آیا به دنبال راهی هستین تا وبسایت شما نسبت به بقیه سایت ها بهتر باشه؟ یه تجارت اینترنتی راه اندازی کردین که خیلی خیلی مهمه و دنبال راهی برای ایمن کردن سایت خودتون هستین؟ خب باید بگم که ما امروز اینجاییم تا به شما روشهای بالا بردن امنیت سایت رو آموزش بدیم و کاری کنیم که دیگه نگران هیچی نباشین.
در سالهای اخیر ساخت سایت افزایش یافته و خیلی راحتتر از قبل شده و به لطف سیستمهای مدیریت محتوایی (CMS) مثل وردپرس و جوملا، صاحبان مشاغل اکنون مدیر وبسایت ها هم هستن.
اما خب با این اتفاق مسئولیت امنیت سایت هم در دست شماست و باید بدونین که چطوری سایت خودتون رو ایمن کنین و اون رو از دست هکرها و حملات مخرب نجات بدین!
هنگامی که مشتریان شما از پروسه پرداخت کارت عبارتی آنلاین استفاده میکنن، باید بدونن که اطلاعات اونها در معرض خطر یا تهدید قرار نگرفته. در واقع بازدید کنندگان نمیخوان که اطلاعات شخصی اونها به دست افراد خطرناک بیفته!
چه کسب و کار شما کوچیک باشه چه بزرگ، هر کاربر و مشتری از شما انتظار یه سایت ایمن رو داره.
روشهای خیلی زیادی برای ارتقای امنیت سایت شما وجود داره که میتونین به کارمندان و مشتریان خودتون اطمینان بدین وبسایت شما به دور از هرگونه خطریه.
البته هیچ روشی نمیتونه تضمین کنه که سایت شما تا آخر عمرش امن و امان میمونه، در واقع استفاده از این روشها احتمال هک شدن و حمله و هرچیز خطرناکی رو کاهش میده (پس یعنی این روشها احتمال هک شدن شما رو به صفر نمیرسونه).
اگه شما صاحب یه سایت هستین بهتره که همیشه نسبت به امنیت سایت خودتون نگران باشین و مدام اون رو با بهترین ابزارها ایمن کنین!
روشهای بالا بردن امنیت سایت
1. به روز بودن نرم افزارهای و پلاگین ها
هر روز وبسایت های زیادی به دلیل نرم افزار منسوخ جونشون به خطر میفته و هرکرها یا رباتهای بالقوه، درحال اسکن کردن سایت برای آسیب زدن به اونها هستن.
به روز رسانیها برای سلامتی و امنیت وبسایت شما بسیار مهم هستن. اگه نرم افزار یا برنامههای سایت شما به روز نیستن؛ یعنی سایت ایمنی ندارین. پس باید کلیه درخواستهای به روز رسانی نرم افزار و افزونه ها رو جدی بگیرین.
به روز رسانیها اغلب حاوی پیشرفتهای امنیتی و تعمیراتی برای کم کردن آسیب پذیری اون افزونه هستن. بنابراین حتماً برای افزایش امنیت، وبسایت خودتون رو برای آپدیتها بررسی کنین یا افزونه ای که اعلان به روز رسانی اون اومده رو حتماً آپدیت کنین.
البته یه سری از سایت ها خودشون به طور خودکار به روز رسانی رو انجام میدن که دستشون هم درد نکنه خیلی کار خوبی میکنن.
یادتون نره که به روز رسانی سایت و اجزای اون رو در اولویت کار خودتون قرار بدین!
2. اضافه کردن گواهی SSL و HTTPS
برای ایمن نگهداشتن وبسایت خودتون به یه URL مطمئن نیاز دارین و اگه بازدید کنندگان شما قراره کارهایی انجام بدن که نیاز به ارسال اطلاعات شخصیشون هست، باید به جای HTTP از HTTPS استفاده کنین؛ پس در واقع میشه گفت این یه روش خیلی خوب برای بالا بردن امنیت سایت است.
HTTPS چیه؟
از HTTPS یا پروتکل زبان نشانه گذاری انتقال امن یا Hypertext Transfer Protocol Secure برای تامین امنیت انتقال داده ها از طریق اینترنت استفاده میشه. پس در حالی که محتوا در HTTPS در حال انتقال امنه، از وقوع هر گونه وقفه و تداخلی جلوگیری میشه.
برای این که بتونین یه اتصال آنلاین ایمن ایجاد کنین، وبسایت شما همچنین به یه گواهی SSL نیاز داره. اگه وبسایت شما از بازدید کننده میخواد که هر نوع ثبت نام، معامله و یا کارهایی که به وارد کردن اطلاعات شخصی نیاز داره رو انجام بده باید از یه اتصال ایمن رمزگذاری شده استفاده کنه.
SSL چیه؟
SSL (لایه سوکت امن Secure Sockets Layer) یکی دیگه از پروتکلهای ضروری برای سایت است. این لایه اطلاعات شخصی رمز گذاری شده بازدید کننده رو بین وبسایت و پایگاه داده شما منتقل میکنه؛ با این کار دیگه سایر افراد هنگام خوندن این اطلاعات نمیتونن از اون استفاده کنن چون به صورت رمزگذاری شده است!
به جز هکرها و اشخاص سودجو، همچنین کسایی که دارای اختیارات تام نیستن، امکان دستیابی به چنین داده هایی رو ندارن. GlobalSign نمونهای از گواهینامه SSL است که با بیشتر وبسایت ها کار میکنه.
3. استفاده از یه پسورد هوشمندانه
با وجود وبسایت های زیاد، پایگاه داده و برنامه هایی که نیاز به رمز ورود دارن خیلی سخته که بخواین برای هر کدوم از اینها یه رمز عبور بذارین پس ممکنه از رمزی که بیشتر از همه یادتون میمونه برای همه موارد استفاده کنین!
اما این یه اشتباه بزرگه و شما باید برای ارتقای امنیت سایت خودتون از این کار دست بکشین.
برای ورود به هر سیستم جدیدی یه رمز عبور منحصر به فرد ایجاد کنین. رمزهای عبور پیچیده، تصادفی و دشوار از جمله بهترینها هستن که میتونن برای سایت شما استفاده بشن و اگر هم فراموشتون میشه فقط کافیه اونها رو در یجای امن، خارج از سایت نگهداری کنین!
- بعد از گذشت سه ماه یا زودتر، گذرواژه خودتون رو تغییر بدین و همین کار رو هر چند وقت یکبار انجام بدین. رمز عبور هوشمند باید طولانی باشه و حداقل 12 تا کاراکتر داشته باشه. رمز ورود لازمه که ترکیبی از اعداد و حروف باشه و حتماً باید به حروف بزرگ و کوچیک دقت داشته باشین!
- هرگز از یه رمز عبور دوبار استفاده نکنین و اون رو با بقیه به اشتراک نذارین.
- اگه صاحب شغل یا مدیر CMS هستین، مطمئن بشین که همه کارمندان شما از یه گذرواژه ایمن استفاده میکنن و اون رو مرتباً تغییر میدن.
4. استفاده از وب هاستینگ ایمن
به نام دامنه وبسایت خودتون به عنوان یه آدرس خیابون فکر کنین. به وب هاستینگ خودتون هم به عنوان یه املاک و مستغلات فکر کنین.
همونطوری که برای ساختن یه خونه، برای زمین و محلی که قراره ساخت و ساز توش انجام بشه تحقیق میکنین؛ باید میزبان سایت بالقوه خودتون رو هم بررسی کنین تا یه مورد خوبی برای شما پیدا بشه.
خیلی از میزبانها ویژگیهای امنیتی رو برای سرور ارائه میدن که از داده های وبسایت بارگذاری شده شما خیلی بهتر محافظت میکنه. پس در انتخاب میزبان خودتون دقت کنین و حتماً موارد زیر رو به یاد داشته باشین:
- آیا میزبان وب پروتکل انتقال فایل امن یا SFTP رو ارائه میده؟
- آیا استفاده از FTP توسط کاربر ناشناس فعاله یا خیر؟
- آیا وب هاستینگ خدمات پشتیبانی پرونده رو ارائه میده؟
- چقدر در به روز رسانیهای امنیتی آپدیت و آن تایم هستن؟
در واقع این موارد میتونه کمک زیادی به ارتقای امنیت وبسایت شما بکنه!
5. ضبط دسترسی کاربر و امتیازات اداری
در ابتدا ممکنه با دسترسی چندتا کارمند سطح بالا در سایت خودتون احساس راحتی کنین؛ بخاطر این که این افراد دارای یه امتیاز اداری هستن حس میکنین که با دقت میتونن از سایت استفاده کنن! اما خب این یه حالت ایده آله و در واقعیت ممکنه اصلاً اوضاع اینطور نباشه.
متاسفانه کارمندان هنگام ورود به سیستم CMS به امنیت وبسایت فکر نمیکنن! در عوض افکار اونها مشغول وظیفهایه که روی دوششون هست.
اگه اونها اشتباهی مرتکب بشن یا از موضوعی چشم پوشی کنن، این امر میتونه منجر به یه مسئله مهم امنیتی تبدیل بشه.
قبل از این که به کارمندی اجازه بدین از CMS شما استفاده کنه باید در نظر داشته باشین که آیا اون فرد میدونه برای جلوگیری از نقضهای امنیتی و افزایش امنیت سایت باید چیکار کنه؟
به هر کاربر CMS در مورد اهمیت گذرواژهها و به روز رسانیهای نرم افزار آموزش بدین و با همه اونها درباره راههایی که به امنیت سایت کمک میکنه صحبت کنین.
برای پیگیری این که چه کسی به CMS و تنظیمات اداری شما دسترسی داره، یه رکورد تهیه کنین و مدام هم اون رو به روز کنین.
پس باید در مورد دسترسی کاربران منطقی عمل کنین.
6. تغییر تنظیمات پیش فرض CMS
این مورد یکی دیگه از راههای بالا بردن امنیت سایت شماست. خوبه که بدونین رایجترین حملات علیه وبسایت ها اغلب به صورت خودکار اتفاق میفته و اون چیزی که باعث میشه ربات ها به این حملات خودکار اعتماد داشته باشن اینه که CMS دارای تنظیمات پیش فرضه و تغییری نکرده.
پس برای جلوگیری از حملات مخرب، بعد از انتخاب CMS تنظیمات پیش فرض رو فوراً تغییر بدین.
یه مثال عالی برای تغییر تنظیمات پیش فرضی که باید ایجاد کنین «مجوزهای پرونده» است. شما میتونین مجوزها رو تغییر بدین تا مشخص کنین چه کسی میتونه چه کاری برای پرونده انجام بده.
هر پرونده دارای سه اجازه و یه شماره است که نشون دهنده هر پرونده است:
- “Read“: مشاهده محتوای پرونده.
- “Write“: تغییر محتوای پرونده.
- “Execute“: اجرای پرونده یا اسکریپت.
همراه با تنظیمات پیش فرض پرونده سه نوع کاربر هم وجود داره:
- مالک: غالباً سازنده پرونده است، مالکیت قابل تغییره، فقط یه کاربر میتونه مالک باشه!
- گروه: هر پرونده به یه گروه اختصاص داره، کاربرانی که بخشی از اون گروه خاص هستن به مجوزهای گروه دسترسی پیدا میکنن.
- عمومی: هر کس دیگه که میمونه جز این دسته است!
کاربران و تنظیمات اجازه رو شخصی سازی کنین! تنظیمات پیش فرض باید برای ارتقای امنیت وبسایت تغییر کنن و مثل گذشته نمونن.
7. تهیه نسخه پشتیبان سایت
یکی از بهترین روشها برای افزایش امنیت وبسایت اینه که از سایت خودتون یه بکاپ بگیرین. این کار بهتون کمک میکنه تا بعد از هر حادثهای بتونین اطلاعات رو بازیابی کنین.
چندین راه حل خوب برای بازیابی پروندههای آسیب دیده یا از دست رفته وجود داره که میتونین ازشون استفاده کنین.
- اطلاعات سایت خودتون رو خارج از سایت نگهداری کنین، نسخه پشتیبان خودتون رو در همون سرور سایت خودتون ذخیره نکنین چون به اندازه نسخه اصلی سایت میتونن آسیب پذیر باشن.
- انتخاب کنین که وبسایت خودتون رو در رایانه خانگی یا هارد دیسک تهیه میکنین، برای ذخیره اطلاعات و محافظت از اونها در برابر خرابیهای سخت افزاری، هکها و ویروسها یه مکان خارج از سایت پیدا کنین.
- گزینه دیگه، تهیه نسخه پشتیبان ابری است که ذخیره اطلاعات رو راحت میکنه و از هرجایی میشه به اون اطلاعات دسترسی داشت.
علاوه بر انتخاب محل تهیه نسخه پشتیبان خودتون باید خودکار سازی اونها رو در نظر بگیرین. از راهکارهایی استفاده کنین که بتونین برای نسخه پشتیبان خودتون هم برنامه ریزی کنین. همچنین مطمئن بشین که راه حل شما دارای سیستم بازیابی قابل اعتماده.
تو بکاپ گرفتن اصراف کنین، از بکاپ خودتون هم بکاپ بگیرین! چون با این کار میتونین قبل از هک شدن، پروندههای خودتون رو از هر نقطه بازیابی کنین.
8. شناسایی فایلهای پیکربندی سایت
با فایلهای پیکربندی سرور خودتون آشنا بشین. میتونین اونها رو در فهرست اصلی وب پیدا کنین. پروندههای پیکربندی سرور وب به شما امکان میده قوانین سرور رو مدیریت کنین. این قسمت شامل بخشنامهای برای بهبود امنیت سایت شماست.
فایلهای مختلفی وجود داره که برای هر نوع سروری مورد استفاده قرار میگیره
- سرورهای Apache از پرونده htaccess. استفاده میکنن.
- سرورهای Nginx از nginx.conf استفاده میکنن.
- سرورهای IIS مایکروسافت از web.config استفاده میکنن.
اگه یه وبمستری هستین که نمیدونین از کدوم وب سرور استفاده میکنه، بهتره از یه اسکنر وبسایت مثل Sitecheck استفاده کنین و بدافزارها، ویروسها، وضعیت لیست سیاه، خطاهای وبسایت و موارد دیگه رو اسکن کنین.
هرچقدر اطلاعات بیشتر درمورد وضعیت فعلی سایت خودتون داشته باشین میتونین خیلی بهتر نسبت به بالا بردن امنیت سایت اقدام کنین.
9. درخواست برنامه وب فایروال
مطمئن بشین که درخواست یه برنامه وب فایروال رو انجام دادین چون این کار تاثیر زیادی روی ارتقا امنیت وبسایت شما داره؛ اتصال بین سرور و پایگاه داده شما تنظیم میشه و هدف اینه که با کمتر خوندن اطلاعات، از سایت بیشتر محافظت بشه.
امروزه بیشتر WAF ها مبتنی بر ابر هستن و یه سرویس پلاگین دارن. سرویس ابری یه دروازه برای ترافیک های ورودیه و تلاشهای هک و انواع دیگه از تلاشهای مخرب مثل اسپم رو مسدود میکنه.
10. تقویت امنیت شبکه
یکی از مهمترین کارهایی که اگه ادعا میکنین سایت شما ایمنه باید انجام داده باشین اینه که شبکه خودتون رو تقویت کرده باشین!
کارکنانی که از رایانههای اداری استفاده میکنن ناخواسته میتونن مسیری ناامن به وبسایت شما ایجاد کنن. برای جلوگیری از دسترسی اونها به سرور وب سایت خودتون، بهتره موارد زیر رو انجام بدین:
- ورود به سیستم بعد از مدت کوتاهی عدم فعالیت، منقضی بشه.
- مطمئن بشین که همه دستگاههای متصل به شبکه برای هر بار وصل شدن اسکن بدافزاری میشن!
- مطمئن بشین که سیستم شما هر سه ماه یکبار کاربران رو از تغییر رمز عبورشون مطلع میکنه.
این هم از راهکارهای ما برای بالا بردن امنیت سایت شما! اگه شما روش دیگهای میشناسین که جواب داده و یا سوالی درباره امنیت سایت خودتون دارین حتماً از طریق کامنتها با ما در ارتباط باشین.