اگر شما صاحب یک کسب و کار کوچک هستید، آلودگی بد افزار احتمالاً آخرین چیزی است که به ذهنتان می رسد. رسیدگی به محصولات فروشگاه، مشتریان، تشریفات اداری و… به میزان کافی شما را مشغول خود ساخته و زمانی برای رسیدگی به کارکرد صحیح و زیرساخت وب سایت خود ندارید.
اما نباید اجازه داد که برنامه شلوغتان مانعی برای رسیدگی به اقدامات امنیتی وب سایت و اطلاعات مشتریان شود. آزمایشگاه پاندا گزارش می کند که تنها در سه ماهه سوم سال ۲۰۱۶، ۱۸ میلیون نمونه جدید بد افزار شناسایی شدند. تصور کنید یکی از آنها باعث شود که شاخصه های امنیتی وب سایت شما از بین رفته و به کامپیوترهای بازدید کنندگانتان نفوذ کند. این موضوع می تواند منجر به قطعی وب سایت، از دست رفتن اعتماد مشتریان و در نهایت کاهش فروش شود.
خوشبختانه، راهکارهای زیادی وجود دارد تا از وب سایتتان در برابر حملات بد افزار ها جلوگیری کنید. برای این منظور، لازم نیست که یک جادوگر تکنولوژی باشید، اما لازم است که برای امنیت وب سایتتان خیلی فعالانه اقدام کنید.
گام اول- وب سایت خود رابه روز نگه دارید.
برای جلوگیری از آلودگی وب سایت به بد افزار ، نیازی نیست که firewall های گران قیمت یا ابزارهای monitoring نصب کنید ( اگرچه این ابزارها می توانند مفید باشند). حتی نیازی به استخدام یک برنامه نویس نیست تا از طریق بررسی خط به خط کدهای وب سایت شما، نقاط ضعف را جستجو کند. راهکار ساده ای که به شما پیشنهاد می شود این است که هرگاه نسخه یا patch جدید می آید، وب سایت خو را به روز رسانی کنید.
برای مثال اگر وب سایتتان را روی WordPress ساخته اید، هرگاه که به روز رسانی جدیدی در دسترس باشد، روی dashboard وب سایتتان یک notification خواهید دید. (می توانید وب سایتتان را طوری تنظیم کنید که به صورت خودکار به روزرسانی ها انجام شوند)
این اخطار ها (یا اخطار هایی که توسط سازنده وب سایت شما عرضه شده است) را جدی بگیرید. این کار نه تنها باعث می شود که به شاخصه هایی دست پیدا کنید که مدیریت وب سایت را آسان تر می کند، بلکه اغلب حفره های امنیتی و نقاط ضعف قابل شناسایی توسط هکرها را بر طرف می کند.
گام دوم- از کلمات عبور پیچیده استفاده کنید.
استفاده از کلمه عبور پیچیده، نه تنها برای ورود به back-end سایت شما، بلکه برای هر سرویس اینترنتی، اهمیت دارد. کلمات عبور ضعیف، عملا با دادن دسترسی نامحدود وب سایت و اطلاعات آن به هکرها، وارد شدن به حساب کاربری شما را آسان می کند.
یک کلمه عبور قوی، حداقل ۸ تا ۱۲ character دارد و شامل ترکیبی از حروف کوچک، حروف بزرگ، اعداد و نمادهای خاص (اگر برنامه شما اجازه آن را می دهد ) است. اگر قادر نیستید تا کلمات عبور این چنینی تولید کنید یا آن را به خاطر بسپارید، ابزاری مانند LastPass می تواند به شما کمک کند.
گام سوم- صفحات ورود خود را مخفی کنید.
یکی از رایج ترین هک های بد افزار ، حمله های brute-force است. همان طور که مشخص است، این حمله دارای یک هکر است (یا به احتمال بیشتر یک ربات خودکار است که توسط هکرها اجرا می شود) و نام کاربری و کلمه عبور شما را بارها و بارها حدس می زند به امید اینکه ترکیب درست را به دست آورد و به اطلاعات شما دسترسی پیدا کند.
اگر وب سایت شما روی WordPress اجرا شده است، یکی از روش های ساده برای محافظت در برابر این نوع حمله، عوض کردن محل فرم ورود back-end است. این کار می تواند توسط یک plugin مانند WPS Hide Login انجام شود.
البته راه حل هایی وجود دارند که می توانند به هکرهای حرفه ای اجازه دهند تا موقعیت جدید صفحات ورود شما را پیدا کنند.
گزینه های امن تر، که در WordPress codex به آن اشاره شده است تغییر فایل .htaccess سایت به منظور Password-protect نمودن فایل wp-login.php و محدود کردن دسترسی به wp-admin بر مبنای IP می باشد. دستور العمل های کامل این فرایند را اینجا مشاهده کنید.
گام چهارم- مجوز فایل ها و پوشه های وب سایت خود را قفل کنید.
اگر از طریق FTP به وب سایت خود دسترسی دارید، ممکن است یک رشته سه رقمی، واقع در کنار هر فایل یا پوشه ای از وب سایت خود دیده باشید. این اعداد، نشان دهنده مجوزهایی هستند که به هر فایل یا پوشه داده شده است و تعیین کننده این است که چه کسی می تواند به هر پوشه دسترسی پیدا کند و اینکه هر نوعی از کاربر با این دسترسی ها چه کار می تواند بکند.
- این اعداد منحصر به فرد که در محدوده ۰ تا ۷ هستند، نوع دسترسی اعطا شده را بیان می کنند، ۰ نمایش دهنده عدم وجود هیچ دسترسی و ۷ نمایش دهنده دسترسی کامل برای نوشتن، خواندن و اجرای دستورات است.
- سه جایگاه خاصی که برای این اعداد وجود دارد، نمایش دهنده مجوز هایی است که به شما (صاحب وب سایت) داده می شود، گروه کاربرانی که به آن ها دسترسی به سایت داده شده است.
با توجه به این طرح، عدد ۰۰۰ نشان می دهد که هیچ شخصی به فایل ها دسترسی ندارد. در حالی که عدد ۷۷۷ نشان دهنده این است که مجوز خواندن، نوشتن و اجرای فایل ها به همه اعطا شده است.
با دقت، تنظیمات پوشه های خود را بررسی کنید و مشخص کنید که مجوزهای دسترسی اعطا شده به گروه های مختلف، صحیح است یا خیر. اگر شما WordPress را اجرا می کنید، این موضوع را در نظر بگیرید که از تنظیمات پیش فرض مجوز های برنامه به تنظیمات امن ارائه شده در WordPress Codex بروید:
گام پنجم- پیشوند پیش فرض پایگاه داده خود را تغییر دهید.
برنامه های تحت وب و برنامه هایی که از طریق پایگاه داده های SQL روی وب سایت شما یا حساب کاربری میزبانی وب شما اجرا می شود، معمولا با استفاده از پیشوند های پایگاه داده پیش فرض اجرا می شوند. برای مثال، WordPress معمولا از پیشوند “wp_” استفاده می کند که این موضوع باعث می شود وب سایت هایی با پلت فرم CMS، به راحتی توسط ربات هایی که می دانند چگونه از این نوع وب سایت ها با هک های SQL injection سوء استفاده کنند، قابل شناسایی باشد.
به روز رسانی پیشوند های پایگاه داده (از دستورالعمل های ارائه شده در اینجا استفاده کنید) چیزی پیچیده تر از حفاظت وب سایت شما را ضمانت نمی کند، زیرا هکرهای با انگیزه با جستجوی نیمه دوم نام های جدول شما همچنان می توانند به یک ارتباط SQL باز در وب سایت شما دسترسی پیدا کنند (مانند postmeta و usermeta).
با این حال وب سایت شما در مقابل هکر هایی که فقط یک درخواست ربات اولیه را انجام می دهند، محافظت می شود و در واقع این موضوع به عنوان یک قطعه در پازل امنیتی بزرگ وب سایت شما قرار می گیرد.
گام ششم- pluginهای امنیتی نصب کنید.
یکی از آسان ترین روش ها برای ایمن کردن وب سایت شما، نصب کردن یک plugin یا افزونه امنیتی است که این نوع نگرانی ها را برطرف می کند. در صورتی که وب سایت شما تحت WordPress می باشد، ابزارهای جانبی بسیاری جهت ارتقاء سطح امنیت آن منشر شده است. ابزار هایی مانندWordfence, Bulletproof و iThemes Security از ابزارهای بسیار کاربردی در این زمینه می باشند.
گام هفتم- از یک برنامه تحت وب firewall استفاده کنید.
مجموعه امنیتی انتخابی شما، ممکن است این ویژگی را ارائه دهد، در غیر این صورت ممکن است در نظر داشته باشید که یک برنامه تحت وب firewall یا WAF جداگانه خریداری کنید. همانند یک firewall که از کامپیوتر خانگی شما در برابر تهدید های اینترنتی محافظت می کند، اطلاعات عبوری را می خواند و هر چیزی را که به عنوان تهدید شناخته شده باشد، فیلتر می کند.
WAF ها می توانند plug-and-play را بالای حساب کاربری هاستینگ وب سایت شما قرار دهند و معمولا در مقایسه با هزینه های بالقوه ناشی از اثرگذاری بدافزارها، مقرون به صرفه هستند.
گام هشتم- از HTTPS استفاده کنید.
HTTPS یک پیاده سازی مخصوص برنامه است که ترکیبی از پروتکل انتقال Hypertext یا HTTP با SSL/TLS است. با استفاده از HTTPS امکان برقراری ارتباط رمز گذاری شده و شناسایی ایمن server یک وب سایت، فراهم می شود. این موضوع خصوصا زمانی مهم است که شما اقلامی را در وب سایت خود به فروش می رسانید یا اطلاعات مالی را جمع آوری کنید، اما حتی فراتر از این موارد، گوگل آن را «آینده وب سایت» و انتخابی عاقلانه می داند.
برای انتقال یک اتصال HTTPS، معمولا به یک IP address و گواهینامه SSL اختصاصی برای وب سایتتان احتیاج دارید. پس از اضافه شدن این موارد به حساب میزبانی وب، شما می توانید از پیاده سازی HTTPS استفاده کنید که هم از تمامیت وب سایت و هم از داده های کاربران شما محافظت می کند.
گام نهم- backup گیری منظم را انجام دهید.
با داشتن backup به روز از وب سایتتان، روند بازگردانی وب سایت هک شده (یا حتی هر خطایی که در سمت شما ایجاد می شود) آسان تر می شود. به جای اینکه از هر کدام از خطوط کد خود استفاده کنید، داشتن یک backup منظم به شما یک نسخه ایمن می دهد که می توانید آن را در صورت هک، دوباره نصب کنید.
معمولاً شرکت های ارائه دهنده هاست، برای تهیه نسخه پشتیبان از هاست های کاربران، تمهیداتی را در نظر می گیرند. به طور مثال، مسیرهاست در تمامی سرویس های خود به صورت هفتگی و ماهانه، پشتیبان گیری منظم ارائه می کند، تا امکان بازگردانی وب سایت به تاریخ های قبلی میسر باشد.
گام دهم- یک راه حل monitoring را نصب کنید.
همان طور که ابزار ضد ویروس، رایانه شما را به طور مرتب در برابر تهدیدات اسکن می کند، یک راه حل مانیتورینگ وب سایت می تواند به صورت خودکار به شما اطلاع دهد که آیا رفتار مشکوک در سایت شما رخ داده یا خیر.
این مووع بسیار مهم است، زیرا حملات بد افزار همیشه ممکن است واضح نباشد و سریعا آشکار نشود. هرچه زودتر یک حمله را پیدا کنید، زودتر می توانید اصلاحات لازم را انجام دهید و اعتماد کاربران خود را جلب کنید.
این فهرست مطمئنا جامع نیست، اما نقطه ای برای شروع انجام مراحل ضروری حفظ امنیت وب سایت شما به حساب می آید. از اینجا شروع کنید و همچنان برنامه امنیتی وب سایت خود را بر اساس نیازهای خود و خطرات خاص به روزرسانی کنید.
شما از چه اقدامات دیگری برای حفاظت وب سایت خود در برابر بد افزار استفاده کرده اید؟ تجربیات و پیشنهادات خود را با درج یادداشت با ما در میان بگذارید.
