تمیزکاری و ارتقاء امنیت وب‌سایت، با آپدیت‌های دقیق و منظم!

دسته بندی: آموزش, امنیت
نکات طلایی در بروزرسانی (Update) سایت

تا حالا مقالات بخش امنیت وب‌سایت را در وبلاگ ایران‌سرور دیده‌اید؟ در این بخش ما به‌صورت ماهانه گزارش‌هایی از آسیب‌پذیری‌های موجود در سیستم‌های مختلف، مثل وردپرس و جوملا ارائه می‌کنیم. حالا چرا این موضوع را مطرح کردم؟

بیشتر این آسیب‌پذیری‌ها با آپدیت (یا به‌روزرسانی) حل می‌شوند. مثلاً اگر یکی از افزونه‌های وردپرس باگ داشته باشد و امنیت سایت‌تان را به‌خطر بیاندازید، به احتمال زیاد، با آپدیت کردن مشکلش رفع می‌شود.

حالا این آپدیت کردن هم راه‌وچاه خودش را دارد و اگر نتوانید درست آن را انجام دهید، ممکن است که کماکان امنیت سایت در خطر باشد، یا اینکه اصلاً همه‌چیر بهم بریزد.

در این مقاله می‌خواهیم موارد مهمی که باید به‌صورت منظم چک کنید و از به‌روز بودن آن‌ها مطمئن شوید، یادآور شویم و نکات مهمی را با هم مرور کنیم.

چرا به‌روزرسانی مدوام خیلی مهم است؟

جدی نگرفتن به‌روزرسانی‌های مهم امنیتی، همه‌روزه وب‌سایت‌های زیادی را دچار آلودگی می‌کند. همانطور که گفتیم، بیشتر آپدیت‌ها به دلیل برطرف کردن رخنه‌های امنیتی ارائهنوتیفیکیشن می‌شوند؛ پس اگر آن‌ها را جدی بگیریم، احتمالاً از آسیب‌های احتمالی و نفوذ هکرها پیشگیری خواهیم کرد.

بیایید باور کنیم که این به‌روزرسانی‌ها برای سخت‌تر کردن زندگی شما ارائه نمی‌شوند (هرچند شاید اینطور به نظر برسند!). لحظه ای به استرس و ضرری فکر کنید که با هک شدن وب‌سایت شما به سراغتان خواهد آمد. شما که دل‌تان نمی‌خواهد این تصور واقعی شود؟

خیلی‌ها فکر می‌کنند چون کسب‌وکار کوچکی و نوپایی دارند، اصلاً هکرها از کنارشان هم رد نمی‌شوند؛ چه برسد به اینکه بخواهند به سیستم‌شان نفوذ کنند و اطلاعات‌شان را گرو بگیرند! اما این تصور اشتباه است!

وب‌سایت‌های کوچک طعمه اصلی هکرها هستند!

بهتر است بدانید، نقاط آسیب‌پذیر نرم‌افزارها و کنترل سطوح دسترسی، وب‌سایت‌های کوچک را به اهدافی بزرگ برای هکرها تبدیل می‌کند. حالا جالب این‌جاست که گاهی این سایت‌های کوچک که در یک هاست اشتراکی قرار گرفته‌اند، زمینۀ نفود به دیگر سایت‌های مشترک را هم فراهم می‌کنند.

حتما بخوانید:  MFT )Managed File Transfer)

خب؛ سوال مهم دیگری که این‌جا پیش می‌آید این است:

دقیقا چه بخش‌هایی باید آپدیت شوند؟

به‌طور خلاصه اگر بخواهیم بگوییم، شما باید به‌صورت منظم، برای بررسی و به‌روزرسانی بخش‌های زیر، برنامه داشته باشید:

  • سیستم‌های مدیریت محتوای وب‌سایت
  • پلاگین‌ها (افزونه یا ماژول)
  • قالب‌ها
  • اکستنشن‌ها
  • نرم‌افزارهای مدیریت سرور

حال بیایید هر کدام از این موارد را باز کنیم و توضیح دهیم.

سیستم‌های مدیریت محتوا (CMS)

وردپرس، دروپال، جوملا، وردپرس، پرستاشاپ و … همگی سیستم‌های مدیریت محتوا هستند. فرقی ندارد که شما از کدام سیستم استفاده می‌کنید، در صورتی که آپدیت را جدی نگیرید، ممکن است که در معرض آلودگی باشید.

آخرین گزارش منتشر شده شرکت امنیت سایبری Sucuri درمورد سایت‌های هک شده نشان می‌دهد که ۸۳ درصد تمام وب‌سایت‌های پاکسازی شده از سیستم WordPress استفاده می‌کرد‌ه‌اند. اگرچه این آمار لزوماً به این معنی نیست که WordPress پلتفرمی ناامن‌تر بقیۀ سیستم‌های مدیریت محتوای وب‌سایت است. تعدادکاربران بیشتری از وردرس استفاده می‌کنند و خب طبیعی است که بیشترین آمار پاکسازی هم مربوط به وردپرس باشد.

در تصویر می‌توانید نمودار توزیع CMS وب‌سایت‌های آلوده شده را ببینید 👇

نمودار توزیع پلتفرم های وب‌سایت‌های آلوده شده

💡 سیستم مدیریت محتوای انتخابی شما هر چه که باشد، انجام هرگونه آپدیت مورد نیاز را به شما هشدار می‌دهد. لطفا این هشدارها را نادیده نگیرید!

هشدارها در پیشخوان وردپرس

اگر از وردپرس استفاده می‌کنید، به مقاله نحوه آپدیت وردپرس مراجعه کنید.

پلاگین‌ها

هر پلاگینی پیش از افزوده شدن به وب سایت شما باید خیلی دقیق بررسی شود؛ چون ممکن است که افزونه حامل بدافزار باشد یا آسیب‌پذیری‌هایی داشته باشند.

برخی از این پلاگین‌ها از ابتدا با نیت بد طراحی شده‌اند و برخی دیگر آنقدرها هم بد شروع نمی‌کنند؛ اما در نبود مدیریت یا توجه کافی، به‌آسانی می‌توانند تبدیل به یک پلاگین بدجنس و مخرب شوند.

چند توصیه مهم برای وقتی که قصد افزودن پلاگین جدید به وب‌سایت خود را دارید:

  • پس توضیحات پلاگین را به‌دقت بخوانید و سابقۀ آن را بررسی کنید.
  • پلاگین‌ها را تنها از منابع معتبر و مورد اعتماد دانلود کنید.
  • چک کنید که آخرین  به‌روزرسانی امنیتی ارائه شده برای پلاگین موردنظر شما کِی بوده؟  آیا زمان زیادی از آن گذشته؟
  • اگر پلاگینی رایگان نیست به دنبال نسخه رایگان آن در اینترنت نباشید. آن را مستقیما از توسعه‌دهندۀ آن بخرید.
  • نظرات کاربران را بخوانید. آیا نظراتی منفی در مورد امنیت پلاگین می یابید؟
  • گاهی کمتر، بیشتر است! آیا واقعا به این پلاگین احتیاج دارید؟ معایب آن از مزایای آن بیشتر است؟ قاعدتا پلاگین‌های بیشتر، در اکثر موارد به معنی خطرات امنیتی بیشتر هم هستند. پس با پلاگین‌های غیرضروری سایت‌تان را شلوغ نکنید.
حتما بخوانید:  AMP چیست؟ چرا و چگونه باید از آن استفاده کنیم؟

✅ در صورتی که می‌خواهید همۀ افزونه‌های موجود را در یک نگاه ببینید، از سایدبار وردپرس روی افزونه‌ها (یا Plugins) کلیک کنید. در صفحۀ بعدی شما می‌توانید لیست تمام افزونه‌های نصب شده را ببینید و در صورت نیاز با کلیک روی «هم‌اکنون به‌روز نمایید»، افزونه مورد نظر را آپدیت کنید.

آپدیت پلاگین وردپرس

تم‌ها

درست مثل پلاگین‌ها، تم‌ها هم نیاز به آپدست مداوم و بررسی دقیق پیش از نصب دارند. یادتان باشد هکرها از هر کجا که بتوانند سوء‌استفاده خواهند کرد.

پس حواس‌جمع باشید و پیش از افزودن هرگونه تم به وب‌سایت، به این نکات مهم توجه کنید:

  • آیا تم مورد نظر واقعا برای وب‌سایت شما ضروریست؟
  • آیا می‌توانید به منبعی که تم را در آنجا یافته‌اید، اعتماد کنید؟
  • آیا توسعه دهنده تم، نقاط ضعف امنیتی احتمالی را به‌وسیلۀ ارائه وصله (Patch) رفع خواهد کرد؟

تم‌ها به‌راحتی می توانند تبدیل به بستر مناسبی برای بدافزارهایی از نوع سئوی کلاه سیاه (ترفیع غیرقانونی وب‌سایت در موتورهای جستجوگر)، بدافزار تبلیغاتی (Malvertising) و حملات Backdoors شوند.

چنانچه تم رایگانی پیدا کردید که در ۶ ماه گذشته به‌روزرسانی نداشته، شاید آن‌چنان که فکر می‌کنید این تم رایگان نباشد! کافی است به مبلغ پولی فکر کنید که ممکن است با آلوده شدن وب‌سایت شما از جیب‌تان برود!

اکستنشن‌ها

مورد مهم بعدی در تمیز نگه داشتن سایت، اطمینان از آلوده نبودن رایانه شما به بدافزارهاست. اطمینان از به‌روز بودن سیستم عامل، مرورگر و افزونه‌های (اکستنشن ها) آن بسیار اهمیت دارد. در این حالت که البته کمتر رخ می دهد، رایانه شما به خودی خود زمینۀ حمله به وب‌سایت را فراهم می‌کند. به همین دلیل توصیه می‌شود مرورگرها و افزونه‌های مرورگرها را تنها از منابع مورد اعتماد دریافت و نصب کنید و به محض دریافت هشدار آپدیت، فوراً اقدام کنید.

حتما بخوانید:  پهنای باند چه چیزی هست و چه چیزی نیست؟

نرم‌افزارهای سرور

نام وب‌سرورهایی همچون NGINX، Apache، IIS و غیره، ممکن است برای شما زیاد آشنا نباشد؛ مگر آنکه توسعه دهنده (Developer) باشید یا با تنظیمات حرفه‌ای وب‌سایت خود به‌خوبی آشنا باشید.

اگر آشنا نیستید، بد نیست بدانید که وب‌سایت شما برای آنکه در اینترنت در دسترس قرار گیرد بایستی یک وب‌سرور داشته باشد. همانطور که حدس زده‌اید سرور وب‌سایت شما نیز می‌تواند در مقابل حملات هکرها آسیب‌پذیر باشد. بهترین راه برای مقابله با این خطر نیز به‌روزرسانی است.

بنابراین خیلی مهم است که شما از شرکت های میزبانی وب معتبر، سرور یا هاست خود را خریداری کنید. چنین شرکت هایی بخش امنیت مجزایی داشته  و مطمئن خواهید بود که آخرین بروزرسانی‌ها و تمهیدات امنیتی لازم در سرور اعمال شده و در صورت وجود مشکل می توانید از آن‌ها راهنمائی بگیرید.

لوگوی آپاچی

⭐ راستی، در یک مقاله کامل ماهیت وب‌سرور و انواع وب‌سرورها را توضیح داده‌ایم؛ اگر دوست داشتید مقاله وب سرور چیست را بخوانید.

نکته‌ای از طرف حرفه‌ای‌ها

اغلب سیستم های مدیریت محتوا (CMS) و پلاگین ها (Plugins) گزینه ای به نام به‌روزرسانی خودکار (Automatic Update) دارند؛ اما شاید این کار بهترین راه‌حل ممکن نباشد! به‌روزرسانی خودکار گاهی می‌تواند باعث ایجاد اختلالات عملکردی در وب‌سایت شما شود.

توصیه ما به شما، ایجاد یک نسخه پشتیبان (Backup) کامل از وب‌سایت و کمک گرفتن از توسعه‌دهنده برای آپدیت کردن است.

جمع‌بندی

داشتن وب‌سایتی امن برای همه کاربران، وظیفه‌ای بر عهده شماست که باید بر اهمیت آن واقف باشید. در مقابل تهدیدات بالقوه‌ای که خدمت‌رسانی وب‌سایت شما را مختل می‌کنند به هوش باشید و از «به‌روزرسانی به‌موقع» اطمینان حاصل کنید.

منبع این مقاله [sucuri.net] است. اگر سوالی داشتید یا نیاز به توضیح بیشتر بود، در بخش نظرات مطرح کنید تا فوراً پاسخ‌تان را بدهیم.

امتیاز شما

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست