روش‌های کاربردی محافظت از سایت در مقابل هک شدن

روش‌های کاربردی محافظت از سایت در مقابل هک شدن

آموزش محافظت از سایت در مقابل هک شدن

How to Protect Your Site From Hackers

آموزش محافظت از سایت در مقابل هک شدن

 

وقتی صحبت از امنیت و هک شدن سایت ها می شود، بسیاری از افراد با خود می گویند که وب سایت ما چه ارزشی دارد که بخواهد توسط هکرها مورد هجوم قرار بگیرد و هک شود!

در حالی که بسیاری از هک ها به این دلیل انجام می شود که هکرها می خواهند از منابع وب سایت (سرور سایت و ایمیل) برای ارسال ایمیل های اسپم یا ذخیره فایل های مخرب استفاده کنند.

تلاش های هکرها معمولا بوسیله کدها و اسکریپت های اتوماتیک انجام می پذیرد که کار اصلی آنها شناسایی نقاط آسیب پذیر وب سایت ها و تلاش برای نفوذ به آنها به منظور سو استفاده می باشد.

ما در ادامه مقاله می خواهیم آیتم هایی را معرفی کنیم که شما با انجام دادن آنها بتوانید با خیال راحت شبها بخوابید بدون اینکه نگران حملات هکرها به سایت خود باشید.

 

روش های ساده برای جلوگیری از هک شدن سایت:

با رعایت نکات زیر می توانید تا حد زیادی خیالتان بابت امنیت سایت راحت باشد:

 

۱- استفاده از پسوردهای قوی و ایمن:

قدم اول در حفظ ایمنی سایت، انتخاب پسورد مطمئن و قوی هم برای داشبورد مدیریت وردپرس و هم برای پنل هاست و دامین سایت است. در بخش زیر، نکاتی در زمینه انتخاب پسورد قوی و امن بیان کرده ایم:

  • استفاده ترکیبی از حروف بزرگ و کوچک انگلیسی، اعداد و نشانه ها (Symbols) مانند: [email protected]
  • در نظر گرفتن یک عبارت قابل حفظ کردن و در عین حال غیرقابل حدس توسط دیگران و بخاطرسپاری حروف اول آن عبارت.
  • استفاده از ابزارها و سایت های تولیدکننده پسورد مانند Lastpass و random

 

» مطالعه مقاله “راهنمای انتخاب پسورد قوی و امن” توصیه می شود.

 

استفاده از پسوردهای قوی و ایمن

 

۲- اجتناب از SQL Injection:

حملات تزریق SQL یا SQL-Injection زمانی رخ می دهد که هکرها سعی می کنند با استفاده از پارامترهای URL به دیتابیس یک وب سایت نفوذ کنند.

راه جلوگیری از حملات SQL Injection تعریف کوئری های اتصال به دیتابیس به شکل پارامتری می باشد. این روش پیاده سازی در زبان های برنامه نوبسی محتلف فرق دارد. بعنوان مثال در زبان php دستور زیر را داریم:

$stmt = $pdo->prepare(‘SELECT * FROM table WHERE column = :value’);
$stmt->execute(array(‘value’ => $parameter));

 

۳- مراقب حملات XSS باشید:

XSS مخفف عبارت Cross Site Scripting است و شامل اسکریپت های مخرب JavaScript می باشد که به صفحات یک وب سایت تزریق (Inject) می شود.

کدهای مخرب جاوااسکریپتی در مرورگر سیستم کاربران اجرا می شوند و می توانند اطلاعات کاربران را به سمت هکرها ارسال کنند یا محتوای صفحات وب سایت را تغییر دهند.

بهترین روش برای جلوگیری از حملات XSS مجبور کردن کاربران به ورود دوباره پسورد در صفحات حساس مانند حساب کاربری مشتریان فروشگاه آنلاین می باشد. همچنین افزودن هدر Content Security Policy header (CSP) می تواند وب سایت را در مقابل حملات XSS محافظت کند.

یک هدر CSP می تواند تعداد حملات XSS را تا حد زیادی کاهش دهد. بدین صورت که منابعی که مجوز دارند (مانند: تصاویر، استایل ها و اسکریپت ها) در لیست سفید یا WHITE LIST درج می شوند.

در صورتیکه سایت شما وردپرس است (یا کلا با PHP نوشته شده است) می توانید کد زیر را در فایل functions.php اضافه کنید:

header(‘Content-Security-Policy: default-src https:’);

 

۴- آپدیت نگه داشتن وردپرس:

بر اساس آمار، بسیاری از وب سایت هایی که در معرض خطر هک شدن قرار دارند و هک می شوند بدلیل آپدیت نبودن پلاگین ها یا هسته وردپرس آنها می باشد. پس مهم است که وردپرس، پوسته و تمام افزونه های آن را بروز نگه دارید.

 

آپدیت نگه داشتن وردپرس

 

۵- اعتبارسنجی فرم های سایت در مرورگر و سرور:

توصیه می شود فرم های وب سایت را در هر دو سمت کاربر (مرورگر:browser) و سرور (server-side) انجام شود. اعتبارسنجی یا validation سمت کلاینت یا مرورگر کاربران می تواند شامل خالی ارسال شدن فیلدهای اجباری (mandatory fields) یا عدم رعایت فرمت آدرس ایمیل باشد.

اما اعتبارسنجی های سمت کاربر می تواند توسط هکرها دور زده شود. به همین خاطر اعتبارسنجی سمت سرور نیز بشدت توصیه می شود. بدون پیاده سازی اعتبارسنجی server side ، فرم های سایت شما پتانسیل این را دارند که مورد حمله کدهای مخرب هکرها قرار بگیرند و در آینده ای نزدیک دیتابیس سایت تان هک شوند.

 

۶- احراز هویت دو مرحله ای (۲-Factor Authentication):

سعی کنید از یک پلاگین احراز هویت دو مرحله ای مانند Google Authenticator در وب سایت وردپرسی خود استفاده کنید. در اینصورت کاربران باید علاوه بر ورود نام کاربری و رمز عبور حساب کاربری خود، بعنوان مثال یک عدد ۶ رقمی که به آدرس ایمیل کاربر ارسال شده یا به شماره موبایل او پیامک شده را نیز وارد کند.

 

احراز هویت دو مرحله ای

 

شما همچنین می توانید از شرکت میزبانی سایت خود درخواست کنید که اگر از قابلیت احراز دو مرحله ای (۲-Step Authentication) پشتیبانی می کند آن را برای مدیریت سایت یا سی پنل آن شما فعال کند.

 

۷- عدم پذیرش آپلود فایل:

روش دیگری که می توان از هک شدن سایت جلوگیری کرد عدم اجازه به کاربران برای آپلود فایل در سایت می باشد. شما براحتی می توانید دسترسی کاربران برای آپلود فایل را ببندید. فقط کافیست دستورات زیر را در فایل .htaccess وارد کنید:

deny from all
<Files ~ “^\w+\.(gif|jpe?g|png)$”>
order deny,allow
allow from all
</Files>

 

۸- بررسی خطاهای رایج در وب سایت:

در نهایت باید نگاهی به خطاهایی که در وب سایت تان نمایش داده می شود بیاندازید. بعنوان مثال پیغام های خطایی که در فرم لاگین کاربران یا مدیریت سایت پس از ورود اطلاعات نادرست نمایش داده می شود باید کلی باشد. مثلا اگر یک کاربر username را درست وارد کرد اما پسورد را اشتباه نوشت نباید پیغام خطای ما بدین صورت باشد: “پسورد اشتباه وارد شده است.” زیرا در اینصورت هکرها می فهمند که نام کاربری یا username درست وارد شده است. بلکه پیغام خطای ورود باید به صورت “نام کاربری یا رمز عبور نادرست است!” تعریف شود.

ارائه اطلاعات جزئی بهنگام لاگین کاربران می تواند کار هکرها را برای نفوذ به پنل مدیریت سایت یا حساب کاربری مشتریان راحت کند. پس توصیه می شود از پیغام های کلی استفاده شود.

 

جلوگیری از نفوذ هکرها به وب سایت:

مواجه شدن با حملات هکرها به سایت متاسفانه بخش جدایی ناپذیر زندگی افراد و به ویژه مدیران وب سایت ها می باشد. خوشبختانه روش هایی وجود دارد که می توان با رعایت آنها تا حد زیادی جلوی نفوذ هکرها به سایت را گرفت. شما نیز با رعایت نکاتی که در این مقاله بیان کردیم می توانید امنیت سایت خود را تامین کنید و هکرها را از نفوذ به سایت خود نا امید کنید. برای کسب اطلاعات بیشتر در زمینه امنیت وب سایت به سری آموزشی امنیت وب سایت از مجله آموزشی محتوا مراجعه کنید.

کاربران گرامی؛ اگر در برقراری امنیت وب سایت خود دچار سوال یا ابهامی هستید یا می خواهید تجربیات خود را با سایر کاربران به اشتراک بگذارید، لطفا از طریق فرم ارسال دیدگاه اقدام نمائید تا کارشناسان ما در کوتاه ترین زمان ممکن پاسخگوی شما باشند.

 

منبع: managewp.com

این مقاله را در شبکه‌های اجتماعی به اشتراک بگذارید!

Share on facebook
Share on google
Share on linkedin
Share on telegram
Share on email

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × 4 =

مقالات اخیر

مقالات تصادفی

فهرست کلی مقالات

کتاب گوگل ادز

دانلود کتاب "آموزش سرویس گوگل ادوردز"

آموزش کامل فعال‌سازی HTTPS در وردپرس

دانلود کتاب "فعال‌سازی HTTPS در وردپرس"

دانلود رایگان کتاب الکترونیکی

معرفی بهترین ابزارهای بازاریابی محتوا در سال 2019

دانلود رایگان کتاب الکترونیکی "معرفی بهترین ابزارهای بازاریابی محتوا در سال 2019"