چطور از هک شدن سایتمان جلوگیری کنیم؟ هر آنچه باید درباره سرویس امنیت ابری ابر دراک بدانید

امنیت ابری

استفاده از سیستم های مدیریت محتوا(Content Management System- CMS) هم چون وردپرس و جوملا در سال‌های اخیر ساخت وب‌سایت را بسیار تسهیل کرده است. اما ساخت وب‌سایت با استفاده از این سیستم های مدیریت محتوا با تنظیمات پیش فرض، امنیت وب‌سایت شما را تضمین نمی کند. و بسیاری از صاحبان کسب و کارها نمی دانند که چطور از هک سایت خود جلوگیری کنند. هر کسب و کاری باید کارهایی اساسی برای امنیت وب‌سایت خود انجام دهد و به کارمندان و مشتریان خود اطمینان دهد که وب‌سایتش ایمن است. هیچ روشی نمی‌تواند به طور قطعی تضمین کند که وب‌سایت شما هیچوقت هک نخواهد شد؛ اما استفاده از روش‌های پیشگیرانه باعث می‌شود که آسیب‌پذیری وب‌سایت شما تا حد زیادی کاهش یابد. در ادامه هشت اقدام ضروری را که باید برای هک نشدن وب‌سایت خود انجام دهید مرور می‌کنیم:

آنچه در این مقاله می‌خوانید:

به‌روزرسانی نرم‌افزار و افزونه‌ها

HTTPS و یک گواهی SSL اضافه کنید

یک رمز عبور هوشمند انتخاب کنید

از یک میزبان وب امن استفاده کنید

دسترسی کاربر و امتیازات اداری را ثبت کنید

از وب سایت خود نسخه پشتیبان تهیه کنید

فایل‌های پیکربندی وب‌سرور خود را بشناسید

امنیت شبکه را تشدید کنید

تنظیمات پیش‌فرض CMS خود را تغییر دهید

فایروال برنامه وب (WAF- Web Application Firewall) را فعال کنید

سرویس امنیت ابری اَبر دِراک

به‌روزرسانی نرم‌افزار و افزونه‌ها

هکرها و بات‌ها به طور مداوم در حال اسکن وب‌سایت‌ها برای حمله هستند و استفاده از نرم‌افزارهای قدیمی می‌تواند وب‌سایت شما را در معرض آسیب‌پذیری جدی تری قرار دهد. به‌روزرسانی نرم‌افزارها و افزونه‌ها برای امنیت وب‌سایت شما ضروری است. به‌روزرسانی‌های نرم‌افزاری اغلب در جهت پیشرفت‌های امنیتی و کاهش آسیب‌پذیری نرم‌افزارها هستند. پیکره‌بندی انجام به‌روزرسانی‌ها به صورت خودکار می‌تواند گزینه دیگری برای تضمین امنیت وب‌سایت شما باشد.

HTTPS و یک گواهی SSL اضافه کنید

برای ایمن نگه داشتن وب‌سایت خود، به یک URL امن نیاز دارید. HTTPS (پروتکل امن انتقال ابرمتن) پروتکلی است که برای تامین امنیت از طریق اینترنت استفاده می‌شود. HTTPS از رهگیری داده‌ها و ایجاد وقفه در حین انتقال محتوا جلوگیری می‌کند. برای ایجاد یک اتصال آنلاین امن، وب‌سایت شما به گواهی SSL نیز نیاز دارد. 

SSL (لایه سوکت‌های امن- Secure Sockets Layer) یکی دیگر از پروتکل‌های ضروری وب‌سایت است. SSL اطلاعات منتقل شده بین کاربر و وب‌سایت را رمزگذاری می‌کند تا از خواندن اطلاعات توسط دیگران در حین انتقال جلوگیری کند؛ همچنین اجازه دسترسی به اطلاعات را به افراد فاقد مجوز نمی‌دهد.

یک رمز عبور هوشمند انتخاب کنید

با وجود تعداد زیادی وب‌سایت، پایگاه داده و برنامه‌هایی که به رمز عبور نیاز دارند، انتخاب رمز عبور های قوی و هوشمند دشوار است. بسیاری از افراد در نهایت از یک رمز عبور در همه جا استفاده می‌کنند تا اطلاعات ورود خود را به خاطر بسپارند؛ اما این یک اشتباه امنیتی بزرگ است. برای جلوگیری از هک سایت باید از گذرواژه‌های پیچیده و سخت استفاده کنید و آنها را در مکانی خارج از فهرست وب‌سایت و مرورگر خود ذخیره کنید.

بهتر است رمز عبور ترکیبی از حروف، اعداد و نمادها به صورت تصادفی و با حداقل دوازده کاراکتر باشد. رمز عبور شما نباید از کاراکترهای قابل حدسی مانند نام خودتان یا تاریخ تولدتان تشکیل شود و بهتر است که آن را به صورت منظم تغییر دهید.

از یک میزبان وب امن استفاده کنید

بسیاری از میزبان‌های وب ویژگی‌هایی امنیتی برای سرور را ارائه می‌دهند که محافظت از داده‌های وب‌سایت آپلود شده شما را بهبود می‌دهد. موارد خاصی وجود دارد که باید در هنگام انتخاب یک میزبانی برای وب‌سایت خود بررسی کنید.

  • آیا میزبان وب، پروتکل انتقال فایل امن (SFTP- Secure File Transfer Protocol) را ارائه می‌دهد؟ 
  • آیا استفاده از FTP (File Transfer Protocol) توسط کاربران ناشناس غیرفعال است؟
  • آیا از Rootkit Scanner استفاده می‌کند؟
  • آیا خدمات پشتیبان فایل را ارائه می‌دهد؟
  • میزبانی وب چقدر در مورد ارتقاء امنیتی به روز هستند؟

دسترسی کاربر و امتیازات اداری را ثبت کنید

شاید برخی از مدیران کسب و کارها با دادن دسترسی‌های کامل وب‌سایت خود به چند کارمند، گمان کنند که بار کاری از روی دوش خودشان برداشته شده است؛ اما به امنیت وب‌سایت خود فکر نمی‌کنند. متاسفانه کارمندان در هنگام استفاده از وب‌سایت و وقتی که مشغول به کار هستند، تنها به وظایف کاری خود فکر می‌کنند و خود را مسئول امنیت وب‌سایت نمی‌دانند. اشتباه کارمندان در هنگام استفاده از سایت می‌تواند منجر به  مشکلات امنیتی مهمی شود. باید دسترسی کارمندان را محدود به امتیازاتی کنید که برای انجام وظایف خود نیاز دارند . اگر از CMS استفاده می‌کنید تنظیمات پیش فرض سیستم را تغییر دهید:

یک مورد مهم از تغییر تنظیمات پیش‌فرض که می بایست انجام گیرد، «مجوزهای فایل» است. می‌توانید مجوزها را تغییر دهید تا مشخص کنید چه کسی می‌تواند چه کاری را با یک فایل انجام دهد.

هر فایل دارای سه مجوز و یک عدد است که نشان‌دهنده هر مجوز است:

“Read” (4): محتویات فایل را مشاهده کنید.

“Write” (2): محتویات فایل را تغییر دهید.

 “Execute” (1): فایل یا اسکریپت برنامه را اجرا کنید.

همراه با تنظیمات مجوز پیش فرض فایل، سه نوع کاربری وجود دارد:

مالک – اغلب، سازنده فایل است، اما مالکیت آن قابل تغییر است. در هر زمانی تنها یک کاربر می‌تواند مالک فایل باشد.

گروه – هر فایل به یک گروه اختصاص داده می‌شود. کاربرانی که بخشی از آن گروه خاص هستند، به مجوزهای گروه دسترسی خواهند داشت.

عمومی – هر شخصی می‌تواند به این فایل‌ها دسترسی داشته باشد.

کاربران و تنظیمات مجوز آنها را به صورت دستی تنظیم کنید. تنظیمات پیش‌فرض را همانطور که هست نگه ندارید، در غیر این صورت در برخی مواقع با مشکلات امنیتی در وب‌سایت مواجه خواهید شد.

از وب سایت خود نسخه پشتیبان تهیه کنید

یکی از بهترین روش ها برای ایمن نگه داشتن سایت، داشتن یک راه حل پشتیبان مناسب است. شما باید بیش از یک نسخه پشتیبان از وب‌سایت خود داشته باشید. هر نسخه پشتیبان برای بازیابی وب‌سایت شما پس از وقوع یک مشکل امنیتی بسیار مهم است. بهتر است نسخه پشتیبان وب‌سایت خود را بر روی سرور اصلی وب‌سایت خود ذخیره نکنید. می‌توانید یک نسخه پشتیبان از سایت خود را در فضای ابری نگهداری کنید. بهتر است راه‌حلی را انتخاب کنید که به صورت خودکار و برنامه‌ریزی شده از وب‌سایت شما نسخه پشتیبان تهیه می‌کند.

فایل‌های پیکربندی وب‌سرور خود را بشناسید

فایل‌های پیکربندی وب‌سرور خود را بشناسید. می توانید آنها را در فهرست وب ریشه (root web directory) پیدا کنید. فایل‌های پیکربندی وب‌سرور به شما امکان می‌دهند قوانین سرور را مدیریت کنید. این شامل دستورالعمل‌هایی برای بهبود امنیت وب‌سایت شما می‌شود.

برای هر سرور فایل‌های مختلفی استفاده می‌شود:

  • وب‌سرور آپاچی از فایل .htaccess استفاده می‌کند.
  • سرورهای Nginx از nginx.conf استفاده می‌کند.
  • سرورهای Microsoft IIS  از  web.config استفاده می‌کند.

وب‌مسترهای زیادی نمی‌دانند وب‌سایتشان از کدام وب‌سرور استفاده می‌کند. اگر شما یکی از آنها هستید، از یک اسکنر وب‌سایت مانند Sitecheck برای بررسی وب‌سایت خود استفاده کنید. این نرم‌افزار بدافزارهای شناخته شده، ویروس‌ها، وضعیت لیست سیاه، خطاهای وب‌سایت و موارد دیگر را اسکن می‌کند.

هرچه بیشتر در مورد وضعیت فعلی امنیت وب‌سایت خود بدانید، بهتر است. این به شما زمان می‌دهد تا قبل از اینکه آسیبی به وب‌سایت وارد شود، باگ‌های امنیتی را شناسایی و برطرف کنید.

امنیت شبکه را تشدید کنید

امنیت شبکه

هنگامی که فکر می‌کنید وب‌سایت شما امن است، باید امنیت شبکه خود را تجزیه و تحلیل کنید. کارمندانی که از رایانه‌های اداری استفاده می‌کنند ممکن است به طور ناخواسته مسیری ناامن برای وب‌سایت شما ایجاد کنند. برای جلوگیری از دسترسی آنها به سرور وب‌سایت شما، موارد زیر را در وب‌سایت خود در نظر بگیرید:

پس از مدت کوتاهی عدم فعالیت، ورود به رایانه منقضی شود.

اطمینان حاصل کنید که هر سه ماه یکبار رمز عبور کاربران تغییر می‌کند.

اطمینان حاصل کنید که همه دستگاه‌هایی که به شبکه متصل می‌شوند، در هر بار اتصال برای بدافزار اسکن می‌شوند.

تنظیمات پیش‌فرض CMS خود را تغییر دهید

رایج‌ترین حملات علیه وب‌سایت‌ها کاملا خودکار انجام می‌شوند. بسیاری از ربات‌های حمله بر این نکته متکی هستند که کاربران تنظیمات پیش‌فرض CMS خود را تغییر نداده باشند. پس از انتخاب CMS خود، بلافاصله تنظیمات پیش‌فرض را تغییر دهید. این تغییرات به جلوگیری از وقوع تعداد زیادی از حملات کمک می‌کند. تنظیمات CMS می‌تواند شامل تنظیم کنترل بر نظرات، دید کاربر و مجوزها باشد.

یک مثال عالی از تغییر تنظیمات پیش‌فرض که باید انجام دهید «مجوزهای فایل» است. می‌توانید مجوزها را تغییر دهید تا مشخص کنید چه کسی می‌تواند چه کاری را با یک فایل انجام دهد. هر فایل دارای سه مجوز و یک عدد است که نشان‌دهنده هر مجوز است:

(Read (4: محتویات فایل را مشاهده کنید.

(Write (2 : محتویات فایل را تغییر دهید.

(Execute (1 : فایل یا اسکریپت برنامه را اجرا کنید.

برای درک بهتر، اگر می‌خواهید مجوزهای زیادی را مجاز کنید، اعداد را با هم جمع کنید. به عنوان مثال، برای اجازه خواندن (4) و نوشتن (2)، مجوز کاربر را روی 6 تنظیم کنید.

همراه با تنظیمات مجوز پیش‌فرض فایل، سه نوع کاربری وجود دارد:

مالک (Owner) – اغلب، سازنده فایل است، اما مالکیت آن قابل تغییر است. فقط یک کاربر در هر زمان می‌تواند مالک باشد.

گروه (Group) – هر فایل به یک گروه اختصاص داده می‌شود. کاربرانی که بخشی از آنها گروه خاصی هستند به مجوزهای گروه دسترسی خواهند داشت.

عمومی (Public) – هر شخص دیگری.

کاربران و تنظیمات مجوز آنها را سفارشی کنید. تنظیمات پیش‌فرض را تغییر دهید؛ در غیر این صورت در برخی مواقع با مشکلات امنیتی در وب‌سایت خود مواجه خواهید شد.

فایروال برنامه وب (WAF- Web Application Firewall) را فعال کنید

فایروال

اطمینان حاصل کنید که برای یک فایروال برنامه وب (WAF) درخواست داده‌اید. فایروال برنامه وب، بین سرور وب‌سایت شما و اتصال داده تنظیم می‌شود و هر بیت داده‌ای را که از آن عبور می‌کند برای محافظت از وب‌سایت می‌خواند. امروزه اکثر WAF ها مبتنی بر ابر هستند و یک سرویس plug-and-play را ارائه می‌دهند. سرویس ابری دروازه ای برای ورود به تمام ترافیک ورودی است که می‌تواند تلاش‌ها برای هک کردن ‌سایت را قبل از رسیدن به وب‌سایت خنثی کند. WAF همچنین ترافیک ناخواسته مانند هرزنامه‌ها و ربات‌های مخرب را فیلتر می‌کند و امنیت شبکه را افزایش می‌دهد.

سرویس امنیت ابری اَبر دِراک

سرویس امنیت ابری اَبر دِراک می‌تواند حملات DDoS و سایر تهدیدات سایبری را قبل از رسیدن به وب‌سایت شما خنثی کند. سرویس امنیت ابری اَبر دِراک تمامی ورودی های یک سایت را به صورت روزانه رصد می‌کند و ترافیک‌های مخرب را قبل از رسیدن به سایت خنثی می‌کند. در صورتی که شما  اشتراک پلن سازمانی و حرفه ای اَبر دِراک را داشته باشید، چند دقیقه پس از حملات سایبری از طریق پیامک یا ایمیل به شما اطلاع‌رسانی می‌شود.

شما می‌توانید در پنل خود گزارش حملات 13 ماه اخیر خود را مشاهده کنید. امنیت ابری اَبر دِراک شامل سرویس‌های WAF، SSL  و IP obfuscation نیز می‌شود. WAF می‌تواند از وب‌سایت شما در برابر حملات لایه برنامه مانند HTTP POST یا GET Flood محافظت کند. سرویس حفاظت DDoS به‌طور خودکار از برنامه‌های تحت وب در حال اجرا بر روی اَبر دِراک در برابر رایج‌ترین حملات لایه زیرساخت مانند UDP floods و حملات State exhaustion مانند TCP SYN floods محافظت می‌کند. SSL نیز  داده‌های ارسالی و دریافتی سرور را رمزگذاری می‌کند.

سوالات متداول:

امنیت ابری چیست و چگونه کار می کند؟

امنیت ابری، فناوری و بهترین شیوه‌های طراحی شده برای محافظت از داده‌ها و اطلاعات در معماری ابری است و جزء حیاتی هر استراتژی زیرساخت فناوری اطلاعاتی است که از ابر استفاده می‌کند. امنیت Cloud حفظ حریم خصوصی داده‌ها و انطباق با داده‌های ذخیره شده در ابر را تضمین می‌کند.

چرا به امنیت ابری نیاز داریم؟

امنیت ابری مجموعه‌ای از رویه‌ها و فناوری‌هاست که برای مقابله با تهدیدهای خارجی و داخلی و امنیت کسب و کار طراحی شده است. سازمان‌ها همزمان با اینکه به سمت استراتژی‌های تحول دیجیتال خود حرکت می‌کنند و ابزارها و خدمات مبتنی بر ابر را به عنوان بخشی از زیرساخت خود ترکیب می‌کنند، باید به امنیت ابری  و حفاظت از داده‌ها و زیرساخت خود نیز فکر کنند.


منابع:

https://www.computer.org/publications/tech-news/trends/10-essential-steps-to-improve-your-website-security

مقالات مرتبط