هک وبسایت و روش های جلوگیری از آن
کلاهبرداری آنلاین، سرقت آنلاین، هککردن سایتها،حملهی هکرها به سایتهای دولتی یا نظامی، بدافزارها و… همه و همه بخشی از چالشهای امنیتی و مشکلات امنیتی در فضای وب هستند. گسترش استفاده از اینترنت و دیجیتالیشدن و آنلاینشدن تقریبا همهچیز، زندگی را در سراسر جهان آسانتر و سریعتر کرده است. اما متاسفانه تهدیدها و خطرات جدیدی را هم با خودش بههمراه داشته. وقتی پرداختها آنلاین شده، دزدیها هم آنلاین شده است. وقتی اطلاعات در پایگاههای مرکزی و آنلاین ذخیره میشود، سرقت آنلاین اطلاعات افراد یا شرکتها یا دولتها نیز اتفاق میافتد. حتی ممکن است کسی با استفاده از سایت یا اپلیکیشن یا ازطریق شبکههای اجتماعی از کاربران کلاهبرداری کند. هکرها همیشه در کمین هستند. بنابراین بخش مهمی از طراحی سایت کارهایی است که برای حفظ امنیت آن سایت و کاربرانش در مقابل هکرها باید انجام شود. نمیشود سایتی را طراحی کرد و به فکر حفظ امنیت آن و هزینههایی که برای جلوگیری از هک آن باید کرد نبود. البته براساس اینکه سایت چه نوعی است و کاربر چه تعاملی با آن دارد، اهمیت امنیتش متفاوت است. سایتهای فروشگاهی یا سایتهای دولتی و بانکی که اطلاعات شخصی و حسابهای بانکی افراد را دریافت و ذخیره میکنند، قطعا بیشتر در معرض خطر هستند تا سایتهای محتوایی. البته نباید اینطور برداشت کرد که سایت محتوایی یا خبری امنیت نمیخواهد و در معرض خطر هکشدن نیست. وبسایتها ممکن است بهدلایل مختلفی هک شوند. چطور میشود از هک وبسایت جلوگیری کرد؟ بعضی وب سایتها از صفر برنامهنویسی میشوند. بعضیها روی وردپرس یا سیستمهای مدیریت محتوا ساخته میشوند. بعضی دیگر وباپها هستند که با فریمورکهایی مانند امبر جی اس توسعه داده شدهاند، آیا راههایی برای جلوگیری از هک شدن هر سه وبسایت وجود دارد؟
در کشور آمریکا در هر 39 ثانیه یک سایت هک میشود. یعنی در سال، یک سوم جمعیت آمریکا به این مشکل برمیخورند. به همین دلیل جلوگیری از هک شدن سایت و محافظت از آن در برابر ویروسها، هکرها و سایر موجودات موذی در فضای آنلاین برای کاربران اهمیت زیادی دارد. اگر به این مسئله توجه نداشته باشید، همواره دادههای شما در خطر خواهند بود، احتمال از کار افتادن سایتتان وجود خواهد داشت و مهمتر از همه بخشی از سرمایهی مالی خود را از دست خواهید داد. شاید با خود بگویید که اصلا سایت من که تجاری نیست و فقط یک وبلاگ ساده است. هک شدن چه ضرری میتواند برای سایت یا وبلاگ کوچک من داشته باشد؟ هک شدن علاوه بر از دست دادن سرمایه، موجب از دست رفتن ترافیک برای سایت شما هم میشود. همچنین ممکن است پس از هک شدن دیگر سایت شما بالا نیاید و حتی قربانی سرقت هویت نیز بشوید. به هر حال اطلاعات شخصی شما و مخاطبانتان هم در خطر هک شدن قرار دارند.
یک وبسایت هک شده چه نشانههایی دارد؟
معمولا یک سایت هک شده ظاهر مشخصی ندارد اما الگوهایی وجود دارند که با توجه به آنها به راحتی متوجه میشوید که سایتتان هک شده است:
باج افزار: هکر شما را تهدید میکند که اگر مقدار مشخصی پول برای او واریز نکنید، اطلاعات شما را منتشر کرده یا دسترسی شما به سایتتان را قطع خواهد کرد.
هک Gibberish: در این نوع هک شما صفحاتی را در سایت خود خواهید دید که پر از کلمات کلیدی نامفهوم هستند و در آنها تلاش شده تا با استفاده از کلمات کلیدی در نتایج گوگل نمایش داده شوند. زمانی که روی لینک این صفحات کلیک کنید، شما را به سایتهای مشکوکی منتقل میکنند.
هک کلمات کلیدی: این نوع هک با هک Gibberish شباهت زیادی دارد اما به صورت حرفهای تر انجام میشود. زمانی که به این صفحات نگاه میکنید درست شبیه صفحات سایت شما هستند اما با دقت بیشتر متوجه میشوید که محتوای متنی صفحات شما تغییر یافتهاند.
هک کلمات کلیدی از نوع ژاپنی: در این نوع هک شدن سایت، صفحاتی اتفاقی به زبان ژاپنی در سایت شما به صورت خودکار ایجاد میشوند. این صفحات پر از لینکهایی هستند که شما را به فروشگاههای تقلبی و فریبنده هدایت میکنند.
کدهای مخرب یا ویروسها: اگر یک کد مخرب یا یک ویروس به سایت شما وارد شود، احتمال بالا نیامدن سایت شما وجود خواهد داشت. همچنین ممکن است دسترسی شما به بخشهای مختلف قطع شود و متوجه شوید که سخت افزار دستگاه شما هم تحت تاثیر این ویروسها قرار گرفته است.
عدم پذیرش سرویس (DoS): هکرها در این روش از رباتهای آنلاین استفاده میکنند تا وب سایت شما را از درخواستهای مختلف پر کنند. در نتیجهی این اتفاق فعالیت سروری که سایت شما روی آن قرار دارد، متوقف خواهد شد.
سرقت اینترنتی: کلاهبرداران از این طریق با مشتریان شما تماس خواهند گرفت و خودشان را عضوی از کسب و کار شما معرفی میکنند. در واقع هکرها با استفاده از برند شما اطلاعات شخصی مشتریان را جمع آوری میکنند تا در نهایت به شیوههای مختلف از آنها سوء استفاده کنند.
چرا وب سایت ها هک میشوند؟
این فکر که سایت شما آنقدرها هم ارزش ندارد تا مورد هک قرار گیرد اشتباه است. اغلب رخنههای امنیتی وب سایت ها با هدف دزدیدن اطلاعات یا خرابکاری انجام نمیشود بلکه با هدف استفاده از سرور شما یا بهتر بگویم، سواستفاده از سرورتان انجام میشود مثلا به عنوان بخشی از botnet، برای اسپم در ایمیل، تنظیم وب سرور موقتی، استفاده از فایلها برای فعالیت غیرقانونی، برای استخراج بیت کوین و درآمد با باج افزار.
هک معمولا با اسکریپ های خودکار انجام میشود که در اینترنت میچرخد تا قربانی خود را که در نرم افزارش مشکلات شناخته شده دارد را پیدا و آلوده کند.
چگونه از هک شدن سایت جلوگیری کنیم؟
-SSL نصب کنید
یکی از سادهترین راهها برای حفاظت از وب سایت و اطلاعات شما و کاربرانتان این است که یک سیستم رمزگذاری از نوع SSL نصب کنید. SSL یک پروتکل ساخته شده توسط Netscape است که امنیت اطلاعات شما هنگام انتقال آنها در بخشهای مختلف فضای وب را تضمین میکند. زمانی که SSL را نصب کردید، این نرم افزار اطلاعاتی که بین شما و کاربرانتان رد و بدل میشوند (مثل اطلاعات مربوط به login شدن در سایت) را رمزگذاری میکند. معمولا انواع مختلفی از SSL وجود دارند. برای مثال سایتهایی که با تجارت الکترونیک سر و کار دارند، برای محافظت از اطلاعات مربوط به خرید و پرداخت از نسخههای پیچیدهتری استفاده میکنند. ممکن است برای کاربران این نگرانی پیش بیاید که از کجا بفهمیم یک سایت از SSL استفاده میکند یا خیر. گوگل امروزه هر وقت کاربری را به سایتی هدایت میکند که دارای SSL نیست، به کاربر راجع به این موضوع هشدار میدهد. دقت داشته باشید که جلوگیری از هک شدن سایتها و امنیت کاربران برای گوگل اهمیت زیادی دارد، به همین خاطر نداشتن SSL باعث میشود که گوگل یک سایت را در نتایج پایینتری قرار بدهد. اگر خیلی در زمینهی تکنولوژی اطلاعات ندارید و نمیدانید SSL چگونه این امنیت را برای سایت شما تامین میکند، نگران نباشید. چیزی که اهمیت دارد این است که بدانید چقدر استفاده از SSL برای سایت شما مهم بوده و چگونه باید آن را نصب کنید. معمولا برای نصب رایگان SSL سه راه اصلی وجود دارد:
-یک پلتفرم سازندهی سایت با کیفیت پیدا کنید که این پروتکل را به صورت رایگان در اختیار شما بگذارد.
-اگر سایت خود را میخواهید با سیستمهای مدیریت محتوا مثل وردپرس بسازید، یک هاست انتخاب کنید که قابلیت SSL را به صورت رایگان در اختیار شما قرار دهد.
-خودتان نسخهی پایهی این نرم افزار به اسم Let’s Encrypt را نصب کنید.
-برای استفاده از نسخههای پیشرفتهتر این نرم افزار، لازم است که هزینهای را پرداخت کنید. معمولا فروشندگان هاست و دامین این پروتکل را هم برای فروش عرضه میکنند. دقت کنید که اگر سایت شما یک فروشگاه آنلاین است یا با دادههای حساسی سر و کار دارد، حتما از نسخههای پیشرفته استفاده کنید.
-از نرم افزارهای ضد ویروس استفاده کنید.
امروزه نرم افزارهای آنتی ویروس زیادی در فضای وب یافت میشوند. برخی از این نرمافزارها مثل Bitdefender رایگان هستند و برخی دیگر مثل SiteLock هزینهای را از شما دریافت میکنند. بیش از 12 میلیون وب سایت از نرم افزار SiteLock استفاده میکنند چون امکانات متنوعی را در اختیار مشتریان خود قرار میدهند. شما میتوانید فقط امکاناتی را که به آنها نیاز دارید را خریداری کرده و از این طریق در بودجهی خود صرفه جویی کنید. از امکاناتی که این نرم افزار عرضه میکند به موارد زیر میتوانیم اشاره کنیم:
-اسکن سایت
-شناسایی ویروسها و بدافزار و حذف آنها
-محافظت از اپلیکیشنهای وب سایت
-به حداقل رساندن آسیب پذیری سایت
-محافظت از حملههای اینترنتی از نوع DDoS
اگر برخی از این امکانات برای شما ناآشنا هستند، نگران نباشید. وظیفهی نرم افزار آنتی ویروس این است که کار شما را ساده کند و بدون دخالت شما تمامی اقدامات مربوط به حفاظت از سایت را انجام دهد. معمولا خیلی از شرکتهای طراحی سایت یا عرضهکنندگان هاست ارائهی نرم افزار ضد ویروس را هم در برنامهی کاری خود قرار میدهند.
-رمز عبور خود را به گونهای انتخاب کنید که غیر قابل هک باشد
امروزه همهی ما آنقدر با رمز عبور سر و کار داشتهایم که انتخاب آنها به امری عادی تبدیل شده و کمتر به اهمیت آنها فکر میکنیم. واقعیتش را بخواهید رمز عبور تنها مانع بین یک هکر و اطلاعات شخصی شماست. طبق آماری که از برخی بیزینسهای کوچک گرفته شده، 40 درصد از این شرکتها اعلام کردهاند که به خاطر ضعیف بودن رمز عبور کارمندانشان دچار حملهی هکرها قرار گرفتهاند. شاید این آمار کمی شما را بترساند ولی خبر خوشی که برایتان داریم این است که تغییر این رمزها سادهترین کاریست که شما میتوانید برای افزایش امنیت وب سایت خود انجام دهید. انتخاب یک پسوورد قویتر شاید فقط چند دقیقه از وقت شما را بگیرد. سعی کنید نکات زیر را هنگام انتخاب پسوورد رعایت کنید:
-از ترکیب سه کلمهی نامربوط به هم استفاده کنید. البته توجه داشته باشید که این کلمات در خاطر شما بمانند.
-از چند نوع کاراکتر در رمز استفاده کنید.
-برای تمامی حسابهای مختلف خود از یک رمز یکسان استفاده نکنید.
-یک رمز طولانی انتخاب کنید.
-هرگز از اطلاعات شخصی خود برای انتخاب رمز استفاده نکنید. این اطلاعات اولین گزینههایی هستند که هکرها آنها را امتحان میکنند.
-وب سایت خود را آپدیت نگه دارید.
در این بخش منظورمان از بهروزرسانی، انتشار اخبار جدید و معرفی محصولات روز دنیا نیست. در بحث امنیتی و جلوگیری از هک شدن سایت، باید نرم افزارهای استفاده شده در وب سایت خود را همیشه بهروز نگه دارید. اگر طراحی سایت خود را به تیمی حرفهای سپرده باشید که اکثر اوقات لازم نیست در این زمینه خودتان کار خاصی انجام دهید. اما اگر از پلتفرمی مثل وردپرس استفاده میکنید، در نظر داشتن آپدیتهای جدید امری ضروری است. اگر نرم افزار اصلی وردپرس و دیگر پلاگینهایی که نصب کردهاید را به روزرسانی نکنید، سایت شما در معرض ویروسها، آسیبها و بدتر از همه کدهای مخرب هکرها قرار خواهد گرفت. خبر خوبی که میتوانیم در این زمینه به شما بدهیم این است که اکثر نرمافزارها قابلیت به روزرسانی خودکار دارند که شما کافیست این قابلیت اتوماتیک را فعال کنید.
نکتهی دیگری که میتوانیم در این زمینه به آن اشاره کنیم، توجه به کیفیت پلاگینهای سایت است. امروزه افراد غیر حرفهای هم میتوانند برای وردپرس پلاگین طراحی کنند. اما پلاگینی که کیفیت لازم را نداشته باشد، در معرض خطر ویروسها و کدهای مخرب قرار میگیرد. سعی کنید هنگام انتخاب پلاگین برای جلوگیری از هک شدن سایت، نظرات کاربران را بخوانید. همچنین سعی کنید به دنبال پلاگینهای معتبر باشید و هر پلاگینی را نصب نکنید.
-به هکرها کمک نکنید!
اکثر افراد بدون آنکه خودشان بدانند کار هکرها را آسانتر میکنند. برای مثال ایمیلهایی را در نظر بگیرید که روزانه انواع مختلف آن برای ما فرستاده میشود. آیا میدانستید 92 درصد از بدافزارهای اینترنتی از طریق همین ایمیل به سیستمها وارد میشوند؟ چنین آماری به ما نشان میدهد که باید بیشتر مراقب ایمیلها، پیامها و تماسهای مشکوکی باشیم که اطلاعات شخصی ما را درخواست میکنند. شاید جلوگیری از این مسئله برایتان ساده به نظر برسد. اما توجه داشته باشید که روشهای فریبکارانه نیز مانند هر چیز دیگری در حال پیشرفت هستند. برای اینکه مطمئن باشید دسترسی بدافزارها را قطع کرده و از هک شدن سایت خود جلوگیری کردهاید، نکات زیر را رعایت کنید:
-هنگام وصل شدن به اینترنتهای عمومی و بدون رمز احتیاط کنید، مخصوصا اگر این اینترنت متعلق به یک فضای ناشناس مثل کافیشاپ یا رستوران باشد.
-هرگز روی لینکهایی که از طریق ایمیلهای مشکوک برایتان فرستاده میشوند کلیک نکنید. اصلا خود ایمیل را نیز هر چه سریعتر پاک کنید.
-در نظر داشته باشید که چه کسانی به وب سایت شما دسترسی دارند. این افراد باید حتما قابل اعتماد باشند و نکات ایمنی را رعایت کنند.
-تنظیمات از پیش فرض شده (default) را تغییر دهید. فرض کنید سایتی با استفاده از وردپرس ساختهاید. حتما پس از ساخته شدن سایت خود، نام کاربری و رمز عبور از پیش تعیین شده را تغییر دهید.
-مراقب کسانی باشید که تظاهر میکنند افرادی حرفهای هستند و میخواهند مشکلات فنی سایت شما را برطرف کنند. باید حتما قبل از اجازهی دسترسی به افراد ناشناس، معتبر بودن درخواست آنها را بررسی کنید.
-نگذارید نظرات و کامنتها قبل از تایید شدن منتشر شوند:
همهی ما از دیدن اینکه کاربران برای ما کامنت ثبت کردهاند و دیدگاه خود را با دیگر کاربران به اشتراک گذاشتهاند، خوشحال میشویم. اما متاسفانه این کامنتها همیشه مثبت نیستند و خیلی اوقات نظراتی از طرف رباتها و حسابهای تقلبی نیز بین آنها مشاهده میشود. چنین کامنتهایی در بهترین حالت اسپم محسوب میشوند و در بدترین حالت میتوانند شما و کاربرانتان را در معرض خطرهای امنیتی قرار دهند. برای جلوگیری از چنین مشکلاتی و کم کردن احتمال هک شدن سایت، شما باید تنظیمات سایت خود را تغییر دهید. چه تغییری؟ باید کاری کنید که نظرات مستقیما منتشر نشوند و ابتدا حتما به تایید شما برسند. دیگر کارهایی که در این زمینه میتوانید انجام دهید از این قرارند:
-از یک نرم افزار یا پلاگین ضد اسپم مثل Aksimet استفاده کنید.
-از بازدیدکنندگان بخواهید پیش از ثبت نظر خود در سایت شما عضو شوند.
-پس از یک یا دو ماه بعد از انتشار یک مطلب، قسمت نظرات را غیرفعال کنید.
-هر چند وقت یک بار از سایتتان بک آپ بگیرید.
اگر مراحلی که تا به اینجا برای جلوگیری از هک شدن سایت گفتیم را رعایت کرده باشید، تقریبا میتوان گفت احتمال هک شدن سایت شما نزدیک به صفر است. با این حال انسان همیشه نیاز دارد که حتی با در نظر گرفتن بدترین شرایط، احساس امنیت کند. در بحث هک شدن سایت هم برای خیلیها سوال پیش میآید که اگر هک صورت گرفت، بازگردانی سایت هک شده به چه صورت انجام میشود؟ راه حل پیشنهادی ما برای دست یافتن به چنین امنیتی، بک آپ گرفتن از سایت است. بک آپ در واقع یک نسخهی کپی شده از اطلاعات سایت شماست. با این کار حتی اگر هکرها راهی برای دستیابی به سایت شما پیدا کنند، شما یک نسخهی جدید و ذخیره شده از سایت خود خواهید داشت و میتوانید به بازگردانی سایت هک شده بپردازید. برای بک آپ گرفتن میتوانید از یکی از روشهای زیر استفاده کنید:
-استفاده از سرویسهای بک آپ مثل CodeGuard یا Sucuri
-استفاده از هاستهایی که قابلیت بک آپ گیری را در اختیار شما قرار میدهند
-استفاده از پلاگین وردپرس مثل UpdraftPlus یا VaultPress
چرا سایت های وردپرسی بیشتر هک میشوند؟
نه تنها سایت های وردپرسی بلکه تمام سایتها در اینترنت ممکن است هک شوند اما دلیل اصلی اینکه سایت های وردپرسی، معمولا مورد هدف هکرها هستند چیست؟ وردپرس محبوب ترین سازنده وب سایت – Website Builder است و در بیش از ۳۱ درصد تمام وب سایت ها استفاده میشود یعنی صدها میلیون وب سایت در سراسر دنیا. این محبوبیت وسیع باعث میشود هکرها خیلی راحتتر راهی به وب سایت هایی با امنیت کمتر پیدا کنند. انگیزه هکرها از هدف قرار دادن وب سایت های وردپرسی متفاوت است مثلا هکرهای مبتدی که تازه در حال یادگیری هستند و سایتهای ناامنتر را هک میکنند، یا هکرهایی که قصد توزیع بدافزار دارند و از یک سایت برای حمله به سایتهای دیگر استفاده میکنند یا قصد اسپم کردن (هرزنامه فرستادن) اینترنت را دارند.
امنیت سایت های وردپرسی
در مورد وب سایت های وردپرسی علاوه بر نکاتی که برای تامین امنیت وب سایت ها گفتیم باید به نکات دیگری نیز توجه کنید:
۱- مانند تمام وبسایتها، سایت های وردپرسی هم روی وب سرور، هاست میشوند. پلتفرم هاستینگ در برخی شرکتهای هاستینگ به اندازه کافی امن نیستند در نتیجه تمام وبسایتهایی که این شرکتها هاست میکنند در معرض حمله هکر قرار دارند. با انتخاب بهترین و امنترین هاستینگ وردپرس، این مشکل را حل کنید. وقتی سایت شما روی پلتفرم امنی هاست شود از بسیاری حملات رایج هکرها روی سایتهای وردپرسی در امان میماند. اگر میخواهید جانب احتیاط را بیشتر رعایت کنید میتوانید از Managed WordPress Hosting استفاده کنید.
۲- از پسوردهای ضعیف استفاده نکنید. پسوردها کلید ورود به وب سایت وردپرسی هستند. باید از پسورد قوی و یکتا برای هر یک از اکانتهای زیر استفاده کنید:
Your WordPress admin account
Web hosting control panel account
FTP accounts
MySQL database used for your WordPress site
Email accounts used for WordPress admin or hosting account
تمام این اکانتها با پسورد محافظت میشوند. استفاده از پسوردهای ضعیف کار را برای هکرها راحت میکند و با استفاده از ابزارهای معمولی هک میتوانند آن را کرک کنند.
۳- دسترسی محافظت نشده به ادمین ورد پرس – wp-admin Directory. فضای ادمین وردپرس جایی است که فعالیتهای مختلفی روی سایت وردپرس انجام میشود و هکرها معمولا از این طریق هک میکنند. رها کردن این ادمین بدون حفاظت باعث هک شدن وب سایت میشود. روشی که کار را برای هکرها سخت میکند این است که برای دایرکتوری ادمین وردپرس لایههای احراز هویت تعیین کنید. اگر چندین کاربر و نویسنده قرار است به سایت وردپرس وارد شود، باید برای تمام کاربران روی سایت پسورد مشخص کنید. میتوانید احراز هویت دومرحلهای هم مشخص کنید.
۴- مجوزهای فایل را به درستی مشخص کنید. File permission ها مجموعه قوانینی روی وب سرور هستند که به وب سرور کنترل دسترسی به فایلها را روی سایت میدهد. مجوزهای اشتباه فایلی میتواند به هکر اجازه نوشتن و تغییر این فایلها را بدهد. شماره ارزش – Numeric Value در مجوز فایل، برای فایلهای وردپرس ۶۴۴ و برای فولدرهای وردپرس ۷۵۵ است.
۵- وردپرس را آپدیت کنید. برخی کاربران وردپرس از آپدیت سایتهای وردپرسی میترسند اما هر نسخه جدید، باگها و سوراخهای امنیتی وردپرس را رفع میکند. اگر از خرابی در وب سایت بعد از آپدیت میترسید، قبل از آپدیت از سایت خود بکاپ بگیرید. در این صورت اگر با مشکلی مواجه شدید میتوانید به حالت قبل برگردید.
۶- تمها و پلاگینهای وردپرس را آپدیت کنید. درست مانند نرم افزار اصلی وردپرس، تم ها و پلاگینهای وردپرس هم باید آپدیت شوند.
۷- تمها و پلاگینهای امن استفاده کنید. تمهای وردپرسی که متناسب با سازمان و شرکتتان است را انتخاب کنید که در عین حال باید امن و سریع باشد. همچنین از پلاگینهای امنیتی استفاده کنید که ویژگیهای شاخص آن عبارتند از: فایروالی برای بلاک ترافیک مشکوک، حفاظت در برابر هک brute-force و لاگینهای رندوم، اسکن کردن فایل ها و تم ها و پلاگین ها در برابر مشکلات امنیتی، نوتیف های منظم امنیتی. Wordfence یکی از بهترین پلاگین های امنیتی رایگان است.
۸- به جای FTP از SFTP یا SSH استفاده کنید. اکانتهای FTP برای آپلود فایلها روی وب سرور از کلاینت FTP استفاده میکنند. اغلب هاستینگها از اتصالات FTP با استفاده از پروتکلهای مختلف پشتیبانی میکنند و میتوانید از FTP و SFTP و SSH استفاده کنید. وقتی با FTP به سایت وصل میشوید، پسوردتان بدون رمزگذاری به سرور ارسال میشود پس به راحتی قابل هک است.
۹- از تمها و پلاگینهای رایگان استفاده نکنید. بسیاری وبسایتها روی اینترنت به طور رایگان تمها و پلاگینهای رایگان عرضه میکنند. دانلود تمها و پلاگینهای وردپرس از منابع غیرقابل اعتماد، بسیار خطرناک است که نه تنها امنیت سایت را به خطر میاندازد بلکه منجربه دزدی اطلاعات میشود. پس دانلود را از منابع رسمی plugin/theme WordPress دانلود کنید. تم و پلاگین خریداری شده از نسخه رایگان آن عملکرد بهتری دارند.
۱۰- از کلمه Admin برای نام کاربری وردپرس استفاده نکنید. اگر نام کاربری ادمینی شما Admin است سریع آن را عوض کنید.
۱۱- امنیت فایل پیکربندی wp-config-php را تامین کنید. فایل پیکربندی wp-config-php حاوی اعتبارات لاگین دیتابیس وردپرس است و هک شدن آن دسترسی کامل به وب سایت شما را به هکر میدهد. با استفاده از htaccess. میتوانید عدم دسترسی به این فایل را مشخص کنید.
۱۲- table prefix پیش فرض وردپرس را تغییر دهید. این توصیه بسیاری متخصصین است. به صورت پیشفرض، وردپرس از _wp برای پیشوند جدولهایی که در دیتابیسش ایجاد میکند، استفاده میکند. شما میتوانید هنگام نصب آن را تغییر دهید. پیشنهاد میشود پیشوند جدید کمی پیچیدهتر باشد. با این کار هکر به راحتی نمیتواند نامهای جداول دیتابیس شما را حدس بزند.
موارد احتیاط:
به طور دوره ای پسورد ایمیل ها،کنترل پنل، ftp و ... خود را تغییر دهید.
پسورد ها را حداقل شامل حروف بزرگ، حروف کوچک، اعدا و کاراکتر های خاص نظیر @،# و... انتخاب نمایید.
ماژول ها و افزونه های مورد استفاده سایت را (مخصوصا هنگام استفاده از سیستم های مدیریت محتوا نظیر جوملا و وردپرس و...) همواره به آخرین نسخه آپدیت نمایید.
کامپیوتر خود را مجهز به آنتی ویروس و آنتی spywareهای آپدیت شده نمایید.
به هیچ وجه صفحات مشکوک اینترنتی را باز نکنید.
به ایمیل های ناشناس پاسخ ندهید .
اطلاعات (رمزها) سایت خود را تنها به افراد قابل اطمینان ارئه نمایید.
جمعبندی و نتیجهگیری
هک شدن سایت معضلی است که بسیاری از صاحبان سایتها به دنبال جلوگیری از آن هستند. علت این موضوع آسیبهای جدی مالی و امنیتی است که سایتها در اثر هک شدن متحمل میشوند. بنابراین توجه به نکات زیر ضروری است:
۱. هک شدن در کمین هر وب سایت یا اپلیکیشنی است. حتی فیسبوک هم هک شده.
۲. مدیر یا طراح سایت باید به هر نوع اخطار و خطا (Error Messages) و اعلانی حساس باشد.
۴. از تستهای امنیتی سایت غافل نشوید. از هر روش و ابزار و افزونهای هم که استفاده کرده باشید، بازهم باید امنیت سایت را تست کنید.
۵. علاوهبر همهی مواردی که گفته شد، آپلودکردن یک فایل ساده حتی عکس کاربر ممکن است خطر امنیتی برای سایت باشد.
۶. براساس نوع سایت و کاری که سایت برای انجامش طراحی و ساخته میشود اهمیت امنیت و خطرهای امنیتی آن نیز ممکن است متفاوت باشد. انتخاب بهترین روشها و ابزارها برای تامین امنیت نیز تاحد زیادی به نوع سایت مربوط میشود.
۷. تامین امنیت سایت بخشی از طراحی سایت است. طراح سایت باید در این زمینه کاملا آگاه باشد و بتواند به صاحب سایت مشاورههای لازم را بدهد. بههمیندلیل بخشی از آموزش طراحی سایت به بحث تامین امنیت و روشهای جلوگیری از هک شدن سایت اختصاص دارد.
0 نظر