احتمالا شما نیز به عنوان مدیر وب، با خود فکر کردهاید آیا بررسی مسائل امنیتی وبسایت اهمیت دارد یا خیر؟ آیا به لحاظ جایگاهی وب شما هم در معرض "خطر هک" قرار داد یا نه؟
بر خلاف تصور عموم، هدف اکثر "رخنههای امنیتی" صرفا "سرقت اطلاعات" و یا از دسترس خارج کردن وبسایت نیست بلکه در اکثر موارد "دسترسی به سرور" هدف اصلی هکران بمنظور استفاده خرابکارانه و یا غیر قانونی بعنوان مثال ارسال ایمیلهای انبوه تبلیغاتی و یا تخریبی و یا ارسال فایلهای آلوده از سرور میباشد چنین هکهایی معمولا به صورت اتوماتیک و توسط اسکریپتهای از قبل آماده شده انجام میشوند. اسکریپتهای مذکور تمامی اینترنت را برای یافتن سایتهایی با حفرههای امنیتی تعریف شده، جستجو کرده تا هدف نهایی خود را پیدا کنند.
در این مقاله به ۵ مورد از موثرترین راههای ایمن نگه داشتن وبسایت اشاره خواهیم کرد.
گذرواژهها و پیامهای خطا
همه میدانیم "رمزهای عبور پیچیده" برای امنیت بسیار مهم هستند، اما بسیاری از ما هنوز از رمزهای عبور ساده و آسیب پذیر استفاده میکنیم. استفاده از رمزهای عبور پیچیده برای سرور و ادمین بسیار مهم است و چنانچه میخواهید در سایت شما کاربران وارد حساب کاربری خود شوند، بایستی با استفاده از کمترین تعداد کاراکترها، ترکیبی از حروف بزرگ و کوچک، عددی و حتی نگارشی، امکان ساخت کلمات عبور قوی را برای کاربران فراهم نمایید. میتوانید یک مولد رمز عبور نیز قرار دهید. برخلاف آنچه که ممکن است تصور کنید گذرواژاتی مانند- K1araJOhnsOn یا momof2g8kid $ -به هیچ وجه قوی نیستند.
گذرواژهها در سایتتان بایستی با استفاده از "الگوریتم درهمسازی" مانند SHA ("الگوریتم درهمسازی ایمن" Secure Hash Algorithm)، رمزگذاری شوند. این بدان معنی است که هنگام تأیید اعتبار کاربران، مقادیر رمزگذاری شده را مقایسه میکنید.
علاوه بر این، اطمینان حاصل کنید که پیامهای خطای شما مبهم باشد. اگر در سایت خود فرم ورود به سیستم دارید، وقتی گذرواژه یا نام کاربری نادرست وارد شد، پیام خطای شما باید همان کلمات مشخصه «نام کاربری یا رمز عبور اشتباه است» را اعلام نماید. اگر یک هکر با استفاده از "ابزار هک" در تلاش برای دستیابی به حساب کاربری شما است بایستی پیام خطای سیستم بدون اشاره به این که کدام بخش از اطلاعات کاربری خطا است تنها اعلام خطای ورود نماید چراکه هکر اگر متوجه بشود کدام قسمت از اطلاعات عبور اشتباه بوده تمرکز خود را روی کشف آن بخش از اطلاعات خواهد گذاشت پس بهتر است پیام خطای سیستم برای هر دو قسمت «نام کاربری و یا رمز عبور اشتباه استـ» باشد.
بهروز رسانی
شاید اهمیت بهروز رسانی نیازی به توضیح نداشته باشد ولیکن یکی از موثرترین راههای اطمینان از "امنیت وبسایت" بهروز نگه داشتن تمامی نرمافزارهای آن میباشد. این امر شامل سیستم عامل سرور مورد استفاده و همچنین سایر نرم افزارهایی که در وبسایت شما کار میکنند میشود. معمولا مدیران سایتهای میزبان نرمافزارهای خود را بهروز نگه میدارند. اگر از خدمات CMS شرکتهای ارائه کننده ثالث (ما در "رویای قرن ۲۱ام" از "مدیریت محتوای بومی" خودمان استفاده میکنیم) یا نرم افزار فروم استفاده میکنید آنها زمان بهروز رسانی را به شما اطلاع میدهند. هنگامی که یک شرکت، نرم افزاری را منتشر میکند اغلب آنها از ضعفهای بالقوه آگاهی ندارند و زمانیکه آسیبپذیری کشف شد با بهروز رسانی نسبت به اصلاح آن اقدام میکنند. فراموش نکنید، هکرها از ضعفهای شناخته شده نرمافزار برای نفوذ استفاده میکنند.
SSL و EV SSL
اساسال هنگام انتقال اطلاعات حساس یا ارزشمند بین وبسایت و پایگاه داده، امنیت را ارائه میدهد. ایوی اساسال سطح امنیتی بالاتری را ارائه میدهد و بیانگر آن است، وبسایت مورد نظر از بالاترین سطح امنیت و تایید هویت موجود در شبکه برخوردار است. ایوی اساسال برای محافظت از مشتریان در سایتهای تجارت الکترونیکی در برابر حملات فیشینگ طراحی شده است. بررسی صندوق پست الکترونیکی بلحاظ ورودیهای آن نیز حائز اهمیت است از عمومی کردن ایمیل مدیریت وبسایت خود خودداری کنید، توجه خاصی به سطح دسترسی به بخش مدیریت وبسایت و سرور داشته باشید و در صورت فراموشی رمز عبور و بازیابی آن سریعا نسبت به تغییر آن اقدام نموده و به هیچ عنوان از پروکسی جهت ورود به بخش مدیریت وب خود استفاده نکنید.
پشتیبان گیری به طور منظم
برخلاف تصور رایج، بیشتر ارائه دهندگان هاست از وبسایت شما نسخه پشتیبان تهیه نمیکنند بلکه در واقع پشتیبان گیری از وظایف شما میباشد. WordPress دارای افزونههایی است که به سایتها امکان میدهد بطور خودکار بکآپ گرفته و آنرا به یک حساب Dropbox یا Gmail ارسال کنند. سرویس هایی مانند Carbonite یا Mozy میتوانند هر شب از وبسایت و فایلهای پایگاه داده شما نسخه پشتیبان تهیه کنند. با این حال اگر تصمیم به تهیه نسخه پشتیبان دارید دست کم هر ماه یکبار این کار را انجام داده و آنرا در یک فضای جداگانه مناسب و مطمئن ذخیره و نگهداری کنید.
محافظت از DDoS
محافظت در برابر "حملات دیداس" برای وبسایتهایی که از سرور مناسب استفاده میکنند هم ایده خوبی بوده و استفاده از یک سرویس حفاظت از حملات دیداس توصیه میشود. اگر یک سازمان غیردولتی را اداره میکنید، eQualit.ie یک سرویس رایگان به نام Deflect را ارائه میدهد ، که ۹۹% از ترافیک منتهی به سایت شما را به زیرساختهای خود برده و با استفاده از انواع مختلفی از فنآوریها "ترافیک حاصل از رباتها" را شناسایی و خنثی میکند و چنانچه از نظر مالی مشکلی ندارید میتوانید از خدماتی مانند Cloudfare که سطح بالاتری از امنیت را ارائه میکند استفاده کنید.
مطالب پیشنهادی: