۵ نکته برای ایمن کردن وب‌سایت

احتمالا شما نیز به عنوان مدیر وب، با خود فکر کرده‌اید آیا بررسی مسائل امنیتی وب‌سایت اهمیت دارد یا خیر؟ آیا به لحاظ جایگاهی وب شما هم در معرض "خطر هک" قرار داد یا نه؟

بر خلاف تصور عموم، هدف اکثر "رخنه‌های امنیتی" صرفا "سرقت اطلاعات" و یا از دسترس خارج کردن وب‌سایت نیست بلکه در اکثر موارد "دسترسی به سرور" هدف اصلی هکران بمنظور استفاده خرابکارانه و یا غیر قانونی بعنوان مثال ارسال ایمیل‌های انبوه تبلیغاتی و یا تخریبی و یا ارسال فایل‌های آلوده از سرور می‌باشد  چنین هک‌هایی معمولا به صورت اتوماتیک و توسط اسکریپت‌های از قبل آماده شده‌ انجام می‌شوند. اسکریپت‌های مذکور تمامی اینترنت را برای یافتن سایت‌هایی با حفره‌های امنیتی تعریف شده، جستجو کرده تا هدف نهایی خود را پیدا کنند.

در این مقاله به ۵ مورد از موثرترین راه‌های ایمن نگه داشتن وب‌سایت اشاره خواهیم کرد.

گذرواژه‌ها و پیام‌های خطا

همه می‌دانیم "رمزهای عبور پیچیده" برای امنیت بسیار مهم هستند، اما بسیاری از ما هنوز از رمزهای عبور ساده و آسیب پذیر استفاده می‌کنیم. استفاده از رمزهای عبور پیچیده برای سرور و ادمین بسیار مهم است و چنانچه می‌خواهید در سایت شما کاربران وارد حساب کاربری خود شوند، بایستی با استفاده از کمترین تعداد کاراکترها، ترکیبی از حروف بزرگ و کوچک، عددی و حتی نگارشی، امکان ساخت کلمات عبور قوی را برای کاربران فراهم نمایید. می‌توانید یک مولد رمز عبور نیز قرار دهید. برخلاف آنچه که ممکن است تصور کنید گذرواژاتی مانند- K1araJOhnsOn یا momof2g8kid $ -به هیچ وجه قوی نیستند.

گذرواژه‌ها در سایت‌تان بایستی با استفاده از "الگوریتم درهم‌سازی" مانند SHA ("الگوریتم درهم‌سازی ایمن"  Secure Hash Algorithm)، رمزگذاری شوند. این بدان معنی است که هنگام تأیید اعتبار کاربران، مقادیر رمزگذاری شده را مقایسه می‌کنید.

علاوه بر این، اطمینان حاصل کنید که پیام‌های خطای شما مبهم باشد. اگر در سایت خود فرم ورود به سیستم دارید، وقتی گذرواژه یا نام کاربری نادرست وارد شد، پیام خطای شما باید همان کلمات مشخصه «نام کاربری یا رمز عبور اشتباه است» را اعلام نماید. اگر یک هکر با استفاده از "ابزار هک" در تلاش برای دستیابی به حساب کاربری شما است بایستی پیام خطای سیستم بدون اشاره به این که کدام بخش از اطلاعات کاربری خطا است تنها اعلام خطای ورود نماید چراکه هکر اگر متوجه بشود کدام قسمت از اطلاعات عبور اشتباه بوده تمرکز خود را روی کشف آن بخش از اطلاعات خواهد گذاشت پس بهتر است پیام خطای سیستم برای هر دو قسمت «نام کاربری و یا رمز عبور اشتباه استـ» باشد.

به‌روز رسانی

شاید اهمیت به‌روز رسانی نیازی به توضیح نداشته باشد ولیکن یکی از موثرترین راه‌های اطمینان از "امنیت وب‌سایت" به‌روز نگه داشتن تمامی نرم‌افزارهای آن می‌باشد. این امر شامل سیستم عامل سرور مورد استفاده و همچنین سایر نرم افزارهایی که در وب‌سایت شما کار می‌کنند می‌شود. معمولا مدیران سایت‌های میزبان نرم‌افزارهای خود را به‌روز نگه می‌دارند. اگر از خدمات CMS شرکت‌های ارائه کننده ثالث (ما در "رویای قرن ۲۱ام" از "مدیریت محتوای بومی" خودمان استفاده می‌کنیم) یا نرم افزار فروم استفاده می‌کنید آنها زمان به‌روز رسانی را به شما اطلاع می‌دهند. هنگامی که یک شرکت، نرم افزاری را منتشر می‌کند اغلب آنها از ضعف‌های بالقوه آگاهی ندارند و زمانیکه آسیب‌پذیری کشف شد با به‌روز رسانی نسبت به اصلاح آن اقدام می‌کنند. فراموش نکنید، هکرها از ضعف‌های شناخته شده نرم‌افزار برای نفوذ استفاده می‌کنند.

SSL و EV SSL

اس‌اس‌ال هنگام انتقال اطلاعات حساس یا ارزشمند بین وب‌سایت و پایگاه داده، امنیت را ارائه می‌دهد. ای‌وی اس‌اس‌ال سطح امنیتی بالاتری را ارائه می‌دهد و بیانگر آن است، وب‌سایت مورد نظر از بالاترین سطح امنیت و تایید هویت موجود در شبکه برخوردار است. ای‌وی اس‌اس‌ال برای محافظت از مشتریان در سایت‌های تجارت الکترونیکی در برابر حملات فیشینگ طراحی شده است. بررسی صندوق پست الکترونیکی بلحاظ ورودی‌های آن نیز حائز اهمیت است از عمومی کردن ایمیل مدیریت وب‌سایت خود خودداری کنید، توجه خاصی به سطح دسترسی به بخش مدیریت وب‌سایت و سرور داشته باشید و در صورت فراموشی رمز عبور و بازیابی آن سریعا نسبت به تغییر آن اقدام نموده و به هیچ عنوان از پروکسی جهت ورود به بخش مدیریت وب خود استفاده نکنید.

پشتیبان گیری به طور منظم

برخلاف تصور رایج، بیشتر ارائه دهندگان هاست از وب‌سایت شما نسخه پشتیبان تهیه نمی‌کنند بلکه در واقع پشتیبان گیری از وظایف شما می‌باشد. WordPress دارای افزونه‌هایی است که به سایت‌ها امکان می‌دهد بطور خودکار بک‌آپ گرفته و آنرا به یک حساب Dropbox یا Gmail ارسال کنند. سرویس هایی مانند Carbonite یا Mozy می‌توانند هر شب از وب‌سایت و فایل‌های پایگاه داده شما نسخه پشتیبان تهیه کنند. با این حال اگر تصمیم به تهیه نسخه پشتیبان دارید دست کم هر ماه یکبار این کار را انجام داده و آنرا در یک فضای جداگانه مناسب و مطمئن ذخیره و نگهداری کنید.

محافظت از DDoS

محافظت در برابر "حملات دی‌داس" برای وب‌سایت‌هایی که از سرور مناسب استفاده می‌کنند هم ایده خوبی بوده و استفاده از یک سرویس حفاظت از حملات دی‌داس توصیه می‌شود. اگر یک سازمان غیردولتی را اداره می‌کنید، eQualit.ie یک سرویس رایگان به نام Deflect را ارائه می‌دهد ، که ۹۹% از ترافیک منتهی به سایت شما را به زیرساخت‌های خود برده و با استفاده از انواع مختلفی از فن‌آوری‌ها "ترافیک حاصل از ربات‌ها" را شناسایی و خنثی می‌کند و چنانچه از نظر مالی مشکلی ندارید می‌توانید از خدماتی مانند Cloudfare که سطح بالاتری از امنیت را ارائه می‌کند استفاده کنید.

مطالب پیشنهادی:

معرفی ۵ افزونه وردپرس به منظور بهبود سئو

سئو و الزامات آن به زبان ساده