چطور از هک شدن سایت‌مان در برابر هکرها محافظت کنیم؟

همۀ اشخاص، کسب‌وکارها، ارگان‌ها و کلاً هر فرد یا مجموعه‌ای که در اینترنت فعال است، باید چهارچشمی مواظب باشند تا اسیر دام مجرمان سایبری نشوند!

از آنجایی که تعداد حملات سایبری به سایت‌ها روز‌به‌روز بیشتر می‌شود، در این مقاله، می‌خواهیم راجع‌به تکنیک‌های جلوگیری از هک شدن سایت صحبت کنیم و با شناسایی رایج‌ترین حملات سایبری، کمک‌تان کنیم به‌موقع جلوی اتفاقات ناگوار را بگیرید.

اول از همه، بیایید ببینیم چه انگیزه‌هایی باعث اجرای حملات سایبری می‌شوند.

چرا هکرها سایت‌ها را مورد حمله قرار می‌دهند؟

چرا دزدها به‌ خانه‌ها دستبرد می‌زنند؟ چرا سارقان خودرو، ماشین می‌دزدند؟ چرا خفت‌گیرها با قمه و چاقو به انسان‌های بی‌دفاع حمله می‌کنند و اشیای قیمتی آن‌ها مثل تلفن همراه و زیورآلات را می‌ربایند؟

پاسخ این سؤال‌ها را می‌توان در رابطه با سرقت اطلاعات توسط هکرها هم به کار برد!

ولی بیایید کمی تخصصی‌تر به موضوع نگاه کنیم و سؤال را به شکل دیگری مطرح کنیم: هکرها به چه انگیزه‌ای سایت‌ها را هک می‌کنند؟

راستش را بخواهید، انگیزه‌ها زیادند! به هر حال، در این بخش چند مورد از رایج‌ترین انگیزه‌ها و دلایل را بررسی می‌کنیم.

انگیزه‌های مالی

یکی از رایج‌ترین دلایل حملات هکرها به‌ وب‌سایت‌ها، سرقت پول است!

اگر در جلوگیری از هک شدن وب سایت موفق عمل نکنید، هکرها می‌توانند اطلاعات کارت‌ها و حساب‌های بانکی را که به هر شکل روی آن ثبت می‌شود، بدزدند و آن‌ها را در دارک وب بفروشند؛ یا می‌توانند خودشان از آن‌ها استفاده کنند و مستقیماً از حساب قربانی پول بردارند.

همچنین، در برخی موارد، هکرها وب‌سایت و تمام اطلاعات آن را با استفاده از باج‌افزارها گروگان می‌گیرند و در ازای رهاسازی آن، طلب پول می‌کنند.

سرقت اطلاعات

در بسیاری از حملات، دیده شده که هکرها دنبال نوع خاصی از اطلاعات بوده‌اند. مثلاً اطلاعات هویتی، مالکیت‌های معنوی و اطلاعات محرمانۀ تجاری.

آن‌ها هم می‌توانند این اطلاعات سرقت‌شده را در ازای پول بفروشند، هم می‌توانند از آن‌ها در اقدامات مخرب دیگر سؤاستفاده کنند.

اخلال و خرابکاری

همیشه پول محرک اصلی نیست و در برخی اوقات، هکرها با هدف ایجاد اختلال و خرابکاری حملات سایبری را اجرا می‌کنند.

در چنین حملاتی، ظاهر سایت تخریب و پیامی مبنی بر تصرف آن نمایش داده می‌شود. برای مثال می‌توان به حملات DDoS اشاره کرد که با هدف پایین آوردن سایت اجرا می‌شوند. آلوده کردن دستگاه بازدیدکنندگان به بدافزارها که با هدف کاهش اعتبار سایت انجام می‌شود جزو این نوع حملات است.

جلب توجه عموم

در برخی موارد نادر، مثل همین مورد که اصطلاحاً به آن Hacktivism می‌گویند، هکر به فکر منافع شخصی نیست و اتفاقاً می‌خواهد با هک یک وب‌سایت، توجه عموم را به مشکلی بزرگ که گریبانگیر عموم شده است جلب کند!

وقتی هکرها با این انگیزه به وب‌سایتی حمله می‌کنند، هدفشان آگاهی‌بخشی راجع‌به یک مشکل حاد، اعتراض به سیاست‌های حاکمیت‌ها و ایجاد اختلال در عملکرد سازمانی است که سازوکار وجودی‌اش را بر خلاف خواسته‌های عموم می‌دانند.

تمرین کردن!

شاید باورش سخت باشد، اما گاهی ممکن است انگیزۀ اصلی از هک شدن یک وب‌سایت، این باشد که هکر می‌خواهد مهارت‌هایش را بیازماید و به همین خاطر، وب‌سایتی را قربانی آموخته‌هایش می‌کند.

بیشتر تازه‌کارها با این انگیزه به سایت‌ها حمله می‌کنند تا ببینند واقعاً چه کارهایی از دستشان برمی‌آید!

این‌ها برخی از رایج‌ترین دلایلی بودند که باعث می‌شوند هکرها به سایت‌ها حمله کنند و اقدامات مخرب روی آن‌ها انجام دهند.

همان‌طور که در مقدمه گفتیم، هیچ سایتی، چه کوچک و چه بزرگ، از خطرات سایبری مصون نیست؛ به همین خاطر، تمام دارندگان سایت، باید برای جلوگیری از هک شدن سایت خود آمادگی کامل داشته باشند.

برای همین، خوب است اول با برخی از رایج‌ترین انواع هک و حملات سایبری به سایت‌ها آشنا شوید.

رایج‌ترین حملات سایبری به سایت‌ها را بشناسید!

حملات سایبری انواع‌واقسام زیادی دارند که برای پرداختن به همۀ آن‌‌ها، احتمالاً باید یک کتاب بنویسیم! ولی از آنجایی که می‌خواهیم بدون سر بردن حوصلۀ شما اطلاعات لازم در این رابطه را ارائه کنیم، راجع‌به چند مورد از رایج‌ترین آن‌ها صحبت می‌کنیم.

۱. فیشینگ (Phishing)

این روزها فیشینگ رایج‌ترین نوع هک است و دائماً شاهد افزایش آمار قربانیان آن هستیم.
افرادی که شناخت کمتری از دنیای اینترنت دارند و خیلی راحت فریب پیام‌های جایزه‌های کلان، سفرهای رایگان، اطلاعات ویژه دربارۀ موضوعی به‌خصوص و… را می‌خورند، قربانی‌های اصلی این نوع از حملات سایبری هستند!

در این نوع حملات، هکر سعی می‌کند با ارسال ایمیل، پیامک، دایرکت در شبکه‌های اجتماعی و…، کاربر را به کلیک روی لینکی مخرب ترغیب کند و از این طریق، اطلاعات او را به سرقت ببرد.

ظاهر پیام‌های فیشینگ به‌گونه‌ای است که انگار واقعاً مهم هستند و اگر گیرنده روی آن‌ها کلیک نکند، مشکلی برای او پیش خواهد آمد یا چیزی را از دست می‌دهد!

لینک ارسالی ممکن است باعث شود بدافزاری به‌صورت خودکار دانلود شود و دستگاه قربانی را آلوده کند؛ یا ممکن است به صفحه‌ای که ظاهراً معتبر است (مثلاً صفحه‌ای که شبیه به درگاه‌های بانکی است) هدایت شود و با فریب کاربر، اطلاعات بانکی او را دریافت کند.

حتی اخیراً دیده شده که با فرد مد نظر تلفنی تماس می‌گیرند و سعی می‌کنند او را به کلیک روی لینکی که قرار است برایش بفرستند، متقاعد کنند.

با استناد به آمار منتشرشده در وب‌سایت Astra، در هر روز، ۳.۴ میلیارد ایمیل با هدف فیشینگ به آدرس‌های مختلف فرستاده می‌شود؛ عددی که واقعاً بزرگ و حیرت‌انگیز است!

به‌طور کلی، فیشینگ به‌منظور دستیابی به اهداف زیر انجام می‌شود:

• دست یافتن به اطلاعاتی مثل نام کاربری و کلمۀ عبور اکانت ایمیل، حساب‌های بانکی، اکانت شبکه‌های اجتماعی و…
• دستیابی به اطلاعات محرمانۀ مالی مثل شماره کارت، CVV2، تاریخ انقضا، پسورد و کلمات ریکاوری کیف‌پول‌های کریپتو و…
• دستیابی به اطلاعات شخصی هر فرد مثل نام، نام خانوادگی، شمارۀ ملی، نام پدر، آدرس، شماره تماس و…
• دستیابی به اطلاعات محرمانۀ کسب‌وکارها مثل اسناد محرمانه، جزئیات معاملات، اطلاعات خصوصی مشتریان‌ و…

حملات DoS و DDoS

DDoS مخفف Distributed Denial of Service است. DoS هم که نسخۀ ساده‌تر DDoS است، به‌عنوان مخفف برای عبارت Denial of Service به کار گرفته می‌شود.

هدف اصلی هر دو نوع این حملات، پایین آوردن سایت و از دسترس خارج کردن آن است.

سازوکار این حملات هم ساده است. آنقدری ترافیک سمت سایت فرستاده می‌شود که سرور توان پاسخگویی به آن‌ها را ندارد؛ در نتیجه، سرور از دسترس خارج می‌شود و سایت پایین می‌آید؛ یعنی دیگر به بازدیدکنندگان نمایش داده نمی‌شود.

در رابطه با تفاوت بین DoS و DDoS، توجه شما را به D اضافۀ دومی جلب می‌کنیم که از کلمۀ Distributed، به‌ معنای توزیع‌شده می‌آید. به بیان ساده، حملات DoS از طرف یک کامپیوتر اجرا می‌شوند، در حالی که پشت حملات DDoS، مجموعه‌ای از کامپیوترها قرار گرفته‌اند که به‌صورت همزمان، در حال ارسال ترافیک به سمت سرور یک سایت هستند.

جدول زیر را ببینید تا تفاوت‌های بین این دو را بهتر درک کنید:

حملات بدافزارها (Malware Attack)

Malware به‌ معنای بدافزار است و به نرم‌افزارها یا ویروس‌هایی می‌گویند که هدفشان ایجاد اختلال در عملکرد کلی سیستم است.

در حملات بدافزارها، هکر سعی می‌کند سایت مقصد را با چنین نرم‌افزارهایی آلوده کند.

نشت امنیتی یا سهل‌انگاری ادمین‌ها، اصلی‌ترین دلایل آلوده شدن وب‌سایت‌ها به این بلایا هستند! حتی در برخی موارد، اگر پارامترهای امنیتی را برای جلوگیری از هک سایت رعایت نکرده باشید، آپلود فایل‌های مخرب از جانب بازدیدکنندگان هم می‌تواند سایت را اسیر بدافزارها کند.

بدافزارها می‌توانند اطلاعات حساس سایت را در اختیار هکر قرار دهند. از داده‌های محرمانۀ مشتریان گرفته تا اطلاعات مالی و تمام مالکیت‌های معنوی؛ در نتیجۀ این اتفاق، کلی مشکلات بزرگ دیگر هم پدید می‌آیند که مهم‌ترین آن‌ها، کاهش اعتبار سایت است.

علاوه‌بر آسیب به اعتبار و شهرت، ضررهای مالی، جعل هویت برای اقدامات مخرب دیگر، آسیب به سیستم و…، دیگر خطرهایی هستند که با آلوده شدن سایت به بدافزار، کاربران و صاحب سایت را تهدید می‌کنند.

بدافزارها شکل‌های مختلفی به خود می‌گیرند که از جملۀ معروف‌ترین آن‌ها می‌توان به موارد زیر اشاره کرد:

• ویروس‌ها (Viruses)
• کرم‌ها (Worms)
• تروجان‌ها (Trojans)
• جاسوس‌افزارها (Spywares)
• تبلیغ‌افزارها (Adwares)
• بات‌نت‌ها (Botnets)
• باج‌افزارها (Ransomwares)

هرکدام از این انواع، خصوصیات و ویژگی‌های خود را دارند. در بخش بعدی، راجع‌به مورد آخر، یعنی باج‌افزارها بیشتر صحبت می‌کنیم.

حملات باج‌افزارها (Ransomware Attack)

همان‌طور که از نام آن‌ها برمی‌آید، با گونه‌ای از بدافزارها طرف هستیم که سیستم را آلوده می‌کند و در ازای آزادسازی آن، پول (به‌عنوان باج) طلب می‌کند.

مثل انواع دیگر بدافزارها، هکر می‌تواند با استفاده از با‌ج‌افزار، اشخاص، وب‌سایت‌ها و سیستم‌های سازمانی را هدف بگیرد. یعنی هم کامپیوتر شخصی شما می‌تواند طعمه باشد، هم وب‌سایتی که مالک آن هستید و هم سازمانی که در کار می‌کنید یا صاحب آن محسوب می‌شوید.

وقتی سایت به باج‌افزار آلوده شود، تمام اطلاعات آن رمزنگاری می‌شود و عملاً امکان دسترسی به آن‌ها و اعمال هیچ‌گونه تغییری را نخواهید داشت. همان‌طور که گفتیم، هکر برای اینکه سایت را مجدداً در دسترس قرار دهد یا با تهدید به افشای اطلاعات حساس، پول درخواست می‌کند که احتمالاً باید آن را در قالب رمزارز بپردازید.

تازه هیچ تضمینی وجود ندارد که بعد از پرداخت باج، هکر به قول خود عمل و قفل اطلاعات و داده‌ها را باز کند!

طبق آمار موجود، در سال ۲۰۲۲، مبالغی تا ۵ میلیون دلار هم برای رهایی یافتن از باج‌افزارها پرداخت شده‌ است!

معمولاً روال این نوع از حملات سایبری به شکل زیر است:

• هکر با روش‌های مختلف مثل فیشینگ و سوءاستفاده از نشت‌‌های احتمالی در نرم‌افزارها، وارد داشبورد مدیریت سایت می‌شود و باج‌افزار را روی آن آپلود می‌کند؛
• باج‌افزار تمام فایل‌ها و اطلاعات درون سایت را اسکن و با استفاده از الگوریتم‌های بسیار قوی آن‌ها را رمزنگاری می‌کند؛ طوری که دیگر قابل استفاده نباشند؛
• پیامی با هدف اطلاع‌رسانی قفل شدن اطلاعات و مبلغ درخواستی برای آزاد کردن آن‌ها برای شما ارسال می‌شود؛ این پیام معمولاً حاوی روش پرداخت و البته تهدیدهایی مبنی بر حذف اطلاعات یا منتشر کردن آن‌ها به‌صورت عمومی است؛
• برخی قربانی‌ها سعی می‌کنند با هکر مذاکره کنند و برخی دیگر بدون چانه زدن باج را پرداخت می‌کنند؛ این وسط افرادی هم هستند که از دست رفتن یا انتشار عمومی اطلاعات برایشان مهم نباشد و حاضر هستند سایت از دست برود، ولی هکرها به خواستۀ خود نرسند.

حملات SQL یا (SQL Injection)

وقتی هکر بتواند یک تکه کد مخرب را به سایت اضافه کند و با استفاده از آن تکه کد، به اطلاعات حساسی مثل نام‌های کاربری و کلمات عبور دسترسی یابد، با یک حملۀ SQL Injection طرف هستیم.

اگر بخواهیم کمی تخصصی‌تر به موضوع نگاه کنیم، باید بگوییم SQL در واقع نوعی دیتابیس است که به‌عنوان محل نگهداری از فایل‌ها و کلاً تمام داده‌های سایت از آن استفاده می‌شود. در حملات SQL، هکر به این دیتابیس نفوذ می‌کند و به تمام اطلاعات محرمانه دست می‌یابد.

یکی از اشتباهات رایجی که سایت‌ها را طعمۀ این نوع از حملات سایبری می‌کند، از طرف سایت‌هایی رخ می‌دهد که فروم دارند و محدودیتی برای نوشته‌های کاربران تعیین نمی‌کنند! در چنین حالتی، هکر می‌تواند در نقش یک کاربر وارد فروم شود و کد مخرب را به‌راحتی هرچه تمام‌تر وارد آن کند.

سرقت داده‌ها، دستکاری آن‌ها و همچنین دسترسی غیرمجاز، عواقب گرفتار شدن به SQL Injection هستند.

حملات XSS یا (Cross-site Scripting)

حملات XSS بسیار شبیه به حملات SQL هستند. در این روش هم هکر با افزودن یک تکه کد به وب‌سایت هدف، به تمام اطلاعات بازدیدکنندگان آن دست پیدا می‌کند.

تکه کد مخرب، درون مرورگر کاربری که وارد سایت شده است اجرا می‌شود؛ در نتیجۀ این اتفاق، داده‌ها و اکانت او دزدیده می‌شوند و حتی شاید بدافزار روی سیستم کاربر آپلود شود.

در واقع، هکر با اجرای حملات XSS، از وب‌سایت به‌عنوان پلی برای دستیابی به داده‌های کاربران بازدیدکننده استفاده می‌کند.

به‌طور کلی، ۳ نوع حملۀ XSS داریم:

1. Stored XSS: کد مخرب به‌صورت دائمی روی سایت قرار می‌گیرد و تمام بازدیدکنندگان را آلوده می‌کند.
2. Reflected XSS: هکر قربانی را تحریک می‌کند تا روی یک لینک مخرب کلیک یا اطلاعات خاصی را وارد کند. اقدامی که باعث می‌شود سرور تکه کد مخرب را به مرورگر کاربر تزریق کند.
3. DOM-based XSS: این نوع از حملات XSS که رواج کمتری دارند، در کدهای جاوااسکریپت وب‌سایت آسیب‌پذیری ایجاد می‌کنند و با دستکاری Document Object Model (DOM)، بدون اینکه سرور را دخیل کنند، کار تزریق کد مخرب را انجام می‌دهند.

نکته: در بیشتر مواقع، کدهای مخرب برای اجرای حملات XSS، با زبان برنامه‌نویسی جاوااسکریپت نوشته می‌شوند.

در رابطه با مشکلات ناشی از این نوع حملات سایبری ، باید به سرقت اطلاعات، تصاحب اکانت‌ها توسط هکر، عرضۀ بدافزارها و تغییرات ظاهری وب‌سایت با هدف کاهش اعتبار آن اشاره کنیم.

این‌ها معروف‌ترین و رایج‌ترین روش‌های هک کردن هستند که سایت‌ها را تهدید می‌کنند.

ولی همان‌طور که در ابتدای مقاله هم گفتیم، راه‌وروش‌های زیادی وجود دارند که می‌توان با کمک آن‌ها، اقدامات لازم برای جلوگیری از هک شدن سایت را انجام داد.

۱۰ تکنیک امنیتی موثر برای جلوگیری از هک شدن سایت

اجازه دهید یک قدم عقب‌تر بیاییم و به تصویر بزرگ‌تر خیره شویم! به‌طور کلی، تأمین امنیت سایت مقابل حملات سایبری، در ۳ سطح هاست، سیستم مدیریت محتوا و خود سایت انجام می‌شود.

در این بخش، اقدامات مؤثر در هر دسته را بررسی می‌کنیم تا تمام اطلاعات لازم برای جلوگیری از هک شدن وب سایت را به دست آورید.

دسته اول: تأمین امنیت هاست

هاست فضایی است که از سایت و تمام فایل‌های تشکیل‌دهندۀ سایت نگهداری می‌کند. برای آشنایی بیشتر با این مفهوم، توصیه می‌کنیم مقالۀ هاست چیست و چه کاربردی دارد را بخوانید.

طبیعتاً، برای مقابله با حملات سایبری، باید امنیت هاست نگهدارندۀ سایت را هم تا جای ممکن بالا ببرید. در این قسمت می‌گوییم چطور این کار را انجام دهید.

۱. استفاده از فایروال وب یا WAF

اگر تا حالا اسم فایروال به گوش‌تان نخورده، همین اول کار مقالهٔ فایروال چیست را بخوانید و دوباره به اینجا برگردید!

یکی از اولین لازمه‌های محافظت از سایت در برابر هکرها، نصب نوعی از فایروال است که با عنوان WAF (مخفف Web Application Firewall) شناخته می‌شود.

این نوع از فایروال‌ها بین هاست و داده‌های ردوبدلی قرار می‌گیرند و با ممانعت از ورود ترافیک مخرب، جلوی حملات سایبری را می‌گیرند. به همین خاطر، متخصصان امر می‌گویند WAF در خط مقدم مبارزه با هکرها می‌جنگند.

با استفاده از WAF، هم دست هکرهای تازه‌کار در پوست گردو می‌ماند و هم سایت در برابر هک‌های پیشرفته‌تر مثل حملات XSS و SQL Injection ایمن می‌شود.

۲. تعیین محدودیت برای دسترسی به کنترل‌پنل

کنترل‌پنل‌ها، ابزارهایی هستند که از طریق آن‌ها می‌توانید امور مربوط به هاست را پیش ببرید و تغییرات لازم در سرور نگهدارندۀ سایت را اعمال کنید.

اگر دوست ندارید هکرها وارد کنترل‌پنل هاست سایتتان شوند و از آنجا اقدامات مخرب مد نظرشان را انجام دهند، باید برای دسترسی به این داشبورد محدودیت تعیین کنید.

استفاده از نام کاربری و کلمۀ عبور قدرتمند روش خوبی برای تأمین امنیت است؛ ولی برای اینکه خیالتان از هر جهت راحت باشد، می‌توانید آدرس‌های آیپی مجاز را برای دسترسی به کنترل‌پنل تعریف کنید.

هر دستگاهی که به اینترنت متصل است، از جمله همۀ کامپیوترها، یک آدرس منحصربه‌فرد دارد که به آن آدرس آیپی می‌گویند. وقتی برای کنترل‌پنل تعریف کنید که کدام آدرس‌های آیپی اجازۀ دسترسی دارند، آیپی‌ها دیگر، حتی در صورت وارد کردن نام کاربری و کلمۀ عبور درست، باز هم نمی‌توانند وارد محیط داشبورد شوند.

در رابطه با آیپی، قبلاً مقاله‌ای مفصل در وبلاگ قرار داده‌ایم که می‌توانید آن را با عنوان آی پی چیست پیدا کنید و بخوانید.

۳. استفاده از گواهینامۀ SSL

برای اینکه از ایمنی اطلاعات ردوبدلی بین سایت و مرورگر کاربران مطمئن شوید، ضروری است که هاست و سایت به گواهی SSL مجهز باشند. این گواهی پروتکل HTTP را به نسخۀ ایمن آن، یعنی HTTPS تبدیل می‌کند و با رمزنگاری اطلاعات، نمی‌گذارد هکرها در بین راه به آن‌ها دسترسی پیدا کنند.

توصیه می‌کنیم دو مقالۀ زیر را بخوانید تا از اهمیت این گواهی در تأمین امنیت و جلوگیری از هک شدن وب سایت آگاه شوید:

• گواهینامه SSL چیست و چه کاربردی دارد؟
• پروتکل https چیست؟ چه فرقی با HTTP دارد و چرا به آن نیاز داریم؟

۴. استفاده از CDN

CDN مخفف Content Delivery Network است و می‌تواند کمک بزرگی برای مقابله با حملات DoS و DDoS باشد.

سایتی که از CDN استفاده می‌کند، محتویاتش روی سرورهای متعدد در نقاط جغرافیایی مختلف کش می‌شود و پاسخ درخواست هر کاربر برای بازدید از سایت، از نزدیک‌ترین سرور برای او ارسال می‌شود.

برای کسب اطلاعات بیشتر در رابطه با این مفهوم، مقالۀ CDN چیست و چه کمکی به وب‌سایت شما می‌کند را بخوانید.

احتمالاً می‌پرسید خب این چه ربطی به محافظت از سایت در برابر حملات سایبری دارد. باید بگوییم سازوکار CDN، باعث می‌شود سایت به‌خوبی بتواند ترافیک غیرطبیعی ناشی از حملات DoS و DDoS را کنترل کند.

به‌علاوه، اغلب CDNها، WAF هم ارائه می‌کنند که بالاتر گفتیم ابزاری ضروری برای فیلتر ترافیک و ممانعت از دسترسی‌های غیرمجاز محسوب می‌شود.

۵. استفاده از پروتکل SFTP

SFTP نسخۀ پیشرفته‌تر پروتکل FTP است و S اول آن از کلمۀ Secure به معنای ایمن می‌آید. FTP یک پروتکل بسیار قدیمی است که بیشتر از ۵۰ سال قدمت دارد و از آن برای انتقال فایل استفاده می‌شود.

وقتی به‌جای FTP از SFTP استفاده کنید، انتقال فایل‌ها در طرف سرور به‌صورت ایمن و رمزنگاری‌شده انجام می‌شود و در نتیجه، هکرها کار خیلی سخت‌تری برای مداخله و دستیابی به فایل‌های ردوبدلی خواهند داشت.

۶. تهیۀ سرویس از هاستینگ معتبر

برای برخورداری از تمام ضرورت‌هایی که تا اینجا برررسی کردیم و گفتیم برای جلوگیری از هک شدن وب سایت مؤثر هستند، باید سراغ یک هاستینگ معتبر بروید.

وقتی ارائه‌دهندۀ هاست با دقت همه‌چیز را زیر نظر داشته باشد و عملکرد سرورهایش را موشکافانه بررسی کند، خیالتان تا حد خیلی زیادی از بابت امنیت راحت خواهد بود.

علاوه‌بر این‌ها، توصیه می‌کنیم سراغ هاستینگی بروید که خدمات امنیتی تکمیلی مثل سیستم‌ آنتی‌دیداس، اسکن‌ بدافزارها، مانیتورینگ تمام فعالیت‌ها و… را هم ارائه کند.

خرید انواع هاست 🍋

بهترین سرویس‌های میزبانی وب را از لیموهاست بخواهید

ما متناسب با نیازهای شما، سرویس‌های مختلفی را با سرعت و قدرت فوق‌العاده و قیمت‌های به‌صرفه آماده کرده‌ایم.

شروع قیمت از
سالیانه ۵۹۰ هزار تومان

خرید هاست

دسته دوم: تأمین امنیت وردپرس

وردپرس یک سیستم مدیریت محتوا است که بیشتر سایت‌ها روی آن بنا شده‌اند؛ به همین خاطر، برای تأمین امنیت حداکثری، سطح میانی را وردپرس در نظر می‌گیریم؛ چون همان‌طور که گفتیم، زیربنای تعداد بسیار زیادی از وب‌سایت‌ها است.

توصیه می‌کنیم دو مقالۀ زیر را بخوانید تا با مفهوم CMS و وردپرس بیشتر آشنا شوید:

• آشنایی با انواع سیستم مدیریت محتوا (CMS) و بررسی آن‌ها
• وردپرس (WordPress) چیست و چطور یک سایت وردپرسی بسازیم؟

و اما چطور می‌توان امنیت وردپرس را با هدف جلوگیری از هک شدن وب سایت بالا برد؟

۷. به‌روزرسانی مداوم وردپرس، پلاگین‌ها و قالب‌ها

برای اینکه بتوانید امنیت را در حد کمال تأمین کنید، باید در اولین فرصت بعد از عرضۀ آپدیت‌های جدید، اقدامات لازم برای به‌روزرسانی وردپرس را انجام دهید.

معمولاً این آپدیت‌ها به‌خاطر بروز نقص در نسخه‌های قبلی ارائه می‌شوند و هدف آن‌ها، بهبود عملکرد و البته امنیت است.

علاوه‌بر CMS، باید افزونه‌ها و قالب‌هایی که روی سایت نصب کرده‌اید را هم همواره به‌روز نگه دارید. مهم است که همیشه از آخرین نسخه استفاده کنید تا مطمئن شوید هکرها هیچ روزنه‌ای برای نفوذ به وب‌سایت پیدا نمی‌کنند.

ترجیحاً فقط از افزونه‌ها و قالب‌های معتبر که واقعاً به آن‌ها نیاز دارید استفاده کنید. اگر پلاگینی بی‌استفاده است یا مدت‌ها است آپدیتی برای آن عرضه نمی‌شود، بلافاصله آن را حذف کنید؛ چون ممکن است باعث نشت امنیتی شود؛ حتی اگر فعال نباشد!

۸. استفاده از افزونه‌های امنیتی

یکی از مزایای وردپرس، متن‌باز (Open Source) بودن آن است. در نتیجۀ این ویژگی‌، هر برنامه‌نویسی که دانش کافی داشته باشد، می‌تواند برای آن افزونه بسازد و به همین خاطر، دنیایی از پلاگین‌ها با اهداف مختلف وجود دارند که می‌توانید از آن‌ها روی سایت وردپرسی بهره ببرید.

در رابطه با تأمین امنیت سایت، برخی افزونه‌ها هستند که به محافظت از سایت در برابر حملات سایبری کمک می‌کنند. استفاده از بهترین‌ها پلاگین‌ها در این حوزه، سایت را ایمن‌تر می‌کند. در واقع، افزونه‌های امنیتی یک لایۀ حفاظتی اضافه ایجاد می‌کنند و مانع از آسیب دیدن سایت در برابر تهدیدات سایبری رایج می‌شوند.

اگر قرار باشد چند مورد از کارآمدترین پلاگین‌ها در این حوزه را معرفی کنیم، اسامی زیر جزو آن‌ها خواهند بود:

• Sucuri: این افزونه کاملاً رایگان است و حجم بالای نظرات مثبتی که دریافت کرده، مهر تأییدی است بر کارآمدی آن در اسکن بدافزارها و مانیتور کردن تمام فعالیت‌هایی که روی سایت صورت می‌گیرند.

• Limit Login Attempts Reloaded: با استفاده از این پلاگین، می‌توانید تعداد دفعاتی که هر کاربر مجاز به لاگین کردن است، یا بهتر است بگوییم می‌تواند برای ورود به داشبورد سایت تلاش کند را محدود کنید. نوعی از حملات سایبری وجود دارد که با نام بروت‌فورس شناخته می‌شود و در آن، هکر با امتحان کردن ترکیب‌های مختلف از نام‌های کاربری و کلمات عبور، سعی می‌کند وارد سایت شود. این افزونه، برای مقابله با این نوع حمله و روش‌های مشابه هک کردن کاربرد دارد.
• Wordfence: اگر یک افزونۀ امنیتی تمام‌وکمال می‌خواهید که انواع خدمات ایمنی، مثل اسکن بدافزارها، بلک‌لیست آدرس‌های آیپی، فایروال و… را ارائه کند، Wordfence انتخابی ایدئال محسوب می‌شود.

۹. انتخاب پسوردهای قوی

یکی از مهم‌ترین و اولین قدم‌هایی که باید برای جلوگیری از هک شدن سایت بردارید، انتخاب پسوردهای قوی برای تمام اکانت‌های سایت هستند؛ اکانت‌هایی که اجازۀ ورود به داشبورد مدیریت وردپرس را دارند.

جدی گرفتن این موضوع، سایت را تا حد زیادی در برابر حملات بروت فورس، ایمن می‌کند. حتی توصیه می‌کنیم از نام‌های کاربری پیش‌فرض که حدس آن‌ها راحت است، مثل admin استفاده نکنید و یوزرنیم‌ها را هم تغییر دهید.

خواندن مقالۀ چرا باید یک گذرواژه قوی بسازیم؟ ۱۰ تکنیک برای ساخت پسورد سخت، باعث می‌شود دید خیلی بهتری نسبت به این موضوع پیدا کنید و به همین خاطر، پیشنهاد می‌کنیم حتماً آن را مطالعه کنید.

۱۰ بررسی و کنترل سطح دسترسی کاربران و جلوگیری از ورود خودکار آن‌ها

لزوماً همۀ افرادی که امکان ورود به داشبورد وردپرس را دارند، نباید دسترسی در سطح ادمین را داشته باشند تا نتوانند هر فایلی را دستکاری کنند.

مثلاً نویسنده‌هایی که فقط قرار است نوشته‌ها را روی وبلاگ آپلود کنند، باید با دسترسی محدود امکان اعمال تغییر را داشته باشند؛ در حدی که بتوانند کارهای مربوط به بارگذاری بلاگ‌پست را بدون مشکل پیش ببرند.

به‌علاوه، توصیه می‌کنیم تنظیمات را طوری انجام دهید که هر کاربر برای هر بار ورود، مجبور به وارد کردن نام کاربری و پسورد باشد؛ یعنی ورود خودکار آن‌ها را غیرفعال کنید.

با اتخاذ این رویکرد، اگر احیاناً سیستم کاربر تسلیم حملات سایبری شود، هکر نمی‌تواند به داشبورد ورود کند و کارهای مخرب مد نظرش را انجام دهد.

دسته سوم: تأمین امنیت سایت

سومین و آخرین سطحی که باید امنیت آن را تأمین کنید تا در جلوگیری از هک شدن سایت موفق باشید، خود سایت است.

۱۱. حذف کدهای مخرب و پاک کردن فایل‌های مشکوک

با استفاده از ابزارهای موجود، مثل اسکنر بدافزارها، دنبال کدهای مخرب و فایل‌هایی بگردید که وجودشان ضروری نیست و مشکوک به نظر می‌رسند.

درنگ نکنید و آن‌ها را از روی سایت حذف کنید تا از پیش آمدن مشکلات آتی جلوگیری شود.

۱۲. اعمال محدودیت روی ورودی کاربران

در بسیاری از مواقع، حملات XSS و SQL، به‌خاطر سهل‌انگاری در تنظیمات سایت، با موفقیت اجرا می‌شوند.

محدودیت‌های لازم را برای ورودی کاربران به سایت تعیین کنید. به‌طور مشخص، اگر سایت فروم دارد، به این مورد اهمیت ویژه‌ای بدهید و حواس‌جمع عمل کنید.

۱۳. آپدیت مداوم PHP

همان‌طور که به‌روزرسانی وردپرس، پلاگین‌ها و قالب‌های آن اهمیت دارد، باید PHP سایت را هم به‌صورت مداوم آپدیت کنید.

اینجا هم به‌روزرسانی‌ها با هدف بهبود امنیت و رفع باگ‌های ایجاد‌شده ارائه می‌شوند؛ به همین خاطر، ضروری است که در اولین فرصت بعد از عرضۀ هر آپدیت، اقدامات لازم برای به‌روزرسانی را انجام دهید.

۱۴. بکاپ‌ گرفتن را فراموش نکنید

از آنجایی که احتیاط شرط عقل است، باید حتماً به‌صورت منظم و مداوم از تمام سایت و محتویات آن بکاپ بگیرید تا در صورت بروز مشکلات احتمالی، بتوانید آن را بازیابی کنید.

حقیقتاً، بکاپ گرفتن را نمی‌توان یک اقدام امنیتی در نظر گرفت؛ ولی اگر در جلوگیری از هک شدن وب سایت موفق نباشید، فایل‌های بکاپ از عمیق‌تر شدن فاجعه جلوگیری می‌کنند.

بهترین کار این است که بعد از اعمال هر تغییر، از تمام سایت بکاپ بگیرید و چندین نسخه از آن‌ را در جاهای مختلف ذخیره کنید.

۱۵. احراز هویت دو مرحله‌ای را فعال کنید

یکی از اقدامات تکمیلی که می‌تواند لایۀ حفاظتی اضافه‌ای در برابر حملات سایبری ایجاد کند، احراز هویت دو مرحله‌ای یا two factor authentication است که به آن ۲FA هم می‌گویند.

با فعال‌سازی این قابلیت، خیالتان راحت است که برای ورود به سایت، علاوه‌بر نام کاربری و کلمۀ عبور، باید کد یک‌بار مصرفی که هر چند دقیقه تغییر می‌کند را هم وارد کنید و به همین دلیل، هکرها کار خیلی سخت‌تری برای ورود به آن خواهند داشت.

اگر نکاتی که گفتیم را به‌دقت در هر ۳ سطح  رعایت کنید، بخش اعظمی از راه تأمین امنیت سایت را طی خواهید کرد؛ ولی یک نکتۀ دیگر هم وجود دارد که سایت‌های فروشگاهی باید به آن توجه خاصی داشته باشند.

خب این هم از این! نوبتی هم که باشد، نوبت جمع‌بندی و به پایان بردن مقاله است.

تأمین امنیت سایت، از اوجب واجبات است

در این مقاله، اول از همه با انگیزه‌های هکرها از اجرای حملات سایبری آشنا شدیم و بعد از آن، چند مورد از رایج‌ترین انواع هک را زیر ذره‌بین بردیم. ضمناً دیدیم که دست ما هم بسته نیست و می‌توانیم در مقابل این تهدیدات قد علم کنیم.

در راستای همین مسئله، چگونگی تأمین امنیت سایت در ۳ سطح هاست، وردپرس و سایت را آموزش دادیم.

اگر هنوز سوالی بی‌پاسخی ذهن‌تان را درگیر کرده یا نظر و پیشنهادی دارید، می‌توانید از قسمت نظرات همین پست با ما در ارتباط باشید.

منابع: GoDaddy | bluehost