راهنما و آموزش جامع روش های افزایش امنیت وب سایت
با توجه به گسترش روزافزون استفاده از اینترنت در میان کاربران و اهمیت یافتن وبسایتهای اینترنتی، امنیت وب سایت های اینترنتی و کاربران این وب سایت ها اهمیتی دوچندان نسبت به گذشته پیدا می کند. طبق استانداردهای جهانی امکان تضمین امنیت هیچ کد ، هاست ، سرور و یا نرمافزاری وجود ندارد. یکی از مهمترین عوامل افزایش امنیت یک وبسایت رعایت موارد امنیتی توسط مالک ، طراح و استفادهکننده سایت میباشد. در زیر به ادامه بحث و توضیحات بیشتر ادامه خواهیم داد.
عوامل رایج هک شدن سایتها
عوامل رایج هک شدن سایتها یک و یا چند مورد از موارد زیر میباشد:
1. استفاده از نرمافزارهای قدیمی
2. استفاده از سیستم های مدیریت محتوای قدیمی مانند جوملا 1.5 و یا ورد پرس قدیمی و یا انواع سیستم های مدیریت محتوای قدیمی
3. استفاده از کدها و یا اسکریپت های ناامن و یا دارای امنیت پایین
4. استفاده از رمز عبور ضعیف و ساده
5. نصب نرمافزار ، ماژول ، قالب ، کامپاننت و یا پلاگین قفل شکسته
6. نصب ماژول ، قالب ، کامپاننت و یا پلاگین قدیمی و یا دارای مشکلات امنیتی
7. عدم رعایت موارد امنیتی مربوط به نرمافزار مورد استفاده که توسط سازنده اعلام شدهاند
8. عدم رعایت موارد امنیتی مربوط به سیستم مدیریت محتوای مورد استفاده مورد استفاده مانند تنظیم سطح دسترسیها و موارد دیگر
9. ویروسی شدن کامپیوتر مورد استفاده در مدیریت سایت
10. لو رفتن رمز عبور شما و مورد سوءاستفاده قرار گرفتن توسط شخص ثالث
شما باید فوراً نسبت به بررسی تمامی 10 مورد بالا اقدام نمایید و سپس تمامی آنها را رفع نمایید.
راه حلهای پیشنهادی
راه حلهای پیشنهادی موارد زیر میباشد : 1. توصیه می شود در صورتی که شما مطنئن هستید بسیاری از موارد بالا را رعایت ننموده اید، موقتاً سایت خود را تا رفع مشکلات امنیتی متوقف نموده و از کار بی اندازید. 2. از امن بودن کامل کامپیوتر شخصی خود مطمئن شوید و یک نرمافزار ضد ویروس قوی بر روی آن نصب نمایید و در صورت نیاز سیستمعامل و تمامی اطلاعات آن را حذف و مجدد سیستمعامل نصب نمایید 3. تمامی رمزهای کنترل پنل هاست و ناحیه کاربری و ایمیلهای خود را به یک رمز بسیار قوی و غیرقابل حدس تغییر دهید 4. تمامی ماژولها ، قالبها، کامپاننت ها و یا پلاگین های سایت خود را کامل حذف نمایید 5. شما باید از عدم وجود ویروس و یا کدهای مخرب مخفی بر روی سایت خود مطمئن شوید. این مرحله بسیار سخت و پیچیده میباشد زیرا معمولاً هکر ها از کدهای مخرب مخفی ، شلها و ویروسهایی استفاده مینمایند که بسیار پیچیده و مخفی میباشند. نرمافزارهای رایج آنتی ویروس و سیستم های ضد ویروس موجود در سرور و شبکه تنها توانایی تشخیص ویروسهای شناختهشده و معروف را دارند و هکر ها هم با آگاهی از این موضوع و جهت جلوگیری از شناخته شدن کدهای خود معمولاً از شلها ، ویروسها و کدهای مخرب مشهور و شناختهشده که در اینترنت منتشرشدهاند و شما میتوانید آنها را دانلود نمایید استفاده نمینماید بلکه از کدهای تغییریافته و اختصاصی و مخفی استفاده مینماید که معمولاً توسط هیچ نرمافزار ضد ویروسی شناسایی نمیگردند. 6. تمامی نرمافزارها و یا سیستم های مدیریت محتوای سایت خود را به آخرین نسخه بهروزرسانی نمایید. برای نمونه آخرین نسخه سیستم مدیریت محتوای جوملا و یا وردپرس. 7. کدهای خود را به صورت دقیق و کامل از لحاظ امنیت و توسط یک فرد متخصص بررسی نموده و آن را امن کنید. 8. معمولاً یکی از رایجترین عوامل هک شدن ضعف امنیتی کدهای سایت میباشد. در صورتی که شما از یکی از سیستم های مدیریت محتوای معروف استفاده نمینمایید و کدهای شما توسط یک برنامهنویس تهیه شده است باید کدهای خود را از لحاظ امینت به طور کامل و دقیق بررسی نمایید. زیرا نفوذ از طریق کد صدها برابر سادهتر از نفوذ از طرق دیگر مانند سرور ، شبکه و یا هاست میباشد و تنها هکر های بسیار حرفهای توان نفوذ از روشهای دیگر را دارند و معمولاً این هکر ها تنها اقدام به نفوذ به سایت های بزرگ جهانی و دولتی مینمایند و به سایت های متوسط و کوچک نفوذ نمینمایند ). 9. معمولاً هسته (بخش مرکزی - core ) سیستم ها دارای امنیت مناسبی میباشد اما ماژولها ، قالبها، کامپاننت ها و یا پلاگین ها دارای امنیت بسیار پایینی میباشد.تا حد ممکن هرگز از ماژول ، قالب ، کامپاننت و یا پلاگین اضافی بر روی سایت خود استفاده ننمایید. 10. در صورت نیاز حتمی به استفاده از ماژول ، قالب ، کامپاننت و یا پلاگین اضافی بر روی سایت خود از بروز بودن و امن بودن آنها اطمینان حاصل نمایید و هرگز از سیستم های قدیمی و یا ناامن استفاده ننمایید زیرا در آن حالت احتمال هک شدن شما تقریباً 100 درصد خواهد بود اما به طور کل این مورد توصیه نمیشود. 11. هرگز از نرمافزار ، ماژول ، قالب ، کامپاننت و یا پلاگین قفل شکسته استفاده ننمایید زیرا با استفاده از آنها احتمال مورد نفوذ قرار گرفتن شما تقریباً 100 درصد خواهد بود. 12. راهنمای امنیتی تکتک نرمافزارها ، ماژولها ، قالبها، کامپاننت ها و پلاگین های مورد استفاده خود را به صورت کامل و دقیق مطالعه نموده و تمامی مراحل آن را به طول 100 درصد و دقیق انجام دهید زیرا انجام ندادن حتی یکی از موارد امنیتی میتواند منجر به هک شدن سایت شما گردد. این مورد یکی از رایجترین علل نفوذ میباشد ورد پرس:
جوملا:
توجه : موارد بالا تنها برای بخش اصلی (هسته - core)جوملا و وردپرس بوده و کافی نمیباشند و شما باید موارد کامل تر را جستجو و پیدا نمایید. همچنین برای تکتک نرمافزارها ، ماژولها ، قالبها، کامپاننت ها و پلاگین های نصبشده باید موارد امنیتی رعایت گردد و نه فقط سیستم اصلی 13. از یک متخصص امنیت درخواست نمایید امنیت تمامی بخشهای سایت شما را بررسی نماید. 14. پس از اطمینان از امن بودن تمامی موارد بالا تمامی رمزهای دسترسی به سیستم خود را مجدد و به طور کامل به یک رمز بسیار قوی و غیرقابل حدس تغییر دهید. رمز عبور ایمیلهای شخصی ، ناحیه کاربری، کنترل پنل هاست ،FTP ، دیتابیس،Admin ،ایمیلهای هاست، بخش مدیرت سایت و به طور کل تمامی رمزهای عبور دیگر. 15. در صورت حصول اطمینان از امن بودن سایت خود مجدد آن را فعال نمایید. 16. در دورههای زمانی کوتاه تمامی رمزهای عبور خود شامل موارد ذکرشده در بالا را تغییر دهید.
نکته مهم: بیش از 99 درصد نفوذهای اینترنتی از طریق ضعف کدها میباشد و نه از طریق هاست ، سرور و یا شبکه زیرا به دلیل امینت بالای سیستمعاملهای امروزی(لینوکس و ویندوز) و قدرت بالای تجهیزات شبکه امروزی مانند UTM ها و Firewall ها نفوذ از طریق هاست ، سرور و یا شبکه حتی در یک هاست بسیار ناامن بسیار سخت تر از نفوذ از طریق ضعف کد میباشد چه برسد به نفوذ به یک هاست و یا سرور دارای امنیت بالا. معمولاً تنها هکر های بسیار حرفهای توان نفوذ از روشهای دیگر را دارند و معمولاً این هکر ها تنها اقدام به نفوذ به سایت های بزرگ دولتی و جهانی مینمایند و به سایت های متوسط و کوچک نفوذ نمینمایند . هنگامی که یک سایت از روشی غیر از هاست ، سرور و یا شبکه مورد نفوذ قرار گیرد تنها یک سایت هک نشده و تمامی و یا تعدادی از سایت ها مورد نفوذ قرار میگیرد ولی هنگامی که یک سایت تنها مورد نفوذ قرار میگیرد با احتمال تقریباً 100 به علت عدم رعایت یک و یا چند مورد از موارد امنیتی ذکرشده در بالا میباشد.
در نهایت توصیه میشود استانداردهای امنیتی کدهای خود را به وسیله یک کارشناس امنیت مورد مطالعه قرار دهید تا بتوانید یک سایت امن و پایدار در اختیار داشته باشید و در این حالت سابقه عدم نفوذ کدهای شما چندان قابلاعتماد نمیباشد زیرا معمولاً کدهای اختصاصی نوشتهشده دارای گستردگی کم و سابقه اجرای کوتاه میباشند و معمولاً تا به امروز چندان مورد آزمایش نفوذ گران قرار نگرفتهاند تا امینت آنها بررسی شود در نتیجه عدم نفوذ تا به امروز دلیلی بر امنیت بالای کد نمیباشد همچنین معمولاً شرکتهای تولیدکننده کدها بر خلاف شرکتهای بزرگ و جهانی خبر مورد نفوذ قرار گرفت کدهای خود را اعلام نمینمایند در نتیجه عدم وجود سابقه نفوذ نیز معتبر نمیباشد. |