لازمه هر کسب و کاری داشتن یک وب سایت است. تکنولوژی امروزی ساخت چنین پلتفرمی را از هر زمان دیگری آسانتر نموده است. وبسایت یک نوع دارایی برای برند محسوب میشود که مشتریان میتوانند پاسخهای مورد نیازشان را در آن جستجو کنند. اگر شما نیز برای کسب و کارتان وب سایتی راهاندازی کردهاید باید دانش لازم را در مورد نقاط ضعف موجود در امنیت وب سایت ها و روشهای کنترل کردن آنها داشته باشید. پشتیبانی و نگهداری از وبسایت شامل تمامی فعالیتهایی است که طی آن مطمئن شوید وب سایتتان کاملاً بهروز هست و کارایی خود را دارد. یکی از مهمترین فعالیتها، تأمین امنیت وبسایت هست که البته کمتر مورد توجه مدیران قرار میگیرد.
دیگه برای مراقبت از وب سایت در برابر آسیبهایی که امنیت آن را تهدید میکنند، نیازی به بودجه اضافی و سنگین نیست. تنها با رویکردی مطمئن برای پیشگیری از بروز هرگونه مشکل، میتوان امنیت لازم را برای وبسایت خود فراهم کرد.
البته این موضوع را هم در نظر بگیرید که تنها این ۷ مورد امنیت سایت شما را به ۱۰۰ نمی رساند اما مهم ترین موارد امنیت این ۷ گزینه می باشند.
بدافزار (Malware) نرمافزاری است که با اهداف تبهکارانه ساخته شده و طراحی آن به شکلی است که میتواند یک سیستم را آلوده کرده و به آن آسیب برساند. از آنجایی که واژه بدافزار واژهای بسیار کلی برای اینگونه تهدیدات سایبری هست میتوان گفت که حملات بدافزاری شامل تهدیدهایی از ویروسها گرفته تا نرم افزارهای مخرب تبلیغاتی است، که هم کامپیوترها و هم وب سایتها را آلوده میسازند. در نتیجهی حملات بدافزاری به یک وب سایت، اطلاعات حساس موجود در آن از جمله اطلاعات مشتریان به سرقت میروند یا دستکم در معرض دید عموم قرار میگیرند.
حملات بدافزاری میتوانند آسیبی جدی به یک کسبوکار وارد کنند بهویژه در صورتی که شناسایی نشده باشند و به مدت طولانی به فعالیتهای خرابکارانه خود ادامه دهند.
تغییر ظاهر وبسایت (Website Defacement): این نوع از بدافزارها ظاهر وب سایت را تغییر میدهند. در این مورد، معمولاً صفحهی سایت پیامی را با نام هکر به نمایش میگذارد.
ریدایرکت به صفحات مخرب (Malicious redirect): در این وضعیت، وقتی کاربران به وبسایت شما مراجعه میکنند به سایت دیگری منتقل میشوند که حاوی محتویات مخرب یا غیراخلاقی است. این نوع از تهدیدات بدافزاری میتواند بعضی از صفحات یا تمامی وبسایت شما را برای کاربران و مشتریان غیرقابل دسترس نماید.
تزریق کد از طریق وبسایت (XSS) یا Cross-site scripting نوع رایج دیگری از آسیبپذیریهای امنیتی وب سایت می باشد. برخلاف تزریق SQL، این مورد زمانی رخ میدهد که خطوط کدهای خرابکارانه جاوا اسکریپت به درون وبسایت تزریق میشوند تا کاربران را هدف قرار دهند و بدین ترتیب دستورهای سمت کاربر را دستکاری میکنند. این کدهای مخرب اطلاعات و تاریخچه بازدید کاربران را از طریق نوار جستجوی وبسایت یا کامنتها به سرقت میبرند. با این کار میتوانند ظاهر وبسایت را تغییر بدهند و کاربران را به دیگر وب سایتهای مخرب منتقل کنند که البته ممکن است ظاهر آن صفحات بسیار عادی باشد اما برای به سرقت بردن اطلاعات کاربران طراحی شده باشد. با استفاده از سیاست های امنیتی محتوایی میتوان از حملات تزریق کد از طریق وبسایت جلوگیری کرد.
آسیبپذیری امنیت یک وب سایت زمانی رخ میدهد که دارای نقطه ضعفی در کد نویسی خود باشد و در این شرایط به افراد با اهداف خرابکارانه این امکان را میدهد که به سایت حمله کرده یا کنترل آن را در دست بگیرند. این مورد معمولاً در نتیجهی نصب پلاگینهای وردپرس یا دیگر نرمافزارهای قدیمی بر روی وبسایت رخ میدهد. تزریق SQL یا SQL injection نوعی مخرب امنیت سایت است که شامل کدها یا دستورهای مخرب SQL بوده که به فیلدهای ورودی اطلاعات کاربر تزریق میشوند. این فرآیند به هکرها امکان میدهد که کنترل پایگاه داده مربوط به وبسایت را در اختیار گرفته یا اطلاعات محتوایی آن را تخریب کنند.
اگر این حمله موفقیت آمیز باشد، خرابکاران میتوانند اطلاعات کاربران را به سرقت برده، دادهها را تغییر داده یا حذف کنند و یا کنترل کامل وب سایت را به دست بگیرند. این مورد یکی از آسیبپذیریهای بسیار رایج وب سایتها در سراسر جهان به شمار میآید. بر اساس گزارشها در سال ۲۰۱۸، یک وبسایت آسیب پذیر بهطور متوسط در بیش از ۱.۰۰۰ صفحه مورد تزریق SQL قرار گرفته است. یک برنامه فایروال تحت وب میتواند از وب سایت شما در برابر حملات تزریق SQL محافظت نماید. این ابزار حفاظتی یک سرویس فایروال مبتنی بر فضای ابری هست که ترافیک زمان واقعی وب سایت شما را بررسی کرده و از آن در مقابل حملات تزریق SQL و هرزنامهها حفاظت نموده و حملات DDoS را نیز دفع میکند.
برخی از هکرها رمز عبور افراد را حدس میزنند یا از ابزارها و برنامههایی خاص برای امتحان ترکیبهای متفاوت از کلمات و اعداد استفاده میکنند تا بتوانند رمز عبور کاربران را به دست آورند و به حساب کاربری آنها دسترسی پیدا کنند. در برخی از موارد از روشهای پیشرفته کی لاگینگ (keylogging) نیز برای دسترسی به حسابهای کاربری افراد استفاده میگردد. keyloging هرگونه ضربهای را که کاربر روی کیبورد وارد میکند به ثبت میرساند. سپس این اطلاعات در اختیار هکرهایی قرار میگیرد که این برنامهها را روی سیستمها نصب کردهاند. بسیاری از وبسایتها فاقد امنیت قوی در زمینه رمز عبور هستند که تنها با کمی تلاش از جانب هکرها میتوان رمز عبور آنها را به دست آورده و کنترل وبسایت را به دست گرفت.
و در آخر اینکه نام کاربری ادمین وردپرس خود را واژه معمول « admin» قرار ندهید.
حمله DDOS معمولاً زمانی رخ میدهد که server یک وب سایت مقادیر زیادی traffic یا request دریافت میکند که باعث بارگیری بیش از حد و عدم توان پاسخگویی سیستم میشود. این حملات در واقع traffic غیر واقعی از سمت کامپیوترهای کنترل شده توسط هکرها رخ می دهند که اغلب بات نت (botnet) نامیده میشوند. botnet تعدادی وسیله متصل به اینترنت است که هرکدام یک یا چند bot را راه اندازی میکنند. وقتی که server وب سایت در احاطه مقدار زیادی traffic و request قرار میگیرد، بارگیری آن به کندی انجام میشود. وقتی که قدرت کافی پشت این حملات وجود داشته باشد میتواند باعث از کار افتادن server سایت نیز بشود که البته offline شدن کامل وب سایت را در پی خواهد داشت.
این امر هنگامی رخ میدهد که تنظیمات امنیتی وب سایت دارای حفره یا نقطه ضعفی باشد که میتواند به آسیبپذیری های امنیتی متعدد منجر شوند. این مشکل معمولاً در اثر مدیریت نامناسب وب سایت یا تنظیمات نادرست برنامهها رخ میدهد. این ضعف سایت، به هکرها امکان دسترسی به دادههای شخصی و حساس یا ابزارهایی از وبسایت را دهد که میتوانند توسط آنها سیستم را بهطور کامل از کار بیندازند یا کنترل آن را به شخص دیگری انتقال دهند. در این شرایط، هکرها میتوانند اطلاعات و دادههای حساس وب سایت شما را به سرقت برده یا آنها را تغییر دهند.
بهصورت کلی، آسیبپذیری امنیتی وب سایت هنگامی رخ میدهد که تنظیمات پیش فرض و البته غیرمطمئن سیستم تغییر داده نشوند. قرار دادن این تنظیمات در حالت پیش فرض، دسترسی هکرها به پایگاه اطلاعاتی وب سایت شما را بسیار آسان خواهد کرد. بدین ترتیب بهتر هست که هیچ گاه تنظیمات امنیتی وب سایت خود را در حالت پیش فرض رها نکرده، تغییراتی در آنها ایجاد کنید و بنا بر نیازهای خاص خود به شیوهای مناسب آنها را تنظیم کنید.
این امر هنگامی رخ میدهد که یک هکر تمام اطلاعات ورودی یک کاربر در وبسایتی را در اختیار میگیرد و در ادامه از آن در جهت اهداف خود استفاده میکند. این دادهها میتوانند به شکل اطلاعات ساده تماس و یا اطلاعات حساس مربوط به کارتهای اعتباری یا حسابهای بانکی کاربران باشند. تبهکاران سایبری این دادهها را در فضای مجازی و برای مقاصد مالی، خرید و فروش میکنند. تنها در یک مورد در سال ۲۰۱۵، یک گروه تبهکار سایبری در بلژیک وبسایت چندین شرکت متوسط و بزرگ اروپایی را هک کرده و اطلاعات تجاری و مالی حساس آنها را به سرقت بردند. آنها در نتیجه این کار توانستند بیش از ۶ میلیون یورو از حساب این شرکتها خارج کرده و به حسابهای متعلق به خود انتقال دهند.
از این رو بسیار مهم هست که وب سایتتان را با استفاده از یک گواهینامه SSL بهمنظور مراقبت از دادههای حساس، ایمن کنید. گواهینامه SSL یک ارتباط ایمن و رمزگذاری شده بین مرورگر بازدیدکننده و سرور وب ایجاد خواهد کرد تا کاربر با امنیت کامل عملیات خود را در وب سایت شما به انجام برساند. این امر، خریداران را از حملات سایبری این چنینی در امان نگه میدارد.
امیدواریم که از از این مطلب بهره لازم را برده و برای شما مفید بوده باشد. نظرات خود را با ما به اشتراک بگذارید.
ما را در شتابان هاست دنبال کنید.