امنیت وب سایت - چرا باید مراقب باشید؟
مقاله

امنیت وب سایت - چرا باید مراقب باشید؟

هنگامی که در حال  راه اندازی سایت جدید، مهاجرت یا به روزرسانی وب سایت خود هستید، به احتمال زیاد مبحث امنیت در لیست اولویت های شما از اهمیت بالایی برخوردار است.

حقیقت تاسف آور این است که دلایلی وجود دارد که مشاغل کوچک و متوسط، حتی شرکت های نوپا، لازم است تا نسبت به امنیت سایت خود به اندازه یک برند تجاری در سطح جهانی نگران باشند.

ممکن است عناوین خبری متمرکز بر مارک هایی مانند Target و Sony باشد، اما این تنها به این دلیل است که شرکت های نوپا و کوچک به اندازه کافی برای پوشش خبری کشش ندارند.

در حقیقت، حدود 43٪ از حملات سایبری به مشاغل كوچك مربوط می شود كه شامل بسیاری از موارد همچون  شکاف های امنیتی شبکه و تزریق کد به وب سایت می باشد.

هنگامی که امنیت شبکه و وب سایت نقض می شود، در اکثر مشاغل به طور متوسط 197 روز طول می کشد تا تشخیص داده شود. در این بازه زمانی می توان خسارت زیادی وارد کرد، به همین دلیل تلفات جرایم سایبری همچنان در حال افزایش است. طبق اطلاعاتی که  توسط Trustwave به اشتراک گذاشته شده است، هر ساله تقریبا 600 میلیارد دلار خسارت به کسب و کارهای اینترنتی وارد می شود.

از آنجا که سایت های تجارت الکترونیک معمولاً با داده های مهم کاربران سروکار دارند، ضرر ناشی از نقض امنیت می تواند قابل توجه باشد. لذا فکر نکنید به دلیل اینکه یک وب سایت ساده را مدیریت می کنید در امان هستید.

گزارش جهانی امنیت Trustwave در سال 2018 نشان داد که 100٪ از برنامه هایی که آزمایش شده حداقل یک آسیب پذیری امنیتی را نشان می دهند و 11 آسیب پذیری به صورت میانگین در هر برنامه وجود دارد.

چرا سایت ها هک می شوند

تقریباً در اکثر موارد، هکرها از اسکریپت هایی استفاده می کنند که به طور گسترده وب سایت ها را برای پیدا کردن آسیب پذیری های رایج بررسی می کنند. مگر اینکه آنها به طور خاص به دنبال یک چالش باشند، آنها معمولا کمترین آسیب پذیری را برای دستیابی سریع بکار میگیرند.

براساس مطالعه سایت Symantec، در طول سه سال گذشته، بیش از 3/4 وب سایت های اسکن شده دارای آسیب پذیری های تعمیر نشده بوده اند. که 15٪ از آن ها در سال 2015 مهم تلقی شدند.

هنگامی که هکرها سایت ها را از نظر آسیب پذیری اسکن می کنند، هیچ تمایزی بین اندازه یا قدمت تجارت وجود ندارد.

آنچه باعث می شود بسیاری از مشاغل کوچک مورد هدف قرار بگیرند، این است که صاحبان مشاغل کوچک معمولاً امنیت را در اولویت قرار نمی دهند. آنها همچنین بر خلاف شرکت های بزرگ بودجه لازم برای تاسیس یک بخش فناوری اطلاعات را ندارند که بتوانند سیستم های ایمن و به روز شده را به طور منظم تحت نظر داشته باشد.

به گفته کریس اگلستون، بیشتر هکرها در زمان حمله به یک وب سایت به دنبال سه چیز هستند:

1- دزدیدن SMTP server: آنها اسکریپتی را آپلود می کنند که از سرور SMTP شما برای ارسال ایمیل اسپم به صدها ایمیل به صورت روزانه استفاده می کند. این امرتا زمانی که ارائه دهنده هاستینگ شما سرور SMTP را خاموش کند ادامه خواهد یافت.

دزدیدن ترافیک وب سایت شما: آنها ترافیک حاصل از موتورهای جستجو را به وب سایت های پول ساز خود هدایت می کنند. این سایت ها با مشخصات و آرم سایت شما ساخته می شوند، به طوری که بازدید کنندگان فکر می کنند در سایت شما قرار دارند.

توزیع بدافزار: آیا تا به حال از وب سایتی بازدید کرده اید که پیامی را نمایش دهد که می گوید باید Flash Player خود را به روز کنید؟ هنگامی که بر روی آن کلیک کنید، منجر به ورود یک ویروس روی رایانه شما می شود. این روشی است که ویروس از طریق وب سایت های هک شده پخش می شود.

با درک چگونگی به خطر افتادن امنیت و اینکه هکر ها به دنبال چه چیزی هستند، می توانید فناوری امنیتی مورد استفاده توسط ارائه دهندگان هاست و آنچه می توانید برای بهبود امنیت وب سایت خود انجام دهید را بهتر بشناسید.

به طور معمول چگونه امنیت به خطر می افتد؟

آسیب پذیری های امنیتی در بین برنامه های وب متداول است.

نمونه ای از برنامه های وب که صاحبان مشاغل کوچک از آن استفاده می کنند شامل موارد زیر است:

  •  ابزارهای آنالیز وب
  • برنامه ها و و افزونه های نوشتن و دستور زبان 
  • افزونه ها و برنامه های SEO
  • برنامه های ایمیل
  • برنامه های شبکه های اجتماعی
  • برنامه های کاربردی
  • برنامه های ارتباطی مانند چت و فرم های تماس

و سایر گزینه هایی که هرکدام امکان آسیب پذیری دارند و می توانند امنیت وب سایت شما را به خطر بیاندازند.

تصویر(1)

در ادامه به برخی از رایج ترین آسیب پذیری ها در وب سایت ها می پردازیم:

تزریق SQL : تزریق کدی که دسترسی به پایگاه داده را فراهم می کند یا باعث تخریب محتوای آن می شود، به مهاجم امکان می دهد داده ها را بخواند، بنویسد یا تغییر دهد.

اسکریپت Cross-site : که به عنوان XSS نیز شناخته می شود، این روش به مهاجمان امکان می دهد اسکریپت هایی را در مرورگر شما اجرا کنند که می توانند session مرورگر را بربایند، محتوای وب سایت را تغییر دهند و کاربر را به هر مقصد دیگری هدایت کنند.

تایید هویت ناقص : مدیریت ضعیف session و تایید هویت ناقص باعث می شود تا هکر ها یک session فعال کاربر را تصاحب کنند و هویت کاربر را برای خود بگیرند.

پیکربندی اشتباه امنیت : درصورت اعمال تنظیمات نادرست امنیتی، هکر می تواند به کلیه داده ها یا اطلاعات خصوصی دسترسی داشته باشد و یک وب سایت یا شبکه کاملاً به خطر بیافتد.

این موارد برخی از آسیب پذیری های رایج هستند، در حالی که موارد بسیار بیشتری وجود دارد.

خوشبختانه، روش های بیشماری نیز وجود دارد که شرکت های معتبر میزبانی وب سایت به طور فعال برای محافظت از وب سایت و سرورهای میزبان شما بکار می گیرند.

بهترین سرورها برای امنیت وب سایت و ایمن نگه داشتن داده ها

مفهوم میزبانی ساده به نظر می رسد - یک شرکتی که برای ذخیره کردن پرونده ها و داده های نمایش داده شده به عموم به عنوان یک وب سایت، به شما فضا می دهد - اما وقتی صحبت از امنیت به میان آید، می تواند کمی پیچیده تر شود.

درست است، شرکت های میزبان تلاش زیادی می کنند تا سرورها و وب سایت ها ایمن باقی بمانند. اما، بین اینکه مسئولیت شما در کجا به پایان می رسد و مسئولیت شرکت میزبان وب سایت از کجا شروع می شود، یک مرز وجود دارد و بسته به شرایط میزبانی که شما انتخاب می کنید، می تواند تغییر کند.

تصویر(2)

امنیت وب سایت و میزبانی اشتراکی

میزبانی اشتراکی رایج ترین نوع میزبانی برای بسیاری از وب سایت های نوپا و مشاغل کوچک است. آنها مقرون به صرفه هستند. یکی از دلایل صرفه جویی در هزینه این است که شرکت ارائه دهنده میزبانی تعدادی از وب سایت ها را روی یک سرور واحد تقسیم بندی می کند. از این رو نام آن اشتراکی است.

همچنان این تفکر غلط وجود دارد که یک محیط میزبانی اشتراکی نا امن است. اما به راستی، میزبانی اشتراکی برای بسیاری افراد از سایتهای سرگرمی شخصی گرفته تا وب سایتهای تجاری گزینه ای قابل اطمینان و مقرون به صرفه است. تا زمانی که با یک هاست معتبر کار می کنید که امنیت وب سایت را درک می کند، حداقل در سمت میزبان نگرانی ندارید.

البته شما همیشه مسئول آنچه در فضای میزبانی خود انجام می دهید، از جمله برنامه هایی که نصب می کنید، اسکریپت هایی که اجرا می کنید و برخی از پیکربندی های اصلی هستید.

امنیت وب سایت و سرورهای خصوصی مجازی (VPS)

معمولا زمانی که صحبت از امنیت می شود محیط VPS مورد توجه قرار می گیرد، اما اگر از نزدیک به فعالیت کسانی که طرفدار VPS هستند دقت کنید، معمولاً یک گروه IT مانند سرپرستان حرفه ای شبکه هستند. VPS می تواند از یک پلن میزبانی اشتراکی ایمن تر باشد، اما تنها در صورتی که بودجه سرمایه گذاری بر روی یک شخص را داشته باشید که دانش فنی داشته باشد!

در صورت استفاده از VPS بدون داشتن یک مدیر سیستم آگاه و قابل اعتماد (یا دانش خوب خودتان)، در را بر روی آسیب پذیری های بیشتری باز خواهید کرد.

مزیت VPS این است که گزینه های امنیتی و امکان اعمال تغییرات بسیار وسیع تری را در پیکربندی فراهم می کند، اما این تنها در صورتی مفید است که بدانید چه می کنید.

چه اقدامات امنیتی از سمت دیتاسنترها برای حفظ امنیت وب سایت ها انجام می شود.

دیتاسنتر ها در واقع ستون اصلی فناوری برای شرکت های میزبان وب هستند. این مکانها در سراسر جهان توسط بسیاری از شرکت ها که فضای شخصی یا اجاره ای خود را در دیتاسنتر های چندگانه مدیریت می کنند، ایجاد شده اند.

دیتا سنتر ها می توانند از سازمان های کوچک با حداقل زیرساخت و فضا ( شرکتی کوچک با یک دیتاسنتر خصوصی را تصور کنید) تا سازمانی گسترده با ردیفی از سرورها (دیتاسنتر Google و خدمات وب آمازون را متصور شوید) متغیر باشند.

هنگامی که شما تعداد قابل توجهی از سخت افزارها را نگهداری می کنید و پردازش و مدیریت جریان دائمی داده های شخصی و تجاری را انجام می دهید، برای حفظ امنیت لازم است اقدامات خاصی انجام دهید.

در حالی که صاحب وب سایت مسئولیت فضای تعیین شده آن در یک سرور را بر عهده دارد، دیتاسنتر نیز برای مدیریت امنیت و ایمنی فیزیکی (و دیجیتالی) سرورها اقدامات بسیاری را انجام می دهد که شامل موارد زیر می شود:

  • سیستم های کنترل دمای محیط که تجهیزات را در دمای مطمئن نگه می دارند. اتاقی پر از لوازم الکترونیکی مقدار قابل توجهی گرما ایجاد می کند که در صورت خنک نگه نداشتن فضا، می تواند به اجزا آسیب برساند.
  • سیستم های برق اضطراری که حتی در صورت قطع برق شبکه به دلایل غیر منتظره، عملکرد سرورها را حفظ می کند. این ژنراتورها سرورها را تا زمانی که برق مجدداً وصل شود، روشن نگه می دارد و آپتایم سرور ها را تضمین می کنند.
  • سیستم های نظارتی برای نظارت بر فضای داخلی و خارجی دیتاسنتر و همچنین فعالیت هر کس در سایت.
  • ردیاب های فلزی و مانیتورینگ قوی در اتاق های دسترسی به سرور برای اطمینان از عدم ورود یا خروج سخت افزار بدون مجوز.
  • قفسهای سرور (cage) که در دیتاسنتر ها برای محصور کردن و محافظت از سرورهای خاص یا گروه هایی از سرورها، جدا کردن داده ها و تجهیزات حساس از داده های غیر حساس استفاده می شود. این قفس ها گاهی اوقات شامل دوربین مدار بسته برای نظارت بیشتر هستند.
  • امنیت معماری که غالباً در ساخت و ساز در نظر گرفته شده است و تجهیزات را تقویت می کند که می تواند شامل شیشه ضد گلوله، ضد آب، کمربند های ضربه گیر وسایل نقلیه، موانع شکستن در اثر برخورد شدید و سیستم های مهار آتش باشد.

دیتا سنتر ها امنیت فیزیکی را جدی می گیرند تا خطر حمله فیزیکی، آسیب و تهدیدات احتمالی در سایت را به طور چشمگیری کاهش دهند. اما هنوز هم سوالاتی در خصوص رایج ترین و آشکارترین تهدیدات و آسیب پذیری ها برای امنیت وب سایت باقی می ماند: هک شدن و حملات مبتنی بر نرم افزار.

در زیر نحوه کار شرکت های میزبان وب سایت و دیتاسنتر ها برای ایمن نگه داشتن شما در جبهه دیجیتال آورده شده است.

تصویر(3)

امکانات متداول امنیتی وب سایت و نگرانی های امنیتی

هنگام انتخاب ارائه دهنده هاستینگ، این نکته را بخاطر بسپارید که هیچ ویژگی امنیتی خاصی باعث نمی شود امنیت سیستم عامل میزبانی شما از دیگری بالاتر باشد. در عوض، این محافظت تجمعی است که توسط بسیاری از امکانات ارائه شده است و به وب سایت شما کمک می کند تا به بالاترین سطح امنیت دست یابد.

موارد زیر شامل امکاناتی می شوند که به صورت پیش فرض باید از جانب هاستینگ ارائه شود 

1- فایروال ها:

فایروال ها نرم افزار هایی هستند که برای نظارت و فیلتر کردن فعالیت ها، قبل از رسیدن به وب سرور طراحی شده اند. در زمان پیکربندی، مجموعه ای از قوانین برای حفاظت از سیستم ها و داده ها در کلیه ترافیک ورودی و خروجی ایجاد می شود.

فایروال ها از طریق یک یا چند روش از جمله فیلتر کردن (تجزیه و تحلیل تمام داده های در حال عبور از فایروال در برابر مجموعه ای از فیلترها)، بازرسی (بازرسی داده های ورودی به یک سایت در برابر پایگاه داده ای از اطلاعات قابل اعتماد که در آن داده های تأیید شده عبور می کنند) و پروکسی (ترافیک غیرمجاز یا بی اعتبار را قبل از ضربه زدن به سایت شما ضبط می کند) فعالیت می نمایند.

معمول است که یک فایروال واحد روی کل یک سرور با میزبانی مشترک اعمال شود، بنابراین یوزر های میزبانی تقریباً هیچ کنترلی بر پیکربندی فایروال ندارند. در برخی از پلن های هاستینگ امکان ارتقاء به یک فایروال اختصاصی وجود دارد، این امر به شما امکان می دهد قوانین خاصی را ایجاد کنید که چه کسی بتواند به وب سایت شما دسترسی پیدا کند.

2- تهیه نسخه پشتیبان از داده ها، بازگردانی آن ها و پشتیبان گیری 

حتی با مدیریت دقیق محتوای سایت، هر نوع حادثه ای از جمله حمله مخرب می تواند منجر به از دست رفتن اطلاعات شود. برای پیدا کردن یک شرکت میزبان وب سایت ایده آل، بهتر است گزینه هایی که نسخه پشتیبان تهیه می کنند را انتخاب کنید.

پشتیبان گیری خودکار و دستی از داده ها یک استاندارد برای هر شرکت میزبانی وب است، که می بایست دائما از نسخه فعلی سایت بکاپ گیری کنند.علاوه بر این نسخه های پشتیبان، بازگردانی بکاپ به شما امکان می دهد بعد از وقوع نقض، به راحتی به نسخه قبلی برگردید، البته بهتر است مدت کمی از یک نفوذ غیر مجاز گذشته باشد.

هارد های پشتیبان اضافی، آینه ای از نسخه فعلی سرور هستند و به گونه ای یکپارچه هستند، که در صورت خرابی سرور، میتواند سریعاً به یک نسخه پشتیبان هارد اضافی هدایت شود تا از غیرفعال شدن سایت و از دست رفتن اطلاعات جلوگیری شود.

3- توسعه Sandbox 

انجام هر نوع به روز رسانی یا تعمیر سایت می تواند کل وب سایت شما را در معرض حمله قرار دهد، به خصوص اگر برنامه های جدید را نصب و آزمایش می کنید یا تنظیمات یک اسکریپت را انجام می دهید. 

یک Sandbox یا یک محیط منحصر به فرد به شما امکان می دهد به جای ایجاد تغییراتی مستقیم در پرونده های قابل دسترس برای عموم (هکر ها / ربات های احتمالی)، توسط یک روش امن همه تغییرات را در یک محیط زنده (اما نه در معرض عموم) انجام دهید.

تصویر(4)

4- کنترل دسترسی و رمز عبور کاربر

معمولا شرکت های میزبانی وب با استفاده از کنترل پنل هایی مانند cPanel، سطح های مختلف کنترل دسترسی کاربر و مدیریت رمز عبور را ارائه می دهند. از آنجا که این حساب های کاربری دسترسی به سطوح مختلف فایل های اصلی وب سایت شما را فراهم میکند، باید توسط اعضای تیم شما حفاظت شوند.

بسته به ماهیت سایت شما، ممکن است برای دسترسی هرکدام از مشتریان، مشترکین و یا نویسندگان میهمان رمزهای خصوصی خودشان را تنظیم کنید. از آنجا که دسترسی کاربر می تواند از ارسال مطالب ساده تا دسترسی نامحدود به محتوای فایل ها متفاوت باشد، نیاز است کمترین مجوزها را برای هر نقش خاص تعیین کنید.

این یک روش خوب است که بسته به نوع حسابهای ایجاد شده و تعداد کاربران دیگر، یک سیاست رمز عبور تنظیم کنید. به عنوان مثال، حساب هایی که می توانند تأثیر به مراتب بیشتری بر عملکرد و ظاهر عمومی سایت شما داشته باشند، باید دستورالعمل های بسیار سختگیرانه و رمز عبور بسیار پیچیده تری داشته باشند.

برای بهبود امنیت وب سایت باید از یک نرم افزار مدیریت گذرواژه (password manager)  برای همه حساب های کاربری استفاده کنید، به خصوص اگر با چندین کارمند یا پیمانکار کار می کنید که به وب سایت شما دسترسی دارند. یک نرم افزار مدیریت گذرواژه امکان ایجاد رمز عبور دستی، که غالباً منجر به انتخاب رمزهای عبور ضعیف توسط کارکنان یا استفاده مجدد از رمزهای عبور در سیستم عامل های مختلف می شود را حذف می کند.

مزیت اصلی این نرم افزار ها امکان تولید رمز عبور های قوی و پیچیده در عین حال ذخیره آن ها در یک بخش رمزگذاری شده است.

شرکت میزبان وب سایت شما ممکن است یک نرم افزار مدیریت گذرواژه را ارائه یا توصیه کند. در غیر این صورت، برنامه های قابل اعتماد و ایمن بسیار زیادی وجود دارد که داده های رمز عبور را در فضای ابری ذخیره نمی کنند.

مسئولیت دسترسی کاربر و گذرواژه‌ها بر عهده مشتری است، بنابراین نظارت دقیق و منظم روی حسابهای کاربری به اندازه پیکربندی اولیه اهمیت دارد.

5- رمزگذاری داده ها / SSL

گواهینامه های SSL بخش مهمی از تجارت الکترونیک و به طور کلی بخش بسیار مهمی از جستجوی ایمن هستند.

این گواهینامه ها فایل های کم حجمی از داده های ثبت شده هستند و به یک دامنه و جزئیات سازمان مرتبط می باشند. هنگامی که ssl را در یک وب سایت پیکربندی کنید، پروتکل https را فعال می کند (بر خلاف http) که امکان برقراری اتصال ایمن بین سرور و مرورگر کاربر را می دهد.

از طریق آن اتصال امن، تمام داده ها رمزگذاری می شوند، به خصوص اطلاعات حساس مانند داده های کارت اعتباری مصرف کننده، اطلاعات تماس شخصی، پرونده های اختصاصی و موارد دیگر. در حالی که برای اکثر وب سایت ها نیازی به گواهینامه SSL نیست، اما اگر وب سایت دارای نوعی فرم برای ارسال اطلاعات و بدون مجوز SSL قانونی باشد، مرورگر Google Chrome شروع به نمایش پیام هایی می کند که نشانگر غیر ایمن بودن سایت است.

برای سایت های تجارت الکترونیک، SSL یک مولفه امنیتی ضروری است. نه تنها رمزگذاری اطلاعات حساس را تضمین می کند بلکه برای توافقنامه PCI (یکی از شرط های شرکت های بازرگانی برای پذیرش پرداخت های کارت اعتباری به صورت آنلاین) ضروری است.

Google اعلام کرده است که یک وب سایت ایمن با رمز گذاری مناسب (گواهی SSL) اکنون دارای یکی از مولفه های رتبه بالا است. این بدان معناست که بخشی از الگوریتم اصلی Google که برای تعیین ظاهر وب سایت شما در جستجو مورد استفاده قرار می گیرد، شامل این مسئله است که آیا سایت شما دارای گواهی معتبر است یا خیر. بدون داشتن یک گواهینامه SSL، این امکان وجود دارد که وب سایتی با گواهی SSL (مانند وب سایت رقیب) در موتورهای جستجو از شما پیشی بگیرد.

برای مطالعه بیشتر در خصوص ssl می توانید به مقاله "گواهینامه SSL چیست و چه ویژگی هایی دارد ؟" رجوع نمایید.

تصویر(5)

6- آنتی دیداس

DDoS، یا همان Distributed Denial of Service، روشی است که برای ارسال حجم بالای ترافیک / داده به وب سایت در کمترین زمان ممکن استفاده می شود. این اضافه بار داده ها، مانع پردازش ترافیک ورودی توسط سرور می شود و می تواند یک وب سایت یا سرور را غیر ایمن یا آفلاین کند.

شرکت های میزبان هاست معتبر و قابل اعتماد به آنتی DDoS های قابل استناد مجهز هستند. با استفاده از این قابلیت، سرور می تواند ترافیک DDoS را رصد و فیلتر کند، به طوری که تمام ضربه های ایجاد شده توسط حمله DDoS در سرور ضبط شود و اجازه عبور نداشته باشد در حالی که سایر ترافیک قانونی مجاز باشد به صورت عادی عبور کند.

7- (شبکه های تحویل محتوا) CDN

CDN یا همان Content Delivery Networks ستون فقرات نامرئی وب است و از آن برای ارائه مطالب با سرعت بسیار بالاتر، بخصوص در مسافت های دور استفاده می شود. به عنوان مثال، اگر وب سایتی دارید که روی سروری در ایران مستقر شده باشد زمان بیشتری طول می کشد تا یک کاربر در انگلستان وب سایت شما را بارگیری کند در مقایسه با یک کاربر ایرانی که فقط در چند شهر یا استان دورتر است.

CDN ها در سراسر جهان راه اندازی شده اند، محتوای وب سایت را ذخیره می کنند و مزایایی را برای صاحبان وب سایت ارائه می دهند، از جمله:

  • بهبود زمان بارگیری (لود) صفحه به ویژه برای ترافیک بین المللی.
  • بهبود پروسه بارگیری به این علت که بجای هجوم کل ترافیک به سرور اصلی ترافیک بین CDN و سرور تقسیم می شود.
  • پوشش موقعیتی در سایر کشورها بدون هزینه میزبانی اضافی.
  • کاهش مصرف پهنای باند به لطف بهبود پروسه بارگیری.

در مورد امنیت وب سایت نیز CDN ها لایه های حفاظتی بیشتری را در برابر حملات DDoS فراهم می کنند. ارائه دهنده میزبانی وب سایت شما ممکن است خدمات CDN را با مشارکت سایر ارائه دهندگان، تهیه کند و همچنین شما می توانید مستقیماً از CDN های شرکت های دیگر استفاده کنید.

8- تشخیص حمله جستجوی فراگیر (brute force)

حمله جستجوی فراگیر روشی است که هکرها برای دستیابی به سرور از طریق ورود معتبر و دسترسی قانونی استفاده می کنند. مهاجمان به جای تلاش برای یافتن آسیب پذیری، از نرم افزار(توابع) اتوماتیکی استفاده می کنند که تعداد زیادی از عبارت های احتمالی (نام کاربری و رمز عبور) را در تلاش برای به دست آوردن دسترسی به صورت پی در پی بررسی می کند.

ارائه دهندگان میزبانی به طور معمول برای نظارت بر این نوع حملات، روش هایی را به کار می برند. همچنین مراحلی وجود دارد که می توانید برای جلوگیری از حملات جستجوی فراگیر، به طور عمده از طریق کنترل بهتر رمز عبور، در سطح کاربر انجام دهید.

کلمات عبور مستحکم و طولانی با تنوع زیاد در حروف و اعداد می توانند بسیار مفید باشند.

همچنین برنامه ها یا افزونه هایی وجود دارند که می توانند در سیستم های مدیریت محتوا مانند WordPress نصب شوند که تعداد تلاش های ورود به سیستم را محدود می کند. موارد احتیاطی دیگری که ممکن است مهم به نظر نرسد عبارتند از:

  • قفل کردن دسترسی پس از تلاش برای جستجوی رمز عبور فراموش شده.
  • افزایش مدت زمان قفل شدن حساب.
  • قفل کردن حسابهای کاربری شخصی.
  • جلوگیری از آشکار شدن نام کاربری در هنگام معتبر بودن نام کاربری در خطاهای ورود به سیستم.
  • مسدود کردن تلاش برای ثبت نام یا ورود به عنوان نام کاربری خاص در صورت عدم وجود، مانند "admin" یا "info".

9- تأیید اعتبار چند مرحله ای (Multifactor authentication)

احراز هویت چند مرحله ای فرآیند افزایش مراحل مورد نیاز برای ورود به سیستم است، که این مراحل اضافی شامل برنامه های کاملاً کنترل شده برای تایید است. در حالت ایده آل، فقط مالک اصلی حساب با نام کاربری خاص می تواند به سطح دوم تایید اعتبار دسترسی داشته باشد.

به عنوان مثال، یک مدیر وب سایت، احراز هویت دو مرحله ای را در یک سایت تنظیم کرده است. هر زمان که کاربران سعی کنند با نام کاربری و رمز عبور خود وارد سیستم شوند، سیستم یک پیام متنی جهت ثبت برای آن کاربر ایجاد می کند و به تلفن همراه کاربر ارسال می کند. مدیر سایت سپس برای دستیابی به داشبورد مدیریت، باید کد دسترسی منحصر به فرد ایجاد شده برای آن session را فراهم کند.

10- حفاظت در برابر ویروس ها

سرورها مانند کامپیوتر خانگی کار می کنند. هر دو از یک سیستم عامل برای اجرا استفاده می کنند و دقیقاً مانند رایانه خانگی، یک سرور (و سایتها / فایلهای روی سرور) مستعد حمله توسط ویروس ها و بدافزارها هستند. در حالی که برخی از آنها می توانند نسبتاً بی ضرر باشند، اما بیشتر ویروس ها و بدافزارها به قصد تخریب ساخته شده اند و به گونه ای طراحی شده اند که سریع و زیاد گسترش یابند.

خوشبختانه، استفاده از آنتی ویروس ها و اسکنر بدافزار برای اکثر شرکتهای میزبان وب سایت یک استاندارد (رایج) شده است. یک شرکت هاستینگ ایده آل اسکنهای آنتی ویروس روزانه / منظم را به همراه نظارت دائمی انجام می دهد. در صورت امکان، بپرسید که آیا اسکن ها به صورت دستی نیز قابل اجرا هستند و اگر پرونده های آلوده یافت شد، مراحل بعدی حذف چیست؟ شرکت هاستینگ شما ممکن است یک برنامه پشتیبانی ارائه دهد که شامل از بین بردن بدافزار باشد، اگرچه تمیز کردن (حذف کردن) پرونده های آلوده ممکن است به عهده صاحب سایت (شما) باشد.

تصویر(6)

وب سایت خود را ایمن نگه دارید

در حالی که ارائه دهنده میزبانی وب و دیتا سنتر شما تلاش و هزینه زیادی را برای حفظ امنیت داده های شما انجام می دهند، مشخص است که برخی از مسئولیت ها برای اطمینان از امنیت داده های شما (و داده های خصوصی مشتریان شما) بر عهده خود شما است.

در اینجا مواردی از آنچه شما باید برای بهبود حفاظت انجام دهید آورده شده است:

Patch نرم افزار منسوخ شده - خواه یک سایت سفارشی داشته باشید یا یک سیستم مدیریت محتوا مانند WordPress، باید تمام اسکریپت ها و نرم افزارها را به روز نگه دارید. Patch ها اغلب نگرانی های امنیتی موجود در نسخه های قدیمی را برطرف می کنند . در صورت عدم به روزرسانی، سایت خود را در معرض حمله قرار می دهید. اطمینان حاصل کنید که افزونه ها، برنامه ها، سبد خرید و حتی قالب ها همواره بروز هستند تا آسیب پذیری را کاهش دهید.

ایجاد یک خط مشی رمز عبور - خط مشی رمز عبور یک امر مهم برای جلوگیری از حمله جستجوی فراگیر است. خط مشی شما باید به عوامل مختلفی از جمله طول و پیچیدگی کلمه عبور (10 کاراکتر، حروف و اعداد، کاراکترهای ویژه، حروف بزرگ و کوچک)، هر چند وقت یکبار تغییر کند یا به روزرسانی شوند (یعنی هر 90 روز). اطمینان حاصل کنید که این خط مشی رمز عبور بطور جدی در کل تجارت شما حفظ می شود.

استفاده از حریم خصوصی دامنه - در حالی که ممکن است حریم خصوصی دامنه به نظر یک مسئله امنیتی مهم نباشد، اما هرچه هکر اطلاعات کمتری داشته باشد بهتر است. حریم خصوصی دامنه، داده های Whois برای یک وب سایت، شامل اطلاعات تماس شخصی و داده های موقعیت مکانی را پنهان می کند، زیرا همه آنها می توانند به صورت مخرب استفاده شوند.

نصب نرم افزار آنتی ویروس - رایانه های شخصی شما برای محافظت از داده ها و وب سایت خود باید همگی مجهز به نرم افزار آنتی ویروس باشند. این نرم افزار می تواند از برنامه های مخرب مانند keylogger ها و تروجان ها که دسترسی سیستم های تجاری شما که اطلاعات اختصاصی در آن ذخیره می شود را به هکرها ارائه می دهند، جلوگیری کند.

سایت خود را از نظر آسیب پذیری ها بازرسی کنید - از آنجا که وب سایت ها معمولاً کد های سفارشی را به اشکال مختلف نمایان می کنند، ایده خوبی است که بازرسی های منظم را در سایت خود انجام دهید. لازم نیست این کار به صورت دستی انجام شود. نرم افزارها و ابزارهای آنلاین بسیاری وجود دارد که می تواند جهت اسکن وب سایت شما برای آسیب پذیری ها استفاده شود. به خاطر داشته باشید که هیچ ابزاری 100٪ قابل اطمینان نیست؛ بهترین رویکرد در مورد بررسی های امنیتی کار با یک حرفه ای است که می تواند یک بررسی دقیق از سایت شما ارائه دهد و مراحلی را که شما برای تامین امنیت وب سایت خود باید انجام دهید برایتان توضیح دهد.

تهیه نسخه پشتیبان دستی - شرکت های میزبان وب سایت معتبر از پشتیبان گیری های خودکار استفاده می کنند، اما هرگز به سیستم اعتماد نکنید تا اطلاعات شما ایمن باشد. برنامه ای با زمان بندی منظم برای تهیه نسخه پشتیبان دستی از داده های سایت خود از جمله پایگاه داده ایجاد کنید. ارائه دهنده هاستینگ شما باید گزینه ای را در کنترل پنل میزبانی شما ایجاد کند تا نسخه پشتیبان تهیه نماید . اگر زمان بندی ایجاد کردید، حتماً به آن رجوع کنید.

از AVS و CVV استفاده کنید - برای وب سایت های تجارت الکترونیک، شما حاضرید برای به حداکثر رساندن امنیت، به ویژه در مورد داده های کاربرانتان، هر اقدام اضافی را انجام دهید. حتماً فیلدهای سیستم تایید آدرس (AVS) و ارزش تأیید اعتبار (CVV) را در پرداخت خود وارد کنید.

  • AVS یا Address Verification System سیستمی است که برای بررسی مشخصات شخصی که ادعای مالکیت کارت اعتباری را دارد، استفاده می شود. این سیستم مشخصات صورتحساب کارت اعتباری ارائه شده توسط کاربر را با مشخصات موجود در پرونده در شرکت کارت اعتباری بررسی می کند.
  • CVV یا Credit Verification Value یک ویژگی امنیتی برای پرداخت‌های غیرحضوری با استفاده از کارت‌های بانکی است که برای جلوگیری از جعل کارت‌های اعتباری استفاده می‌شود.

 با AVS و CVV، کلاهبرداران با احتمال بسیار کمتری موفق می شوند، زیرا خریدار برای تکمیل خرید نیاز به داشتن اطلاعات کامل آدرس و همچنین کد در پشت کارتهای اعتباری دارد.

نتیجه گیری

اداره یک سایت کوچک به این معنی نیست که نگران هکر ها یا مزاحمت ها نباشید. ترافیک وب سایت، داده های مشتری و ارتباط شما با سایر کاربران برای هکرها بسیار با ارزش است و این باعث می شود هر وب سایت به یک هدف بالقوه تبدیل شود.

انتخاب ارائه دهنده میزبانی مناسب با ارائه مجموعه ای از ویژگی های امنیتی قوی همراه با ایمن بودن وب سایت و داده های شما، بهترین راه برای کاهش ریسک، آسیب پذیری و محافظت از وب سایت تجاری شما است.

آیا وب سایت خود را ایمن نگه می دارید؟ چه نوع اقدامات احتیاطی را انجام می دهید؟

اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *