نکته های مهم از امنیت وبسایت
امرزوه با گسترش سیستم های مدیریت محتوا و فروشگاهی و غیره داشتن یک وبسایت بسیار آسان شده و سیستم هایی مانند وردپرس و جوملا و دروپال به صاحبان مشاغل این امکان را می دهند که خیلی سریع وب سایت خود را راه اندازی کنند. امکانات گسترده این سیستم ها مثل قالب ها، پلاگین ها و کامپوننت های مختلف نیاز به یادگیری علم طراحی سایت را بسیار کاهش داده اند.
این یک اتفاق فوق العاده است! اما عوارض جانبی منفی نیز دارد چون یک وب مستر تازه کار چیزی در مورد امنیت سایت خود نمی داند با این حال تعداد این افراد روز به روز افزایش می باید. در اینجا لازم دیدیم چند نکته مهم را در مورد امنیت وب سایت برای وب مسترهای تازه کار بیان کنیم:
آپدیت ، آپدیت ، آپدیت!
یکی از مهمترین موارد بروز رسانی مرتب نرم افزاری سایت شماست! یعنی بطور مرتب سیستم مدیریت محتوا و افزونه های استفاده شده را آپدیت کنید. هر بروز رسانی ممکن است در جهت رفع یک ضعف امنیتی شناخته شده ارائه شده باشد و اگر آن را اعمال نکنید نقطه ضعف بسیار خطرناکی در دسترس هکر ها قرارداده اید! در حال حاضر بسیار از هکر ها از رباتهای اتوماتیک جهت اسکن کردن نقطه ضعف وب سایت ها استفاده می کنند و اگر دیر بجنبید قبل از آنکه سایت را آپدیت کرده باشید ممکن است هک شده باشد!
پسوردهای قوی
متاسفانه شاهد بودیم که بسیاری از وب سایت های هک شده که به ما برای رفع مشکل مراجعه کردند زمانی که جهت بررسی نام کاربری و رمز مدیریت سایت را به ما دادند از رمز های بسیار پیش پا افتاده و ساده استفاده کرده بودند! گاهی حتی ترکیب admin/admin برای یوزر و پسورد هم استفاده کرده بودند. هکر ها در حمله به سایت شما در دقیقه هزاران پسورد تصادفی را روی سایت شما تست می کنند پس بایستی از رمزهایی استفاده کنید که حتی تصادفی به آن دست یافتن هم غیر ممکن باشد. همچنین پسورد شما برای سایت های مختلف باید متفاوت باشد و از رمز هایی با طول حداقل 12 کاراکتر استفاده کنید. توصیه می کنیم مطلب “راهنمای انتخاب پسورد مناسب” را حتما بخوانید.
هر وب سایت یک هاست مجزا
میدانیم که میزبانی چند سایت روی یک هاست با امکاناتی که این روزها ارائه می شود بسیار ساده و مرقوم به صرفه اقتصادی است اما اینکار یک نقطه ضعف امنیتی بزرگ در کار شما خواهد بود. کافیست یکی از وب سایت های شما به هر دلیل هک شود تا تمام سایت های شما داخل آن هاست به خطر بیفتد! حتی در این حالت پیدا کردن راه نفوذ هکر نیز بسیار سخت می شود و به راحتی نمی توان متوجه شد شروع نفوذ از کدام سایت روی هاست انجام شده! پاکسازی سایت و تغییر رمزها نیز در این حالت چند برابر کار خواهد برد.
ارائه دسترسی های مناسب
در سایت هایی که افراد مختلف می توانند عضو شوند باید به نقش کاربر و دسترسی هایی که پیدا خواهد کرد دقت کنید و بررسی کنید که دسترسی مهم و نامناسبی به یک کاربر ساده سایت خود ندهید. مثلا کسی که قرار است برای شما مقاله در سایت بنویسید نیازی نیست دسترسی کامل به سطح ادمین داشته باشد.
تغییر تنظیمات پیشفرض سیستم
این توصیه مخصوصا برای وب مستر های تازه کار مهم است! مثلا در نصب وردپرس مواردی پیشفرض است که حتما باید تغییر دهید مثل پیشوند نام جداول دیتابیس که wp می باشد! یا مدیر کل جوملا که معمولا admin می باشد! یا پوشه مدیریت وردپرس که wp-admin می باشد! اینها مواردی هست که باید رعایت کنید و حتی الامکان از پیشنهادهای پیشفرض سیستم در هنگام نصب استفاده نکنید. همچنین پرمیشن های دیفالت برای فایل های مهم کانفیگ سایت خود را باید تغییر دهید و آنها را از دسترس عموم خارج کنید.
دقت در انتخاب افزونه ها
می دانیم که پلاگین های مختلف امکانات خوبی به سیستم مدیریت سایت ما اضافه می کنند اما آیا صحیح است از هر پلاگینی استفاده کنید؟ پاسخ منفی است و باید نکاتی را در نظر بگیرید مثل اینکه آخرین آپدیت پلاگین مورد نظر چه زمانی بوده و قابل اعتماد هست یا خیر؟ چقدر از عمر آن می گذرد و توسط چند نفر در سایت های مختلف استفاده شده؟ آیا از منبع معتبری دارید آن را دانلود می کنید؟
بکاپ ، بکاپ ، بکاپ!
بدترین اتفاق برای یک سایت این است که هک شود اما بدتر از آن این است که پس از این اتفاق دست شما خالی باشد! داشتن بکاپ منظم به شما کمک می کند در چنین شرایطی به راحتی اطلاعات خود را بازیابی کنید و سایت خود را زنده نمایید. بکاپ های شما باید در جای امنی نگهداری شود و نگهداری از بکاپ داخل هاست شما یا حتی سرور شما کار عاقلانه ای نیست! بکاپ گیری باید اتوماتیک باشد که خطا و فراموشی باعث عقب افتادن و نداشتن بکاپ مناسب نشود! همچنین بکاپگیری برای سایت های مهم باید بگونه ای باشد که هر زمان اتفاق ناگواری افتاد بتوانید از نظر زمانی بکاپ سالم از نزدیکترین زمان قبل از اتفاق را بازگردانی نمایید.
نصب SSL
مخصوصا در سایت های فروشگاهی یا سایت هایی که اعضا در آن عضویت دارند و اطلاعاتی مانند پسورد در آنها رد و بدل می شود باید از SSL استفاده نمایید. امروزه اکثر هاستینگ ها از سیستم رایگان let’s encrypt استفاده می کنند که می توانید به راحتی آن را روی وب سایت خود فعال کنید و امنیت حداقلی از این نظر داشته باشید. پیشنهاد ما این است که روی همه وبسایت ها بهتر است ssl فعال کنید، حتی گوگل هم با سایت شما برخورد بهتری خواهد داشت و پیام Not Secure را نمایش نخواهد داد. توجه داشته باشید که ssl چیزی نیست که جلوی هک شدن سایت شما را بگیرد بلکه فقط ایمن کننده مسیر رد و بدل اطلاعات بین سایت شما و بازدید کننده است که برخی روش های هک موفق به دزدیدن اطلاعات مثلا پسورد کاربر سایت شما در بین راه نشوند.
رعایت همین چند نکته به شدت امنیت سایت شما را افزایش می دهد و وب سایت شما را در مقابل بسیاری روش های ساده حمله و هک ایمن خواهد کرد.