تا حالا مقالات بخش امنیت وبسایت را در مجله میزبان هاست دیدهاید؟ در این بخش ما بهصورت ماهانه گزارشهایی از آسیبپذیریهای موجود در سیستمهای مختلف، مثل وردپرس و جوملا ارائه میکنیم. حالا چرا این موضوع را مطرح کردم؟ بیشتر این آسیبپذیریها با آپدیت (یا بهروزرسانی) حل میشوند. مثلاً اگر یکی از افزونههای وردپرس باگ داشته باشد و امنیت سایتتان را بهخطر بیاندازید، به احتمال زیاد، با آپدیت کردن مشکلش رفع میشود.
حالا این آپدیت کردن هم راهوچاه خودش را دارد و اگر نتوانید درست آن را انجام دهید، ممکن است که کماکان امنیت سایت در خطر باشد، یا اینکه اصلاً همهچیر بهم بریزد.
در این مقاله میخواهیم موارد مهمی که باید بهصورت منظم چک کنید و از بهروز بودن آنها مطمئن شوید، یادآور شویم و نکات مهمی را با هم مرور کنیم.
چرا بهروزرسانی مدوام خیلی مهم است؟
جدی نگرفتن بهروزرسانیهای مهم امنیتی، همهروزه وبسایتهای زیادی را دچار آلودگی میکند. همانطور که گفتیم، بیشتر آپدیتها به دلیل برطرف کردن رخنههای امنیتی ارائه میشوند؛ پس اگر آنها را جدی بگیریم، احتمالاً از آسیبهای احتمالی و نفوذ هکرها پیشگیری خواهیم کرد.
بیایید باور کنیم که این بهروزرسانیها برای سختتر کردن زندگی شما ارائه نمیشوند (هرچند شاید اینطور به نظر برسند!). لحظه ای به استرس و ضرری فکر کنید که با هک شدن وبسایت شما به سراغتان خواهد آمد. شما که دلتان نمیخواهد این تصور واقعی شود؟
خیلیها فکر میکنند چون کسبوکار کوچکی و نوپایی دارند، اصلاً هکرها از کنارشان هم رد نمیشوند؛ چه برسد به اینکه بخواهند به سیستمشان نفوذ کنند و اطلاعاتشان را گرو بگیرند! اما این تصور اشتباه است!
وبسایتهای کوچک طعمه اصلی هکرها هستند!
بهتر است بدانید، نقاط آسیبپذیر نرمافزارها و کنترل سطوح دسترسی، وبسایتهای کوچک را به اهدافی بزرگ برای هکرها تبدیل میکند. حالا جالب اینجاست که گاهی این سایتهای کوچک که در یک هاست اشتراکی قرار گرفتهاند، زمینۀ نفود به دیگر سایتهای مشترک را هم فراهم میکنند.
خب؛ سوال مهم دیگری که اینجا پیش میآید این است:
دقیقا چه بخشهایی باید آپدیت شوند؟
بهطور خلاصه اگر بخواهیم بگوییم، شما باید بهصورت منظم، برای بررسی و بهروزرسانی بخشهای زیر، برنامه داشته باشید:
- سیستمهای مدیریت محتوای وبسایت
- پلاگینها (افزونه یا ماژول)
- قالبها
- اکستنشنها
- نرمافزارهای مدیریت سرور
حال بیایید هر کدام از این موارد را باز کنیم و توضیح دهیم.
سیستمهای مدیریت محتوا (CMS)
وردپرس، دروپال، جوملا، پرستاشاپ و … همگی سیستمهای مدیریت محتوا هستند. فرقی ندارد که شما از کدام سیستم استفاده میکنید، در صورتی که آپدیت را جدی نگیرید، ممکن است که در معرض آلودگی باشید.
آخرین گزارش منتشر شده شرکت امنیت سایبری Sucuri درمورد سایتهای هک شده نشان میدهد که ۸۳ درصد تمام وبسایتهای پاکسازی شده از سیستم WordPress استفاده میکردهاند. اگرچه این آمار لزوماً به این معنی نیست که WordPress پلتفرمی ناامنتر بقیۀ سیستمهای مدیریت محتوای وبسایت است. تعدادکاربران بیشتری از وردرس استفاده میکنند و خب طبیعی است که بیشترین آمار پاکسازی هم مربوط به وردپرس باشد.
در تصویر میتوانید نمودار توزیع CMS وبسایتهای آلوده شده را ببینید
نمودار توزیع پلتفرم های وبسایتهای آلوده شده
سیستم مدیریت محتوای انتخابی شما هر چه که باشد، انجام هرگونه آپدیت مورد نیاز را به شما هشدار میدهد. لطفا این هشدارها را نادیده نگیرید!
پلاگینها
هر پلاگینی پیش از افزوده شدن به وب سایت شما باید خیلی دقیق بررسی شود؛ چون ممکن است که افزونه حامل بدافزار باشد یا آسیبپذیریهایی داشته باشند.
برخی از این پلاگینها از ابتدا با نیت بد طراحی شدهاند و برخی دیگر آنقدرها هم بد شروع نمیکنند؛ اما در نبود مدیریت یا توجه کافی، بهآسانی میتوانند تبدیل به یک پلاگین بدجنس و مخرب شوند.
چند توصیه مهم برای وقتی که قصد افزودن پلاگین جدید به وبسایت خود را دارید:
- پس توضیحات پلاگین را بهدقت بخوانید و سابقۀ آن را بررسی کنید.
- پلاگینها را تنها از منابع معتبر و مورد اعتماد دانلود کنید.
- چک کنید که آخرین بهروزرسانی امنیتی ارائه شده برای پلاگین موردنظر شما کِی بوده؟ آیا زمان زیادی از آن گذشته؟
- اگر پلاگینی رایگان نیست به دنبال نسخه رایگان آن در اینترنت نباشید. آن را مستقیما از توسعهدهندۀ آن بخرید.
- نظرات کاربران را بخوانید. آیا نظراتی منفی در مورد امنیت پلاگین می یابید؟
- گاهی کمتر، بیشتر است! آیا واقعا به این پلاگین احتیاج دارید؟ معایب آن از مزایای آن بیشتر است؟ قاعدتا پلاگینهای بیشتر، در اکثر موارد به معنی خطرات امنیتی بیشتر هم هستند. پس با پلاگینهای غیرضروری سایتتان را شلوغ نکنید.
در صورتی که میخواهید همۀ افزونههای موجود را در یک نگاه ببینید، از سایدبار وردپرس روی افزونهها (یا Plugins) کلیک کنید. در صفحۀ بعدی شما میتوانید لیست تمام افزونههای نصب شده را ببینید و در صورت نیاز با کلیک روی «هماکنون بهروز نمایید»، افزونه مورد نظر را آپدیت کنید.
تمها
درست مثل پلاگینها، تمها هم نیاز به آپدست مداوم و بررسی دقیق پیش از نصب دارند. یادتان باشد هکرها از هر کجا که بتوانند سوءاستفاده خواهند کرد.
پس حواسجمع باشید و پیش از افزودن هرگونه تم به وبسایت، به این نکات مهم توجه کنید:
- آیا تم مورد نظر واقعا برای وبسایت شما ضروریست؟
- آیا میتوانید به منبعی که تم را در آنجا یافتهاید، اعتماد کنید؟
- آیا توسعه دهنده تم، نقاط ضعف امنیتی احتمالی را بهوسیلۀ ارائه وصله (Patch) رفع خواهد کرد؟
تمها بهراحتی می توانند تبدیل به بستر مناسبی برای بدافزارهایی از نوع سئوی کلاه سیاه (ترفیع غیرقانونی وبسایت در موتورهای جستجوگر)، بدافزار تبلیغاتی (Malvertising) و حملات Backdoors شوند.
چنانچه تم رایگانی پیدا کردید که در ۶ ماه گذشته بهروزرسانی نداشته، شاید آنچنان که فکر میکنید این تم رایگان نباشد! کافی است به مبلغ پولی فکر کنید که ممکن است با آلوده شدن وبسایت شما از جیبتان برود!
اکستنشنها
مورد مهم بعدی در تمیز نگه داشتن سایت، اطمینان از آلوده نبودن رایانه شما به بدافزارهاست. اطمینان از بهروز بودن سیستم عامل، مرورگر و افزونههای (اکستنشن ها) آن بسیار اهمیت دارد. در این حالت که البته کمتر رخ می دهد، رایانه شما به خودی خود زمینۀ حمله به وبسایت را فراهم میکند. به همین دلیل توصیه میشود مرورگرها و افزونههای مرورگرها را تنها از منابع مورد اعتماد دریافت و نصب کنید و به محض دریافت هشدار آپدیت، فوراً اقدام کنید.
نرمافزارهای سرور
نام وبسرورهایی همچون NGINX، Apache، IIS و غیره، ممکن است برای شما زیاد آشنا نباشد؛ مگر آنکه توسعه دهنده (Developer) باشید یا با تنظیمات حرفهای وبسایت خود بهخوبی آشنا باشید.
اگر آشنا نیستید، بد نیست بدانید که وبسایت شما برای آنکه در اینترنت در دسترس قرار گیرد بایستی یک وبسرور داشته باشد. همانطور که حدس زدهاید سرور وبسایت شما نیز میتواند در مقابل حملات هکرها آسیبپذیر باشد. بهترین راه برای مقابله با این خطر نیز بهروزرسانی است.
بنابراین خیلی مهم است که شما از شرکت های میزبانی وب معتبر، سرور یا هاست خود را خریداری کنید. چنین شرکت هایی بخش امنیت مجزایی داشته و مطمئن خواهید بود که آخرین بروزرسانیها و تمهیدات امنیتی لازم در سرور اعمال شده و در صورت وجود مشکل می توانید از آنها راهنمائی بگیرید.
نکتهای از طرف حرفهایها
اغلب سیستم های مدیریت محتوا (CMS) و پلاگین ها (Plugins) گزینه ای به نام بهروزرسانی خودکار (Automatic Update) دارند؛ اما شاید این کار بهترین راهحل ممکن نباشد! بهروزرسانی خودکار گاهی میتواند باعث ایجاد اختلالات عملکردی در وبسایت شما شود.
توصیه ما به شما، ایجاد یک نسخه پشتیبان (Backup) کامل از وبسایت و کمک گرفتن از توسعهدهنده برای آپدیت کردن است.
جمعبندی
داشتن وبسایتی امن برای همه کاربران، وظیفهای بر عهده شماست که باید بر اهمیت آن واقف باشید. در مقابل تهدیدات بالقوهای که خدمترسانی وبسایت شما را مختل میکنند به هوش باشید و از «بهروزرسانی بهموقع» اطمینان حاصل کنید.