این اولین مقاله از یک مجموعه به نام “گام هایی برای سالم نگه داشتن سایت” است. در این مطلب راهکارهای امنیتی مبتنی بر به روز رسانی ها برای جلوگیری از آلوده شدن وب سایت را با هم مرور خواهیم کرد.
به روز رسانی ها
دائما می بینیم که وقتی به روز رسانی های امنیتی مهم جدی تلقی نمی شوند ، وبسایت ها بارها و بارها آلوده به ویروس می شوند. اکثر به روز رسانی های نرم افزارها به خاطر به وجود آمدن یک شکاف امنیتی ایجاد می شوند و هدف آنها برطرف کردن آن شکاف امنیتی است. به روز رسانی به آخرین ورژن نرم افزار کمک می کند وبسایت شما از آسیب پذیری هایی که می توانند به سایت شما آسیب بزنند در امان بماند.
اگر در سایت خوب نیز جستجو کنید ، مقاله های زیادی درباره ی آسیب پذیری ها و امنیت وبسایت مشاهده می کنید.
اگر این آسیب پذیری ها با کمک به آپدیت ها جلوگیری نشوند ، آنگاه وبسایت شما از جانب چندین نوع بد افزار دائما در خطر خواهد بود. به روز رسانی ها برای سخت تر کردن کار ما نیستند ، اگرچه اکثرا چنین دیدگاهی نسبت به آنها داریم. مجهز بودن به آخرین به آپدیت ها ، ما را از میزان زیادی استرس و اتلاف وقت در آینده (زمانی که هکرها تصمیم می گیرند از آسیب پذیری سایت ما سودجویی کنند) نجات می دهند.
سایت های کوچک هدف مناسبی برای حملات
آسیب پذیری های نرم افزاری و کنترل دسترسی ها باعث می شوند سایت های کوچک در دیدگاه هکرها تبدیل به اهدافی بزرگ شوند.
آخرین گزارشات دریافتی ما در مورد وبسایت های هک شده نشان می دهند که نرم افزارهای تاریخ گذشته تاثیر به سزایی در افزایش احتمال هک شدن سایت داشته اند. اگرچه از پاییز سال 2016 تعداد سایت های تاریخ گذشته ی هک شده کاهش یافته است ، اما هنوز هم آمار بالایی از این قبیل را شاهد هستیم.
چه مواردی باید به روز رسانی شوند؟
در زیر چند نمونه از مواردی که باید به روز رسانی شوند را مشاهده می کنید:
- سیستم های مدیریت محتوا
- افزونه ها
- قالب ها
- الحاقات
- سرور
حالا اجازه دهید در مورد هر کدام از این موارد جداگانه صحبت کنیم.
1- سیستم های مدیریت محتوا
این مورد شامل WordPress ، Magento ، Joomla ، Drupal و هر گونه پلتفرم دیگری که برای ساختن سایتتان از آن استفاده می کنید می شود.
گزارشات سایت های هک شده ی ما نشان می دهند فایروالی مثل Sucuri بیشترین مراجعات را از سمت سیستم مدیریت محتوای وردپرس دارد.(83% از وبسایت های پاکسازی شده در سال 2017 با استفاده از وردپرس پیاده سازی شده اند). البته این الزاما بدان معنان نیست که وردپرس در زمینه امنیت از سایر CMS ها قوی تر یا ضعیف تر است.
CMS انتخابی ، شما را از هرگونه به روز رسانی مهم و حیاتی آگاه می سازد. لطفا این هشدارها را نادیده نگیرید.
2- افزونه ها
هر افزونه ای که به سایت خود اضافه می کنید باید ابتدا بررسی و آزمایش شود. همه ی افزونه ها برای سایت ها بی ضرر یا عاری از بد افزار نیستند. برخی افزونه ها با اهداف شوم و بد افزاری ایجاد می شوند، برخی دیگر با این هدف ایجاد نمی شوند ولی مورد سوء استفاده قرار می گیرند. به خاطر عدم مدیریت صحیح یا بی احتیاطی ، افزونه ها می توانند به آسانی به بد افزار تبدیل شوند.
در زیر نکاتی را مشاهده می کنید که در هنگام افزودن افزونه به سایت خود باید آنها را رعایت کنید:
- افزونه ها را فقط از یک سایت که مورد اعتماد شماست دانلود کنید.
- بررسی کنید به روز رسانی جدیدی برای افزونه وجود دارد یا خیر و چه مدت پیش مشکلات امنیتی توسط تولید کننده برطرف شده است.
- اگر یک افزونه رایگان نیست ، به جای آنکه به دنبال نسخه ی رایگان آن بگردید ، آن را مستقیما از تولید کننده خریداری کنید.
- نظرات دیگران را مطالعه کنید تا ببینید آیا نکات منفی در مورد امنیت افزونه ی مورد نظر بیان شده است یا خیر.
گاهی هر چه از افزونه استفاده نکنید بهتر است. آیا واقعا به این افزونه نیاز دارید؟ به نکات منفی و نقطه ضعف های افزونه در مقایسه با نکات مثبت و قوت آن خوب فکر کنید. در اکثر موارد استفاده از افزونه های بیشتر، به معنی خطر بیشتر است.
3- تم ها
علاوه بر افزونه ها ، تم ها نیز باید به روز رسانی و “آزمایش” شوند. یک هکر از هر رخنه ای که پیدا کند استفاده خواهد کرد.
همانند افزونه ها ، نکاتی هم در مورد تم ها وجود دارد که باید در هنگام افزودن قالب به سایت خود، آنها را رعایت کنید:
- آیا قالب مورد نظر برای سایت شما ضروری است؟
- آیا می توانید به منبعی که تم را در آن یافته اید اعتماد کنید؟
- آیا تولید کننده تم ، آسیب پذیری های آن را یافته و برطرف می کند؟
تم ها می توانند بستر بسیار مناسبی برای بد افزار ها باشند چون برای مورد استفاده قرار گرفتن به عنوان سئوی سیاه ، بد افزار کار گذاشتن و درب پشتی بسیار مناسبند.
اگر یک تم رایگان پیدا کردید که در 6 ماه اخیر به روز رسانی نشده است ، ممکن است نصب آن آنقدرها که فکر می کنید به صرفه نباشد. به پولی که ممکن است به خاطر رفع آسیب پذیری آن تم در سایت شما صرف شود فکر کنید.
4- الحاقات
روش دیگر برای سالم نگه داشتن سایت ، اطمینان حاصل کردن از این است که کامپیوتر شما عاری از بد افزار باشد. اطمینان حاصل کردن از اینکه مرورگر شما و الحاقاتش (پلاگین ها) به روز هستند بسیار حائز اهمیت است. در این موارد بسیار کمیاب ، عامل اصلی حمله ، کامپیوتر خود شماست. برای جلوگیری از این مورد ، کافی است مرورگرها و الحاقات آنها را از یک منبع مورد اعتماد نصب کنید و حتما بلافاصله پس از انتشار به روز رسانی برای آنها، سریعا آنها را به روز رسانی کنید.
5- سرور
همانند دیگر نرم افزارهایی که در این مقاله راجع به آنها صحبت کردیم ، سرور نیز به خودی خود کلید ایمن نگاه داشتن یک سایت است. سرورهای تحت وب مانند NGINX ، Apache ، IIS و غیره ممکن است برای شما آشنا نباشند ، مگر اینکه یک برنامه نویس باشید یا با تنظیمات سایت بسیار آشنا باشید. در هر حال چه آشنا باشید چه نه ، سایت شما دارای سروری برای اتصال به اینترنت است و سرور شما می تواند در برابر هک شدن آسیب پذیر باشد. به روز رسانی سرور یکی از بایدهایی است که نباید فراموش شود. در این رابطه پیشنهاد میکنم مطلبی را که در مورد سؤال های امنیتی پیش از خرید هاست منتشر کرده ام را مطالعه کنید.
نکته ی حرفه ای:
قابلیت به روز رسانی خودکار برای اکثر CMSها و افزونه ها موجود است ، اما شاید بهترین گزینه برای به روز رسانی نباشد. گاهی به روز رسانی ها می توانند باعث ایجاد اختلال در عملکرد سایت شوند.
من توصیه می کنیم یک بکاپ کامل از سایت بگیرید و برای به روز رسانی از کمک برنامه نویس خود استفاده کنید.
نتیجه
برای ایجاد یک محیط وب گردی امن برای همه ، ایفای نقش هر فرد (هر چند کوچک باشد) بسیار حائز اهمیت است. حتما به روز رسانی ها را انجام دهید و نسبت به خطراتی که خدمات و کسب و کار شما را تهدید می کنند آگاهی داشته باشید.
منبع: blog.sucuri.net