۱۰ روش جلوگیری از هک شدن سایت وردپرس ، شخصی ، سازمانی و..

اگر صاحب یک وب سایت باشید آیا چیزی وحشتناک تر از این وجود دارد که مورد حمله هکرها قرار بگیرید؟ هر سایتی باید دارای حداقل قابلیت هایی برای جلوگیری از این نوع حملات باشد. در این مطلب می خواهیم به روش های مختلف جلوگیری از هک سایت وردپرس ، شخصی و.. بپردازیم. پس اگر گرداننده یک سایت هستید این مطلب انزل وب را از دست ندهید.

آموزش نحوه جلوگیری از هک سایت وردپرسی و.. و بالا بردن امنیت

How to Secure a Website from Hack and Hackers

پیش از این در انزل وب به معرفی روش های مقابله با هک اینستاگرام و تلگرام و نیز ۴ سایت برای اینکه بفهمیم ایمیل ، اکانت و .. ما هک شده است پرداخته ایم. اما در این مطلب می خواهیم به مرور روش هایی برای جلوگیری از هک شدن وب سایت بپردازیم تا از این طریق با خیالی آسوده تر در دنیای وب به اداره یک سایت شخصی یا سازمانی بپردازیم.

تا حد ممکن از ارائه قابلیت آپلود فایل در وب سایت خودداری کنید

اگر به کاربرانتان این اجازه را بدهید که چیزی را در سایت شما آپلود کنند در واقع خود را در معرض خطرات بسیاری قرار داده اید. حتی اگر این قابلیت در حد عوض کردن یک تصویر آواتار باشد. ریسک این کار از آن جهت است که هر تصویر یا فایلی که در سایت آپلود می شود می تواند شامل یک اسکریپت مخرب نیز باشد. گرچه خیلی از وب سرورها به طور خودکار اجازه اجرای فایلی را که دارای پسوند مربوط به تصاویر باشد نمی دهند. ولی نمی توان به این هم اتکا کرد چرا که راه های بسیاری برای دور زدن آن وجود دارد. مثلا اینکه نام یک فایل ممکن است به شکل image.jpg.php باشد. برای جلوگیری از این اتفاق می توانید از کارهایی مثل تغییر نام فایل آپلود شده و تصحیح پسوند آن یا تغییر مجوزهای فایل جهت جلوگیری از اجرای آن استفاده کنید.

یک راه دیگر عدم اجازه برای دسترسی مستقیم به فایل های آپلود شده است. با این روش هر فایل آپلود شده در پوشه ای خارج از پوشه اصلی وب ذخیره خواهد شد. منتهی برای دسترسی به این فایل ها نیاز به اسکریپتی جهت بیرون کشیدن آن ها از پوشه و تحویل آن به مرورگر خواهید داشت. برای تصاویر از آن جا که دارای یک ویژگی به نام src هستند (این ویژگی به صورت مستقیم به آدرس تصویر اشاره نمی کند) می توان این کار را به کمک کد زیر انجام داد:

استفاده از HTTPS برای جلوگیری از هک شدن وب سایت

شاید تابحال در هنگام استفاده از اطلاعات حساس خود در اینترنت (مثلا در هنگام کار با حساب بانکی به صورت آنلاین) با علامت سبزرنگی در کنار نوار آدرس مرورگر خود برخورد کرده باشید. این علامت سبز رنگ در واقع نشانه این است که حفاظت از اطلاعات مالی در این صفحه تضمین شده است.  علاوه بر این در سال ۲۰۰۸ گوگل کروم یک آپدیت امنیتی منتشر کرد که طبق آن اگر وب سایتی از گواهی نامه SSL استفاده نکرده باشد به محض ورود به آن به بازدیدکنندگان وب سایت اخطاری داده خواهد شد.

گواهی نامه SSL به این دلیل که انتقال اطلاعاتی مثل کارت اعتباری، داده های شخصی، اطلاعات تماس و … را بین وب سایت و سرور ایمن می سازد از اهمیت زیادی برخوردار است. به همین دلیل اگر سایت شما از این گواهی برخوردار نباشد حتی ممکن است از رتبه بسیار پایینی در نظام رتبه بندی موتورهای جستجو برخوردار شود. بنابراین اگر شما یک فروشگاه آنلاین را اداره می کنید یا در هر قسمتی از وب سایتتان از بازدیدکنندگان می خواهید که اطلاعات شخصی حساس خود را وارد نمایند باید دارای گواهی نامه SSL باشید.

بروز نگه داشتن وب سایت و پلتفرم آن برای افزایش امنیت وردپرس

جهت جلوگیری از هک سایت وردپرس و.. همیشه سیستم مدیریت محتوای وب سایت (وردپرس، جوملا و …) و اپلیکیشن ها و اسکریپت هایی که از آن ها استفاده می کنید را به آخرین نسخه موجود به روز رسانی کنید. به این خاطر که بسیاری از آن ها به صورت منبع باز تولید شده اند و به همین دلیل کد آن ها به راحتی در دسترس همگان قرار دارد که این می تواند باعث بروز برخی سوء استفاده ها شود. به عنوان مثال وقتی وب سایتی از پلتفرم وردپرس استفاده می کند، هم خود وردپرس و هم پلاگین هایی که بر روی آن نصب شده است مستعد مورد حمله قرار گرفتن توسط هکرها هستند.

بنابراین استفاده از آخرین نسخه می تواند خیال شما را تا حد زیادی از این بایت راحت کند که هکرها به این راحتی ها توان نفوذ و آسیب زدن به سایت شما را نخواهند داشت. اگر شما هم از وردپرس استفاده می کنید می توانید به سادگی پس از وارد شدن به حساب کاربری خود و چک کردن آیکون Update در ستون وردپرس متوجه شوید که آیا به روز رسانی جدیدی آمده است یا نه.

استفاده از رمز عبور مطمئن برای افزایش امنیت وب سایت

شاید این موضوع خیلی ساده به نظر بیاید ولی اتفاقا از مهم ترین گزینه ها برای حفظ امنیت وب سایت است. شما باید همواره رمز عبوری را انتخاب کنید که علاوه بر اینکه در خاطرتان حک شود از پیچیدگی مناسب و کافی هم برخوردار شود تا امکان هک آن هر چه کمتر شود. ما پیش از این در انزل وب به آموزش ۱۸ تکنیک کاربردی برای انتخاب پسورد مناسب و قوی پرداخته ایم که پیشنهاد می کنیم حتما آن را مطالعه کرده و با به کارگیری این تکنیک ها امنیت سایت خود را بیش از پیش تضمین نمایید.

مراقب حملات SQL injection باشید

SQL injection یکی از متداول ترین انواع حمله به وب سایت است. معمولا در همه وب سایت ها فرم هایی برای ورود اطلاعات توسط کاربر و ذخیره آن ها در پایگاه داده وجود دارد. اگر شما ادر این بخش از پارامترهای امنیتی مناسبی استفاده نکرده باشید یک نفر می تواند به راحتی کدی مخرب را در میان کدهای سایت جای دهد تا از این طریق به پایگاه داده آن دسترسی پیدا کند. بطور مثال به کوئری زیر دقت کنید:

یک هکر ممکن است عنصر آدرس را که در قالب parameter در کوئری بالا آمده است به شکل زیر تغییر دهد:

از آنجا که ‘۱’ با ‘۱’ برابر است هکر به راحتی خواهد توانست یک کوئری دیگر به انتهای این کد SQL اضافه کند که اتفاقا قابل اجرا هم خواهد بود. بنابراین این امری مهم است که سایت خود را در برابر چنین حملاتی مصون نگه دارید. راه های مختلفی برای جلوگیری از SQL injection وجود دارد که یکی از معروف ترین آن ها استفاده از کوئری های پارامتربندی شده است که در واقع نوعی ارتباط با دیتابیس است که در آن کوئری (Query) ما یک بار بدون داشتن مقدار متغیر، به سرور دیتابیس ارسال شده و بعد از آن، متغیرها یکی یکی و به صورت جداگانه ارسال می‌شوند تا از این طریق اطمینان حاصل شود که هیچ کد یا پارامتر دیگری توسط هکرها در میان پارامترهای اصلی جاسازی نشده باشد. برای مثال اگر بخواهیم اشکال کوئری قبلی را از طریق این روش برطرف کنیم به کوئری زیر خواهیم رسید:

استفاده از CSP برای جلوگیری از هک شدن سایت وردپرسی

حمله Cross Site Scripting یا به شکل مختصر XSS یکی دیگر از حملات معمول به سایت ها است. در این حملات، هکر می توان به سادگی مثلا از طریق فرم ارسال نظرات کاربران به انتشار یک کد جاوا اسکریپت در وب سایت دست بزند و از این طریق کنترل بخش هایی از آن را به دست گیرد. یکی از راه های مبارزه با چنین حملاتی شبیه روش قبل استفاده از کوئری های پارامتربندی شده است. شما باید اطمینان حاصل کنید که هر فرم یا فیلدی که در وب سایت شما وجود دارد در پذیرش ورودی ها دارای یک سری محدودیت ها و قوانین خاص مربوط به خود باشد (مثلا فقط عدد قبول کند). یک راه دیگر استفاده از سیاست امنیت محتوا یا به اختصار CSP است.

CSP به شما اجازه می دهد که حوزه ها و دامنه های معتبر برای اسکریپت های اجرایی را در یک مروگر مشخص کنید تا از این طریق مرورگر به اسکریپت هایی که خارج از این دامنه قرار دارند توجهی نشان نداده و آن ها را اجرا نکند. استفاده از CSP به سادگی اضافه کردن یک سرآیند HTTP به صفحه وب است که مجموعه ای از فهرست هایی را که به مرورگر می گویند کدام یک از دامنه ها معتبر هستند و کدام معتبر نیستند را طبق قواعدی مشخص می کند. به عنوان مثال شما می توانید نحوه استفاده از CSP در مرورگر موزیلا را در صفحه مخصوص موزیلا ببینید.

نصب پلاگین های امنیتی برای افزایش امنیت وب سایت وردپرس و..

اگر از یک وب سایت وردپرسی استفاده می کنید پس انتخاب های زیادی در این بخش پیش روی شما خواهد بود. شما می توانید برای بالا بردن امنیت سایت از افزونه هایی مثل iThemes Security یا Bulletproof Security یا دیگر افزونه هایی از این دست استفاده کنید. این افزونه ها حفره ها و آسیب های امنیتی وب سایت شما را کشف کرده و از طریق مسدودسازی باعث افزایش امنیت وردپرس می شود. شما همچنین می توانید  از خدماتی که از طریق وب سایت SiteLock ارائه می شود استفاده کنید. این وب سایت با نظارت هر روزه بر سایت شما حفره های امنیتی و آن را پیدا کرده و در برابر بدافزارها و هکرها از آن محافظت می کند. همچنین استفاده از ابزارهای امنیتی زیر که به اختصار به معرفی هر کدام خواهیم پرداخت نیز می تواند به شما در این مسیر کمک کند:

• Netsparker می تواند به شما در جلوگیری از بروز حملات SQL injection و XSS کمک می کند.
• OpenVAS که یکی از حرفه ای ترین اسکنرهای سایت جهت شناسایی آسیب ها و ایرادات آن است. گرچه ممکن است کار با آن کمی سخت باشد.
• SecurityHeaders.io نیز ابزاری رای بررسی سریع سایت جهت یافتن اشکالات امنیتی آن است.
• Xenotix XSS Exploit Framework بیشتر برای بررسی سایت از لحاظ امنیت آن در برابر حملات XSS در مرورگرهای متفاوت به کار می رود.

ضمنا می توانید در همین خصوص مطلب ۱۲ تا از بهترین سرویس های بررسی آنلاین امنیت سایت  را نیز مطالعه کنید.

جهت افزایش امنیت هاست پوشه ها و مجوزهای فایل خود را قفل کنید

همه سایت ها از طریق یک سری از فایل ها و پوشه هایی که در سرور وب ذخیره شده اند قابل دسترسی هستند. گذشته از همه اسکریپت ها و داده های مورد نیاز برای کار کردن سایت، هر کدام از این فایل ها و پوشه ها دارای یک سری مجوزهایی هستند که مشخص می کنند چه کسانی یا چه گروه هایی از کاربران می توانند آن ها را بخوانند، از آن ها استفاده کنند یا آن ها را تغییر دهند. در سیستم عامل لینوکس این مجوزها به شکل کدهایی سه رقمی هستند که هر کدام از رقم های آن بین ۰ تا ۷ است.

اولین رقم نشان دهنده مجوزهای صاحب فایل، دومین رقم نشان دهنده مجوزهای گروه صاحب فایل و رقم سوم نشان دهنده مجوزهای افراد دیگریست که به ره شکلی به این فایل دسترسی دارند به این صورت که عدد ۴ یعنی فرد فقط قادر به خواندن فایل است، عدد ۲ به معنی اجازه نوشتن در فایل و عدد ۱ به معنای اجازه اجرای فایل است. عدد ۰ هم به این معنی است که فرد هیچ مجوزی برای کار با این فایل در اختیار ندارد. به عنوان مثال کد ۶۴۴ را در نظر بگیرید.

در واقع عدد ۶ در اینجا حاصل جمع اعداد ۲ و ۴ است که به این معنی است که فردی که به این فایل دسترسی پیدا کرده است اجازه خواندن و نوشتن در آن را دارد. اولین عدد ۴ به این معنی است و که گروه های کاربران تنها قادر به خواندن این فایل هستند. عدد ۴ که در آخر قرار گرفته است نیز به این معنی است که دسته های دیگر از کاربران (مثلا کاربران اینرنتی) هم تنها قادر به خواندن این فایل هستند و نمی توانند هیچگونه تغییری در آن ایجاد کنند.

همانطور که احتمالا حدس می زنید این شیوه مجوز دادن از امنیت بسیار پایین تری نسبت به حالتی که در آن فایل مورد نظر ما کاملا قفل شده باشد برخوردار است. با قفل کردن فایل فقط نشردهنده آن قادر به استفاده از آن خواهد بود. البته وجود این مجوزها در پاره ای موارد مثل آپلودهای FTP، ضروری است بنابراین در استفاده از این کدها باید بسیار دقت کنیم. به این شکل که مثلا برای پوشه ها کد ۷۵۵ و برای فایل ها کد ۶۴۴ در نظر گرفته شود.

اما اصلا چگونه می توانیم این مجوزها را تغییر دهیم؟ برای این کار اگر از cPanel استفاده می کنید وارد فایل منیجر آن شده و از طریق FTP به سرور متصل شوید. در اینجا شما لیستی از فایل های مجوزدار را مشاهده خواهید کرد (در تصویر زیر از برنامه Filezilla استفاده شده است).

برای تغییر این مجوزها به راحتی با راست کلیک روی آن هاو انتخاب گزینه File permissions می توانید اقدام کنید. در پنجره ای که به شکل زیر باز میش ود می توانید به راحتی مجوزهایی را برای دسترسی به فایل مدنظر خود تعیین کنید.

جلوگیری از هک شدن وب سایت سازمانی و.. با افزایش امنیت شبکه

اگر یک وب سایت اداری یا سازمانی را اداره می کنید باید مراقب باشید که اطلاعات وب سایت از طرف افراد داخل شبکه (مثلا کارمندان) تهدید نشود. برای اطمینان از این موضوع موارد زیر را حتما رعایت کنید:

• پس از مدتی غیرفعال بودن، کاربر به طور اتوماتیک از سیستم خارج شود و برای ورود دوباره باید بار دیگر از نام کاربری و رمز عبور خود استفاده کند.
• رمز عبور به صورت مداوم تغییر یابد.
• همانطور که پیش از این گفته شد باید یک رمز عبور قوی اتنتخاب نمایید.
• هر ابزاری را قبل از آنکه وارد شبکه شود از لحاظ عدم وجود بدافزار حتما مورد بررسی قرار دهید.

نصب فایروال امنیتی نسخه وب

این فایروال می تواند هم به صورت نرم افزاری و هم به صورت سخت افزاری بین داده های شما و سرور برقرار شود تا تک تک بیت هایی را که بین این دو جا به جا می شود کنترل کند و از این طریق به افزایش امنیت وب سایت کمک نماید.

به پیام های خطای سایت دقت کنید

گاهی اوقات ممکن است کاربران در هنگام انجام کاری در وب سایت با خطا روبرو شوند. این خوب است که این خطاها با پیغام مناسبی همراه باشند تا کاربر از سایت دلزده نشود. منتهی مراقب باشید که در قالب پیام های خطایی که به کاربرانتان می دهید اطلاعات حساسی را فاش نکنید. اطلاعاتی مثل کلیدهای API و رمز عبور پایگاه داده که معمولا در پیغام های خطای خودکار، آن ها را مشاهده می کنیم. بنابراین بهتر است که کنترل کاملی بر این پیغام ها داشته باشید.

در همین راستا برای جلوگیری از هک شدن می توانید مطالب ۳ روش جلوگیری از هک با دامنه و آدرس جعلی در روش فیشینگ و نیز آموزش کامل جلوگیری از هک حساب بانکی را در انزل وب مطالعه نمایید.

تجربه و پیشنهاد شما ؟

شما برای افزایش امنیت سایت خود چه اقداماتی انجام دادید؟ اگر روش دیگری را برای محافظت وب سایت و جلوگیری از هک شدن آن می شناسید یا تجربه ای در این زمینه دارید، دانش خود را با ما به اشتراک بگذارید.