بسیاری از صاحبان وب سایت زمانی که سایتشان هک می شود تصور می کنند مورد می تواند از امنیت پایین سرور باشد در حالی که به این صورت نیست . و دلیل هک شدن بسیاری از سایت هایی که از سی ام اس استفاده میکنند می تواند همین سی ام اس استفاده شده و وجود حفره های امنیتی در نرم افزار های استفاده شده در هاست باشد.
آسیب پذیری در هاست هایی با سیستم مدیریت محتوا اغلب توسط هکر ها انجام می گیرد . هنگامی که یک سیستم مدیریت محتوا مورد حمله ی هکر قرار می گیرد ، حتی می تواند سرور را هم تحت تاثیر قرار دهد و به عنوان یک هدف برای هکر باشد.
با روی کار آمدن سیستم های مدیریت محتوای رایگان از جمله وردپرس , جوملا , دروپال و … ( هرچند فوق العاده سیستم های قوی از نظر امنیت هستند ) ولی باز هم به دلیل رایگان بودن آنها و در دسترس بودن سورس آنها توسط هکر ها , هر لحظه امکان هک شدن آنها وجود دارد .
شما مدام می بینید که سیستم های مدیریت محتوا بروزرسانی امنیتی می دهد ، در ابتدا یک سری مشکلاتی پیدا می شود ، سپس این مشکلات گزارش می شوند و بسته ی بروز رسانی ایجاد می شود . اما نکته ی مهم این است که این بسته ها پس از اینکه توسط هکرها کشف و مورد سوء استفاده قرار می گیرد ساخته می شوند برای همین امنیت در فضای مجازی هیچ زمان تضمین شده نیست.
هیچ زمان نمی توان گفت یک وب سایت دارای امنیت 100% است . به همین دلیل مدیران وب سایت فقط به دنبال راهکارهایی برای افزایش هر چه بیشتر امنیت در وب سایت خود هستند تا احتمال هک شدن وب سایت خود را تا جایی که امکان دارد به سمت صفر سوق دهند .
امنیت زیر ساخت ها برای هر وب سایت یک امر حیاتی است حتی اگر اطلاعات حساس در میزبانی نداشته باشید.
درست است که شرکت هاستینگ مطمئن و استفاده از هاست مطمئن نیز در امنیت سایت بی تاثیر نیست ، ولی علاوه بر اینکه باید این مورد را نیز در نظر داشت باید به موارد دیگر که در ارتباط با خود کاربر است نیز دقت کرد و موارد امنیتی را انجام داد.
در این پست قصد دارم نکاتی که باعث هک شدن سایت شما می شود را توضیح دهم که می توانید با رعایت آنها ضریب امنیت وب سایت خود را تا حد قابل قبولی بالا ببرید .
آپدیت نبودن مدیریت محتوا و افزونه ها
این مورد از درجه اهمیت بالایی برخوردار است . در صورتی که سی ام اس استفاده شده آپدیت نباشد به راحتی سایت توسط هکر هک می شود .
بسیاری از سایتهای موجود در اینترنت با سیستم مدیریت محتوای رایگان راه اندازی شده اند ، به همین دلیل سایت هایی که با سی ام اس است بیشتر مورد توجه هکر ها قرار گرفته است.
برای افزایش امنیت وب سایت خود باید همیشه نسخه سی ام اس استفاده شده و تمامی افزونه های خود را به روز رسانی کنید. وقتی شما همیشه آپدیت باشید در واقع مسیرهای نفوذ برای هکرها بسته می ماند و تا وقتی که آنها بتوانند روشهای جدید هک را پیدا کنند , آپدیت بعدی از راه می رسد و مجددا راه های نفوذ آنها بسته می شود.
زمانی که سی ام اس آپدیت نباشد علاوه بر هک شدن سایت می تواند حتی منجر به مشکلات دیگری از جمله اسپمینگ از هاست شما شود که این مورد علاوه بر اینکه مشکلاتی برای شما ایجاد می کند در کار سایر کاربران دیگر نیز اختلال ایجاد می شود.
عدم قرار دادن رمز بر روی پوشه ادمین سیستم مدیریت محتوا
زمانی که بر روی پوشه ی مدیریت سی ام اس خود پسورد قرار ندهید هکر با هک کردن هاست شما به راحتی می توانید به این پوشه دست پیدا کند.
تمامی هاستینگ ها این امکان را در اختیار شما قرار می دهند که برای یک فایل یا یک پوشه نام کاربری و رمز عبور انتخاب کنید .
از گزینه ی password protectمی توانید برای بالا بردن امنیت یک وب سایت استفاده کنید بنابراین باید پوشه های مدیریت cms ها رو با استفاده از این روش رمز گذاری کنید.
منظور از پوشه مدیریت , همان پوشه ای هست که با ورود به آن , به قسمت مدیریت cms وارد میشوید.
مثلا برای وردپرس , پوشه ی wp-admin می باشد .
ویروسی شدن کامپیوتر شخصی شما
این یکی از روشهای رایج نفوذ گران است. معمولاً این نرمافزارهای مخرب بدون اینکه مدیر سایت مطلع شود تمامی رمز عبورها را مخفیانه برای نفوذگر ارسال مینمایند.
از امن بودن کامل کامپیوتر شخصی خود مطمئن شوید و یک نرمافزار ضد ویروس قوی بر روی آن نصب نمایید.
استفاده از رمز عبور ساده و قابل حدس
یکی دیگر از عواملی که باعث هک شدن وب سایت شما می شود پسورد های راحت و ضعیفی است که شما برای هر کدام از قسمت های هاست خود انتخاب کرده اید.
پسورد های ایمیل ، دیتابیس ، مدیریت سی ام اس و … را به پسورد های سخت و پیچیده تغییر دهید.
عدم تنظیم سطح دسترسی ها
معمولا برخی از کاربران از سطح دسترسی full control برای فایل یا فولدر خود استفاده می کنند که در این صورت دسترسی را برای هکر راحت تر می کنند.
فایل یا فولدر ها را تا زمانی که نیاز برنامه نباشد سطح دسترسی full یا 777 ندهید.
حذف نکردن افزونه های بلا استفاده
مسئله دیگر که ممکن است مهم به نظر نرسد، حذف نکردن افزونه های بلا استفاده در سیستم های مدیریت محتوا است. افزونه ها و کامپوننت هایی که در سایت کاربردی ندارند و یا آن ها را نمی شناسید و از آنها استفاده نمی کنید را حذف کنید.
عدم رعایت راهنمای امنیتی
راهنمای امنیتی تمام نرمافزارها ، ماژولها ، قالبها، و پلاگین های مورد استفاده خود را به صورت کامل و دقیق مطالعه کنید و تمامی مراحل را به صورت کامل انجام دهید .انجام ندادن حتی یکی از موارد امنیتی میتواند منجر به هک شدن سایت شما شود.
استفاده از پلاگین های غیر قابل اطمینان
در سیستم های مدیریت محتوا , به هیچ عنوان از پلاگین هایغیر قابل اطمینان استفاده نکنید . هر پلاگین و قالبی قابل اطمینان نیست .
پلاگین ها می توانند با توجه به برنامه نویسی ضعیفشان , سایت شما را دارای باگ امنیتی کرده و هکر به سایت شما نفوذ کند .
تمام پلاگین های مورد نیاز را از سایت رسمی وردپرس دریافت کنید.
استفاده از شناسه پیش فرض admin
هنگامی که با وردپرس وب سایت خود را راه اندازی می کنید به صورت پیش فرض مثلا در وردپرس نام کاربری admin در کادر مربوط به شناسه ی کاربری وارده شده است.
پیشنهاد می کنیم از یوزر ادمین استفاده نکنید ، زیرا اگر پسورد شما هم راحت باشد هکر از روش brute- force می تواند وارد محیط مدیریتی سی ام اس شما شود.
مخفی نگه نداشتن نسخه ی استفاده شده
در صورتی که نسخه ی سی ام اس استفاده شده قابل نمایش باشد هکر می تواند متوجه شود که شما در حال استفاده از چه نسخه ای هستید و ممکن است از نقاط ضعف ان نسخه استفاده کند.
شما می توانید از طریق فایل مربوط به این مورد ، نسخه را حذف کنید.
استفاده از کدها دارای امنیت پایین
یکی از رایجترین عوامل هک شدن استفاده از کدهای ناامن میباشد زیرا نفوذ از طریق کد سادهتر از نفوذ از روشهای دیگر مانند سرور ، شبکه و یا هاست میباشد .
از یک متخصص امنیت درخواست نمایید امنیت تمامی بخشهای سایت شما را بررسی نماید.
پشتیبان گیری
به این نکته در همه جا حتی در همین وبلاگ بارها اشاره شده است. پشتیبان گیری منظم از وب سایت دارای اهمیت بسیار زیادی می باشد، بسیاری از مردم به این نکته توجه نمی کنند تا زمانی که دیگر دیر شده است. حتی با بهترین اقدامات امنیتی هیچگاه سایت بطور 100% غیر قابل هک نخواهد بود و امنیت 100% وجود نخواهد داشت.
ما اینکار را به صورت منظم بر روی سرور ها انجام خواهیم داد ولی همانطور که در قوانین و مقررات ذکر کرده ایم تضمینی بر صحیح بودن بک اپ ها نیست و کاربر موظف است پس از اخرین تغییر بر روی وب سایت خود از تمام اطلاعات خود بک اپ تهیه و ذخیره کنید. ما به تمام کاربرانمان حتی آنهایی که از سی ام اس استفاده نکرده اند همیشه این توصیه را می کنیم که از تمام اطلاعات خود بک اپ داشته باشید و در جایی غیر از هاست خود ذخیره کنید.