چطور امنیت سایت را باید بالا برد
موضوع امنیت همیشه یک موضوع نسبی است یعنی هیچ گاه تضمن نمیشود بلکه به نسبت بسیار بالایی باید تلاش شود تا امنیت سایت بالا باشد و برای اینکه بتوان با خیال راحت در فضای مجازی فعالیت کرد باید چک لیست امنیت سایت یا فروشگاه خود را همواره بررسی کنید . معمولا همه cms های معروف امنیت بالایی دارند و همچنین cms هایی که بر بستر فریم ورک های معروف ساخته میشوند اما باید به برخی از روش هایی که شما هک میشوید توجه کنید ما در ادامه شما را با این روش های آشنا میکنیم .
چند وقت پیش مشتری داشتیم که اصرار داشت که میخواهم از قالب کرک شده به نام beTheme برای سایت وردپرسی خودم استفاده کنم و برای اینکه نسخه به اصطلاح اصلی را بدست آورد با جسجو در میان سایت ها و پرداخت هزینه ای بسیار کم در مقابل نسخه اصلی که حدود 60 دلار بود این قالب را تهیه کرد و با استفاده از سایت ساز ساده ای هم که داشت از میان صدها قالب موجود یکی از آنها را انتخاب کرد اما دیری نپاید که سایت اون بنده خدا مورد حمله قرار گرفت و به طور کامل از بین رفت در اصل باید توجه کرد که اگر هم میخواهید از قالب های آماده استفاده کنید شما هم مانند هزاران نفر دیگر که بابت خرید قالب ها هزینه پرداخت میکنند شما هم نسخه اصلی آن را خریداری کنید و به هیچ وجه از واسط ها و کسانی که ادعای نسخه اصلی دارند استفاده نکنید دلیل این موضوع این است که معمولا این نوع قالب های آماده که در دنیا کاربران زیادی هم دارند ممکن است با باگ های امنیتی مواجه باشد که افرادی که نسخه غیراصلی را استفاده میکنند به دلیل عدم اتصال به سرور آپدیت با حفره های امنیتی به فعالیت خود ادامه میدهند و در نهایت توسط هکر ها که با کمک رباتهایی که دارند سایت های هدف را شناسایی میکنند و از آنها استفاده های ابزاری یا حتی خراب کاری میکنند .
انواع روش هایی که سایت شما هک می شود
- هک سایت و از بین رفتن بانک اطلاعاتی
بدترین شکل ممکن حذف اطلاعات دیتابیس است مخصوصا سایت هایی که دايم در حال اضافه شدن اطلاعات مهم کاربران و خریدها و امور مالی است چرا که حتی اگر نسخه بکاپ روزانه هم داشته باشید اما یک روش از اطلاعات میتواند شامل دها و یا صدها سفارش و اطلاعات خرید مشتریان شما بوده که برای بازیابی آنها راهی وجود ندارد . اما هکر ها به چه صورت به دیتابیس شما نفوذ میکنند !! شاید فکر کنید هکر ها مغز متفکر هستند که خیلی هوشمندانه وارد سایت شما میشوند آما در نهایت این شما هستید که با ساده انگاری مقوله امنیت راه را برای هکر ها هموار کرده اید هکر ها میتوانند از مشکلاتی که سایت شما دارد استفاده کنند و با ورود اطلاعات ورود به دیتابیس خیلی ساده کل جداول شما را Drop کنند !!
- هک سایت و حذف همیشگی سورس سایت
نوع دیگری از هم حذف فایل های شما است خوب اگر هکری بتواند وارد هاست یا سرور شما بشود میتواند در صفحه اول وب سایت شما تصوری بسیار مخرب و یا شعاری بسیار آسیب زا به جهت تخریب برند یا وجه شخصی شما داشته باشد این موضوع هم به دلیل مشکلاتی بوده است که سایت یا فریم ورک شما داشته است مثلا چند وقت پیش سایت های بزرگ ایرانی مثل مرکز آمار هک شده بود و دلیل این موضوع هنوز مشخص نیست و البته هیچ وقت هم مشخص نمیشود :) اما یکی از دلیلی که سایت ها هک میشوند به روز نبودن فریم ورک و نسخه سیستم عامل است که به دلیل قدیمی بودن وب سایت رخ میدهد مثلا اگر شما از وردپرس استفاده میکنید همیشه باید به روز باشید و از قالب هایی استفاده کنید که آنها هم قابلیت به روزرسانی را داشته باشند و البته به این نکته توجه کنید که قالبی را استفاده کنید توسعه دهنده معتبری داشته باشد (اگر آماده است ) و اگر از فریم ورک ها استفاده میکنید باید به وضعیت انتشار نسخه آنها توجه کنید یا اگر زبان برنامه نویس شما PHP است به نسخه انتشار php توجه کنید یا همینطور اگر سایت شما ASP است یا اگر از زبان های دیگر استفاده میکنید با جستجو عبارت python versions و تغییر python به زبان مورد استفاده خود در سایت ویکی پدیا اطلاعات نسخه های مختلف زیر حتما نسخه ایکه زبان یا فریم ورک یا cms شما دارد باید توجه کنید.
Old version, not maintained = اگر نسخه فریم ورک شما شامل رنگ قرمز است حتما باید به نسخه بالا به روز شوید چرا که این نسخه پشتیبانی نمیشود.
Older version, still maintained = اگر نسخه شما زرد است مثلا نسخه 6 شما از نسخه قدیمی اما در حال پشتیبانی استفاده می کنید
Current stable version = نسخه پایدار و آخرین نسخه موجود
Latest preview version = صرفا جهت معرفی آخرین نسخه معمولا منتشر نمیشود
Future release = نسخه هایی که در آینده قرار است منتشر شوند
- هک سایت با هدف از بین رفتن رتبه SEO
گاهی اوقات دیده میشود هکر با ورود به وب سایت شما لینک های جعلی را تولید میکند که از نظر گوگل لینک های داخلی سایت شما هستند به دلیل زیاد بودن تعداد آنها باعث از بین رفته رتبه سایت شما میشود
- هک سایت و استفاده از سرویس ایمیل جهت ارسال ایمیل های باج افزاری از طرف سایت شما
تصور کنید که هکر بخواهد از آدرس ایمیل info شما برای اهداف تبلیغاتی خود استفاده کند در واقع نوعی از هک ها هک ایمیل کاربر است
- هک سایت و دسترسی به اطلاعات دیتابیس
سایت هایی که اطلاعات مهمی در آنها نگهداری میشود قطعا بسیار مهم است مخصوصا سایتهای سازمانی و دولتی یا سایت های بانک ها شامل این نوع سایت ها هستند که باید اطلاعات را به طور کامل در یک سرور نگهداری نکنند و از روش هایی استفاده شود که در صورت هک شدن همه اطلاعات در دسترس نباشد به طور مثال صرافی های ارز دیجیتال به منظور ورود به کیف پول کاربران خود کلیدهای خصوصی را در لوکال نگهدای میکنند و به اصطلاح نگهداری سرد گفته میشود.
- هک سایت جهت سرقت کلید ها و API ها
بعد از اینکه وب سایت شما هک شد هکر دسترسی به اطلاعات زیادی دارد از جمله کلیدها و رمز و پسورد های مختلف جهت اتصال به وب سرویس های مختلف و بعدا سو استفاده از اطلاعات وکلید های شما
با توجه به اینکه امنیت همیشه یک مقوله نسبی است جهت بالاتر رفتن امنیت سایت خود حتما به چند نکته توجه کنید
- همیشه از آخرین نسخه ها استفاده کنید
- از پلاگین های کرک شده استفاده نکنید توجه کنید که موضوع open source با موضوع کرک شده یا null شده کاملا متفاوت است
- به صورت مرتب از دیتابیس خود حداقل روزانه به مدت 30 روز بکاپ بگیرید و بکاپ را در سرور دیگری ذخیره سازی کنید و بعد از مدتی هم در لوکاذ ذخیره سازی کنید
- حتما از افراد حرفه ای جهت تست نفوذ استفاده کنید
- همیشه سیستم عامل خود را به روز نگهدارید
- از برنامه نویسان با تجربه استفاده کنید و بابت این موضوع هم کم هزینه نکنید
- طراحی سفارشی را به شرکت هایی بسپارید که تجربه های موفقی دارند