محافظت وب سایت در برابر هکرها

محافظت وب سایت در برابر هکرها

زهرا عزتی

در این مقاله درباره تمام امنیت هایی که می توان در وب سایت شما ایجاد کرد صحبت می کنیم تا وب سایت شما را در برابر هکر ها محافظت کنیم. در ادامه با ما در شتابان هاست همراه باشید.

افزونه های امنیتی را نصب کنید

اگر وب سایت خود را با سیستم مدیریت محتوا (CMS) ساخته اید ، می توانید وب سایت خود را با افزونه های امنیتی که به طور فعال از تلاش برای هک وب سایت جلوگیری می کند ، ارتقا دهید. هر یک از گزینه های اصلی CMS افزونه های امنیتی در دسترس دارند ، بسیاری از آنها به صورت رایگان هستند.

اقزونه های امنیتی برای وردپرس:

  • iThemes Security
  • Bulletproof Security
  • Sucuri
  • Wordfence
  • fail2Ban

گزینه های امنیتی Magento:

  • Amasty
  • Watchlog Pro
  • MageFence

برنامه های افزودنی امنیتی برای Joomla:

JHackGuard
jomDefender
RSFirewall

محافظت از وب سایت ضد ویروس

این گزینه ها آسیب پذیری های امنیتی موجود در هر سیستم عامل را برطرف می کنند و انواع دیگری از تلاش برای هک کردن را که می توانند وب سایت شما را تهدید کنند ، خنثی می کنند.

SiteLock با ارائه نظارت روزانه برای همه موارد ، از شناسایی بدافزار گرفته تا شناسایی آسیب پذیری گرفته تا اسکن ویروس فعال و موارد دیگر ، به سادگی با بستن روزنه های امنیتی سایت فراتر از آن است. اگر تجارت شما به وب سایت خود متکی باشد ، SiteLock قطعاً سرمایه گذاری قابل تأملی است.

 از HTTPS استفاده کنید

به عنوان یک کاربر ، ممکن است از قبل بدانید که هر وقت اطلاعات حساسی را به یک وب سایت ارائه می دهید ، همیشه در نوار مرورگر خود به دنبال تصویر قفل سبز و https باشید. این پنج نامه کوچک یک مختصر مهم برای امنیت هکر است: آنها نشان می دهند که تهیه اطلاعات مالی در آن صفحه وب خاص ایمن است.

گواهی SSL از آنجا مهم است که انتقال اطلاعات – مانند کارت های اعتباری ، اطلاعات شخصی و اطلاعات تماس – را بین وب سایت و سرور شما ایمن می کند.

در حالی که یک گواهی SSL همیشه برای وب سایت های تجارت الکترونیکی ضروری بوده است ، داشتن یک گواهی اخیراً برای همه وب سایت ها مهم شده است. Google در سال ۲۰۱۸ یک به روزرسانی Chrome را منتشر کرد.

موتورهای جستجو امنیت وب سایت را بیش از هر زمان دیگری جدی می گیرند زیرا آنها می خواهند کاربران تجربه مثبت و ایمنی در مرور وب داشته باشند. با تعهد بیشتر در زمینه امنیت ، اگر گواهی SSL ندارید ، یک موتور جستجو ممکن است وب سایت شما را در نتایج جستجو پایین تر قرار دهد.

این برای شما چه معنی دارد؟ اگر می خواهید مردم به نام تجاری شما اعتماد کنند ، باید در یک گواهینامه SSL سرمایه گذاری کنید. هزینه یک گواهینامه SSL ارزان است ، اما سطح اضافی رمزگذاری که به مشتریان شما ارائه می دهد ، به امنیت و اطمینان بیشتر وب سایت شما کمک زیادی می کند.

 سیستم عامل و نرم افزار وب سایت خود را به روز نگه دارید

استفاده از CMS همراه با افزونه های مختلف مفید فواید زیادی را به همراه دارد ، اما خطراتی را نیز به همراه دارد. علت اصلی آلودگی وب سایت ، آسیب پذیری در اجزای قابل توسعه سیستم مدیریت محتوا است.

از آنجا که بسیاری از این ابزارها به عنوان برنامه های نرم افزاری منبع باز ایجاد می شوند ، کد آنها به راحتی در دسترس است – هم برای توسعه دهندگان خوش فکر و هم برای هکرهای مخرب. هکرها می توانند این کد را منفور کنند و به دنبال آسیب پذیری های امنیتی باشند که به آنها امکان می دهد با بهره گیری از هرگونه ضعف سیستم عامل یا اسکریپت ، وب سایت شما را کنترل کنند.

برای محافظت از هک شدن وب سایت خود ، همیشه مطمئن شوید که سیستم مدیریت محتوای شما ، افزونه ها ، برنامه ها و هر اسکریپتی که نصب کرده اید به روز هستند. اگر وب سایتی را روی وردپرس اجرا می کنید ، می توانید هنگام ورود به داشبورد وردپرس بررسی کنید که آیا به روز هستید در گوشه بالا سمت چپ و در کنار نام سایت خود به دنبال نماد به روزرسانی باشید. برای دسترسی به بروزرسانی های وردپرس روی شماره کلیک کنید.

محافظت وب سایت خود در برابر هکرها

از ایمن بودن رمزهای عبور خود اطمینان حاصل کنید

برای جلوگیری از تلاش ورود هکرها و سایر افراد خارجی ، بسیار بهتر از آن سعی کنید یک رمز عبور واقعاً امن کشف کنید آن را طولانی کنید. از ترکیبی از نویسه ها ، اعداد و حروف خاص استفاده کنید و از کلمات کلیدی قابل حدس زدن آسان مانند تولد یا نام فرزندتان دور شوید. اگر یک هکر به طریقی به سایر اطلاعات مربوط به شما دسترسی پیدا کند ، ابتدا می داند آن ها را حدس بزند.

همچنین باید اطمینان حاصل کنید که همه افرادی که به وب سایت شما دسترسی دارند به همان نسبت رمزهای عبور قوی دارند. یک رمز عبور ضعیف در تیم شما می تواند وب سایت شما را در معرض نشت داده قرار دهد ، بنابراین انتظارات را با همه کسانی که دسترسی دارند تنظیم کنید.

در تهیه نسخه بکاپ تهیه خودکار سرمایه گذاری کنید

حتی اگر کارهای دیگر موجود در این لیست را انجام دهید ، باز هم با خطراتی روبرو خواهید شد. بدترین سناریو هک وب سایت این است که همه چیز را از دست بدهید زیرا فراموش کرده اید که از وب سایت خود بکاپ تهیه کنید. بهترین راه برای محافظت از خود این است که مطمئن شوید همیشه نسخه بکاپ تهیه کرده اید.

اگرچه هرگونه نقض داده باعث استرس خواهد شد ، اما وقتی یک نسخه بکاپ تهیه می کنید ، بهبودی بسیار راحت تر انجام می شود. شما می توانید از بکاپ گیری دستی روزانه یا هفتگی وب سایت خود استفاده کنید. اما اگر حتی کوچکترین شانس فراموش کردن وجود دارد ، در تهیه نسخه بکاپ خودکار سرمایه گذاری کنید. این یک روش ارزان برای خرید آرامش ذهنی است.

۵ مرحله پیشرفته برای ایمن سازی وب سایت خود در برابر هکرها

تمام مراحل فوق حتی برای دارندگان وب سایت با حداقل تجربه فنی نسبتاً بدون درد است. نیمه دوم این لیست کمی پیچیده تر می شود و شما ممکن است بخواهید برای کمک به شما با یک توسعه دهنده یا یک مشاور فناوری اطلاعات تماس بگیرید.

 هنگام قبول آپلود فایل از طریق سایت خود ، اقدامات احتیاطی را انجام دهید.

وقتی کسی گزینه آپلود چیزی در وب سایت شما را داشته باشد ، می تواند با آپلود یک فایل مخرب ، رونویسی یکی از فایلهای موجود برای وب سایت شما مهم یا آپلود فایلی آنقدر بزرگ که کل وب سایت شما را از بین ببرد ، از این امتیاز استفاده کند.

در صورت امکان ، به سادگی هیچ آپلود فایلی را از طریق وب سایت خود قبول نکنید. بسیاری از وب سایت های مشاغل کوچک بدون ارائه گزینه آپلود فایل می توانند از پس این کار برآیند. اگر این توصیف شماست ، می توانید از سایر موارد در این مرحله صرف نظر کنید. اما حذف آپلود فایل برای همه وب سایت ها گزینه ای نیست. برخی از انواع مشاغل ، مانند حسابداران یا ارائه دهندگان خدمات بهداشتی ، باید راهی برای تهیه ایمن اسناد به مشتریان ارائه دهند.

اگر نیاز به آپلود فایل دارید ، چند مرحله زیر را اجرا کنید تا مطمئن شوید از سایت خود محافظت می کنید:

یک لیست سفید از پسوندهای فایل مجاز ایجاد کنید. با مشخص کردن اینکه کدام نوع فایل را می پذیرید ، انواع مشکوک  فایل را از بین می برید.
از تأیید نوع فایل استفاده کنید. هکرها با تغییر نام اسناد با پسوند متفاوت از نوع سند ، یا اضافه کردن نقاط یا فاصله به نام فایل ، سعی می کنند به راحتی به فیلترهای لیست سفید برسند.
حداکثر اندازه پرونده را تنظیم کنید. با رد هر فایل بیش از اندازه خاص ، از حملات توزیع شده انکار سرویس (DDoS) خودداری کنید.

فایلها را برای بدافزار اسکن کنید. برای بررسی همه فایلها قبل از باز کردن از نرم افزار آنتی ویروس استفاده کنید.
هنگام آپلود، نام فایلها را به طور خودکار تغییر دهید. اگر هکرها به دنبال فایل دیگری باشند ، هکرها نمی توانند دوباره دسترسی پیدا کنند.
پوشه آپلود را خارج از webroot نگه دارید. این مانع از دسترسی هکرها به وب سایت شما از طریق فایلی می شود که آپلود می کنند.
این مراحل می تواند بسیاری از آسیب پذیری های ذاتی اجازه دادن به آپلود فایل در وب سایت شما را از بین ببرد.

 از کوئری های پارامتر شده استفاده کنید

تزریق SQL یکی از رایج ترین هک های وب سایت است که بسیاری از سایت ها قربانی آن می شوند. در صورت داشتن فرم وب یا پارامتر URL که به کاربران خارجی امکان ارائه اطلاعات را می دهد ، تزریق SQL می تواند وارد عمل شود. اگر پارامترهای قسمت را خیلی باز بگذارید ، کسی می تواند کدی را در آنها وارد کند که امکان دسترسی به دیتابیس شما را فراهم می کند. مهم است که از سایت خود در برابر این امر محافظت کنید زیرا اطلاعات حساس مشتری در شما قابل نگهداری است.

برای محافظت از وب سایت خود در برابر هک های تزریق SQL می توانید چند مرحله انجام دهید. استفاده از پرس و جوهای پارامتر شده یکی از مهمترین و آسانترین موارد برای پیاده سازی است. با استفاده از پرس و جوهای پارامتر شده ، کد شما دارای پارامترهای کافی مشخص است به طوری که دیگر جایی برای هکر با آنها درگیر نخواهد شد.

 از CSP استفاده کنید

حملات اسکریپت نویسی از طریق سایت (XSS) یکی دیگر از تهدیدهای رایج صاحبان سایت است که باید مراقب آن باشند. هکرها راهی پیدا می کنند تا کدهای مخرب JavaScript را بر روی صفحات شما بریزند ، که در نتیجه می تواند دستگاه هر بازدید کننده وب سایت را که در معرض کد است ، آلوده کند. بخشی از مبارزه برای محافظت از سایت شما در برابر حملات XSS ، مشابه سالات پارامتر شده برای تزریق SQL است. اطمینان حاصل کنید که هر کدی که در وب سایت خود برای عملکردها یا زمینه هایی استفاده می کنید که اجازه ورود را می دهد ، در حد مجاز است.

سیاست امنیت محتوا (CSP) یکی دیگر از ابزارهای مفیدی است که می تواند به محافظت از سایت شما در برابر XSS کمک کند. CSP به شما اجازه می دهد دامنه هایی را که یک صفحه مرورگر باید منابع معتبر اسکریپت های اجرایی را در نظر بگیرد ، در نظر بگیرید. سپس مرورگر می داند که به هیچ اسکریپت یا بدافزاری مخرب که ممکن است رایانه بازدید کننده سایت شما را آلوده کند ، توجه نمی کند. استفاده از CSP شامل افزودن سرصفحه مناسب HTTP به صفحه وب شما است كه مجموعه ای از دستورالعمل ها را ارائه می دهد كه به مرورگر می گوید چه دامنه هایی مناسب هستند و چه مواردی از این قاعده مستثنی هستند.

فهرست و مجوزهای فایل خود را قفل کنید

همه وب سایت ها را می توان در یک سری از فایلها و پوشه هایی که در حساب میزبانی وب شما ذخیره شده اند خلاصه کرد. علاوه بر این که حاوی تمام اسکریپت ها و داده های مورد نیاز برای کار کردن وب سایت شما است ، به هر یک از این فایلها و پوشه ها یک مجموعه مجوز اختصاص داده شده است که می تواند افراد ، خواندن ، نوشتن و اجرای هر فایل یا پوشه داده شده را نسبت به کاربری که دارند کنترل کند. گروهی که به آن تعلق دارند.

در سیستم عامل لینوکس ، مجوزها به عنوان یک کد سه رقمی قابل مشاهده هستند که هر رقم یک عدد صحیح بین ۰-۷ است. رقم اول مجوزهای صاحب فایل را نشان می دهد ، رقم دوم برای هر کس که به گروه صاحب پرونده اختصاص داده شده و رقم سوم برای افراد دیگر.

به عنوان مثال ، کد اجازه “۶۴۴” را انتخاب کنید. در این حالت ، یک “۶” (یا “۴ + ۲”) در موقعیت اول به مالک فایل امکان خواندن و نوشتن فایل را می دهد. “۴” در موقعیت های دوم و سوم به این معنی است که هم کاربران گروه و هم کاربران اینترنت می توانند فقط فایل را بخوانند – از فایل در برابر دستکاری های غیر منتظره محافظت می کنند.

بنابراین ، فایلی با مجوزهای “۷۷۷” (یا ۴ + ۲ + ۱/۴ + ۲ + ۱/۴ + ۲ + ۱) توسط کاربر ، گروه و سایر افراد موجود در آن قابل خواندن ، نوشتن و اجرای است. همانطور که انتظار دارید ، فایلی که کد مجوزی به آن اختصاص داده شده است و به هر کسی در وب امکان نوشتن و اجرای آن را می دهد ، ایمنی بسیار کمتری نسبت به فایلی که قفل شده است ، به منظور حفظ کلیه حقوق فقط برای مالک است. البته ، دلایل معتبری برای دسترسی به سایر گروههای کاربران وجود دارد (به عنوان مثال آپلود FTP ناشناس ) ، اما برای جلوگیری از ایجاد خطر امنیتی وب سایت ، این موارد را باید به دقت بررسی کرد.

به همین دلیل ، یک قانون خوب برای تنظیم مجوزها به شرح زیر است:

پوشه ها و دایرکتوری ها = ۷۵۵
فایل های فردی = ۶۴۴

برای تنظیم مجوزهای فایل خود ، به File Manager cPanel خود وارد شوید یا از طریق FTP به سرور خود متصل شوید. پس از ورود ، لیستی از مجوزهای فایل موجود خود را مشاهده خواهید کرد (مانند مثال زیر که با استفاده از برنامه Filezilla FTP ایجاد شده است):

 

محافظت وب سایت در برابر هکرها

 

ستون آخر در این مثال مجوزهای پوشه و فایل را که در حال حاضر به محتوای وب سایت اختصاص داده شده است نمایش می دهد. برای تغییر این مجوزها در Filezilla ، کافیست روی پوشه یا فایل مورد نظر راست کلیک کرده و گزینه “File permissions” را انتخاب کنید. با انجام این کار صفحه ای راه اندازی می شود که به شما امکان می دهد مجوزهای مختلف را با استفاده از یک سری کادر اختصاص دهید:

 

محافظت وب سایت در برابر هکرها

اگرچه باطن برنامه میزبان وب یا FTP شما کمی متفاوت به نظر می رسد ، روند اصلی تغییر مجوزها همان است. پورتال بکاپ ما راه حل هایی برای نحوه اصلاح مجوزهای پوشه و پرونده خود با استفاده از مجوزهای chmod دارد.

پیام های خطای خود را ساده نگه دارید

پیام های خطای تفصیلی می توانند به شما کمک کنند تا تشخیص دهید چه مشکلی وجود دارد ، بنابراین می دانید چگونه آن را برطرف کنید. اما وقتی این پیام های خطا برای بازدیدکنندگان خارج نمایش داده می شود ، می توانند اطلاعات حساسی را که به هکر بالقوه می گوید دقیقاً نقاط آسیب پذیری وب سایت شما را نشان دهند. پیام های خطای خود را به اندازه کافی ساده نگه دارید تا ناخواسته خیلی زیاد آنها را فاش نکند. اما از ابهام نیز خودداری کنید.

ما به شما نحوه محافظت وب سایت در برابر هکرها را نشان داده ایم.  ما را در شتابان هاست دنبال کنید.