6 مورد از رایجترین اشتباهات درباره امنیت وبسایت
آنها همه جا هستند! هکرها، افراد خرابکار و هکرهای کلاه سیاه (black hats، افراد هکری که به قصد آسیب رساندن سعی در ورود به کامپیوتر افراد دارند.) به دنبال اطلاعات شخصی شما، اطلاعات شخصی مشتریان شما و از همه بدتر به دنبال هویت شما هستند. متأسفانه شاید اکنون متوجه این شوید که داستانهایی که درباره امنیت وبسایت بیان میشد، حقیقت داشت. در اینجا به برخی از رایجترین اشتباهات امنیتی وبسایتها و موضوعاتی که میتوانند سایت شما را در معرض خطر قرار دهند میپردازیم.
رایجترین اشتباهات امنیتی وبسایتها
1- هکرها به من علاقهای ندارند
اینها جملاتی هستند که اکثر هکرها علاقه زیادی به شنیدن آنها دارند. آنها فقط به دنبال آسیبپذیری کامپیوتر یا سایت شما هستند. اگر بتوانند وارد شوند، میتوانند در همه چیز اختلال ایجاد کنند و این چیزی است که آنها میخواهند. اطلاعات احراز هویت بانکی یکی از مهمترین اهداف آنها میباشد. در حقیقت آنها میتوانند:
- به اطلاعات احراز هویت حساب سازمان نفوذ کنند.
- به اطلاعات شخصی، مشتریان و کارکنان شما نفوذ کنند.
- سرور شما را هک کنند تا نقشههایشان را از این راه عملی کنند.
- یا به راحتی شما را نابود کنند.
حتی شاید سایتی بسازند که شبیه به وبسایت شما باشد تا بازدیدکنندگان را به آن سایت هدایت کنند و به این ترتیب مقاصد شوم خود را پیاده سازند.
تمامی این کارها از طریق رباتهایی صورت میگیرند که میتوانند شما را پیدا کنند. مشابه موتورهای جستجوگر، هکرها میلیونها ربات برای جستجوی وب میفرستند. هنگامی که رباتها به شما میرسند، تقریباً همه چیز را درباره سایت شما میدانند. نرمافزار و نسخهای که استفاده شده است را میشناسند. درباره آخرین باری که سایت شما بهروزرسانی شده است اطلاعات دارند و همه چیز را درباره سرور شما میدانند. این اطلاعات را گزارش میدهند و یا بر اساس اطلاعاتی که جمعآوری شده است، تصمیم به نفوذ، گزارش و یا ورود ربات دیگر میگیرند. وارد سایت www.builtwith.com شوید و آدرس URL سایت را وارد کنید. اطلاعاتی که دریافت میکنید، در حقیقت اطلاعاتی هستند که یک ربات به دست میآورد. به نظر وحشتناک میرسد!
2- سایت من سال پیش ساخته شد و امن بود!
اگرچه سایت شما به وسیله افراد حرفهای، 365 روز پیش ساخته شد و امن بود، شاید امروز امن نباشد. هکرها همیشه به دنبال پیدا کردن روشهایی برای انجام اقدامات شیطانی خود علیه شما هستند. مثالی از این موضوع، کمپانیهای تأمینکننده امنیت کامپیوتر شما هستند، این کمپانیها میلیونها کامپیوتر را بهروزرسانی میکنند زیرا کامپیوتری که دیروز امن بود، امروز امن نیست.
3- من سایتم را بروز کردم، پس همه چیز تمام است!
شاید امروز بروز باشید، اما از کجا می دانید که هکرها زمانی که سایت شما آسیبپذیر بود، نفوذ نکرده باشند؟ هکرها هنگامی که وارد میشوند، “درب پشتی” (back door) میسازند. درب پشتی نقاطی هستند که این افراد میتوانند هر بار به سادگی از آن وارد شوند. به این دلیل اگر سایت را بروز کنید و آسیبپذیری را از بین ببرید، آنها میتوانند هر بار که میخواهند، دوباره وارد شوند. تنها راه برای از بین بردن دربهای پشتی، اسکن امنیتی و بررسیهای کد [برنامهنویسی] است. کدهای CMS شما باید با کدهای اصلی مقایسه شوند تا از عدم تغییر آنها مطمئن شوید.
4- اگر آنها وارد شوند، من سایتم را سالم نگه میدارم
خیر، شاید شما کل سرمایهتان را ببازید، این سرمایه میتواند 10 تا هزاران دلار باشد. تعداد زیادی از افرادی که سایت داشتند به ما مراجعه کردند و اظهار داشتند که سایتشان هک شده است و توسعهدهندگان آنها نمیتوانند آن را درست کنند. اگر توسعه دهنده سایت شما از بکاپ استفاده نکند، احتمالاً سایت شما از دست رفته است. گاهی اوقات متخصصین امنیتی میتوانند وارد شوند و مشکل را حل کنند، اما گاهی اوقات آسیبپذیری به قدری زیاد است که شروع مجدد، هزینه کمتری دارد. اطمینان حاصل کنید که توسعه دهنده وب شما از منبع کد GIT یا SVN استفاده میکند و بکاپ هایی به صورت روزانه، هفتگی و ماهانه دارد. شاید مجبور به استفاده از بکاپی قدیمی باشید که هک نشده باشد.
5- من اطلاعات مشتریان را ذخیره نمیکنم پس مشتریانم در خطر نیستند
این صحیح نیست. شاید هکر، کنترل سایت شما را به دست بگیرد و شما قادر به برگشت آن نباشید! شاید آنها سایت شما را با نسخهای جعلی تکثیر کنند که شبیه به سایت شما است و شما نیز به هوای سایت اصلی، به آن، ترافیک ارسال کنید. شاید هم به دنبال اذیت کردن مشتریان شما باشند. حتی شاید بچههای دبیرستانی رباتهایی بفرستند که مشتریان شما را اذیت کنند. این افراد برای خراب کردن کسب و کار شما اقداماتی انجام میدهند.
6- SSL من را امن نگه میدارد
Secure Socket Layer یک پروتکل امنیتی است که اطلاعات بین مرورگر و شما را امن میکند. با توجه به زمان اندک و انگیزه محدود، تا زمانی که خود سرور بهصورت کامل امن شود در حقیقت این یک پروتکل امنیت کامل است. اگرچه نمونههای بسیار زیادی وجود دارند که افراد صبور و حرفهای موفق به شکستن آن شدهاند.
چه کاری باید انجام دهید؟
برای جلوگیری از اشتباهات امنیتی وبسایتها، خودتان را درباره باورهای امنیتی نادرست فریب ندهید. همیشه پروتکلهای امنیتی را بارها و بارها چک کنید. سرورها را در برابر حملات، امن نگه دارید، معیارهای امنیتی زائد و تاریخ مصرف گذشته را شناسایی کنید و بلافاصله آنها را تعمیر کنید. شما در حقیقت به موارد زیر نیاز دارید:
- منبعی از سورس کد(source code) و بکاپ
- تعمیر (بهبود یا بهروزرسانی) مداوم اپلیکیشن که باعث بهبود امنیت cms میشود.
- اسکنهای دورهای برای بررسی آسیبپذیریهای سایت و دربهای پشتی
- بررسیهای امنیتی دورهای که در قالب تست نفوذ انجام میشوند.