همۀ اشخاص، کسبوکارها، ارگانها و کلاً هر فرد یا مجموعهای که در اینترنت فعال است، باید چهارچشمی مواظب باشند تا اسیر دام مجرمان سایبری نشوند!
از آنجایی که تعداد حملات سایبری به سایتها روزبهروز بیشتر میشود، در این مقاله، میخواهیم راجعبه تکنیکهای جلوگیری از هک شدن سایت صحبت کنیم و با شناسایی رایجترین حملات سایبری، کمکتان کنیم بهموقع جلوی اتفاقات ناگوار را بگیرید.
اول از همه، بیایید ببینیم چه انگیزههایی باعث اجرای حملات سایبری میشوند.
چرا هکرها سایتها را مورد حمله قرار میدهند؟
چرا دزدها به خانهها دستبرد میزنند؟ چرا سارقان خودرو، ماشین میدزدند؟ چرا خفتگیرها با قمه و چاقو به انسانهای بیدفاع حمله میکنند و اشیای قیمتی آنها مثل تلفن همراه و زیورآلات را میربایند؟
پاسخ این سؤالها را میتوان در رابطه با سرقت اطلاعات توسط هکرها هم به کار برد!
ولی بیایید کمی تخصصیتر به موضوع نگاه کنیم و سؤال را به شکل دیگری مطرح کنیم: هکرها به چه انگیزهای سایتها را هک میکنند؟
راستش را بخواهید، انگیزهها زیادند! به هر حال، در این بخش چند مورد از رایجترین انگیزهها و دلایل را بررسی میکنیم.
انگیزههای مالی
یکی از رایجترین دلایل حملات هکرها به وبسایتها، سرقت پول است!
اگر در جلوگیری از هک شدن وب سایت موفق عمل نکنید، هکرها میتوانند اطلاعات کارتها و حسابهای بانکی را که به هر شکل روی آن ثبت میشود، بدزدند و آنها را در دارک وب بفروشند؛ یا میتوانند خودشان از آنها استفاده کنند و مستقیماً از حساب قربانی پول بردارند.
همچنین، در برخی موارد، هکرها وبسایت و تمام اطلاعات آن را با استفاده از باجافزارها گروگان میگیرند و در ازای رهاسازی آن، طلب پول میکنند.
سرقت اطلاعات
در بسیاری از حملات، دیده شده که هکرها دنبال نوع خاصی از اطلاعات بودهاند. مثلاً اطلاعات هویتی، مالکیتهای معنوی و اطلاعات محرمانۀ تجاری.
آنها هم میتوانند این اطلاعات سرقتشده را در ازای پول بفروشند، هم میتوانند از آنها در اقدامات مخرب دیگر سؤاستفاده کنند.
اخلال و خرابکاری
همیشه پول محرک اصلی نیست و در برخی اوقات، هکرها با هدف ایجاد اختلال و خرابکاری حملات سایبری را اجرا میکنند.
در چنین حملاتی، ظاهر سایت تخریب و پیامی مبنی بر تصرف آن نمایش داده میشود. برای مثال میتوان به حملات DDoS اشاره کرد که با هدف پایین آوردن سایت اجرا میشوند. آلوده کردن دستگاه بازدیدکنندگان به بدافزارها که با هدف کاهش اعتبار سایت انجام میشود جزو این نوع حملات است.
🧩 پیشنهاد خواندنی: حمله DDoS چیست و چگونه انجام میشود؟ |
جلب توجه عموم
در برخی موارد نادر، مثل همین مورد که اصطلاحاً به آن Hacktivism میگویند، هکر به فکر منافع شخصی نیست و اتفاقاً میخواهد با هک یک وبسایت، توجه عموم را به مشکلی بزرگ که گریبانگیر عموم شده است جلب کند!
وقتی هکرها با این انگیزه به وبسایتی حمله میکنند، هدفشان آگاهیبخشی راجعبه یک مشکل حاد، اعتراض به سیاستهای حاکمیتها و ایجاد اختلال در عملکرد سازمانی است که سازوکار وجودیاش را بر خلاف خواستههای عموم میدانند.
تمرین کردن!
شاید باورش سخت باشد، اما گاهی ممکن است انگیزۀ اصلی از هک شدن یک وبسایت، این باشد که هکر میخواهد مهارتهایش را بیازماید و به همین خاطر، وبسایتی را قربانی آموختههایش میکند.
بیشتر تازهکارها با این انگیزه به سایتها حمله میکنند تا ببینند واقعاً چه کارهایی از دستشان برمیآید!
اینها برخی از رایجترین دلایلی بودند که باعث میشوند هکرها به سایتها حمله کنند و اقدامات مخرب روی آنها انجام دهند.
همانطور که در مقدمه گفتیم، هیچ سایتی، چه کوچک و چه بزرگ، از خطرات سایبری مصون نیست؛ به همین خاطر، تمام دارندگان سایت، باید برای جلوگیری از هک شدن سایت خود آمادگی کامل داشته باشند.
برای همین، خوب است اول با برخی از رایجترین انواع هک و حملات سایبری به سایتها آشنا شوید.
رایجترین حملات سایبری به سایتها را بشناسید!
حملات سایبری انواعواقسام زیادی دارند که برای پرداختن به همۀ آنها، احتمالاً باید یک کتاب بنویسیم! ولی از آنجایی که میخواهیم بدون سر بردن حوصلۀ شما اطلاعات لازم در این رابطه را ارائه کنیم، راجعبه چند مورد از رایجترین آنها صحبت میکنیم.
۱. فیشینگ (Phishing)
این روزها فیشینگ رایجترین نوع هک است و دائماً شاهد افزایش آمار قربانیان آن هستیم.
افرادی که شناخت کمتری از دنیای اینترنت دارند و خیلی راحت فریب پیامهای جایزههای کلان، سفرهای رایگان، اطلاعات ویژه دربارۀ موضوعی بهخصوص و… را میخورند، قربانیهای اصلی این نوع از حملات سایبری هستند!
در این نوع حملات، هکر سعی میکند با ارسال ایمیل، پیامک، دایرکت در شبکههای اجتماعی و…، کاربر را به کلیک روی لینکی مخرب ترغیب کند و از این طریق، اطلاعات او را به سرقت ببرد.
ظاهر پیامهای فیشینگ بهگونهای است که انگار واقعاً مهم هستند و اگر گیرنده روی آنها کلیک نکند، مشکلی برای او پیش خواهد آمد یا چیزی را از دست میدهد!
لینک ارسالی ممکن است باعث شود بدافزاری بهصورت خودکار دانلود شود و دستگاه قربانی را آلوده کند؛ یا ممکن است به صفحهای که ظاهراً معتبر است (مثلاً صفحهای که شبیه به درگاههای بانکی است) هدایت شود و با فریب کاربر، اطلاعات بانکی او را دریافت کند.
حتی اخیراً دیده شده که با فرد مد نظر تلفنی تماس میگیرند و سعی میکنند او را به کلیک روی لینکی که قرار است برایش بفرستند، متقاعد کنند.
با استناد به آمار منتشرشده در وبسایت Astra، در هر روز، ۳.۴ میلیارد ایمیل با هدف فیشینگ به آدرسهای مختلف فرستاده میشود؛ عددی که واقعاً بزرگ و حیرتانگیز است!
بهطور کلی، فیشینگ بهمنظور دستیابی به اهداف زیر انجام میشود:
- دست یافتن به اطلاعاتی مثل نام کاربری و کلمۀ عبور اکانت ایمیل، حسابهای بانکی، اکانت شبکههای اجتماعی و…
- دستیابی به اطلاعات محرمانۀ مالی مثل شماره کارت، CVV2، تاریخ انقضا، پسورد و کلمات ریکاوری کیفپولهای کریپتو و…
- دستیابی به اطلاعات شخصی هر فرد مثل نام، نام خانوادگی، شمارۀ ملی، نام پدر، آدرس، شماره تماس و…
- دستیابی به اطلاعات محرمانۀ کسبوکارها مثل اسناد محرمانه، جزئیات معاملات، اطلاعات خصوصی مشتریان و…
حملات DoS و DDoS
DDoS مخفف Distributed Denial of Service است. DoS هم که نسخۀ سادهتر DDoS است، بهعنوان مخفف برای عبارت Denial of Service به کار گرفته میشود.
هدف اصلی هر دو نوع این حملات، پایین آوردن سایت و از دسترس خارج کردن آن است.
سازوکار این حملات هم ساده است. آنقدری ترافیک سمت سایت فرستاده میشود که سرور توان پاسخگویی به آنها را ندارد؛ در نتیجه، سرور از دسترس خارج میشود و سایت پایین میآید؛ یعنی دیگر به بازدیدکنندگان نمایش داده نمیشود.
در رابطه با تفاوت بین DoS و DDoS، توجه شما را به D اضافۀ دومی جلب میکنیم که از کلمۀ Distributed، به معنای توزیعشده میآید. به بیان ساده، حملات DoS از طرف یک کامپیوتر اجرا میشوند، در حالی که پشت حملات DDoS، مجموعهای از کامپیوترها قرار گرفتهاند که بهصورت همزمان، در حال ارسال ترافیک به سمت سرور یک سایت هستند.
جدول زیر را ببینید تا تفاوتهای بین این دو را بهتر درک کنید:
مورد مقایسه | DoS | DDoS |
منشأ | یک دستگاه کامپیوتری | مجموعهای از دستگاههای کامپیوتری که با نام Botnet شناخته میشوند |
حجم ترافیک ارسالی | کم | زیاد |
آسانی و سختی اجرا | اجرای آسانتر در مقایسه با DDoS | اجرای سختتر در مقایسه با DoS |
رهگیری و مقابله | در مقایسه با DDoS، پیدا کردن منشأ و مقابله با آن سادهتر است | در مقایسه با DoS، پیدا کردن منشأ و مقابله با آن سختتر است |
شدت تخریب | در مقایسه با DDoS تخریب کمتری به بار میآورد | در مقایسه با DoS تخریب بیشتری به بار میآورد |
حملات بدافزارها (Malware Attack)
Malware به معنای بدافزار است و به نرمافزارها یا ویروسهایی میگویند که هدفشان ایجاد اختلال در عملکرد کلی سیستم است.
در حملات بدافزارها، هکر سعی میکند سایت مقصد را با چنین نرمافزارهایی آلوده کند.
نشت امنیتی یا سهلانگاری ادمینها، اصلیترین دلایل آلوده شدن وبسایتها به این بلایا هستند! حتی در برخی موارد، اگر پارامترهای امنیتی را برای جلوگیری از هک سایت رعایت نکرده باشید، آپلود فایلهای مخرب از جانب بازدیدکنندگان هم میتواند سایت را اسیر بدافزارها کند.
بدافزارها میتوانند اطلاعات حساس سایت را در اختیار هکر قرار دهند. از دادههای محرمانۀ مشتریان گرفته تا اطلاعات مالی و تمام مالکیتهای معنوی؛ در نتیجۀ این اتفاق، کلی مشکلات بزرگ دیگر هم پدید میآیند که مهمترین آنها، کاهش اعتبار سایت است.
علاوهبر آسیب به اعتبار و شهرت، ضررهای مالی، جعل هویت برای اقدامات مخرب دیگر، آسیب به سیستم و…، دیگر خطرهایی هستند که با آلوده شدن سایت به بدافزار، کاربران و صاحب سایت را تهدید میکنند.
بدافزارها شکلهای مختلفی به خود میگیرند که از جملۀ معروفترین آنها میتوان به موارد زیر اشاره کرد:
- ویروسها (Viruses)
- کرمها (Worms)
- تروجانها (Trojans)
- جاسوسافزارها (Spywares)
- تبلیغافزارها (Adwares)
- باتنتها (Botnets)
- باجافزارها (Ransomwares)
هرکدام از این انواع، خصوصیات و ویژگیهای خود را دارند. در بخش بعدی، راجعبه مورد آخر، یعنی باجافزارها بیشتر صحبت میکنیم.
حملات باجافزارها (Ransomware Attack)
همانطور که از نام آنها برمیآید، با گونهای از بدافزارها طرف هستیم که سیستم را آلوده میکند و در ازای آزادسازی آن، پول (بهعنوان باج) طلب میکند.
مثل انواع دیگر بدافزارها، هکر میتواند با استفاده از باجافزار، اشخاص، وبسایتها و سیستمهای سازمانی را هدف بگیرد. یعنی هم کامپیوتر شخصی شما میتواند طعمه باشد، هم وبسایتی که مالک آن هستید و هم سازمانی که در کار میکنید یا صاحب آن محسوب میشوید.
وقتی سایت به باجافزار آلوده شود، تمام اطلاعات آن رمزنگاری میشود و عملاً امکان دسترسی به آنها و اعمال هیچگونه تغییری را نخواهید داشت. همانطور که گفتیم، هکر برای اینکه سایت را مجدداً در دسترس قرار دهد یا با تهدید به افشای اطلاعات حساس، پول درخواست میکند که احتمالاً باید آن را در قالب رمزارز بپردازید.
تازه هیچ تضمینی وجود ندارد که بعد از پرداخت باج، هکر به قول خود عمل و قفل اطلاعات و دادهها را باز کند!
طبق آمار موجود، در سال ۲۰۲۲، مبالغی تا ۵ میلیون دلار هم برای رهایی یافتن از باجافزارها پرداخت شده است!
معمولاً روال این نوع از حملات سایبری به شکل زیر است:
- هکر با روشهای مختلف مثل فیشینگ و سوءاستفاده از نشتهای احتمالی در نرمافزارها، وارد داشبورد مدیریت سایت میشود و باجافزار را روی آن آپلود میکند؛
- باجافزار تمام فایلها و اطلاعات درون سایت را اسکن و با استفاده از الگوریتمهای بسیار قوی آنها را رمزنگاری میکند؛ طوری که دیگر قابل استفاده نباشند؛
- پیامی با هدف اطلاعرسانی قفل شدن اطلاعات و مبلغ درخواستی برای آزاد کردن آنها برای شما ارسال میشود؛ این پیام معمولاً حاوی روش پرداخت و البته تهدیدهایی مبنی بر حذف اطلاعات یا منتشر کردن آنها بهصورت عمومی است؛
- برخی قربانیها سعی میکنند با هکر مذاکره کنند و برخی دیگر بدون چانه زدن باج را پرداخت میکنند؛ این وسط افرادی هم هستند که از دست رفتن یا انتشار عمومی اطلاعات برایشان مهم نباشد و حاضر هستند سایت از دست برود، ولی هکرها به خواستۀ خود نرسند.
حملات SQL یا (SQL Injection)
وقتی هکر بتواند یک تکه کد مخرب را به سایت اضافه کند و با استفاده از آن تکه کد، به اطلاعات حساسی مثل نامهای کاربری و کلمات عبور دسترسی یابد، با یک حملۀ SQL Injection طرف هستیم.
اگر بخواهیم کمی تخصصیتر به موضوع نگاه کنیم، باید بگوییم SQL در واقع نوعی دیتابیس است که بهعنوان محل نگهداری از فایلها و کلاً تمام دادههای سایت از آن استفاده میشود. در حملات SQL، هکر به این دیتابیس نفوذ میکند و به تمام اطلاعات محرمانه دست مییابد.
یکی از اشتباهات رایجی که سایتها را طعمۀ این نوع از حملات سایبری میکند، از طرف سایتهایی رخ میدهد که فروم دارند و محدودیتی برای نوشتههای کاربران تعیین نمیکنند! در چنین حالتی، هکر میتواند در نقش یک کاربر وارد فروم شود و کد مخرب را بهراحتی هرچه تمامتر وارد آن کند.
سرقت دادهها، دستکاری آنها و همچنین دسترسی غیرمجاز، عواقب گرفتار شدن به SQL Injection هستند.
حملات XSS یا (Cross-site Scripting)
حملات XSS بسیار شبیه به حملات SQL هستند. در این روش هم هکر با افزودن یک تکه کد به وبسایت هدف، به تمام اطلاعات بازدیدکنندگان آن دست پیدا میکند.
تکه کد مخرب، درون مرورگر کاربری که وارد سایت شده است اجرا میشود؛ در نتیجۀ این اتفاق، دادهها و اکانت او دزدیده میشوند و حتی شاید بدافزار روی سیستم کاربر آپلود شود.
در واقع، هکر با اجرای حملات XSS، از وبسایت بهعنوان پلی برای دستیابی به دادههای کاربران بازدیدکننده استفاده میکند.
بهطور کلی، ۳ نوع حملۀ XSS داریم:
- Stored XSS: کد مخرب بهصورت دائمی روی سایت قرار میگیرد و تمام بازدیدکنندگان را آلوده میکند.
- Reflected XSS: هکر قربانی را تحریک میکند تا روی یک لینک مخرب کلیک یا اطلاعات خاصی را وارد کند. اقدامی که باعث میشود سرور تکه کد مخرب را به مرورگر کاربر تزریق کند.
- DOM-based XSS: این نوع از حملات XSS که رواج کمتری دارند، در کدهای جاوااسکریپت وبسایت آسیبپذیری ایجاد میکنند و با دستکاری Document Object Model (DOM)، بدون اینکه سرور را دخیل کنند، کار تزریق کد مخرب را انجام میدهند.
نکته: در بیشتر مواقع، کدهای مخرب برای اجرای حملات XSS، با زبان برنامهنویسی جاوااسکریپت نوشته میشوند.
در رابطه با مشکلات ناشی از این نوع حملات سایبری ، باید به سرقت اطلاعات، تصاحب اکانتها توسط هکر، عرضۀ بدافزارها و تغییرات ظاهری وبسایت با هدف کاهش اعتبار آن اشاره کنیم.
اینها معروفترین و رایجترین روشهای هک کردن هستند که سایتها را تهدید میکنند.
ولی همانطور که در ابتدای مقاله هم گفتیم، راهوروشهای زیادی وجود دارند که میتوان با کمک آنها، اقدامات لازم برای جلوگیری از هک شدن سایت را انجام داد.
۱۰ تکنیک امنیتی موثر برای جلوگیری از هک شدن سایت
اجازه دهید یک قدم عقبتر بیاییم و به تصویر بزرگتر خیره شویم! بهطور کلی، تأمین امنیت سایت مقابل حملات سایبری، در ۳ سطح هاست، سیستم مدیریت محتوا و خود سایت انجام میشود.
در این بخش، اقدامات مؤثر در هر دسته را بررسی میکنیم تا تمام اطلاعات لازم برای جلوگیری از هک شدن وب سایت را به دست آورید.
دسته اول: تأمین امنیت هاست
هاست فضایی است که از سایت و تمام فایلهای تشکیلدهندۀ سایت نگهداری میکند. برای آشنایی بیشتر با این مفهوم، توصیه میکنیم مقالۀ هاست چیست و چه کاربردی دارد را بخوانید.
طبیعتاً، برای مقابله با حملات سایبری، باید امنیت هاست نگهدارندۀ سایت را هم تا جای ممکن بالا ببرید. در این قسمت میگوییم چطور این کار را انجام دهید.
۱. استفاده از فایروال وب یا WAF
اگر تا حالا اسم فایروال به گوشتان نخورده، همین اول کار مقالهٔ فایروال چیست را بخوانید و دوباره به اینجا برگردید!
یکی از اولین لازمههای محافظت از سایت در برابر هکرها، نصب نوعی از فایروال است که با عنوان WAF (مخفف Web Application Firewall) شناخته میشود.
این نوع از فایروالها بین هاست و دادههای ردوبدلی قرار میگیرند و با ممانعت از ورود ترافیک مخرب، جلوی حملات سایبری را میگیرند. به همین خاطر، متخصصان امر میگویند WAF در خط مقدم مبارزه با هکرها میجنگند.
با استفاده از WAF، هم دست هکرهای تازهکار در پوست گردو میماند و هم سایت در برابر هکهای پیشرفتهتر مثل حملات XSS و SQL Injection ایمن میشود.
۲. تعیین محدودیت برای دسترسی به کنترلپنل
کنترلپنلها، ابزارهایی هستند که از طریق آنها میتوانید امور مربوط به هاست را پیش ببرید و تغییرات لازم در سرور نگهدارندۀ سایت را اعمال کنید.
اگر دوست ندارید هکرها وارد کنترلپنل هاست سایتتان شوند و از آنجا اقدامات مخرب مد نظرشان را انجام دهند، باید برای دسترسی به این داشبورد محدودیت تعیین کنید.
استفاده از نام کاربری و کلمۀ عبور قدرتمند روش خوبی برای تأمین امنیت است؛ ولی برای اینکه خیالتان از هر جهت راحت باشد، میتوانید آدرسهای آیپی مجاز را برای دسترسی به کنترلپنل تعریف کنید.
هر دستگاهی که به اینترنت متصل است، از جمله همۀ کامپیوترها، یک آدرس منحصربهفرد دارد که به آن آدرس آیپی میگویند. وقتی برای کنترلپنل تعریف کنید که کدام آدرسهای آیپی اجازۀ دسترسی دارند، آیپیها دیگر، حتی در صورت وارد کردن نام کاربری و کلمۀ عبور درست، باز هم نمیتوانند وارد محیط داشبورد شوند.
در رابطه با آیپی، قبلاً مقالهای مفصل در وبلاگ قرار دادهایم که میتوانید آن را با عنوان آی پی چیست پیدا کنید و بخوانید.
🧩 پیشنهاد خواندنی: آشنایی با انواع کنترل پنل هاست |
۳. استفاده از گواهینامۀ SSL
برای اینکه از ایمنی اطلاعات ردوبدلی بین سایت و مرورگر کاربران مطمئن شوید، ضروری است که هاست و سایت به گواهی SSL مجهز باشند. این گواهی پروتکل HTTP را به نسخۀ ایمن آن، یعنی HTTPS تبدیل میکند و با رمزنگاری اطلاعات، نمیگذارد هکرها در بین راه به آنها دسترسی پیدا کنند.
توصیه میکنیم دو مقالۀ زیر را بخوانید تا از اهمیت این گواهی در تأمین امنیت و جلوگیری از هک شدن وب سایت آگاه شوید:
- گواهینامه SSL چیست و چه کاربردی دارد؟
- پروتکل https چیست؟ چه فرقی با HTTP دارد و چرا به آن نیاز داریم؟
۴. استفاده از CDN
CDN مخفف Content Delivery Network است و میتواند کمک بزرگی برای مقابله با حملات DoS و DDoS باشد.
سایتی که از CDN استفاده میکند، محتویاتش روی سرورهای متعدد در نقاط جغرافیایی مختلف کش میشود و پاسخ درخواست هر کاربر برای بازدید از سایت، از نزدیکترین سرور برای او ارسال میشود.
برای کسب اطلاعات بیشتر در رابطه با این مفهوم، مقالۀ CDN چیست و چه کمکی به وبسایت شما میکند را بخوانید.
احتمالاً میپرسید خب این چه ربطی به محافظت از سایت در برابر حملات سایبری دارد. باید بگوییم سازوکار CDN، باعث میشود سایت بهخوبی بتواند ترافیک غیرطبیعی ناشی از حملات DoS و DDoS را کنترل کند.
بهعلاوه، اغلب CDNها، WAF هم ارائه میکنند که بالاتر گفتیم ابزاری ضروری برای فیلتر ترافیک و ممانعت از دسترسیهای غیرمجاز محسوب میشود.
۵. استفاده از پروتکل SFTP
SFTP نسخۀ پیشرفتهتر پروتکل FTP است و S اول آن از کلمۀ Secure به معنای ایمن میآید. FTP یک پروتکل بسیار قدیمی است که بیشتر از ۵۰ سال قدمت دارد و از آن برای انتقال فایل استفاده میشود.
وقتی بهجای FTP از SFTP استفاده کنید، انتقال فایلها در طرف سرور بهصورت ایمن و رمزنگاریشده انجام میشود و در نتیجه، هکرها کار خیلی سختتری برای مداخله و دستیابی به فایلهای ردوبدلی خواهند داشت.
۶. تهیۀ سرویس از هاستینگ معتبر
برای برخورداری از تمام ضرورتهایی که تا اینجا برررسی کردیم و گفتیم برای جلوگیری از هک شدن وب سایت مؤثر هستند، باید سراغ یک هاستینگ معتبر بروید.
وقتی ارائهدهندۀ هاست با دقت همهچیز را زیر نظر داشته باشد و عملکرد سرورهایش را موشکافانه بررسی کند، خیالتان تا حد خیلی زیادی از بابت امنیت راحت خواهد بود.
علاوهبر اینها، توصیه میکنیم سراغ هاستینگی بروید که خدمات امنیتی تکمیلی مثل سیستم آنتیدیداس، اسکن بدافزارها، مانیتورینگ تمام فعالیتها و… را هم ارائه کند.
بهترین سرویسهای میزبانی وب را از لیموهاست بخواهید
شروع قیمت از
سالیانه ۵۹۰ هزار تومان
دسته دوم: تأمین امنیت وردپرس
وردپرس یک سیستم مدیریت محتوا است که بیشتر سایتها روی آن بنا شدهاند؛ به همین خاطر، برای تأمین امنیت حداکثری، سطح میانی را وردپرس در نظر میگیریم؛ چون همانطور که گفتیم، زیربنای تعداد بسیار زیادی از وبسایتها است.
توصیه میکنیم دو مقالۀ زیر را بخوانید تا با مفهوم CMS و وردپرس بیشتر آشنا شوید:
- آشنایی با انواع سیستم مدیریت محتوا (CMS) و بررسی آنها
- وردپرس (WordPress) چیست و چطور یک سایت وردپرسی بسازیم؟
و اما چطور میتوان امنیت وردپرس را با هدف جلوگیری از هک شدن وب سایت بالا برد؟
۷. بهروزرسانی مداوم وردپرس، پلاگینها و قالبها
برای اینکه بتوانید امنیت را در حد کمال تأمین کنید، باید در اولین فرصت بعد از عرضۀ آپدیتهای جدید، اقدامات لازم برای بهروزرسانی وردپرس را انجام دهید.
معمولاً این آپدیتها بهخاطر بروز نقص در نسخههای قبلی ارائه میشوند و هدف آنها، بهبود عملکرد و البته امنیت است.
علاوهبر CMS، باید افزونهها و قالبهایی که روی سایت نصب کردهاید را هم همواره بهروز نگه دارید. مهم است که همیشه از آخرین نسخه استفاده کنید تا مطمئن شوید هکرها هیچ روزنهای برای نفوذ به وبسایت پیدا نمیکنند.
ترجیحاً فقط از افزونهها و قالبهای معتبر که واقعاً به آنها نیاز دارید استفاده کنید. اگر پلاگینی بیاستفاده است یا مدتها است آپدیتی برای آن عرضه نمیشود، بلافاصله آن را حذف کنید؛ چون ممکن است باعث نشت امنیتی شود؛ حتی اگر فعال نباشد!
۸. استفاده از افزونههای امنیتی
یکی از مزایای وردپرس، متنباز (Open Source) بودن آن است. در نتیجۀ این ویژگی، هر برنامهنویسی که دانش کافی داشته باشد، میتواند برای آن افزونه بسازد و به همین خاطر، دنیایی از پلاگینها با اهداف مختلف وجود دارند که میتوانید از آنها روی سایت وردپرسی بهره ببرید.
در رابطه با تأمین امنیت سایت، برخی افزونهها هستند که به محافظت از سایت در برابر حملات سایبری کمک میکنند. استفاده از بهترینها پلاگینها در این حوزه، سایت را ایمنتر میکند. در واقع، افزونههای امنیتی یک لایۀ حفاظتی اضافه ایجاد میکنند و مانع از آسیب دیدن سایت در برابر تهدیدات سایبری رایج میشوند.
اگر قرار باشد چند مورد از کارآمدترین پلاگینها در این حوزه را معرفی کنیم، اسامی زیر جزو آنها خواهند بود:
- Sucuri: این افزونه کاملاً رایگان است و حجم بالای نظرات مثبتی که دریافت کرده، مهر تأییدی است بر کارآمدی آن در اسکن بدافزارها و مانیتور کردن تمام فعالیتهایی که روی سایت صورت میگیرند.
- Limit Login Attempts Reloaded: با استفاده از این پلاگین، میتوانید تعداد دفعاتی که هر کاربر مجاز به لاگین کردن است، یا بهتر است بگوییم میتواند برای ورود به داشبورد سایت تلاش کند را محدود کنید. نوعی از حملات سایبری وجود دارد که با نام بروتفورس شناخته میشود و در آن، هکر با امتحان کردن ترکیبهای مختلف از نامهای کاربری و کلمات عبور، سعی میکند وارد سایت شود. این افزونه، برای مقابله با این نوع حمله و روشهای مشابه هک کردن کاربرد دارد.
- Wordfence: اگر یک افزونۀ امنیتی تماموکمال میخواهید که انواع خدمات ایمنی، مثل اسکن بدافزارها، بلکلیست آدرسهای آیپی، فایروال و… را ارائه کند، Wordfence انتخابی ایدئال محسوب میشود.
پیشنهاد خواندنی: بهترین افزونه امنیتی وردپرس در سال ۲۰۲۴ |
۹. انتخاب پسوردهای قوی
یکی از مهمترین و اولین قدمهایی که باید برای جلوگیری از هک شدن سایت بردارید، انتخاب پسوردهای قوی برای تمام اکانتهای سایت هستند؛ اکانتهایی که اجازۀ ورود به داشبورد مدیریت وردپرس را دارند.
جدی گرفتن این موضوع، سایت را تا حد زیادی در برابر حملات بروت فورس، ایمن میکند. حتی توصیه میکنیم از نامهای کاربری پیشفرض که حدس آنها راحت است، مثل admin استفاده نکنید و یوزرنیمها را هم تغییر دهید.
خواندن مقالۀ چرا باید یک گذرواژه قوی بسازیم؟ ۱۰ تکنیک برای ساخت پسورد سخت، باعث میشود دید خیلی بهتری نسبت به این موضوع پیدا کنید و به همین خاطر، پیشنهاد میکنیم حتماً آن را مطالعه کنید.
۱۰ بررسی و کنترل سطح دسترسی کاربران و جلوگیری از ورود خودکار آنها
لزوماً همۀ افرادی که امکان ورود به داشبورد وردپرس را دارند، نباید دسترسی در سطح ادمین را داشته باشند تا نتوانند هر فایلی را دستکاری کنند.
مثلاً نویسندههایی که فقط قرار است نوشتهها را روی وبلاگ آپلود کنند، باید با دسترسی محدود امکان اعمال تغییر را داشته باشند؛ در حدی که بتوانند کارهای مربوط به بارگذاری بلاگپست را بدون مشکل پیش ببرند.
بهعلاوه، توصیه میکنیم تنظیمات را طوری انجام دهید که هر کاربر برای هر بار ورود، مجبور به وارد کردن نام کاربری و پسورد باشد؛ یعنی ورود خودکار آنها را غیرفعال کنید.
با اتخاذ این رویکرد، اگر احیاناً سیستم کاربر تسلیم حملات سایبری شود، هکر نمیتواند به داشبورد ورود کند و کارهای مخرب مد نظرش را انجام دهد.
دسته سوم: تأمین امنیت سایت
سومین و آخرین سطحی که باید امنیت آن را تأمین کنید تا در جلوگیری از هک شدن سایت موفق باشید، خود سایت است.
۱۱. حذف کدهای مخرب و پاک کردن فایلهای مشکوک
با استفاده از ابزارهای موجود، مثل اسکنر بدافزارها، دنبال کدهای مخرب و فایلهایی بگردید که وجودشان ضروری نیست و مشکوک به نظر میرسند.
درنگ نکنید و آنها را از روی سایت حذف کنید تا از پیش آمدن مشکلات آتی جلوگیری شود.
۱۲. اعمال محدودیت روی ورودی کاربران
در بسیاری از مواقع، حملات XSS و SQL، بهخاطر سهلانگاری در تنظیمات سایت، با موفقیت اجرا میشوند.
محدودیتهای لازم را برای ورودی کاربران به سایت تعیین کنید. بهطور مشخص، اگر سایت فروم دارد، به این مورد اهمیت ویژهای بدهید و حواسجمع عمل کنید.
۱۳. آپدیت مداوم PHP
همانطور که بهروزرسانی وردپرس، پلاگینها و قالبهای آن اهمیت دارد، باید PHP سایت را هم بهصورت مداوم آپدیت کنید.
اینجا هم بهروزرسانیها با هدف بهبود امنیت و رفع باگهای ایجادشده ارائه میشوند؛ به همین خاطر، ضروری است که در اولین فرصت بعد از عرضۀ هر آپدیت، اقدامات لازم برای بهروزرسانی را انجام دهید.
۱۴. بکاپ گرفتن را فراموش نکنید
از آنجایی که احتیاط شرط عقل است، باید حتماً بهصورت منظم و مداوم از تمام سایت و محتویات آن بکاپ بگیرید تا در صورت بروز مشکلات احتمالی، بتوانید آن را بازیابی کنید.
حقیقتاً، بکاپ گرفتن را نمیتوان یک اقدام امنیتی در نظر گرفت؛ ولی اگر در جلوگیری از هک شدن وب سایت موفق نباشید، فایلهای بکاپ از عمیقتر شدن فاجعه جلوگیری میکنند.
بهترین کار این است که بعد از اعمال هر تغییر، از تمام سایت بکاپ بگیرید و چندین نسخه از آن را در جاهای مختلف ذخیره کنید.
۱۵. احراز هویت دو مرحلهای را فعال کنید
یکی از اقدامات تکمیلی که میتواند لایۀ حفاظتی اضافهای در برابر حملات سایبری ایجاد کند، احراز هویت دو مرحلهای یا two factor authentication است که به آن ۲FA هم میگویند.
با فعالسازی این قابلیت، خیالتان راحت است که برای ورود به سایت، علاوهبر نام کاربری و کلمۀ عبور، باید کد یکبار مصرفی که هر چند دقیقه تغییر میکند را هم وارد کنید و به همین دلیل، هکرها کار خیلی سختتری برای ورود به آن خواهند داشت.
اگر نکاتی که گفتیم را بهدقت در هر ۳ سطح رعایت کنید، بخش اعظمی از راه تأمین امنیت سایت را طی خواهید کرد؛ ولی یک نکتۀ دیگر هم وجود دارد که سایتهای فروشگاهی باید به آن توجه خاصی داشته باشند.
💡 تأمین امنیت درگاههای پرداخت برای فروشگاههای اینترنتیدرگاه پرداخت، همان صفحهای است که مشتریان وارد آن میشوند و هزینۀ خریدشان را میپردازند؛ یعنی همانجایی که اطلاعات کارت بانکی خود را وارد میکنند! پس طبیعتاً، ایمن بودن آن بسیار مهم است، چون هدف خیلی جذابی برای سارقان سایبری است. درگاههای بسیاری وجود دارند که میتوانید برای فروشگاه خود آنلاین خود از آنها استفاده کنید. برای کسب اطلاعات بیشتر در این رابطه، مقالۀ بهترین درگاه پرداخت اینترنتی کدام است را بخوانید. اینجا همینقدر بگوییم که در مجموع، درگاهههای غیرمستقیم امنیت بهتری ارائه میکنند و اگر احیاناً مشکلی رخ بدهد، خیلی زود برای رفع آن دست وارد عمل میشوند. |
خب این هم از این! نوبتی هم که باشد، نوبت جمعبندی و به پایان بردن مقاله است.
تأمین امنیت سایت، از اوجب واجبات است
در این مقاله، اول از همه با انگیزههای هکرها از اجرای حملات سایبری آشنا شدیم و بعد از آن، چند مورد از رایجترین انواع هک را زیر ذرهبین بردیم. ضمناً دیدیم که دست ما هم بسته نیست و میتوانیم در مقابل این تهدیدات قد علم کنیم.
در راستای همین مسئله، چگونگی تأمین امنیت سایت در ۳ سطح هاست، وردپرس و سایت را آموزش دادیم.
اگر هنوز سوالی بیپاسخی ذهنتان را درگیر کرده یا نظر و پیشنهادی دارید، میتوانید از قسمت نظرات همین پست با ما در ارتباط باشید.
دیدگاه ها
اولین نفری باشید که دیدگاه خود را ثبت می کنید