چگونه وب سایت را از نظر امنیت چک کنیم (دریافت پیوندک)

نوشته شده در تاریخ: 14/09/96 | نویسنده:مصطفی اسدی

چگونه وب سایت را از نظر امنیت چک کنیم

بر اساس تحقیقت فراوان چک لیست زیر را که حاوی 10 عمل مهم می باشد برای بررسی ایمنی وب سایت به شما معرفی می کنیم :

1- فعال سازی پروتوکل Https

همین حرف ساده S در انتهای HTTP نشان دهنده وجود لایه امن ssl در وب سایت شما است . این لایه امنیتی ترافیک بین مرورگر کاربر و سرور را رمزگذاری می نماید. این موضوع بسیار اهمیت دارد حتی گوگل هم در فرمول SEO خود وجود SSL را در وب سایتها گنجانده است و وب سایتهایی را که از این لایه امنیتی استفاده نمی کنند بعنوان وب سایت های نا ایمن در نظر می گیرد.بنابراین سعی کنید برای وب سایت خود یک SSL تهیه نمایید.

2-به روز رسانی نرم افزارها و plugin های وب سایت

اگر شما از CMS های معتبری همچون وردپرس ، جوملا  و یا سایتهای ساخت وب سایت همچون Godaddy و … استفاده می کنید قاعدتا نباید نگران امنیت وب سایت خود باشید به شرطی که بطور مرتب آنها را به روز رسانی کنید و اگر در وب سایت خود از plugin های متعدد استفاده می کنید آنها را نیز به روز رسانی نمایید. این کار سبب می شود تا کمتر مورد حمله قرار گیرید.

3-حذف افزونه ها و plugin های غیر ضروری

افروزنه هایی را که از آنها استفاده نمی کنید خصوصا مدت طولانی است که به روز رسانی هم نشده اند از وب سایت خود حذف کنید . یکی از کارهای خطرناک این است که شما افزونه هایی را در وب سایت خود نصب کنید که قدیمی هستند و تاریخشان گذشته است. برخی از این افزونه ها توسط هکرها دستکاری شده و کدهای مخربی درون آنها قرار داده شده است. زمانی که شما از این دسته plugin ها در وب سایت خود استفاده کنید نسخه خطرناکی در وب سایت خود قرار داده اید که به هکرها اجازه ی دسترسی به سرور را می دهد. هنگامی که شما وب سایت خود را از نظر امنیتی چک می کنید لازم است این موضوع را بررسی کنید.

4-تهیه بک آپ از همه اطلاعات

پشتیبان گیری مداوم و دوره ای از وب سایت به شما این امکان را می دهد تا شما نسخه هایی از اطلاعات وب سایت خود را ذخیره کنیدو یا اطلاعات خود را در جایی غیر از هاست خود نگهداری کنید. در صورت تخریب محتوای وب سایت و یا حتی اضافه شدن کدهای مخرب در فایلها، شما اطلاعات سالم را همچنان در اختیار خواهید داشت. ” از سیستم های بک آپ گیری خارج از وب سایت خود استفاده کنید تا اطلاعات خود را در محلی غیر از وب سایت نگهداری نمایید. این موضوع امنیت اطلاعات شما را بسیار بالا خواهد برد”.

5-مانیتورینگ فایلها

به فایلهایی که در وب سایت ارسال می گردند توجه داشته باشید. فایلهایی همچون word ، excel ، pdf  می توانند توسط هکرها دستکاری و تخریب شوند. با استفاده از چک کننده های آنلاین بدافزار همچون GoDaddy Website Security, powered by Sucuri آنها را چک نمایید.

6-حفاظت در مقابل حملات brute force

این تصویری است که همه ما از هکرها داشته ایم، افراد بدی که سعی دارند نامهای کاربری و کلمه عبور  را حدس بزنند، یا با استفاده از نرم افزار به راحتی در صفحه ورود صدها بار در هر ثانیه چک کنند. این را می توان به دو صورت از بین برد:

– استفاده از کلمات عبور پیچیده ، ترجیها استفاده از حروف و اعداد تصادفی

– اگر شما از وردپرس استفاده می کنید بهتر است با استفاده از افزونه هایی همچون Limit Login Attempt حملات brute force  را بلاک کنید و IP های مشکوک را مسدود نمایید.

7- تغییر نام کاربری

با بررسی بسیاری از حملات brute force مشخص می شود که حمله کنندگان بیشتر به دنبال نام های کاربری  Admin هستند. سعی کنید از نام کاربری Admin استفاده نکنید و آن را حذف و یا تغییر دهید.

8-تولید اتوماتیک کلمات عبور

همانطور که گفته شد استفاده از کلمات عبور پیچیده می تواند حملات brute force را به حداقل رساند. استفاده از امکاناتی همچون LastPass و یا 1Password  و تولید رمزهای پیچیده و اتوماتیک و نگهداری آنها توسط همان نرم افزارها (برای جلوگیری از فراموشی رمزهای طولانی) به منظور بالا بردن امنیت وب سایت شما پیشنهاد می شود.

9-DNS و Whois سایتتان را اسکن کنید.

برخی هکرها با  مهندسی معکوس ایمیل خود و با استفاده از امکان forgot my password در ثبت کننده دامنه می توانند دامنه را به سرقت ببرند.

اگر دامنه شما بسیار اهمیت دارد بطور مرتب Whois آن را دستی و یا با استفاده از افزونه هایی همچون Sucuri security plugin چک کنید.

10- استفاده از ابزارهای بررسی امنیت آنلاین

در حال حاضر چندین ابزار آنلاین برای بررسی امنیت وب سایت و یا افزونه هایی وجود دارد که می توانید از آنها برای بررسی امنیت وب سایت خود بهره بگیرید.مانند Sucuri  در وردپرس.صرفنظر از این که وب سایت شما در کجا میزبانی می شود و یا نوع نرم افزار مورد استفاده شما چیست، گام های اساسی برای بررسی ایمنی وبسایت وجود دارد که صاحبان وب سایت ها و یا مدیران IT شرکتها باید آنها را اجرا نمایند.