امنیت و حفاظت وب سایت
امنیت مدیریت چیست؟
امنیت مدیریت، طراحی کلی کنترل های شما است. گاهی اوقات به عنوان کنترل های اداری از آنها یاد می شود، اینها راهنمایی ها، قوانین و رویه ها را برای اجرای یک محیط امنیتی ارائه می دهند.
امنیت عملیاتی چیست؟
امنیت عملیاتی اثربخشی کنترل های شماست. گاهی اوقات به عنوان کنترل های فنی شناخته می شود، این کنترل ها شامل کنترل های دسترسی، احراز هویت و توپولوژی های امنیتی اعمال شده در شبکه ها، سیستم ها و برنامه ها می شود.
امنیت فیزیکی چیست؟
امنیت فیزیکی حفاظت از پرسنل، دادهها، سختافزار و غیره در برابر تهدیدات فیزیکی است که میتواند به فعالیتهای تجاری آسیب برساند، آسیب ببیند یا مختل کند یا بر محرمانگی، یکپارچگی یا در دسترس بودن سیستمها و یا دادهها تأثیر بگذارد.
-
چگونه یک وب سایت را ایمن کنیم
امنیت وب سایت می تواند یک موضوع پیچیده (یا حتی گیج کننده) در یک چشم انداز همیشه در حال تحول باشد. این راهنما به منظور ارائه یک چارچوب روشن برای صاحبان وب سایت است که به دنبال کاهش ریسک و اعمال اصول امنیتی در ویژگی های وب خود هستند.
قبل از شروع، مهم است که به خاطر داشته باشید که امنیت هرگز راه حلی برای تنظیم و جعل آن نیست. درعوض، ما شما را تشویق میکنیم که به آن بهعنوان یک فرآیند مستمر فکر کنید که برای کاهش ریسک کلی نیاز به ارزیابی مداوم دارد.
با استفاده از یک رویکرد سیستماتیک برای امنیت وب سایت، می توانیم آن را به عنوان یک پیاز در نظر بگیریم، با بسیاری از لایه های دفاعی که همه در کنار هم قرار می گیرند تا یک قطعه را تشکیل دهند. ما باید امنیت وب سایت را به صورت جامع ببینیم و با یک استراتژی دفاعی عمیق به آن نزدیک شویم.
-
امنیت وب سایت چیست؟
امنیت وب سایت اقداماتی است که برای ایمن سازی وب سایت در برابر حملات سایبری انجام می شود. از این نظر، امنیت وب سایت یک فرآیند مداوم و بخشی ضروری از مدیریت یک وب سایت است.
-
چرا امنیت وب سایت مهم است؟
امنیت وب سایت می تواند چالش برانگیز باشد، به خصوص زمانی که با شبکه بزرگی از سایت ها سر و کار دارید. داشتن یک وب سایت امن به اندازه داشتن یک میزبان وب سایت برای حضور آنلاین افراد حیاتی است.
به عنوان مثال، اگر یک وب سایت هک شود و در لیست بلاک قرار گیرد، می تواند تا 98٪ از ترافیک خود را از دست بدهد. نداشتن یک وب سایت ایمن می تواند به اندازه نداشتن وب سایت بدتر یا حتی بدتر باشد.
به عنوان مثال، نقض داده های مشتری می تواند منجر به شکایت، جریمه های سنگین و از بین رفتن شهرت شود.
-
استراتژی دفاع در عمق
یک استراتژی دفاعی عمیق برای امنیت وب سایت به عمق دفاع و وسعت سطح حمله نگاه می کند تا ابزارهای مورد استفاده در پشته را تجزیه و تحلیل کند. این رویکرد تصویر دقیق تری از چشم انداز تهدید امنیتی وب سایت امروزی ارائه می دهد.
-
چگونه متخصصان وب امنیت وب سایت را می بینند
ما نمی توانیم آماری را فراموش کنیم که امنیت وب سایت را به موضوعی قانع کننده برای هر تجارت آنلاین تبدیل می کند صرف نظر از اندازه آنها.
-
چرا وب سایت ها هک می شوند
در سال 2019 بیش از 1.94 میلیارد وب سایت آنلاین وجود دارد. این زمین بازی گسترده ای را برای بازیگران بد فراهم می کند. اغلب تصور اشتباهی در مورد اینکه چرا وب سایت ها هک می شوند وجود دارد.
مالکان و مدیران اغلب بر این باورند که هک نخواهند شد زیرا سایتهایشان کوچکتر است، و در نتیجه اهداف کمتر جذابی ایجاد میکنند. اگر هکرها بخواهند اطلاعات را بدزدند یا خرابکاری کنند، ممکن است سایت های بزرگتری را انتخاب کنند.
برای اهداف دیگر آنها ، هر سایت کوچکی به اندازه کافی ارزشمند است.
اهداف مختلفی هنگام هک کردن وب سایت ها وجود دارد، اما اصلی ترین آنها عبارتند از:
-
بهره برداری از بازدیدکنندگان سایت
-
سرقت اطلاعات ذخیره شده در سرور
-
فریب ربات ها و خزنده ها
-
سوء استفاده از منابع سرور
-
هوليگانيسم محض (تحقير).
-
حملات خودکار وب سایت
متأسفانه، اتوماسیون سربار را کاهش میدهد، امکان قرار گرفتن در معرض انبوه را فراهم میکند و شانس یک مصالحه موفق را افزایش میدهد صرف نظر از میزان ترافیک یا محبوبیت وبسایت.
-
ملاحظات امنیتی CMS
با استفاده از سیستم مدیریت محتوای متن باز (CMS) مانند وردپرس، مجنتو، جوملا یا دروپال، آنلاین شدن سریع سایت برای صاحبان متوسط سایت آسان تر شده است.
در حالی که این پلتفرمها اغلب بهروزرسانیهای امنیتی مکرر را ارائه میکنند، استفاده از مؤلفههای توسعهپذیر شخص ثالث مانند پلاگینها یا تمها منجر به آسیبپذیریهایی میشود که حملات فرصت به راحتی میتوانند از آنها سوء استفاده کنند.
ما راهنماهای امنیتی دقیق وب سایت را برای هر CMS محبوب ایجاد کرده ایم تا به صاحبان وب سایت کمک کنیم از محیط خود محافظت کنند و تهدیدات را کاهش دهند.
در واقع، اتوماسیون پادشاه دنیای هک است. حملات خودکار اغلب شامل استفاده از آسیب پذیری های شناخته شده برای تحت تأثیر قرار دادن زیرمجموعه بزرگی از سایت ها است، گاهی اوقات حتی بدون اینکه صاحب سایت بداند.
حملات خودکار مبتنی بر فرصت هستند. برخلاف تصور عمومی، حملات خودکار به دلیل دسترسی و سهولت دسترسی، بسیار رایجتر از حملات هدفمند دستچین شده هستند.
امنیت اطلاعات سیا سه گانه
یک معیار در امنیت اطلاعات، سه گانه سیا است محرمانه بودن، یکپارچگی و در دسترس بودن. این مدل برای توسعه سیاست هایی برای ایمن سازی سازمان ها استفاده می شود.
-
محرمانه بودن
محرمانگی به کنترل دسترسی به اطلاعات اشاره دارد تا اطمینان حاصل شود که افرادی که نباید دسترسی داشته باشند، دور نگه داشته می شوند. این کار را می توان با رمز عبور، نام کاربری و سایر اجزای کنترل دسترسی انجام داد.
-
تمامیت
یکپارچگی تضمین می کند که اطلاعاتی که کاربران نهایی دریافت می کنند دقیق است و توسط هیچ کس دیگری غیر از مالک سایت تغییر نکرده است. این اغلب با رمزگذاری انجام می شود، مانند گواهینامه های لایه سوکت ایمن (SSL) که تضمین می کند داده های در حال انتقال رمزگذاری شده اند.
-
دسترسی
در دسترس بودن این سه گانه را کامل می کند و تضمین می کند که در صورت نیاز می توان به اطلاعات دسترسی پیدا کرد. رایج ترین تهدید برای در دسترس بودن وب سایت، حمله انکار سرویس توزیع شده یا حمله DDoS است.
اکنون که پیشینه ای در مورد حملات خودکار و هدفمند داریم، می توانیم برخی از رایج ترین تهدیدات امنیتی وب سایت را بررسی کنیم.
آسیب پذیری ها و تهدیدات وب سایت
در اینجا رایج ترین آسیب پذیری ها و تهدیدات امنیتی وب سایت آمده است:
-
تزریق SQL
حملات تزریق SQL با تزریق کد مخرب در یک کوئری SQL آسیب پذیر انجام می شود. آنها متکی به مهاجمی هستند که یک درخواست طراحی شده ویژه در پیام ارسال شده توسط وب سایت به پایگاه داده اضافه می کند.
یک حمله موفقیت آمیز، کوئری پایگاه داده را به گونه ای تغییر می دهد که به جای اطلاعات مورد انتظار وب سایت، اطلاعات مورد نظر مهاجم را برمی گرداند. تزریق SQL حتی می تواند اطلاعات مخرب را تغییر داده یا به آن پایگاه داده اضافه کند.
-
اسکریپت بین سایتی (XSS)
حملات اسکریپت نویسی بین سایتی شامل تزریق اسکریپت های مخرب سمت مشتری به یک وب سایت و استفاده از وب سایت به عنوان یک روش انتشار است.
خطری که در پشت XSS وجود دارد این است که به مهاجم اجازه می دهد محتوا را به یک وب سایت تزریق کند و نحوه نمایش آن را تغییر دهد و مرورگر قربانی را مجبور کند که کد ارائه شده توسط مهاجم را هنگام بارگذاری صفحه اجرا کند.
اگر یک مدیر سایت وارد شده کد را بارگیری کند، اسکریپت با سطح امتیاز آنها اجرا می شود که به طور بالقوه می تواند منجر به تصاحب سایت شود.
-
Credential Brute Force Attacks
دسترسی به بخش مدیریت وب سایت، کنترل پنل یا حتی سرور SFTP یکی از رایج ترین بردارهایی است که برای به خطر انداختن وب سایت ها استفاده می شود. مراحل بسیار ساده می باشند؛ مهاجمان اساساً یک اسکریپت را برنامهریزی میکنند تا چندین ترکیب از نامهای کاربری و رمز عبور را امتحان کنند تا زمانی که یکی را پیدا کند که کار میکند.
پس از اعطای دسترسی، مهاجمان می توانند انواع مختلفی از فعالیت های مخرب، از کمپین های هرزنامه گرفته تا استخراج کنندگان سکه و دزدان کارت اعتباری را راه اندازی کنند.
-
آلودگی و حملات بدافزار وب سایت
با استفاده از برخی از مسائل امنیتی قبلی به عنوان ابزاری برای دسترسی غیرمجاز به یک وب سایت، مهاجمان می توانند:
-
اسپم سئو را در صفحه تزریق کنید
-
برای حفظ دسترسی، یک درب پشتی رها کنید
-
اطلاعات بازدیدکنندگان یا داده های کارت اعتباری را جمع آوری کنید
-
برای افزایش سطح دسترسی، اکسپلویت ها را روی سرور اجرا کنید
-
از رایانه های بازدیدکنندگان برای استخراج ارزهای دیجیتال استفاده کنید
-
اسکریپت های فرمان و کنترل بات نت ها را ذخیره کنید
-
نمایش تبلیغات ناخواسته، هدایت بازدیدکنندگان به سایت های کلاهبرداری
-
میزبانی دانلودهای مخرب
- حملات را علیه سایت های دیگر راه اندازی کنید
- حملات DoS/DDoS
حمله انکار سرویس توزیع شده (DDoS) یک حمله اینترنتی غیر نفوذی است. برای از بین بردن وب سایت مورد نظر یا کاهش سرعت آن با پر کردن شبکه، سرور یا برنامه با ترافیک جعلی ساخته شده است.
حملات DDoS تهدیدهایی هستند که صاحبان وب سایت باید با آنها آشنا شوند زیرا بخش مهمی از چشم انداز امنیتی هستند. هنگامی که یک حمله DDoS یک نقطه پایانی آسیبپذیر را هدف قرار میدهد، حتی مقدار کمی ترافیک برای موفقیت آمیز بودن حمله کافی است.
-
امنیت وب سایت تجارت الکترونیک و انطباق با PCI
استانداردهای امنیت داده های صنعت کارت پرداخت (PCI-DSS) الزامات را برای صاحبان وب سایت های دارای فروشگاه های آنلاین بیان می کند. این الزامات به شما کمک می کند تا مطمئن شوید که اطلاعات دارنده کارت را که به عنوان یک فروشگاه آنلاین جمع آوری می کنید، به درستی ایمن می کنید.
تحت PCI DSS، داده های دارنده کارت که باید ایمن شوند به شماره حساب اصلی کامل (PAN) اشاره دارد، اما ممکن است به شکل یکی از موارد زیر نیز ظاهر شود:
-
اطلاعات نوار مغناطیسی کامل (یا معادل تراشه)
-
تاریخ انقضا
-
کد سرویس
-
کد پین
-
ارقام CVV
-
نام و/یا نام خانوادگی دارنده کارت
مقررات انطباق با PCI صرف نظر از اینکه داده ها را به صورت دیجیتالی، کتبی به اشتراک می گذارید یا با فرد دیگری که به داده ها دسترسی دارد صحبت می کنید اعمال می شود.
برای وبسایتهای تجارت الکترونیک، بسیار مهم است که تمام تلاش خود را انجام دهید تا اطمینان حاصل شود که دادههای دارنده کارت از مرورگر به وب سرور با رمزگذاری مناسب از طریق HTTPS منتقل میشوند. همچنین باید هنگام انتقال به هر سرویس پردازش پرداخت شخص ثالث، به طور ایمن در سرور ذخیره شود و به طور مشابه رمزگذاری شود.
هکرها ممکن است سعی کنند داده های دارنده کارت را در هر زمان، خواه این داده ها در حالت استراحت یا در حال انتقال باشند، سرقت یا رهگیری کنند. راهنمای انطباق PCI و چک لیست ما می تواند به شما کمک کند تا در مورد چگونگی برآورده کردن این الزامات قدم بردارید.
-
چارچوب امنیتی وب سایت
صرف نظر از اندازه کسب و کار شما، ایجاد یک چارچوب امنیتی می تواند به کاهش ریسک کلی شما کمک کند.
موسسه ملی استانداردها و فناوری ایالات متحده (NIST) چارچوب امنیت سایبری را توسعه داده است که اساس چارچوب اصول امنیت وب سایت ما را در این راهنما تشکیل می دهد.
دانستن امنیت یک فرآیند مستمر به این معنی است که با پایه گذاری یک چارچوب امنیتی وب سایت شروع می شود. این چارچوب شامل ایجاد یک “فرهنگ امنیت” است که در آن ممیزی های برنامه ریزی شده به ساده و به موقع نگه داشتن کارها کمک می کند.
پنج عملکرد: شناسایی، محافظت، تشخیص، پاسخ و بازیابی به همراه اقداماتی که باید اعمال شوند با جزئیات بیشتری توضیح داده می شوند.
-
شناسایی کنید
در این مرحله تمام موجودی و مدیریت دارایی مستند و بررسی می شود.
موجودی و مدیریت دارایی را می توان یک قدم جلوتر در زیر مجموعه های زیر برد:
-
ویژگی های وب،
-
وب سرورها و زیرساخت ها،
-
پلاگین ها، افزونه ها، تم ها و ماژول ها،
-
ادغام ها و خدمات شخص ثالث،
-
نقاط دسترسی / گره ها
هنگامی که لیستی از دارایی های وب سایت خود را تهیه کردید، می توانید اقداماتی را برای حسابرسی و دفاع از هر یک از آنها در برابر حملات انجام دهید.
-
محافظت
دلایل زیادی وجود دارد که چرا داشتن اقدامات پیشگیرانه امنیت وب بسیار مهم است، اما از کجا شروع کنید؟ اینها به عنوان فناوری های محافظ و لایه های دفاعی شناخته می شوند.
گاهی اوقات این اقدامات الزامات انطباق مانند PCI را برآورده می کند، یا وصله و سخت کردن محیط هایی را که در برابر حمله آسیب پذیر هستند، آسان می کند. حفاظت همچنین می تواند شامل آموزش کارکنان و سیاست های کنترل دسترسی باشد.
یکی از بهترین راه ها برای ایمن سازی وب سایت، فعال کردن فایروال برنامه های وب است. وقت گذاشتن برای فکر کردن به فرآیندهای امنیتی، ابزارها و پیکربندی ها بر وضعیت امنیتی وب سایت شما تأثیر می گذارد.
-
تشخیص
نظارت مستمر مفهومی است که به پیادهسازی ابزارهایی برای نظارت بر وبسایت (داراییها) و هشدار به شما در مورد هرگونه مشکل اشاره دارد.
نظارت باید برای تأیید وضعیت امنیتی موارد زیر وجود داشته باشد:
-
سوابق DNS،
-
گواهینامه های SSL،
-
پیکربندی وب سرور،
-
به روز رسانی برنامه،
-
دسترسی کاربر،
- یکپارچگی فایل
همچنین میتوانید از اسکنرها و ابزارهای امنیتی (مانند SiteCheck) برای بررسی شاخصهای آسیبپذیری یا آسیبپذیری استفاده کنید.
-
پاسخ دادن
تجزیه و تحلیل و کاهش به ایجاد دسته پاسخ کمک می کند. هنگامی که حادثه ای رخ می دهد، باید یک برنامه واکنش در محل وجود داشته باشد. داشتن یک برنامه واکنش قبل از یک حادثه سازش، برای روان معجزه می کند.
یک طرح مناسب واکنش به حادثه شامل:
-
انتخاب یک تیم یا فرد واکنش به حادثه
-
گزارش حادثه برای بررسی یافته ها
-
کاهش رویداد
در طول فرآیند اصلاح، هرگز نمی دانیم که چه بدافزاری را می یابیم. برخی از مشکلات می توانند به سرعت پخش شوند و سایر وب سایت ها را در محیط های سرور مشترک آلوده کنند .
فرآیند واکنش به حادثه، همانطور که توسط NIST تعریف شده است، به چهار مرحله تقسیم می شود:
-
آماده سازی و برنامه ریزی
-
تشخیص و تجزیه و تحلیل
-
مهار، ریشه کنی و بازیابی
-
فعالیت های پس از حادثه
داشتن یک مرحله آماده سازی جامع و یک تیم امنیتی وب سایت که می توانید روی آن حساب کنید برای موفقیت ماموریت بسیار مهم است.
در اینجا چیزی است که باید به نظر برسد
-
آماده سازی و برنامه ریزی
در این مرحله، اطمینان حاصل می کنیم که قبل از وقوع حادثه، تمام ابزار و منابع لازم را در اختیار داریم.
این با بخش های قبلی در چارچوب امنیتی همراه است.
شرکت های میزبان با اطمینان از اینکه سیستم ها، سرورها و شبکه ها به اندازه کافی ایمن هستند، نقش مهمی در این مرحله ایفا می کنند. همچنین مهم است که اطمینان حاصل کنید که توسعه دهنده وب یا تیم فنی شما برای رسیدگی به یک حادثه امنیتی آماده است.
-
تشخیص و تجزیه و تحلیل
اگرچه روش های مختلفی برای حمله وجود دارد، اما باید برای مقابله با هر حادثه ای آماده باشیم. پس از صدها هزار پاسخ، بیشتر آلودگیها را به مؤلفههای آسیبپذیر نصبشده در وبسایت به خطر انداختن رمز عبور و موارد دیگر محدود میکنیم.
بسته به موضوع و هدف، مرحله تشخیص می تواند مشکل باشد. برخی از مهاجمان به دنبال شهرت هستند، برخی دیگر ممکن است بخواهند از منابع استفاده کنند یا اطلاعات حساس (کارت اعتباری) را رهگیری کنند.
در برخی موارد، هیچ علامتی مبنی بر نصب یک درب پشتی وجود ندارد که منتظر دسترسی مهاجم برای فعالیت های مخرب است. بنابراین، به شدت توصیه می شود که مکانیسم هایی را برای اطمینان از یکپارچگی سیستم فایل خود پیاده سازی کنید.
-
مهار، ریشه کنی و بازیابی
در مورد مرحله «محدود کردن، ریشهکن کردن و بازیابی»، این فرآیند باید با نوع مشکل موجود در وبسایت و استراتژیهای از پیش تعریفشده بر اساس حمله سازگار شود.
به عنوان مثال، عفونتهای cryptominer معمولاً منابع زیادی را از سرور (leecher) مصرف میکنند و قبل از شروع فرآیند اصلاح، تیم واکنش به حادثه باید تهدید را مهار کند. مهار این حمله گامی حیاتی برای جلوگیری از تخلیه منابع اضافی و آسیب بیشتر است.
این سیستم تصمیم گیری و استراتژی ها بخش مهمی از این مرحله است. به عنوان مثال، اگر فایل خاصی را 100% مخرب تشخیص دهیم، باید اقدامی برای پاک کردن آن انجام شود. اگر فایل حاوی کد تا حدی مخرب باشد، فقط آن قطعه باید حذف شود. هر سناریو باید فرآیند خاصی داشته باشد.
اگرچه روش های مختلفی برای حمله وجود دارد، اما باید برای مقابله با هر حادثه ای آماده باشیم. پس از صدها هزار پاسخ، بیشتر آلودگیها را به مؤلفههای آسیبپذیر نصبشده در وبسایت به خطر انداختن رمز عبور و موارد دیگر محدود میکنیم.
-
فعالیت های پس از حادثه
آخرین اما نه کماهمیت، «فعالیتهای پس از حادثه» را میتوان مرحله «درسهای آموختهشده» نیز نامید.
در این مرحله، تیم واکنش به حادثه باید گزارشی ارائه دهد که جزئیات آن چه اتفاق افتاده، چه اقداماتی انجام شده و مداخله چقدر خوب بوده است. ما باید در مورد حادثه فکر کنیم، از آن درس بگیریم و برای جلوگیری از مسائل مشابه در آینده اقدام کنیم.
این اقدامات می تواند به سادگی به روز رسانی یک جزء، تغییر رمز عبور یا افزودن فایروال وب سایت برای جلوگیری از حملات در لبه باشد.
بازبینی اقداماتی را که بخش شما باید انجام دهد تا به تقویت وضعیت امنیتی خود ادامه دهد، انجام دهید. در مرحله بعد، مطمئن شوید که این اقدامات را در سریع ترین زمان ممکن انجام می دهید.
می توانید تمام اقدامات بعدی را بر اساس نکات زیر استوار کنید:
-
دسترسی جهانی به سایت خود (یا مناطق خاص) را از طریق روش های GET یا POST برای به حداقل رساندن قرار گرفتن در معرض محدود کنید.
-
مجوزهای دایرکتوری و فایل را به روز کنید تا اطمینان حاصل کنید که دسترسی خواندن/نوشتن به درستی تنظیم شده است.
-
نرم افزار/موضوع/افزونه های قدیمی را به روز کنید یا حذف کنید.
-
پسوردهای خود را بلافاصله با یک سیاست رمز عبور قوی بازنشانی کنید.
-
2FA/MFA را تا جایی که ممکن است فعال کنید تا لایه دیگری از احراز هویت اضافه شود.
علاوه بر این، اگر به طور فعال از فایروال برنامه کاربردی وب (WAF) استفاده می کنید، پیکربندی موجود خود را برای شناسایی تنظیمات احتمالی که باید انجام شود، بررسی کنید.
به یاد داشته باشید که اگرچه WAF ها به رعایت چندین استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) کمک می کنند، اما آنها یک راه حل گلوله نقره ای نیستند. عوامل دیگری نیز وجود دارد که می تواند بر کسب و کار شما تأثیر بگذارد، به خصوص عامل انسانی.
-
بازیابی کنید
برنامه ریزی بهبود زمانی اتفاق می افتد که در صورت وقوع یک حادثه، بررسی کامل تمام مراحل انجام شود. Recover همچنین به داشتن یک برنامه پشتیبان برای موقعیتهایی که تمام مراحل قبلی شکست خوردهاند، برای مثال، در صورت حملات باجافزار، مربوط میشود.
این فرآیند همچنین باید شامل تنظیم زمان برای صحبت با فروشنده امنیتی خود در مورد چگونگی بهبود نقاط ضعف باشد. آنها برای ارائه بینشی در مورد آنچه که می توان انجام داد مجهزتر هستند.
-
یک استراتژی ارتباطی داشته باشید
اگر هر داده ای در خطر است، به مشتریان خود اطلاع دهید. این امر به ویژه در صورتی که کسبوکاری در اتحادیه اروپا فعالیت میکنید مهم است که طبق ماده 33 قانون حفاظت از دادههای عمومی (GDPR) سازمانی باید ظرف 72 ساعت نقض داده را گزارش کند.
-
از پشتیبان گیری خودکار استفاده کنید
مهم نیست که برای امنیت وب سایت خود چه کاری انجام می دهید، خطر هرگز صفر نخواهد بود. اگر عملکرد وب سایت شما آسیب دیده باشد، به راهی برای بازیابی سریع داده ها نیاز دارید نه تنها یک راه، بلکه حداقل دو روش.
داشتن یک نسخه پشتیبان محلی از کل برنامه و یک نسخه پشتیبان خارجی که مستقیماً به برنامه متصل نباشد در صورت خرابی سخت افزار یا حمله ضروری است.
-
چگونه از وب سایت خود محافظت کنید و امنیت را حفظ کنید
اهمیت امنیت وب سایت را نمی توان نادیده گرفت. در این بخش نحوه ایمن سازی و محافظت از وب سایت خود را بررسی خواهیم کرد. این یک راهنمای گام به گام نیست، اما دستورالعمل های امنیتی وب سایت را برای یافتن خدمات مناسب برای نیازهای خود به شما ارائه می دهد.
-
همه چیز را به روز کنید
وب سایت های بی شماری هر روز به دلیل نرم افزارهای قدیمی و ناامن در معرض خطر قرار می گیرند.
مهم است که به محض اینکه یک افزونه یا نسخه CMS جدید در دسترس است، سایت خود را به روز کنید. این بهروزرسانیها ممکن است فقط شامل پیشرفتهای امنیتی باشند یا آسیبپذیری را اصلاح کنند.
اکثر حملات وب سایت ها خودکار هستند. ربات ها دائماً هر سایتی را که می توانند برای هر فرصت بهره برداری اسکن می کنند. دیگر بهروزرسانی یکبار در ماه یا حتی هفتهای یکبار بهاندازه کافی خوب نیست، زیرا رباتها به احتمال زیاد قبل از اصلاح آن آسیبپذیری را پیدا میکنند.
به همین دلیل است که باید از فایروال وب سایت استفاده کنید که به محض انتشار به روز رسانی ها، حفره امنیتی را عملاً وصله می کند.
اگر یک وب سایت وردپرس دارید، یکی از افزونه هایی که باید در نظر بگیرید WP Updates Notifier است. زمانی که یک افزونه یا بهروزرسانی هسته وردپرس در دسترس است، به شما ایمیل میفرستد.
-
رمزهای عبور قوی داشته باشید
داشتن یک وب سایت امن بستگی زیادی به وضعیت امنیتی شما دارد. آیا تا به حال به این فکر کرده اید که چگونه رمز عبوری که استفاده می کنید می تواند امنیت وب سایت شما را تهدید کند؟
به منظور پاکسازی وبسایتهای آلوده، اصلاحکنندهها باید با استفاده از جزئیات کاربر سرپرست خود وارد سایت یا سرور مشتری شوند. آنها ممکن است از اینکه ببینند رمزهای عبور root چقدر ناامن هستند شگفت زده شوند. با لاگین هایی مانند admin/admin ممکن است اصلا رمز عبور نداشته باشید.
لیست های زیادی از رمزهای عبور نقض شده آنلاین وجود دارد. هکرها اینها را با لیست کلمات فرهنگ لغت ترکیب می کنند تا لیست های بزرگتری از رمزهای عبور بالقوه ایجاد کنند. اگر گذرواژههایی که استفاده میکنید در یکی از این لیستها قرار دارند، زمان زیادی است که سایت شما به خطر بیفتد.
-
بهترین روش های رمز عبور قوی
بهترین روش ها برای داشتن یک رمز عبور قوی عبارتند از:
-
از رمزهای عبور خود استفاده مجدد نکنید: هر رمز عبوری که دارید باید منحصر به فرد باشد. یک مدیر رمز عبور می تواند این کار را آسان تر کند.
-
داشتن رمزهای عبور طولانی: بیش از 12 کاراکتر را امتحان کنید. هر چه رمز عبور طولانی تر باشد، برنامه کامپیوتری برای شکستن آن زمان بیشتری نیاز دارد.
-
از گذرواژههای تصادفی استفاده کنید: برنامههای شکستن رمز عبور میتوانند در عرض چند دقیقه میلیونها کلمه عبور را حدس بزنند، اگر حاوی کلماتی هستند که به صورت آنلاین یا در فرهنگ لغت یافت میشوند. اگر کلمات واقعی در رمز عبور خود دارید، تصادفی نیست.
اگر بتوانید به راحتی رمز عبور خود را بیان کنید، به این معنی است که به اندازه کافی قوی نیست. حتی استفاده از جایگزینی کاراکتر (یعنی جایگزینی حرف O با عدد 0) کافی نیست. چندین مدیر رمز عبور مفید وجود دارد، مانند LastPass (آنلاین) و KeePass 2 (آفلاین).
این ابزارها همه رمزهای عبور شما را در قالب رمزگذاری شده ذخیره می کنند و به راحتی می توانند رمزهای عبور تصادفی را با کلیک یک دکمه ایجاد کنند. مدیران رمز عبور با حذف کار به خاطر سپردن گذرواژههای ضعیفتر یا یادداشت کردن آنها، استفاده از رمزهای عبور قوی را ممکن میسازند.
-
یک سایت = یک کانتینر
میزبانی وبسایتهای زیادی روی یک سرور میتواند ایدهآل به نظر برسد، به خصوص اگر یک برنامه میزبانی وب «نامحدود» داشته باشید. متأسفانه، این یکی از بدترین شیوه های امنیتی است که می توانید از آن استفاده کنید. میزبانی بسیاری از سایت ها در یک مکان یک سطح حمله بسیار بزرگ ایجاد می کند.
باید توجه داشته باشید که آلودگی متقاطع بسیار رایج است. زمانی است که یک سایت به دلیل ایزوله ضعیف روی سرور یا پیکربندی حساب، تحت تأثیر منفی سایتهای همسایه در همان سرور قرار میگیرد.
به عنوان مثال، یک سرور حاوی یک سایت ممکن است یک نصب وردپرس با یک موضوع و 10 افزونه داشته باشد که به طور بالقوه می تواند توسط یک مهاجم هدف قرار گیرد. اگر اکنون پنج سایت را روی یک سرور واحد میزبانی کنید، مهاجم ممکن است سه نصب وردپرس، دو نصب جوملا، پنج موضوع و 50 افزونه داشته باشد که میتوانند اهداف بالقوه باشند.
بدتر از آن، هنگامی که یک مهاجم یک اکسپلویت را در یک سایت پیدا کرد، عفونت می تواند به راحتی به سایت های دیگر در همان سرور سرایت کند. این نه تنها می تواند منجر به هک شدن همه سایت های شما به طور همزمان شود، بلکه فرآیند پاکسازی را بسیار وقت گیر و دشوار می کند.
مکان های آلوده می توانند به عفونت مجدد یکدیگر ادامه دهند و باعث ایجاد یک حلقه بی پایان شوند.
پس از موفقیت آمیز بودن پاکسازی، اکنون در مورد بازنشانی رمزهای عبور خود، وظیفه بسیار بزرگتری دارید. به جای فقط یک سایت، تعدادی از آنها را دارید. هر رمز عبور مرتبط با هر وب سایت روی سرور باید پس از از بین رفتن عفونت تغییر یابد.
این شامل تمام پایگاه های داده CMS شما و کاربران پروتکل انتقال فایل (FTP) برای هر یک از آن وب سایت ها می شود. اگر این مرحله را رد کنید، همه وبسایتها ممکن است دوباره آلوده شوند و باید فرآیند را مجدداً راهاندازی کنید.
-
دسترسی و مجوزهای کاربر را محدود کنید
کد وب سایت شما ممکن است توسط یک مهاجم هدف قرار نگیرد، اما کاربران شما هدف قرار خواهند گرفت. ثبت آدرس های IP و تمام سابقه فعالیت ها بعداً در تجزیه و تحلیل پزشکی قانونی مفید خواهد بود.
به عنوان مثال، افزایش زیاد تعداد کاربران ثبت نام شده ممکن است نشان دهنده شکست در فرآیند ثبت نام باشد و به اسپمرها اجازه دهد تا سایت شما را با محتوای جعلی پر کنند.
-
اصل کمترین امتیاز
اصل کمترین امتیاز حول یک اصل متمرکز است که به دنبال انجام دو چیز است:
-
استفاده از حداقل مجموعه امتیازات در یک سیستم به منظور انجام یک عمل
- اعطای آن امتیازات فقط برای زمانی که اقدام لازم است
اعطای امتیازات به نقش های خاص به آنها دیکته می کند که چه کاری می توانند انجام دهند و چه کاری نمی توانند انجام دهند. در یک سیستم کامل، نقش هر کسی را که تلاش میکند عملی فراتر از آنچه برای آن طراحی شده انجام دهد متوقف میکند.
به عنوان مثال، فرض کنید یک مدیر می تواند HTML بدون فیلتر را به پست ها تزریق کند یا دستوراتی را برای نصب افزونه ها اجرا کند. آیا این یک آسیب پذیری است؟ نه، این یک ویژگی است، بر اساس یک عنصر بسیار مهم اعتماد.
با این حال، آیا یک نویسنده باید از همان امتیازات و دسترسی برخوردار باشد؟ نقش های جداگانه ای را بر اساس اعتماد در نظر بگیرید و همه حساب ها را قفل کنید.
این فقط برای سایت هایی اعمال می شود که چندین کاربر یا ورود به سیستم دارند. مهم است که هر کاربر مجوز مناسبی را که برای انجام کار خود نیاز دارد، داشته باشد. اگر مجوزهای افزایش یافته به طور لحظه ای مورد نیاز است، آن را اعطا کنید. سپس پس از اتمام کار آن را کاهش دهید.
به عنوان مثال، اگر شخصی می خواهد یک پست وبلاگ مهمان برای شما بنویسد، مطمئن شوید که حساب کاربری او دارای امتیازات کامل مدیر نیست. این حساب فقط باید بتواند پست های جدید ایجاد کند و پست های خود را ویرایش کند زیرا نیازی به تغییر تنظیمات وب سایت وجود ندارد.
تعریف دقیق نقش های کاربر و قوانین دسترسی، هرگونه اشتباهی را که ممکن است انجام شود محدود می کند. همچنین پیامدهای حسابهای در معرض خطر را کاهش میدهد و میتواند در برابر آسیبهای وارد شده توسط کاربران سرکش محافظت کند.
دیدگاهتان را بنویسید