افزایش امنیت وب‌سایت،با ۱۲+۱ راهکار ساده و عملی!

۴ دیدگاه
دسته بندی: آموزش, امنیت
چگونگی افزایش امنیت سایت

شما هم در مکان‌های شلوغ جیب‌تان را سفت می‌چسبید؟ اگر غافل شوید که در کسری از ثانیه همه‌چیزتان را می‌دزدند! متاسفانه اینترنت هم همین‌طور شده است و دغدغۀهکر مثلا افزایش امنیت سایت بیشتر از همیشه ذهن‌ها را به خود مشغول کرده است.

اگر دوست ندارید مشکلی برای سایت‌تان پیش بیاید، باید اقدامات لازم را جهت تامین امنیت آن انجام دهید. کارهایی که به هر نحوی، هکرها را از رسیدن به هدف‌شان بازمی‌دارد. در این مقاله از خطرات و ۸ راهکار عملی برای مقابله با آن‌ها می‌گوییم که منجر به ایمن شدن سایت می‌شوند.

با ما همراه باشید.

حملاتی که امنیت سایت را تهدید می‌کنند چه هستند؟

هکرها این‌ روزها، کلی راه‌ برای به‌ خطر انداختن امنیت سایت بلد هستند. هر روز هم تعداد زیادی روش جدید کشف می‌شوند. به همین خاطر باید چهارچشمی مراقب امنیت سایت‌تان باشید.

قبلاً در مقاله‌ای تحت عنوان هکرها چگونه اطلاعات محرمانه شما را می‌دزدند، برخی از رایج‌ترین روش‌های این جماعت را بررسی کردیم. اگر دوست داشتید می‌توانید این مقاله جذاب را هم بخوانید.

اما خب اگر بخواهیم روش‌های افزایش امنیت سایت را آموزش دهیم، باید مجدداً به برخی از مهم‌ترین حملات رایج از جانب هکرها بپردازیم:

حملات بروت فورس (Brute Force)

 در این نوع از حملات، هکر سعی می‌کند با ترکیب‌های مختلف، رمز عبور اکانت‌ها را حدس بزند و وارد آن‌ها شود.  این کار به کمک بدافزارهایی که هکرها نوشته‌اند انجام می‌شود.

اکانتی که مورد حمله قرار گرفته است، می‌تواند متعلق به ادمین یک سایت باشد که دسترسی کامل به همه‌جای آن دارد. وقتی چنین دسترسی‌ای در اختیار هکرها قرار گیرد، فاجعه رخ می‌دهد! حتی می‌توان گفت نابودی سایت دور از انتظار نیست.

بنابراین یکی از خطراتی که شدیداً امنیت وب سایت را تهدید می‌کند، حمله بروت فورس است. در رابطه با این نوع حملات، یک مقاله مفصل هم داریم. حمله بروت فورس چیست و چگونه در دام آن نیفتیم؟ خدمت شما!

منافع حملات بروت فورس

فیشینگ (Phishing)

یکی دیگر از روش‌های محبوب هکرها، فیشینگ است. اکیداً توصیه می‌کنیم مقاله فیشینگ چیست را بخوانید تا گرفتار این روش دم‌دستی و ظاهراً ساده نشوید.

 در این تکنیک، هکر یک صفحه جعلی درست می‌کند تا با فریب کاربر، اطلاعات حساس او را بدزدد!  مثلاً با جعل صفحه پرداخت یک بانک، هکر به اطلاعات حساب بانکی طعمه دست پیدا می‌کند.

اگر هکر بتواند به کمک این روش، یکی از ادمین‌های سایت با سطح دسترسی بالا را فریب دهد، سپس قادر است اقدامات مخربی را روی سایت پیاده کند.

فیشینگ

بدافزارها و باج‌افزارها (Malwares and Ransomwares)

گفته می‌شود روزانه ۳۰ هزار سایت توسط بدافزارها هک می‌شوند!  بدافزار، نرم‌افزاری مخرب است که با قصد تخریب و آسیب ساخته می‌شود و می‌تواند آسیب‌های جدی به ساختار سایت‌ و البته سیستم بازدیدکنندگان وارد کند. 

جالب است بدانید هر هفته ۲۰ هزار سایت توسط گوگل در بلک‌لیست قرار می‌گیرند؛ چراکه دارای بدافزار شناخته شده‌اند. به این ترتیب، به‌سادگی هرچه تمام‌تر، ترافیک ارگانیک سایت را از دست خواهند داد.

باج‌افزارها هم نوعی بدافزار هستند که کمی بی‌رحم‌تر عمل می‌کنند.  باج‌افزارها یک تهدید بسیار جدی برای امنیت سایت محسوب می‌شوند. به این ترتیب که با قرارگیری روی سایت، آن را از دسترس خارج می‌کنند. سپس هکر از صاحب سایت می‌خواهد با پرداخت مبلغی به‌عنوان باج، دسترسی‌اش را پس بگیرد.  البته که هیچ تضمینی وجود ندارد بعد از پرداخت مبلغ، سایت‌تان هم برگردد!

حتما بخوانید:  نصب گواهی SSL در Cpanel

باج افزار

👈 در مقاله باج‌ افزار چیست؟ به تمام جوانب این نوع بدافزارها پرداخته شده است.

حملات دیداس (DDoS Attacks)

یکی دیگر از روش‌های رایج برای تهدید امنیت سایت، استفاده از حملات دیداس است.  در این نوع حملات، هکرها با فرستادن ترافیک غیرواقعی به یک وب‌سایت، پهنای باند آن را اشغال می‌کنند. به این ترتیب، ترافیک واقعی و بازدیدکنندگان واقعی، نمی‌توانند به سایت دسترسی داشته باشند. 

به زبان ساده، سایت از دسترس خارج  می‌شود.

نمایی از حمله دیداس

👈 در مقاله حمله DDoS چیست، کامل راجع به آن صحبت کرده‌ایم.

حملات مرد میانی (MITM Attacks)

همان‌طور که احتمالاً از نام این روش مشخص است،  در حملات مرد میانی، هکر به‌صورت غیرمجاز در مسیر ارتباط دو سیستم در فضای اینترنت قرار می‌گیرد. 

ممکن است این ارتباط بین بازدیدکننده و سایت باشد. بنابراین تمام اطلاعات محرمانه کاربر لو می‌رود و خب این موضوع در نهایت به ضرر سایت و بازدیدکننده تمام می‌شود.

حتی ممکن است کاربر در نهایت به سایت دیگری غیر از سایت شما هدایت شود و خیلی راحت، بازدیدکننده‌تان را از دست بدهید.

حمله مرد میانی

این ۵ مورد، رایج‌ترین حملات تحت وب بودند. اما خب انواع دیگری هم هستند که پیشنهاد می‌کنم در همان مقاله انواع حملات سایبری با آن‌ها آشنا شوید.

بیایید ببینیم برای مقابله با این تهدیدات چه می‌توان کرد؟

۸+۱ راهکار برای افزایش امنیت سایت

اول از همه اینکه حواس‌تان را جمع کنید. البته در ادامه راهکارهای عملی را هم معرفی خواهیم کرد، اما حواس‌جمع‌ بودن از مشکلات بسیاری جلوگیری می‌کند. به هرکسی اعتماد نکنید، هکرها را دست کم نگیرید، از پسوردهای قوی استفاده کنید و اطلاعات محرمانه را جایی درج نکنید.

نکته: اگر سایت‌تان وردپرسی است، می‌توانید مقاله ۱۶ راهکار افزایش امنیت وردپرس را بخوانید.

راهکارهایی که در ادامه آورده‌ایم، در افزایش امنیت سایت کمک‌تان خواهند کرد:

۱. سایت‌تان را دائماً به‌روز کنید

یکی از ساده‌ترین راه‌ها برای کوتاه کردن دست هکرها، به‌روزرسانی دائمی سایت است. همیشه گوش‌به‌زنگ باشید تا اگر آپدیتی آمد، آن را نصب کنید.

مثلاً اگر وردپرس آپدیت جدید ارائه کرد، بلافاصله نسخه‌ای که از این CMS دارید را به‌روزرسانی کنید. آپدیت پلاگین‌ها را هم فراموش نکنید. بسیاری از حملات روی وب‌سایت‌ها، از طریق پلاگین‌ها (افزونه‌ها) انجام می‌گیرند. به‌روزرسانی آن‌ها، تا حد بسیار زیادی احتمال خطر را کاهش می‌دهد. در نتیجه، امنیت سایت افزایش پیدا می‌کند.

۲. از پلاگین‌های امنیتی استفاده کنید

پلاگین امنیتیافزونه‌هایی وجود دارند که بسیاری از کارهای امنیتی لازم را، به‌صورت خودکار برای سایت‌تان انجام می‌دهند. اگر دست‌به‌جیب هستید، می‌توانید از نسخه‌های پولی استفاده کنید؛ اما پلاگین‌های رایگان زیادی هم وجود دارند که کارتان را پیش می‌برند.

از جمله این پلاگین‌ها، می‌توان به موارد زیر اشاره کرد:

  • WordFence
  • BulletProof Security
  • iThemes Security
  • Security Sucuri

۳. از پروتکل HTTPS استفاده کنید

این پروتکل باعث می‌شود ارتباطات رمزگذاری شوند و استفاده از آن حالا یک ضرورت است. HTTPS و گواهی SSL، حملات مرد میانی را خنثی می‌کنند. به این ترتیب، دیگر هکری نمی‌تواند در بین راه اطلاعات ردوبدلی را بدزدد.

حتما بخوانید:  مقایسه محبوب‌ترین کنترل‌پنل‌های هاست

اگر دوست دارید اطلاعات بیشتری داشته باشید، ۲ مقاله HTTPS چیست و گواهی SSL چیست، همان چیزهایی هستند که نیاز دارید.

۴. کلمه عبور (Password) قوی انتخاب کنید

در بسیاری از مواقع، هکرها به‌خاطر سهل‌انگاری کاربر موفق می‌شوند. هنوز درصد بسیار بالایی از پسوردها، ۱۲۳۴۵۶ هستند! ساده‌ترین پسورد ممکن.

سعی کنید ترکیب‌های پیچیده برای کلمات عبورتان درست کنید. ترکیبی از حروف، اعداد و سمبل‌ها! اگر هرچندوقت یکبار پسورد را عوض کنید هم که چه بهتر! درضمن، از یک پسورد در همه سایت‌ها و حساب‌های کاربری استفاده نکنید. به این فکر کنید که اگر یکی از حساب‌ها هک شود یا پسوردتان لو برود، چه اتفاقی برای سایر اکانت‌های شما میفتد؟!

داشتن پسورد قوی، یعنی افزایش امنیت سایت در برابر حملات بروت فورس!

پس باز هم تاکید می‌کنیم که: مطمئن شوید که رمز عبور ضعیف برای پنل مدیریت (wp_admin)، پنل هاستینگ سرور، پایگاه داده‌ها، حساب‌های FTP و حساب ایمیل‌های اصلی شما استفاده نمی‌شود.

همچنین نام کاربری پیش‌فرض خود را به عبارات منحصر به فرد تغییر دهید. کلماتی همچون Admin، نام خودتان یا نام وب‌سایت و دیگر کلماتی که به آسانی قابل شکستن باشند، گزینه مناسبی برای نام کاربری نیستند.

۵. موارد اضافی سایت را پاک کنید

هر دیتابیس، اپلکیشن یا پلاگینی می‌تواند مدخل ورود هکرها و دردسرهای‌ همراه‌شان باشد.  اگر ابزاری روی سایت‌تان دارید که دیگر از آن استفاده نمی‌کنید، آن را پاک کنید . در این زمینه حتی مردد هم نباشید. به این فکر کنید که اگر امنیت سایت به خطر بیفتد، چه ضررهایی که نمی‌کنید.

۶. سایت‌تان را به‌صورت منظم اسکن کنید

یک برنامه منظم برای اسکن کردن سایت‌تان داشته باشید. اسکن به‌منظور پیدا کردن آسیب‌پذیری‌ و خطرات احتمالی! بعد از هرگونه تغییری اینکار را انجام دهید تا اگر خطری پیش آمد، خیلی زود آن را شناسایی و برطرف کنید.

برنامه‌های رایگان زیادی وجود دارند که عملیات اسکن را انجام می‌دهند، اما مسلماً آن‌هایی که پولی هستند، بهتر از مجانی‌ها عمل می‌کنند و نمی‌گذارند چیزی از دست‌شان در برود.

⚠ ما هر ماه لیستی از آسیب‌پذیری‌های کشف‌شده در وردپرس یا بقیه سیستم‌های مدیریت محتوا را منتشر می‌کنیم. برای دسترسی به این گزارشات به بخش امنیت مراجعه کنید.

۷. از WAF برای سایت استفاده کنید

WAF مخفف Web Application Firewall است؛ یعنی فایروالی که بین بازدیدکنندگان و سایت قرار می‌گیرد تا تمام داده‌های ردوبدلی را زیرنظر داشته باشد. امروزه بیشتر WAF ها سیستم ابری دارند. به این صورت که ترافیک ابتدا به Cloud فرستاده و در صورت بی‌خطر بودن، به سایت مربوطه ارجاع می‌شود.

این فایروال‌ها از وارد شدن اسپم و بدافزارها جلوگیری می‌کنند.

۸. از هاستینگ‌های معتبر استفاده کنید

همیشه همه کارها برعهده صاحب سایت نیست. بخش مهمی از تامین و افزایش امنیت یک سایت، از وظایف ارائه‌دهنده هاست آن است. تنظیمات هاست و کانفیگ سرور، نقش مهمی را در موضوع امنیت سایت بازی می‌کنند.

💙 خدمات میزبانی وب ایران‌سرور از نظر امنیتی در رده بسیار بالایی قرار دارند و توسط لایسنس‌های معتبر و به‌روز ایمن شده‌اند. اگر می‌خواهید خیال‌تان از امنیت وب سایت راحت باشد، توصیه می‌کنیم به صفحه خرید هاست و میزبانی وب در سایت ما سر بزنید.

حتما بخوانید:  آموزش تنظیمات وردپرس (WordPress)

۹. به جای FTP از SFTP/SSH استفاده کنید

حساب‌های FTP برای بارگذاری فایل‌ها در وب سرور شما با استفاده از سرویس گیرنده FTP استفاده می‌شود. در Plain FTP رمز ورود شما رمزگذاری نمی‌شود و همین نکته خطر هک شدن را افزایش می‌دهد. درحالی که در پروتکل SFTP (SSH File Transfer Protocol)، داده‌ها به صورت رمزگذاری شده به سرور فرستاده می‌شوند. بنابراین، همیشه  SFTP را بر FTP ترجیح دهید.

این کار را می‌توانید با تغییر پروتکل به SFTP – SSH، هر بار که به سرور خود متصل می‌شوید، انجام دهید.

۱۰. دسترسی حفاظت‌شده به دایرکتوری wp_admin قرار دهید

دایرکتوری wp-admin، جایی است که وب‌سایت شما را کنترل می‌کند. دسترسی‌های حفاظت نشده کاربران و یا اعضای تیم تان، وب سایت شما را در معرض حوادث نا‌خواسته قرار می‌دهد. بنابراین با تعریف مجوزهای مختلف برای نقش‌های متفاوت ، دسترسی‌ها را محدود کنید. اضافه کردن لایه احراز هویت برای دایرکتوری Admin نیز به این امر کمک می‌کند.

۱۱. مجوزهای فایلی را کنترل کنید

مجوزهای فایلی اگر خیلی آسان گرفته شوند، به هکر اجازه دسترسی، تغییر یا حذف فایل را می‌دهد. در برخی موارد حتی هکر برخی از فایل‌ها را نگه می‌دارد تا با آن‌ها باج‌گیری کند. مجوزهای توصیه شده را برای فایل‌ها خود تنظیم کنید و اطمینان حاصل کنید که قوانین حداقل مجوز رعایت می‌شود. برای فایل‌ها: ۶۴۴ و برای دایرکتوری ها: ۷۵۵

 

۱۲. از قالب و افزونه نال شده استفاده نکنید

اگر خیلی به امنیت وب‌سایت‌تان اهمیت می‌دهید، بهتر است بدانید که قالب و افزونه های نال شده گاهی هرزنامه هایی را به سایت شما اضافه می کنند و سبب کاهش رتبه شما در موتور جستجو می‌شوند.

به‌علاوه، قالب و افزونه های نال شده امنیت سایت‌های وردپرس را تهدید می‌کنند. برای نمونه می‌توانیم به بدافزارهایی که با خود وارد سایت می‌کنند اشاره کنیم. این کدهای مخرب می‌توانند در تمام فایل‌های شما مخفی شوند و روند شناسایی و رفع ایراد را دشوارتر کنند.

بخش دیگری از خطر قالب وردپرس نال شده، کدهای پنهانی هستند که اطلاعات را از سایت وردپرس شما سرقت و در اختیار هکرها قرار می‌دهند. این داده‌ها می‌توانند مواردی مانند نام کاربری، ایمیل و پسوردها را شامل شوند.

در ضمن، حتی ممکن است اگر سایت شما یک فروشگاه آنلاین یا سایت عضویتی باشد، اطلاعات شخصی کاربران را در معرض خطر قرار داده باشید.

پس … تا جای امکان از قالب و افزونه نال شده استفاده نکنید!

نکته آخر: بکاپ، بکاپ و بکاپ!

ممکن است همین فردا هکرها روش جدیدی پیدا کنند و ایمن‌ترین سایت‌ها را هم هک کنند. منظور اینکه  هیچ‌وقت امنیت به‌صورت ۱۰۰ درصد تامین نمی‌شود!  به همین خاطر بکاپ گرفتن از هرآنچه که دارید، اولین قدمی است که باید در راستای افزایش امنیت سایت بردارید.

در ضمن، با خواندن مقاله راهکارهای افزایش امنیت شبکه، می‌توانید اطلاعات‌تان را بالاتر ببرید.

برای تهیه این مقاله از سایت‌های IEEE Computer Society و Toptal استفاده کرده‌ایم. اگر سوالی در این زمینه دارید، از طریق قسمت نظرات با ما در میان بگذارید.

همچنین اگر نظر یا اطلاعات تکمیلی‌ای راجع به امنیت سایت دارید، خوشحال می‌شویم که ما و دیگر خوانندگان را هم بهره‌مند کنید.

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

نظرات کاربران

۴ دیدگاه. دیدگاه تازه ای بنویسید

  • امیر فاتحی
    ۱۶ تیر ۱۴۰۰ ۲۱:۳۸

    باسلام و تشکر از مقالات خوبتون.
    عنوان مورد ۹ رو جابجا نوشتید:
    به جای SFTP/SSH از FTP استفاده کنید

    پاسخ
  • میتونید از محصول ضد باج گیر پادویش استفاده کنید و افزونه ضد فیشینگ پادویش رو رایگان نصب کنید
    این محصول مطابق گواهینامه AVTEST آلمان با ۱۰۰% باجگیرها مقابله می کنه
    ضمنا یه سیتم بکاپ گیری داره به نام داده بان که روزی دو بار از تمامی اطلاعات بکاپ میگیره و مکانیزمش طوری هست که چون فقط از تغییرات بکاپ میگیره حافظه خیلی کمی رو اشغال می کنه

    پاسخ
    • سمیرا سرباز
      ۲۱ تیر ۱۴۰۰ ۱۴:۳۳

      خیلی ممنون از معرفی‌تون. امیدوارم بقیه دوستانی هم که تجربه استفاده داشتن نظرشون رو بگن :)

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست