جلوگیری از هک شدن سایت

جلوگیری از هک شدن سایت

اولین چیزی که باید در مورد امنیت وب سایت خود بدانید (و به نظر من مهمترین چیز) این است که شما این کار را به عنوان تضمینی مطلق در برابر مهاجمان مخرب انجام نمی دهید.

سازمان‌های بزرگ مرتباً وب‌ سایت‌ هایشان توسط حملات DDOS حذف می‌ شوند یا توسط سازمان‌ های هکریستی مانند ارتش الکترونیک سوریه تخریب می‌شوند .

در بدترین حالت، سایت‌های آن‌ها اطلاعات شناسایی شخصی (PII) کاربرانشان را به دلیل اسکریپت‌ های متقابل سایت آسیب‌ پذیر می‌ کنند .

آنچه من می گویم این است که امنیتی که برای وب سایت خود فعال می کنید بیشتر یک غربال است تا یک چتر. شما می‌ توانید حملات بزرگ، آشکار و ناشیانه را منحرف کنید. از نوع که ۹۷ درصد حملات سایبری را شامل می‌شود – اما همیشه فردی باهوش و زیرک وجود خواهد داشت که به دفاع شما نفوذ کند. یک دفاع سایبری خوب همیشه شامل برنامه ای برای زمانی است که (نه اگر) دفاع شما شکست بخورد.

همانطور که گفته شد، در اینجا برخی از رایج ترین حملات علیه وب سایت ها اسکریپت نویسی متقابل سایت، نشت اطلاعات و حملات DDOS – و نحوه انحراف آنها آورده شده است.

اسکریپت متقابل سایت (XSS)

اسکریپت بین سایتی یک مشکل خطرناک است. برخلاف خرابکاری یا حمله DDOS، حملات اسکریپت بین سایتی وب سایت شما را به یک بدافزار تبدیل می کند و می تواند اطلاعات شخصی کاربران شما را به خطر بیندازد.

یک مثال رایج این است: فرض کنید یک فرم تماس در وب سایت خود دارید.

مهاجم به جای قرار دادن نام، ایمیل و پیام خود، مقداری رشته کد مخفیانه می نویسد و سپس دکمه ارسال را فشار می دهد.

اگر بدشانس باشید یا مراقب نباشید، آن رشته کد وارد پایگاه داده وب سایت شما می شود و بخشی از سایت شما می شود.

راه های جلوگیری از هک شدن سایت

زمانی که کاربر از سایت شما بازدید می کند، مرورگر او تمام محتوای شما را در کنار کد مهاجم نمایش می دهد. این به مهاجم اجازه می دهد تا کارهایی مانند ضبط تک تک ضربه های کلید کاربر را انجام دهد، بنابراین در نهایت نام کاربری، رمز عبور، SSN، شماره کارت اعتباری و غیره را ضبط می کند.

چگونه در برابر اسکریپت های متقابل سایت دفاع می کنید؟

در مورد جلوگیری از اسکریپت نویسی بین سایتی مطالب زیادی نوشته شده است و خبر خوب این است که نیازی به خرید یک راه حل امنیتی گران قیمت ندارد.

توسعه‌ دهنده وب‌سایت شما می‌تواند هنگام ساخت یا اصلاح سایت شما، در برابر XSS محافظت کند. اساسا، شما باید تمام ورودی های کاربر به سایت خود را به عنوان “غیر قابل اعتماد” در نظر بگیرید. ممکن است شخصی واقعاً با شما تماس گرفته باشد یا ممکن است کد مخربی باشد.

بنابراین، این داده ها باید قبل از اضافه شدن به پایگاه داده شما، کدگذاری شوند، یا به متنی تبدیل شوند که در مرورگر رندر نمی شود. به عنوان مثال، یک کاربر ممکن است یک نظر در سایت شما قرار دهد که شامل مقداری متن بین این دو کاراکتر است: .

متأسفانه «<» و «>» معمولاً به معنای <کد اجرایی اینجا می‌رود> در HTML است. ممکن است یک تله باشد!

با رمزگذاری، «<» و «>» به «<» تبدیل می‌شوند. و ‘> ‘ – که هم برای شما و هم برای رندر کننده HTML شما بیهوده است.

اگر به دنبال اطلاعات بیشتر هستید، OWASP یک برگه تقلب جامع برای جلوگیری از XSS آماده کرده است.

همچنین شرکت‌هایی وجود دارند که با پرداخت هزینه، وب‌سایت شما را برای آسیب‌ پذیری‌ های XSS اسکن می‌کنند که همه آنها به اندازه یک جعبه نظر محافظت نشده واضح نیستند و اصلاح را پیشنهاد می‌کنند.

نشت اطلاعات

این یکی از شایع ترین دلایل حملات علیه وب سایت ها است و حتی بر اساس آسیب پذیری نرم افزار خاصی نیست.

لطفی به من بکنید. زمانی که این مطلب را روی دسکتاپ می خوانید، به سرعت F12 را روی صفحه کلید خود بزنید. اگر کار نکرد، ممکن است لازم باشد روی «مشاهده منبع» کلیک راست کرده و ضربه بزنید. در هر صورت، در نهایت چیزی شبیه به این خواهید دید:

احتمالاً از قبل می دانید که این چیست، اگر یک توسعه دهنده هستید. این کد منبع HTML برای یک صفحه وب معین است. همچنین می‌دانید که هنگام توسعه یک صفحه یا یک برنامه وب، احتمالاً نظراتی را در آن کد می‌گذارید که به عنوان مثال نشان دهنده وجود یک اشکال است.

نحوه جلوگیری از هک شدن سایت

احتمالاً از قبل می دانید که این چیست، اگر یک توسعه دهنده هستید. این کد منبع HTML برای یک صفحه وب معین است. همچنین می‌دانید که هنگام توسعه یک صفحه یا یک برنامه وب، احتمالاً نظراتی را در آن کد می‌گذارید که به عنوان مثال نشان دهنده وجود یک اشکال است.

این جایی است که نشت اطلاعات زندگی می کند: در باقی مانده از چرخه توسعه نرم افزار.

نظرات باقی مانده از فرآیند توسعه دهنده می تواند مواردی مانند پیکربندی سرور، شماره نسخه نرم افزار، باگ های قابل بهره برداری و غیره را آشکار کند – همه چیزهایی که یک مهاجم خوشحال می شود از آنها سوء استفاده کند.

البته راه حل بسیار ساده است: این کار را نکنید .

این پاسخ از نظر تئوری آسان است، اما در عمل، توسعه‌ دهندگان نرم‌افزار به طور معمول ۸۰ ساعت در هفته کار می‌کنند تا محصولات را به بیرون برسانند. اشتباهات مرتکب می شوند. در محیطی که زمان رسیدن به بازار بیش از هر چیز پاداش داده می‌شود، امنیت اغلب از بین می‌رود .

اگر صفحه وب خود را توسط شخص ثالثی توسعه می‌دهید، ممکن است بهترین کار این باشد که یک آزمایش‌کننده نفوذ به صفحه تمام‌شده شما نگاهی بیاندازد تا این موارد و سایر ناامنی‌ها را بشناسد.

حملات انکار سرویس توزیع شده (DDOS)

من در گذشته به طور گسترده در مورد حملات DDOS نوشته ام، و آنها بدترین هستند. آنها بر این اصل کار می کنند که به راحتی می توان یک وب سایت را با ارسال تعداد زیادی ترافیک وب نامشروع به آن به طور همزمان خراب کرد.

یک کاربر می تواند با ارسال هرزنامه ترافیک DNS، یک حمله DDOS ایجاد کند. در مواقع دیگر، یک هکر از یک یا چند رایانه آلوده که از راه دور کنترل می شوند برای انجام همان کار استفاده می کند.

حمله DDOS ممکن است به دلایل ایدئولوژیک باشد. ارتش الکترونیک سوریه و فدراسیون روسیه با حملات DDOS مرتبط بوده اند اما بیشتر مهاجمان بیت کوین های سرد و سخت می خواهند . بسیاری از شرکت ها پرداخت می کنند.

از این گذشته، چه چیزی راحت تر است؟ ۱۰۰۰۰ دلار یا درآمد چند روزه؟

برخلاف حملات ذکر شده در بالا، ممکن است نتوانید وب سایت خود را در برابر حملات DDOS تنها با روش های توسعه معقول ایمن کنید. با این حال، می توانید این حملات را کاهش دهید.

اولین قدم این است که سرور DNS خود را با استفاده از نرم افزار داخلی آن (معمولا BIND ) نظارت کنید . اگر ترافیک بیشتر از حد معمول باشد، ممکن است دچار مشکل شوید.

آموزش جلوگیری از هک شدن سایت

اگر مشکوک هستید که ممکن است در برابر حمله DDOS آسیب پذیر باشید، گام بعدی شما ممکن است تنظیم حجم پرس و جوهایی باشد که سرورهای شما می توانند انجام دهند. این امر مستلزم پول است ، بنابراین میزان ارائه سرورهای خود باید به شکل تجزیه و تحلیل هزینه و فایده باشد.

در نهایت، ابزاری به نام Anycast به کاربران اجازه می‌دهد تا سرورهایی را با استفاده از آدرس IP یکسان در چندین مکان میزبانی کنند.

اگر مهاجمی در یک مکان به سرور شما حمله کند، می‌توانید از این ابزار برای هدایت ترافیک به سرورهای سایر نقاط جهان استفاده کنید و به اکثر کاربران قانونی اجازه می‌دهید تا سایت شما را بدون مشکلات تاخیر جستجو کنند.

حملات وردپرس

بسیاری از شما که این مطلب را می خوانید، وبلاگ یا وب سایتی روی پلت فرم وردپرس خواهید داشت. سایت های وردپرس تقریباً در برابر همان انواع حملاتی که در بالا مشاهده شد آسیب پذیر هستند.

به عنوان مثال، این شرکت اخیراً یک وصله برای رفع آسیب‌پذیری منتشر کرده است که میلیون‌ها کاربرش را در برابر اسکریپت‌های متقابل سایت آسیب‌پذیر کرده است . امیدواریم برای بسیاری از شما، بزرگترین تهدید امنیتی که تا به حال باید نگران آن باشید، نظرات هرزنامه‌ای باشد.

بسیاری از امنیت اولیه حول محور به روز نگه داشتن مشتری وردپرس است. این سازمان به طور قابل ستایشی از امنیت استقبال می‌کند و دائماً به‌روزرسانی‌های خودکار را منتشر می‌کند که امنیت را برای کاربران روزمره افزایش می‌دهد.

همانطور که گفته شد، به روز رسانی نرم افزار اصلی وردپرس در صورت استفاده از یک تم سفارشی ناامن از شما محافظت نمی کند.

جلوگیری از هک شدن سایت وردپرسی

با فرض اینکه طرح زمینه شما ایمن است، هکرها ممکن است با حمله به رایانه(هایی) که برای کنترل و ویرایش سایت خود استفاده می کنید، اعتبار ورود شما را به سرقت ببرند. اگر از فایروال و آنتی ویروس (برای کاربران خانگی) یا نظارت بر سیستم در سطح سازمانی استفاده کنید، این خطر را کاهش خواهید داد.

پلاگین هایی وجود دارند که مدعی ارائه مجموعه کامل خدمات امنیتی از جمله فایروال، تشخیص نفوذ و ثبت خطا هستند.

من در این مورد همان چیزی را که در مورد همه ابزارهای امنیتی می گویم صرفاً داشتن آن بر روی سیستم شما را ایمن تر نمی کند. شما باید از آن استفاده کنید، بفهمید که چه چیزی به شما می گوید، یک خط پایه که نشان دهنده ترافیک معمولی در سایت شما است را شناسایی کنید، و تنها در این صورت می توانید بفهمید که آیا مورد حمله قرار می گیرید یا خیر.

در انتهای مقاله “ جلوگیری از هک شدن سایت ” می خواهیم به اطلاع شما برسانیم که تیم طراحی سایت سئوجم آماده همکاری با شما در مسیر رسیدن به اهدافتان می باشد.

منبع : ahrefs.com