وبسایت ها متفاوتند و هکر ها به روش های متفاوتی به آنها نفوذ می کنند. از این رو 7 نکته اساسی امنیت وبسایت را در این مقاله بررسی میکنیم. شما با این نکته ها میتوانید بخش زیادی از امنیت وبسایت خود را تعمین کنید.

1. پنهان سازی ساختار

مهم ترین نکته در امنیت وبسایت پنهان سازی ساختار می باشد. از این رو یک توسعه دهنده وبسایت باید کاری کند تا از شناسایی زیرساخت و پلتفرم وبسایت توسط هکر جلوگیری نماید. یک هکر با دانش امروز میتواند از موارد زیر آگاه شود:

  1. سیستم عامل
  2. وب سرور
  3. پایگاه داده
  4. سیستم مدیریت محتوا
  5. چهارچوب یا فریمورک
  6. پلتفرم یا زبان توسعه یافته
  7. سایر سرویس های موجود روی هاست
  8. هاستینگ
  9. ساب سایت ها
  10. سایر وبسایت های موجود روی سرور
  11. و…

موارد بالا میتوانند بیشتر هم باشند. اما شاید همین موارد کافی باشند تا یک هکر بداند که باید با سیستم مورد نظر چه کند. بعد از شناسایی جزئیات سیستم هکر از سایر نکات اساسی امنیت وبسایت (که در ادامه بدان ها خواهیم پرداخت) استفاده نموده و عملیاتی را روی حفره های موجود سیستم اعمال می کند.

2. جلوگیری از تزریق کد مخرب

کد های مخرب یکی از رایجترین راه های نفوذ به وبسایت است. چرا که لازم نیست حتما هکر وارد سیستم شود و کاری را شخصا انجام دهد. به جای آن یک کد مخرب وارد سیستم می کند و آن کد مخرب میتواند مانند یک ربات عمل کرده و همیشه عملیاتی را که برایش تعریف کرده اند را انجام دهد.

چند نوع رایج تزریق کد مخرب

  • بارگزاری کد مخرب توسط بارگزاری فایل
  • ورود کد مخرب در فرم های ورود
  • ارسال کد قابل شناسایی برای سیستم مانند  XML
  • و…

7 نکته اساسی امنیت وبسایت کمک مینماید تا هکر به سراغ وبسایت های ضعیف تر برود همانطور که یک دزد اگر سیستم را ایمن ببیند حتما به سراغ خانه های ضعیفتر (به لحاظ امنیتی) میرود.

3. شکستن سیستم احراز هویت

یکی از نکاتی که بسیار بدان تاکید دارم را بصورت برجسته می نویسم تا هیچ وقت فراموش ننمایید.

هرکز نام کاربری را admin نگذارید.

در این شیوه هکر برای نامهای رایجی که کاربران استفاده می نمایند و معمولا در سیستم پیشفرض هستند تلاش های متوالی تعریف می کند و با ارسال درخواست های تستی رمز عبور و نام کاربری را بدست خواهد آورد. بعد از این اتفاق میتوان گفت که سیستم هدف بدست هکر می افتد.

راه های مقابله یا پیشگیری از این حمله به شرح زیرند:

  • استفاده از نام کاربری متفاوت و کمی پیچیده
  • استفاده از رمز عبور  پیچیده
  • استفاده از کد امنیتی احراز هویت (captcha)
  • اعمال محدودیت روی تلاش جهت ورود به سیستم (قفل کردن حساب کاربری و آدرس ip هکر)
  • استفاده از ورود دو مرحله ای

7 نکته اساسی امنیت وبسایت کمک مینماید تا هکر تلاش زیادی جهت شکستن سیستم احراز هویت انجام دهد.

4. پیکربندی اشتباه و رایج

یکی از راه های خیلی ساده جهت ورود به سیستم استفاده از تنظیمات رایج برای موارد زیر است.

  1. سیستم عامل
  2. وب سرور
  3. پایگاه داده
  4. سیستم مدیریت محتوا
  5. چهارچوب یا فریمورک
  6. پلتفرم یا زبان توسعه یافته

5. کنترل حملات لایه ۳ و لایه ۷ شبکه

لایه ۳  و  لایه ۷ OSI نیاز به فایروال دارند. فایروال ها موظف هستند تا از ارسال داده های نا معتبر به سرور جلوگیری نمایند. پس بایت در سیستم خود یکسری فایروال نرم افزاری یا سخت افزاری فراهم نمایید.

6. مشاهده دائمی عملکرد های مخرب در وبسایت

بعضی افراد برای آگاهی از ورود شخص ثالثی به محیط اتاق آنها مواردی رازیر نظر میگیرند. از این رو اگر موارد بیان شده تغییر کنند از ردپای آنها متوجه میشود که به محیط خصوصی آنها ورود پیدا کرده اند.

برای وبسایت هم میتوان از همین راه ها استفاده کرد. بهترین مورد برای بررسی این اتفاقات کمک گرفتن از تیم SOC و NOC است. برای این کار باید ازقبل یک تیم امنیتی خبره به شما مشاوره اراپه دهند. در نتیجه مشتوانید خیلی از زود تلاش های ناموفق جهت ورود به سیستم آگاه شوید.

7. کنترل حملات در سیستم عامل

فرض را براین میگزاریم که هکر وارد سیستم عامل شد. آیا باید بتواند هرکجا که خواست برود؟ معلم است که نه. پس باید برای این مورد تمهیداتی اندیشیده شود تا اگر هکر به درون سیستم شما وارد شد نتواند هر کاری انجام دهد. و هرکجا که خواست برود.

تنیجه

7 نکته اساسی امنیت وبسایت به شما کمک میکند تا با پنها سازی هکر کمتر ببیند. هرچه کمتر ببیند سیستم ایمن تر است. از طرفی نتواند کد تزریق نماید و زمانی که خود او یا کد تزیق شده وارد سیستم شد نتواند هر کاری که دوست داشت انجام دهد.

شما با مشاهده عملکرد و مانیتورینگ خیلی زود آگاه میشوید و کاربر مورد نظر را محدود می نمایید.

شما میتوانید حملات را در لایه ۳ و لایه ۷ شبکه با فاروال ها محدود سازی کنید. و مطمئن هستم که دیگر از رمز عبور و ساختار پیشفرض استفاده نخواید کرد.