تصمیم گرفتیم مطلب کوتاهی بنویسیم که به شما کمک کند بدانید آیا امنیت هاست وب سایتتان در سطح قابل قبولی قرار دارد یا برعکس ، وب سایتتان در خطر است و باید سریع تر آن را جابجا کنید. این مطلب برای کسانی مناسب است که صاحب سایت هستند و شرکت هاستینگ خود را قبلا انتخاب کرده اند.
البته برای کسانی که به تازگی تصمیم به طراحی سایت حرفه ای گرفته اند نیز مطلبی در مورد ویژگی های بهترین هاست برای وردپرس منتشر کرده ایم تا هنگام خرید هاست بتوانند از میان گزینه های موجود ، بهترین را انتخاب کنند.
در ماه گذشته ، تحلیل ها دو موقعیتی را نشان می داد که در آنها تعداد زیادی از کاربران درخواست پاک سازی سایتشان را داشتند. نکته جالب این بود که همه آنها از یک شرکت هاستینگ سرویس گرفته بودند و همگی توسط یک بد افزار مشترک آلوده شده بودند. در هر دو موقعیت دلیل آلوده شدن سایت ها ، مشکلات امنیتی شرکت هاستینگ بود. البته نامی از این شرکت نمی بریم.
در این هفته سومین شرکت هاستینگی را دیدیم که اکانت مشتریان را روی سرورهای اشتراکی به درستی از هم جدا نکرده بود. به نظر می رسد آنها در زمینه سطح دسترسی به فایل های سیستم مشکل دارند. با اینکه هنوز برایشان مشکلی پیش نیامده اما این شرایط زمان زیادی طول نخواهد کشید!
در ادامه سؤال هایی را در مورد امنیت هاست مشاهده می کنید که شرکت هاستینگ شما باید بتواند به آنها پاسخ دهد.
1- آیا شما از آخرین ورژن های این محصولات استفاده می کنید: Cpanel ، سیستم عامل ، تکنولوژی کشینگ ، PHP ، phpMyAdmin و MySQL ؟
مسأله مهم این است که همه چیز به شرکت هاستینگ بستگی دارد. حتی اگر شما دائما در حال مدیریت و بهینه سازی امنیت وب سایتتان باشید باز هم ممکن است به دلیل درست انجام نشدن وظایف مربوط به شرکت ، در خطر باشید. یکی از شرکت های هاستینگی که در این مطلب به آن اشاره کردیم از یک نسخه phpMyAdmin استفاده می کرد که 2 سال از آن گذشته بود و مشکلات امنیتی شناخته شده بسیاری داشت. اینکه مشتریان آنها دائما هک می شدند برای ما مسأله عجیبی نبود.
البته توجه داشته باشید یک شرکت هاستینگ به یک شرط می تواند از نسخه های قدیمی تر نرم افزارها استفاده کند و آن اینکه: مشکلات امنیتی را بر طرف کرده باشد. این به آن معنی است که آنها از نسخه قدیمیی استفاده می کنند که مشکلات امنیتی اش برطرف شده است. پس اگر متوجه شدید شرکت هاستینگ شما از نسخه قدیمی یک نرم افزار استفاده می کند از آنها بپرسید آیا مشکلات امنیتی را بر طرف کرده اند؟
ما به طور پیوسته به همه یادآوری می کنیم که پوسته ها ، افزونه ها و خود وردپرس را به روز نگه دارند. مطمئن شوید شرکت هاستینگ شما نیز بقیه بخش های نرم افزاری سایتتان را به روز نگه می دارد.
2- آیا اکانت های مشتریان را به طور کامل از هم جدا می کنید؟ یا این امکان برای یک اکانت وجود دارد که فایل های اکانت دیگر را در سرور مشترک بخواند؟
ما شرکت های هاستینگی را دیده ایم که اکانت مشتریان را به طور کامل از یکدیگر جدا نمی کنند. این یعنی اگر یک هکر به یکی از اکانت های این شرکت ها دسترسی پیدا کند ، می تواند به فایل های اکانت های دیگر نیز دسترسی داشته باشد. در یک مورد ، هکر توانسته بود با هک کردن یکی از اکانت ها ، به فایل wp-config اکانت دیگر نیز دسترسی پیدا کرده و محتویات آن را که شامل اطلاعات پایگاه داده ، نام کاربری و رمز عبور است را مشاهده کند. هکر در مرحله با استفاده از این اطلاعات وارد پایگاه داده شده بود و یک کاربر جدید در سطح ادمین ایجاد کرده بود و در نتیجه توانسته بود به کل سایت دسترسی کامل داشته باشد.
لازم است از شرکت هاستینگتان بپرسید آیا کاربران دیگری که روی سرور اشتراکی شما هستند می توانند به فایل های اکانت شما دسترسی داشته باشند؟ اکانت ها باید کاملا از یکدیگر جدا باشند.
3- آیا لاگ های سرور من در دسترس هستند؟ برای چه مدتی نگهداری می شوند؟
وقتی یک سایت وردپرسی هک می شود ، یکی از مهم ترین منابع اطلاعاتی برای اینکه بفهمیم چطور به این سایت نفوذ شده ، لاگ های سرور هستند. متأسفانه مشاهده می کنیم کاربرانی که پلن هایی با سطح دسترسی زیاد را خریداری کرده اند اصلا به لاگ های سرور دسترسی ندارند و یا این لاگ ها برای مدت خیلی کمی نگهداری می شوند که این کمکی نمی کند. توصیه ما استفاده از هاست وردپرسی است که حداقل لاگ های 24 ساعت گذشته را در اختیار شما بگذارد. حالت ایده آل این است که شما بتوانید این لاگ های 24 ساعته را تا 30 روز آرشیو کنید.
4- چطور از سایت من بکاپ تهیه می کنید و این بکاپ ها تا چه مدتی نگهداری می شوند؟
سریع راه پس از هک شدن سایت این است که یکی از بکاپ های سالم سایتتان را بازگردانی کنید. دسترسی سریع به بکاپ سایتتان می تواند باعث صرفه جویی در زمان ، هزینه و کار اضافی شود. متوجه شوید شرکتی که از آن هاست تهیه کرده اید هر چند وقت از سایتتان بکاپ می گیرد؟ این بکاپ ها را تا چه مدت نگه می دارد و کجا ذخیره می کند؟
اگر از پلن هایی با سطح دسترسی زیاد استفاده می کنید احتمالا لازم است اقداماتی در راستای تکمیل عملیات بکاپ گیری شرکت انجام دهید. در بسیاری از موارد ، شرکت های هاستینگ برای این نوع پلن ها اصلا هیچ کاری در زمینه تهیه بکاپ انجام نمی دهند.
5- آیا اکانت کنونی من امکان استفاده از HTTPS را دارد؟
فعال سازی پروتکل SSL یکی از ضروری ترین کارها برای تأمین امنیت وب سایت است و در سئو هم آثار خوبی دارد. ما هم در سایت خوب توضیح داده ایم انواع گواهینامه های SSL کدام ها هستند و شما به کدامیک نیاز دارید. اگر الان از طریق این پروتکل در سایتتان لاگین نمی کنید لطفا در اولین فرصت نسبت به رفع این مشکل اقدام کنید. یک هکر که ترافیک شبکه شما را شنود می کند می تواند نام کاربری و رمزتان را ربوده و کنترل وب سایت را در دست بگیرد.
از دیگر مزایای پروتکل SSL ایمن ماندن اطلاعاتی است که شما از طریق فرم ها در سایتتان دریافت می کنید ، اطلاعات صفحات خرید هم از این طریق ایمن می مانند. ما به شدت توصیه می کنیم در صورت امکان سایتی راه اندازی کنید که در تمامی آدرس های آن HTTPS فعال شده باشد.
نتیجه
امیدواریم این مطلب به شما کمک کرده باشد در مورد مهمترین مشکلات امنیت هاست آگاه شده باشید. شرکت هاستینگ شما نقش حیاتی در تأمین امنیت وب سایتتان ایفا می کند. متأسفانه برخی از آنها به درستی این کار را انجام نمی دهند ، پس مطمئن شوید شرکتی که از خدمات آن استفاده می کنید پایه های امنیت وب سایت وردپرسی شما را کاملا محکم بنا کرده است.
منبع: wordfence.com