود را بسازید بهتر است هزینه کنید و یک تم معتبر و شناخته شده مثل وودمارت را خریداری کنید.

4. اکستنشن‌ها

مورد مهم بعدی در تمیز نگه داشتن سایت، اطمینان از آلوده نبودن رایانه شما به بدافزارهاست. اطمینان از به‌روز بودن سیستم عامل، مرورگر و افزونه‌های (اکستنشن ها) آن بسیار اهمیت دارد. در این حالت که البته کمتر رخ می دهد، رایانه شما به خودی خود زمینۀ حمله به وب‌سایت را فراهم می‌کند. به همین دلیل توصیه می‌شود مرورگرها و افزونه‌های مرورگرها را تنها از منابع مورد اعتماد دریافت و نصب کنید و به محض دریافت هشدار آپدیت، فوراً اقدام کنید.

5. نرم‌افزارهای سرور

نام وب‌سرورهایی همچون NGINX، Apache، IIS و غیره، ممکن است برای شما زیاد آشنا نباشد؛ مگر آنکه توسعه دهنده (Developer) باشید یا با تنظیمات حرفه‌ای وب‌سایت خود به‌خوبی آشنا باشید.

اگر آشنا نیستید، بد نیست بدانید که وب‌سایت شما برای آنکه در اینترنت در دسترس قرار گیرد بایستی یک وب‌سرور داشته باشد. همانطور که حدس زده‌اید سرور وب‌سایت شما نیز می‌تواند در مقابل حملات هکرها آسیب‌پذیر باشد. بهترین راه برای مقابله با این خطر نیز به‌روزرسانی است.

بنابراین خیلی مهم است که شما از شرکت های میزبانی وب معتبر، سرور یا هاست خود را خریداری کنید. چنین شرکت هایی بخش امنیت مجزایی داشته و مطمئن خواهید بود که آخرین بروزرسانی‌ها و تمهیدات امنیتی لازم در سرور اعمال شده و در صورت وجود مشکل می توانید از آن‌ها راهنمائی بگیرید.

بیشتر بخوانید: web server یا وب سرور چیست؟  بررسی انواع وب سرور

نکته‌ای از طرف حرفه‌ای‌ها

اغلب سیستم های مدیریت محتوا (CMS) و پلاگین‌ها (Plugins) گزینه ای به نام به‌روزرسانی خودکار (Automatic Update) دارند؛ اما شاید این کار بهترین راه‌حل ممکن نباشد! به‌روزرسانی خودکار گاهی می‌تواند باعث ایجاد اختلالات عملکردی در وب‌سایت شما شود.

توصیه ما به شما، ایجاد یک نسخه پشتیبان (Backup) کامل از وب‌سایت و کمک گرفتن از توسعه‌دهنده برای آپدیت کردن است.

جمع‌بندی

داشتن وب‌سایتی امن برای همه کاربران، وظیفه‌ای بر عهده شماست که باید بر اهمیت آن واقف باشید. در مقابل تهدیدات بالقوه‌ای که خدمت‌رسانی وب‌سایت شما را مختل می‌کنند به هوش باشید و از «به‌روزرسانی به‌موقع» اطمینان حاصل کنید.

منابع

sucuri.net

5/5 - (1 امتیاز)

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست