اتفاقات روزمره ، اخبار مهم و دیگر مطالب میهن وب هاست را می توانید در این قسمت مطالعه کنید

اگر مدیریت وب سایت، به‌ویژه یک سایت تجارت الکترونیک را بر عهده دارید، باید مطمئن شوید که تراکنش‌ها به‌طور ایمن انجام می‌شوند و اطلاعات کاربران و مشتریان شما در معرض خطر قرار نمی‌گیرند. پایگاه داده وب سایت وردپرسی شامل داده‌های حساس مانند اطلاعات شخصی، جزئیات کارت‌های اعتباری و سوابق تراکنش‌ها است و شما مسئول حفظ امنیت وب سایت تجارت الکترونیک و یکپارچگی این اطلاعات خواهید بود.

امنیت به معنای کاهش ریسک‌ها و ایجاد سطحی از حفاظت است که از دسترسی غیرمجاز هکرها جلوگیری کند. در اینترنت به‌ویژه برای نرم‌افزارهای متن‌باز، هیچ‌گاه امنیت مطلق وجود ندارد. با این حال، می‌توانید از تدابیر امنیتی متعددی برای کاهش خطرات نفوذ، سرقت داده‌ها و دیگر آسیب‌های نسبتا جدی به وب سایت، استفاده نمایید. طبق مقررات عمومی حفاظت از داده‌ها (GDPR)، کنترل‌کننده داده (data controller) مسئولیت اصلی حفاظت و پردازش داده‌های شخصی را بر عهده دارد.

کنترل‌کننده داده (Data Controller) به فرد یا نهادی اطلاق می‌شود که مسئول تعیین اهداف و روش‌های پردازش داده‌های شخصی است. به عبارت دیگر، اگر شرکت یا سازمان شما در مورد «چرایی» و «چگونگی» پردازش اطلاعات تصمیم‌گیری می‌کند، به عنوان کنترل‌کننده داده شناخته می‌شوید. یک ضعف در امنیت وب سایت تجارت الکترونیک می‌تواند به‌شدت بقای شرکت را تهدید کند. برای مثال، چه کسی حاضر خواهد بود اطلاعات حساس کارت اعتباری خود را در اختیار وب سایتی ناامن قرار دهد؟

امنیت وب سایت تجارت الکترونیک به اندازه سرعت، رابط کاربری و امکانات آن اهمیت دارد. در ادامه به بررسی چند خطر عمده امنیتی برای وب سایت‌های تجارت الکترونیک پرداخته می شود.

تصویر(1)

خطرات سایبری موجود برای امنیت وب سایت تجارت الکترونیک

طبق گزارش امنیت جهانی در سال 2020، صنایع خرده‌فروشی سنتی و محیط‌های تجارت الکترونیک از جمله بخش‌هایی هستند که بیشترین آسیب‌پذیری را در برابر خطرات امنیت سایبری دارند و حدود 24 درصد از کل حوادث امنیتی در سال 2019 به این صنایع مربوط بوده است. باید تهدیداتی که کسب‌وکارهای آنلاین را تحت تأثیر قرار می‌دهند شناسایی نموده و همچنین تدابیری که صاحبان آنها برای امنیت وب سایت تجارت الکترونیک خود و حفاظت از اطلاعات مشتریان اتخاذ کرده اند، در نظر بگیرید.

چند نمونه از خطرات موجود برای امنیت وب سایت تجارت الکترونیک، به شرح زیر است:

1. بدافزار و باج‌افزار

انواع مختلفی از بدافزارها وجود دارند و سطح تهدیدات امنیتی آنها متفاوت است. هکرها از این ابزارها برای هک دستگاه‌ها و سرقت داده‌ها استفاده می‌کنند. بدافزارها می‌توانند خسارت‌های مالی شدیدی ایجاد کرده و به نابودی کامل یک شرکت منجر شوند.

گاهی ممکن است مشتریان با پیام‌هایی مانند "سایت حاوی برنامه های مخرب می باشد" روبرو شوند. این هشدارها نه‌تنها می‌توانند جایگاه وب سایت را در نتایج موتورهای جستجو (SERPs) تحت تأثیر قرار دهند بلکه سبب لطمه به اعتبار برند شما خواهند شد. 

باج‌افزار نوعی ویروس کامپیوتری است که به سیستم یا وب سایت نفوذ نموده و فایل‌ها یا اطلاعات مهم را قفل می‌کند. وقتی این ویروس فعال می‌شود، فایل‌ها رمزگذاری شده و دیگر نمی‌توانید  آنها را استفاده کنید. به دلیل خطراتی که حمله بدافزار می‌تواند برای امنیت وب سایت تجارت الکترونیک داشته باشد، اسکن مرتب سایت جهت شناسایی آلودگی‌های بدافزاری ضروری است.

2. فیشینگ

فیشینگ نوعی حمله مهندسی اجتماعی است که مجرمان سایبری برای انتشار بدافزار به کار می‌گیرند و معمولاً از طریق ایمیل انجام می‌شود.

تصویر(2)

فیشینگ برای سرقت اطلاعات حساس مانند نام کاربری و رمز عبور انجام می‌شود. معمولاً این نوع حمله از طریق اسپم و سایر اشکال ایمیل‌های جعلی یا پیام‌های فوری انجام می‌گیرد. تصویر زیر یک هشدار امنیتی از گوگل است که نشان می دهد سایت در معرض حمله فیشینگ قرار دارد.

تصویر(3)

3. حملات DDoS

DDoS مخفف «Distributed Denial of Service» است. DDoS نوعی حمله سایبری می باشد که در آن تعداد بسیار زیادی درخواست همزمان به سمت یک وب سایت یا سرور ارسال می‌شوند. در نتیجه، وب سایت شما از دسترس خارج می‌شود و هزینه پهنای باند نیز به‌طور چشمگیری افزایش می‌یابد. تصویر زیر آمار و اطلاعات یک وب سایت وردپرسی تحت حمله DDoS را نشان می‌دهد.

تصویر(4)

4. حمله SQL injection

SQL injection نوعی حمله است که در آن هکر سعی می‌کند دستورات SQL را به یک برنامه تحت وب تزریق نماید. اگر این حمله موفقیت‌آمیز باشد، آنها قادر خواهند بود به پایگاه داده سایت شما دسترسی پیدا کرده و داده‌ها را بخوانند، تغییر دهند یا حذف کنند. تصویر زیر حمله سایبری SQL injection را نشان می‌دهد. در این حمله، مهاجم با دستکاری ورودی‌های یک برنامه تحت وب، کدهای SQL مخربی را وارد سیستم می‌کند تا اطلاعات حساس را به دست آورد. 

تصویر(5)

5. حملات Cross-site Scripting یا XSS

Cross-site Scripting یا XSS نوعی حمله است که در آن فرد مهاجم کدهای مخرب را به یک وب سایت اضافه می‌کند تا در زمان لود صفحه اجرا شوند. این تزریق کد در مرورگر کاربر صورت می گیرد و معمولاً هدف آن سرقت اطلاعات حساس است. تصویر زیر مراحل یک حمله XSS را نشان می‌دهند.

تصویر(6)

6. حمله مرد میانی یا Man in the middle

در حملات مرد میانی یا Man in the middle، فرد مهاجم میان دو طرف قرار می‌گیرد و اطلاعاتی که بین  آنها رد و بدل می‌شود را مخفیانه سرقت می‌کند.

7. حمله credential stuffing

credential stuffing نوعی حمله سایبری است که در آن مهاجم اطلاعات کاربری (نام کاربری و رمز عبور) فاش شده از طریق نقص امنیتی را برای نفوذ به داده‌ها در یک سرویس یا وب سایت استفاده می‌کند. تصویر زیر نشان می‌دهد که یک مهاجم توسط روش‌های مختلف، اطلاعات ورود به سیستم‌های مختلف را سرقت کرده است.

تصویر(7)

8. حمله روز صفر یا Zero-day

حمله روز صفر یا Zero-day به یک نقطه ضعف امنیتی اشاره دارد که ناشناخته است و هیچ راه‌حلی برای آن وجود ندارد. "Zero-day" به این معنا می باشد که شما زمان کافی برای رفع مشکل ندارید و باید قبل از اینکه آسیب جدی به کسب‌وکارتان وارد کند، اقدام کنید.

تصویر(8)

9. حملات اسکیمینگ (E-skimming)

اسکیمینگ نوعی حمله دیجیتال است که شامل وارد کردن نرم‌افزارهای مخرب به وب سایت یک خرده‌فروش، با هدف سرقت اطلاعات پرداخت مشتریان در هنگام تسویه می باشد. این نوع حمله با نام Magecart نیز شناخته می‌شود.

تصویر(9)

10. حملات Brute Force

حمله Brute Force روشی مبتنی بر آزمون و خطا برای رمزگشایی اطلاعات حساس مانند اطلاعات ورود به سیستم، کلیدهای API، و SSH است. پس از اینکه رمز عبور به دست هکر افتاد او می‌تواند توسط آن به حساب‌های شما در سرویس‌های دیگر نیز دسترسی پیدا کند. تنظیم رمزهای عبور قوی و فعالسازی احراز هویت چندمرحله‌ای، از موثرترین روش‌ها برای مقابله با حملات سایبری و حفظ امنیت وب سایت تجارت الکترونیک محسوب می‌شوند.

11. درب های پشتی (Backdoors)

Backdoors روشی برای دور زدن سیستم احراز هویت یا رمزنگاری است که امکان ورود خودکار به وب سایت، دستگاه یا سرویس را فراهم می‌کند. زمانی که یک وب سایت یا سرویس، نقض امنیتی داشته باشد، فرد مهاجم می‌تواند Backdoor را ایجاد کرده تا به آن دسترسی پیدا کند. 

12. حملات مهندسی اجتماعی
حملات مهندسی اجتماعی خطرناک هستند زیرا از ویژگی‌های طبیعی انسانی مانند اعتماد به دیگران، ناآگاهی، ناراحتی و …. سوءاستفاده می‌کنند. رایج‌ترین کانال‌هایی که برای اجرای این نوع حملات به کار می روند شامل ایمیل، چت، تماس تلفنی، شبکه اجتماعی، وب سایت‌ و… می شوند. سپس مهاجم می‌تواند از این اطلاعات برای مواردی مانند جعل درخواست در سایت‌های دیگر استفاده کند. 

13. حملات زنجیره تامین

در حملات زنجیره تامین، مهاجم تلاش می‌کند تا از طریق بروزرسانی‌های نرم‌افزاری، کد مخرب را به نرم‌افزار یک سرویس دهنده، منتقل نماید. اگرچه این نوع حملات به اندازه سایر حملات Backdoor رایج نیستند اما اخیرا چندین حمله زنجیره تأمین در افزونه‌های وردپرس شناسایی شده است.

تا به اینجا چند خطر امنیتی برای امنیت وب سایت تجارت الکترونیک مورد بررسی قرار گرفت. جهت مطالعه راهکارهای موثر برای تامین امنیت سایت، می توانید به قسمت دوم آن مراجعه نمایید.