چگونه امنیت وب سایت خود در مقابل حمله‌های سایبری هکر ها تامین کنیم؟

بحث امنیت آنلاین فقط دغدغه کاربران و مشتریان، که داده خود را در اختیار یک وب سایت، فروشگاه آنلاین یا پلتفرم نرم افزاری قرار می‌دهند، نیست. بیشتر از آن‌ها، صاحبان کسب و کارها و توسعه‌دهندگان باید نگران این موضوع باشند، چرا که در صورت از دست دادن اعتماد کاربران، ارزشمندترین سرمایه خود را خواهند باخت.

بر اساس یک نظرسنجی در سال ۲۰۱۸ مشخص شد نزدیک به ۵۴ درصد مدیران و موسسان کسب و کارها تصور می‌کنند مجموعه آن‌ها، کوچکتر از چیزی است که هدف حمله هکر ها قرار بگیرد. برخلاف عقیده آن‌ها، ارزیابی‌ها چیز دیگری نشان می‌دهد:

۶۷ درصد کسب و کارهای کوچک و متوسط در سال ۲۰۱۸ هدف حمله‌های سایبری قرار گرفتند.
۸۲ درصد کسب و کارهای هدف حمله، در سیستم خود نرم افزار ضد ویروس نصب داشتند.
۷۲ درصد کسب و کارهای هدف حمله، یک سیستم تشخیص نفوذ نصب کرده بودند.
در واقعیت، بیزینس‌ها امنیت وب سایت را به خاطر تصورشان درباره کوچک بودن ابعاد فعالیت خود پشت گوش نمی‌اندازند. اغلب آن‌ها در عمل، از حمله‌ سایبری بیم دارند، اما نبود منابع کافی را بهانه کرده و به همین دلیل اقدامات لازم را برای ایمن‌سازی سیستم‌های خود اتخاذ نمی‌کنند. بر اساس بررسی‌ها، سه مورد زیر، اصلی‌ترین دلایل مدیران بیزینس‌ها برای کم‌توجهی به امنیت وب سایت است:

آن‌ها فاقد پرسنل کافی برای مدیریت و پیگیری اقدامات امنیتی هستند.
آن‌ها پول کافی برای پرداخت به منظور پیاده‌سازی راهکارهای امنیتی در اختیار ندارند.
آن‌ها نمی‌دانند برای تامین امنیت وب سایت یا سیستم خود باید از کجا شروع کنند.
افزایش امنیت وب سایت کاری دشوار یا هزینه‌بر نیست
نکته مهم اینجاست که هزینه ایمن‌سازی وب سایت‌ها بالا نبوده و هرگز کار دشواری محسوب نمی‌شود. در این مطلب قصد داریم حداقل اقداماتی که می‌بایست برای ایمن‌سازی وب سایت خود دنبال کنید را بررسی کنیم.

پیدا کردن هاستینگ و میزبانی وب ایمن
در مطلب «چطور بهترین هاستینگ یا میزبانی وب را برای طراحی سایت انتخاب کنیم؟»، بعد از بررسی اهمیت هاستینگ در طراحی سایت و تاثیر آن روی سئو، نکاتی را درباره چگونگی انتخاب بهترین نوع وب هاستینگ ارائه کردیم. انتخاب سرویس‌دهنده به روش‌های مختلفی روی وب سایت شما تاثیر خواهد گذاشت. مهم‌ترین موارد را می‌توان سئو وب سایت و همچنین میزان امنیت آن در برابر حمله‌های سایبری دانست.

اگر مشتری پروژه طراحی سایت، به شدت نگران مسائل امنیتی است، بهتر است فایل‌های وب سایت وی را روی یک هاست اشتراکی سوار نکنید. اگر هر یک از وب سایت‌های قرار گرفته روی یک وب هاستینگ اشتراکی هک شود، مشکل به راحتی به دیگر وب سایت‌های واقع روی همان هاست نیز سرایت خواهد کرد.

پیش از سفارش، خدماتی که سرویس‌دهنده هاستینگ وب در اختیارتان قرار می‌دهد را مطالعه کنید. اگر بحث تامین امنیت در اولویت‌های آن‌ها نیست، به سراغ سرویس‌دهنده دیگری بروید. اگر شرکتی درباره محل قرارگیری دیتاسنترهای خود، راهکارهای امنیتی پیاده‌سازی شده، سطوح ایمن شده از دسترسی‌های غیر مجاز و دیگر موارد همچون استفاده یا عدم استفاده از دیوار آتش (فایروال) به طور واضح صحبت نکرده است، حتی در صورت عدم تاکید روی امنیت وب سایت، باید سرویس‌دهنده دیگری را انتخاب کنید.

بهتر است سرویس‌دهنده‌هایی را انتخاب کنید که در طرح‌های وب هاستینگ آن‌ها، ویژگی‌های امنیتی به صورت پیش‌فرض پیاده‌سازی شده‌اند و شما نیازی به نصب مستقیم یا درخواست نصب نرم افزار ندارید.

دریافت گواهینامه SSL
یکی از راهکارهای امنیتی که پیاده‌سازی آن حتما باید در طرح هاستینگ وب شما امکان‌پذیر باشد، خرید و فعال‌سازی گواهینامه SSL است. برخی سرویس‌دهنده‌ها به صورت رایگان آن را برایتان فعال‌سازی می‌کنند تا به صورت جداگانه، نیازمند پرداخت چند صد هزار تومان نباشید.

امنیت وب سایت

به وسیله خرید گواهینامه SSL برای وب سایت خود، پروتکل مورد استفاده برای مرور صفحه‌های آن را از HTTP به HTTPS تغییر خواهید داد. مدت‌ها است مرورگر گوگل کروم، وب سایت‌های فاقد این راهکار امنیتی را با برچسب غیر ایمن (Not Secure) نشان می‌دهند. این موضوع از نظر روانی تاثیر بدی روی کاربران شما می‌گذارد. از غیر ایمن تلقی کردن وب سایت توسط ربات‌های موتور جستجوی گوگل و کاهش امتیاز و رتبه آن به این دلیل نباید غافل شد.

حین استفاده از پروتکل HTTP، همه داده رد و بدل شده بین شما و کاربر، به صورت متن ساده ارسال می‌شوند، به همین دلیل به راحتی هر هکری با قرارگیری بین ارسال‌کننده و دریافت‌کننده می‌تواند بدون دردسر به آن‌ها دسترسی پیدا کند. این موضوع برای وب سایت‌های خبری و در کل هر وب سایتی که قرار نیست اطلاعات مهمی را از کاربر دریافت کنند اهمیت خاصی ندارد، اما در هر صورت، مرورگر گوگل کروم بدون در نظر گرفتن ماهیت وب سایت، در صورت عدم فعال‌سازی گواهینامه SSL، آن را غیر ایمن تلقی خواهد کرد.

برنامه‌نویسی به شکل استاندارد
اگر از سیستم‌های aحتوای متن باز برای طراحی سایت استفاده کرده باشید، روی کدهای بخش بک اند (Back End)‌ آن کنترل زیادی نخواهید داشت. همچنین از آن جایی که قرار نیست همه ویژگی‌های جدید را از صفر تا صد خودتان کدنویسی کرده و بخش قابل توجهی از ابزارها را به وسیله نصب افزونه به وب سایت اضافه می‌کنید، در صورت وجود باگ حتی در یک افزونه، امنیت وب سایت به طور کامل تحت تاثیر قرار خواهد گرفت.

به همین دلیل باید در انتخاب سیستم مدیریت محتوای خود دقت کافی داشته باشید. برخلاف تصور بسیاری از مشتریان، رایگان، متن باز و پراستفاده بودن وردپرس و جوملا نه تنها به معنی امنیت پایین آن‌ها نیست، بلکه سبب شده در مقایسه با بسیاری از سیستم‌های مدیریت محتوای اختصاصی امنیت بسیار بیشتری داشته باشند.

میلیون‌ها وب سایت با استفاده از آن‌ها ایجاد شده و هزاران توسعه‌دهنده پشتیبان این نرم افزارهای سایت‌ساز هستند. در صورت وجود رخنه‌ای کوچک، به خاطر تعدد وب سایت‌های ایجاد شده، موضوع خیلی گزارش شده و جامعه توسعه‌دهندگان سریع آن را برطرف خواهد کرد.

نکته مهم حین استفاده از سیستم‌های مدیریت محتوا، خودداری از نصب هرگونه افزونه روی آن‌ها است. بهتر است تا جای ممکن، از داخل پنل اقدام به دریافت و نصب افزونه‌های جدید کنید. در صورت تمایل به دریافت فایل نصبی، حتما آن را از یک مرجع معتبر دانلود کنید. اگر وقت کافی دارید، حتما اسناد و مخصوصا نظرات کاربران استفاده‌کننده از یک افزونه مشخص را بخوانید.

اگر سیستم مدیریت محتوای وب سایت شما به صورت اختصاصی نوشته شده است، باید از توسعه‌دهنده بخواهید به صورت مستمر امنیت آن را بررسی کرده و در صورت رویت یا گزارش هر گونه باگ، آن را برطرف کند.

الزام تعیین پسورد محکم و مطمئن
متاسفانه کاربران در انتخاب پسورد برای حساب کاربری خود سخت‌گیر نیستند. آن‌ها حتی اگر یک پسورد سخت انتخاب کنند، از آن برای همه حساب‌های کاربری خود در سرتاسر اینترنت استفاده خواهند کرد.

داشتن پسورد ساده و غیر پیچیده، کار را برای هک کردن یک حساب کاربری شدیدا آسان می‌کند. این موضوع امنیت وب سایت و پلتفرم نرم افزاری شما را تهدید خواهد کرد. به همین دلیل باید از تعیین پسوردهای ساده توسط کاربران جلوگیری کرده و آن‌ها را مجبور به قرار دادن رمز‌های عبور طولانی، پیچیده و متشکل از اعداد و حروف بزرگ و کوچک کنید.

امنیت وب سایت

در صورت امکان، احراز هویت دو مرحله‌ای را برای وب سایت خود پیاده کرده و کاربران را به فعال‌سازی آن برای حساب کاربری خود تشویق کنید. برخی نرم افزارهای ساخت وب سایت امروز چنین قابلیتی را در اختیارتان قرار می‌دهند. امکان پنهان کردن صفحه لاگین، یک راهکار امنیتی محبوب دیگر است.

یکی از ویژگی‌های مرورگرهای وب، پیشنهاد پسوردهای پیچیده و طولانی در زمان نیاز به تعیین یک رمز عبور است. به لطف وجود قابلیت ذخیره و مدیریت پسورد داخل آن‌ها، این رمز عبور را داخل خود مرورگر نگهداری و نیازی به یادداشت کردن یا کپی کردن آن نخواهد بود. البته ذخیره شدن پسورد در مرورگر و مخصوصا اشتراک‌گذاری آن بین دستگاه‌های مختلف کاربر می‌تواند در برخی موارد یک سری مشکلات امنیتی ایجاد کند.

استفاده از اسپم بلاکر
حتی اگر اسپم دغدغه شما برای کاهش امنیت وب سایت نیست، باید حتما فکری به حال آن کنید. به عنوان نمونه، برای جلوگیری از دریافت اسپم در بخش نظرات و فرم‌های درخواست وب سایت، از افزونه‌های ضد اسپم بهره ببرید.

امنیت وب سایت

به لطف آن‌ها، پیام‌های پوچ، بدون ایجاد دردسر و گرفتن وقت شما، فیلتر و حذف خواهند شد. فعال‌سازی reCAPTCHA گزینه بسیار بهتری است، چرا که از انتشار اسپم داخل وب سایت جلوگیری می‌کند.

نصب افزونه‌های امنیتی عمومی
به صورت ایده‌آل، وب سایت شما باید روی سروری ایمن قرار گرفته باشد. اگرچه سرویس‌دهنده هاستینگ وب باید از تامین امنیت وب سایت‌های سوار شده روی سرورهای خود اطمینان پیدا کند، اما در نهایت، شما واقعا نگران حمله‌های سایبری هستید. در نتیجه نباید به راهکارهای امنیتی سرویس‌دهنده هاستینگ اکتفا کنید.

برای کسب اطمینان می‌توانید یک سری افزونه به وب سایت خود اضافه کنید. یک محدودکننده ثبت نام و همچنین ورود و خروج کاربر، یک فایروال، اسپم بلاکر، تشخیص‌دهنده نفوذ و محافظ دیتابیس خیال شما را راحت خواهد کرد. از اهمیت مانیتور سیستم نباید غافل شد. به این ترتیب در صورت بروز هرگونه حادثه‌، گزارش دریافت کرده و می‌توانید اقدامات لازم را اتخاذ کنید.

گرفتن بکاپ
هدف همه حمله‌های سایبری سرقت داده نیست. برخی بیماران مجازی، برای تفریح یا ضربه زدن به وب سایت‌های رقبای خود به آن‌ها نفوذ کرده و اقدام به حذف اطلاعات مهم می‌کنند. اگر با وجود پیاده‌سازی راهکارهای امنیتی متعدد، هدف چنین حمله‌هایی قرار بگیرید، در صورت نداشتن بکاپ، متحمل ضرر و زیان بسیار سنگینی خواهید شد.

اگر هیچ کدام یک از اقدامات امنیتی اتخاذ شده نتوانند از نفوذ هکر ها جلوگیری کنند، تنها در صورت داشتن نسخه پیشتیبانی از وب سایت خود می‌توانید مشکل را به وسیله بازگرداندن اطلاعات از دست رفته برطرف کنید. در صورت داشتن وب سایت وردپرسی، حتما مطلب «چطور از وردپرس بکاپ بگیریم؟» را مطالعه کنید. در این مطلب به معرفی چند پلاگین بکاپ وردپرس پرداختیم.

اغلب سرویس‌دهنده‌های وب هاستینگ، به صورت مستمر و برای روزهای مشخصی در هفته و ماه اقدام به بکاپ‌گیری می‌کنند، اما همانند زمان نصب نرم افزارها و افزونه‌های امنیتی، برای این مورد نیز اکتفا به خدمات آن‌ها کافی نیست. بعد از اعمال هر تغییر مهمی در وب سایت حتما از آن نسخه‌ پشتیبان تهیه کنید. بکاپ‌گیری به صورت مستمر، در روزها و ساعت‌های خارج از پیک ترافیک، را فراموش نکنید.