اطلاع‌رسانیامنیت خانگیمنتخب سردبیر

رایج‌ترین اشتباهات درباره امنیت وب‌سایت

آن‌ها همه جا هستند! هکرها، افراد خرابکار و هکرهای کلاه سیاه (black hats، افراد هکری که به قصد آسیب رساندن سعی در ورود به کامپیوتر افراد دارند.) به دنبال اطلاعات شخصی شما، اطلاعات شخصی مشتریان شما و از همه بدتر به دنبال هویت شما هستند. متأسفانه شاید اکنون متوجه این شوید که داستان‌هایی که درباره امنیت وب بیان می‌شد، حقیقت داشت. در اینجا به برخی از اشتباهات رایج و موضوعاتی که می‌توانند سایت شما را در معرض خطر قرار دهند می‌پردازیم.

هکرها به من علاقه‌ای ندارند

این‌ها جملاتی هستند که اکثر هکرها علاقه زیادی به شنیدن آن‌ها دارند. آن‌ها فقط به دنبال آسیب‌پذیری کامپیوتر یا سایت شما هستند. اگر بتوانند وارد شوند، می‌توانند در همه چیز اختلال ایجاد کنند و این چیزی است که آن‌ها می‌خواهند. اطلاعات احراز هویت بانکی یکی از مهم‌ترین اهداف آن‌ها می‌باشد. در حقیقت آن‌ها می‌توانند:

  • به اطلاعات احراز هویت حساب سازمان نفوذ کنند.
  • به اطلاعات شخصی، مشتریان و کارکنان شما نفوذ کنند.
  • سرور شما را هک کنند تا نقشه‌هایشان را از این راه عملی کنند.
  • یا به راحتی شما را نابود کنند.

حتی شاید سایتی بسازند که شبیه به وب‌سایت شما باشد تا بازدیدکنندگان را به آن سایت هدایت کنند و به این ترتیب مقاصد شوم خود را پیاده سازند.

تمامی این کارها از طریق ربات‌هایی صورت می‌گیرند که می‌توانند شما را پیدا کنند. مشابه موتورهای جستجوگر، هکرها میلیون‌ها ربات برای جستجوی وب می‌فرستند. هنگامی که ربات‌ها به شما می‌رسند، تقریباً همه چیز را درباره سایت شما می‌دانند. نرم‌افزار و نسخه‌ای که استفاده شده است را می‌شناسند. درباره آخرین باری که سایت شما به‌روزرسانی شده است اطلاعات دارند و همه چیز را درباره سرور شما می‌دانند. این اطلاعات را گزارش می‌دهند و یا بر اساس اطلاعاتی که جمع‌آوری شده است، تصمیم به نفوذ،  گزارش و یا ورود ربات دیگر می‌گیرند. وارد سایت www.builtwith.com شوید و آدرس URL سایت را وارد کنید. اطلاعاتی که دریافت می‌کنید، در حقیقت اطلاعاتی هستند که یک ربات به دست می‌آورد. به نظر وحشتناک می‌رسد!

سایت من سال پیش ساخته شد و امن بود!

اگرچه سایت شما به وسیله افراد حرفه‌ای، 365 روز پیش ساخته شد و امن بود، شاید امروز امن نباشد. هکرها همیشه به دنبال پیدا کردن روش‌هایی برای انجام اقدامات شیطانی خود علیه شما هستند. مثالی از این موضوع، کمپانی‌های تأمین‌کننده امنیت کامپیوتر شما هستند، این کمپانی‌ها میلیون‌ها کامپیوتر را به‌روزرسانی می‌کنند زیرا کامپیوتری که دیروز امن بود، امروز امن نیست.

امنیت وب‌سایت

من سایتم را بروز کردم، پس همه چیز تمام است!

شاید امروز بروز باشید، اما از کجا می دانید که هکرها زمانی که سایت شما آسیب‌پذیر بود، نفوذ نکرده باشند؟ هکرها هنگامی که وارد می‌شوند، “درب پشتی” (back door) می‌سازند. درب پشتی نقاطی هستند که این افراد می‌توانند هر بار به سادگی از آن وارد شوند. به این دلیل اگر سایت را بروز کنید و آسیب‌پذیری را از بین ببرید، آن‌ها می‌توانند هر بار که می‌خواهند، دوباره وارد شوند. تنها راه برای از بین بردن درب‌های پشتی، اسکن امنیتی و بررسی‌های کد [برنامه‌نویسی] است. کدهای CMS شما باید با کدهای اصلی مقایسه شوند تا از عدم تغییر آن‌ها مطمئن شوید.

اگر آن‌ها وارد شوند، من سایتم را سالم نگه می‌دارم

خیر، شاید شما کل سرمایه‌تان را ببازید، این سرمایه می‌تواند 10 تا هزاران دلار باشد. تعداد زیادی از افرادی که سایت داشتند به ما مراجعه کردند و اظهار داشتند که سایتشان هک شده است و توسعه‌دهندگان آن‌ها نمیتوانند آن را درست کنند. اگر توسعه دهنده سایت شما از بکاپ استفاده نکند، احتمالاً سایت شما از دست رفته است. گاهی اوقات متخصصین امنیتی می‌توانند وارد شوند و مشکل را حل کنند، اما گاهی اوقات آسیب‌پذیری به قدری زیاد است که شروع مجدد، هزینه کمتری دارد. اطمینان حاصل کنید که توسعه دهنده وب شما از منبع کد GIT یا SVN استفاده می‌کند و بکاپ هایی به صورت روزانه، هفتگی و ماهانه دارد. شاید مجبور به استفاده از بکاپی قدیمی باشید که هک نشده باشد.

من اطلاعات مشتریان را ذخیره نمی‌کنم پس مشتریانم در خطر نیستند

این صحیح نیست. شاید هکر، کنترل سایت شما را به دست بگیرد و شما قادر به برگشت آن نباشید! شاید آن‌ها سایت شما را با نسخه‌ای جعلی تکثیر کنند که شبیه به سایت شما است و شما نیز به هوای سایت اصلی، به آن، ترافیک ارسال کنید. شاید هم به دنبال اذیت کردن مشتریان شما باشند. حتی شاید بچه‌های دبیرستانی ربات‌هایی بفرستند که مشتریان شما را اذیت کنند. این افراد برای خراب کردن کسب و کار شما اقداماتی انجام می‌دهند.

SSL من را امن نگه می‌دارد

Secure Socket Layer یک پروتکل امنیتی است که اطلاعات بین مرورگر و شما را امن می‌کند. با توجه به زمان اندک و انگیزه محدود، تا زمانی که خود سرور به‌صورت کامل امن شود در حقیقت این یک پروتکل امنیت کامل است. اگرچه نمونه‌های بسیار زیادی وجود دارند که افراد صبور و حرفه‌ای موفق به شکستن آن شده‌اند.

چه کاری باید انجام دهید؟

خودتان را درباره باورهای امنیتی نادرست فریب ندهید. همیشه پروتکل‌های امنیتی را بارها و بارها چک کنید. سرورها را در برابر حملات، امن نگه دارید، معیارهای امنیتی زائد و تاریخ مصرف گذشته را شناسایی کنید و بلافاصله آن‌ها را تعمیر کنید. شما در حقیقت به موارد زیر نیاز دارید:

  • منبعی از سورس کد(source code) و بکاپ
  • تعمیر (بهبود یا به‌روزرسانی) مداوم اپلیکیشن که باعث بهبود امنیت cms می‌شود.
  • اسکن‌های دوره‌ای برای بررسی آسیب‌پذیری‌های سایت و درب‌های پشتی
  • بررسی‌های امنیتی دوره‌ای که در قالب تست نفوذ انجام می‌شوند.
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *