۷ عملی که سایت شما را در معرض خطر قرار می‌دهد

فرض کنید یک روز صبح از خواب بیدار می‌شوید و می‌بینید سایت تان مورد حمله قرار گرفته است. حتی فکر کردن به این موضوع هم ناراحت کننده است و به سرقت رفتن اطلاعات کاربران و افشای اطلاعات بانکی آنها می‌تواند برای شما به یک کابوس تبدیل شود، زیرا شما در برابر اطلاعات آنها مسئول هستید. در این مواقع برای مالکان وب سایتی که نمی‌دانند چطور سرور خود را در برابر حملات سایبری محکم کنند به نظر می رسد این موضوع گران تمام شود.

اما یک خبر خوب اگر شما یک وب سایت ساده استاتیک دارید که بر روی یک هاست قرار گرفته است، حتی اگر به جزئیات سرور مسلط نباشید، مشکل زیادی نخواهید داشت. اما برای سیستم های پیچیده شما قضیه تفاوت خواهد داشت و با حفره های امنیتی بیشتری سر و کار دارید که هر کدام از آنها می‌توانند به بالقوه خطرناک باشند. این هوشیاری بیشتر شما را می‌طلبد و کار بیشتری را برای ایمن سازی وب سایت باید انجام دهید.

از طرفی دیگر مشکلاتی که برای کاربران پیش می‌آید چیزی نیست که قابل پیش‌بینی نباشد. حملات مختلفی وجود دارد که می‌توان از اغلب آنها با یک برنامه‌ریزی درست جلوگیری کرد. در این مقاله به برخی از شیوه هایی که مردم برای ورود به محدوده امنیت سایت شما استفاده میکنند، اشاره خواهم داشت.

مهندسی اجتماعی

اگر از متخصصان امنیت در هر رشته ای سوال کنید آنها به شما خواهند گفت که رایج‌ترین نقطه شکست، نرم افزار و یا سخت افزار نیست. این نقطه شکست اغلب مردم هستند، با میلی که به انجام کارهای احمقانه دارند. مثلا نوشتن پسورد بر روی چیزی که در دسترس دیگران است و یا در اختیار قرار دادن پسورد به افراد از طریق تماس تلفنی. برای اکثر هکرها استفاده از سرویسهای مشتری قبل از اینکه آنها کاری انجام دهند، رایج شده است.

اگر هکر ها بتوانند به صورت موفقیت آمیز به اطلاعاتی از کاربر که نیاز دارند دسترسی پیدا کنند، ساعت ها و حتی روزها در وقت خود صرفه جویی کرده اند. پس اطمینان حاصل کنید که سرور شما امن است. شما همچنین از رعایت فرآیندهای امنیتی کارمندانتان باید اطمینان حاصل کنید.

رها کردن پچ های امنیتی

چه اعتقاد داشته باشید چه نه، این مورد هنوز هم مشکل بزرگی است، به خصوص در محیط هایی که همکاری انجام میشود. بروز رسانی کامپیوتر ها در یک زمان کمی مشکل به نظر می‌رسد. گاهی اوقات به روز رسانی ها ضروری توسط سیستم های ادمین به دلیل اینکه ممکن است مشکلاتی را در برنامه‌های آنها به وجود آورد به تعویق می‌افتد.

برخی دیگر محدودیت ها را شدیدتر کرده اند و حتی بروز رسانی را هم ممنوع اعلام میکنند. در هر حال ممکن است به هر دلیلی به‌روزرسانی‌های امنیتی نصب نشود و در نتیجه سیستم ها آسیب پذیر شوند. برای وب سایت به خصوص آنهایی که از سیستم های مدیریت محتوا همچون وردپرس استفاده می‌کنند، این مورد ممکن است رخ دهد.

کدهای غیر ایمن ثالث

برنامه نویس ها اکثرا آدم های باهوشی هستند، اما در میان آنها بعضی دیگر از تجربه بالاتری برخوردار هستند. با این وجود حتی برنامه های بهترین ها هم با خطا و باگ روبرو می‌شود. خیلی از مردم کار برنامه نویسی خود را با نوشتن پلاگین برای دیگر نرم افزارها مثل وردپرس آغاز کردند.

به خاطر بسپارید که هر چه پیچیدگی بیشتر باشد حفره‌های امنیتی هم بیشتر می‌شود پس استفاده بیشتر از پلاگین ها در نتیجه سایت شما را بیشتر در معرض خطر قرار می دهد. سعی کنید تا آنجا که می توانید پلاگین ها را قبل از نصب بر روی وب سایتتان، چک کنید و اطمینان حاصل کنید قبلا برای کسی مشکلی به وجود نیاورده است. آنها را با آخرین بروزرسانی های عرضه شده آپدیت کنید تا اگر مشکلی از قبل داشته اند، رفع شود.

سیاست های امنیتی بد کاربری

در این مورد سیاست‌های امنیتی اشاره به درخواست شما از کاربران برای مشارکت ایمن در ناحیه کاربری آنهاست. این سیاست ها اغلب چیزهایی مانند سوالات امنیتی، درخواست برای پسورد قوی، احراز هویت دو مرحله ای و حتی توکن های فیزیکی امنیتی حساب کاربری را شامل می‌شود که توسط موسساتی مثل بانک ها استفاده می شود.

 تایید ایمیل یک روش خیلی رایج است و یکی از ساده ترین کارها برای مدیریت این موارد است. با این حال هیچ راهی هنوز وجود ندارد که شما مطمئن شوید کسی که به سیستم شما وارد شده است همان شخص مورد نظر شماست.

حملات تزریقی

این حملات با نام حملات تزریق SQL یا SQLi شناخته می شود. در این مورد هکرها در وب سایت شما به دنبال فرم ها می گردند. یک فرم تماس، فرم ورود و یا هر فرمی که اطلاعات را به صورت مستقیم در پایگاه داده شما ثبت می‌کند. دقت داشته باشید که این فرم ها باید فقط بتوانند اطلاعات پایه را ثبت کنند، در غیر این صورت اگر یک هکر بتواند یک دستور SQL را از طریق این فرم در دیتابیس شما ثبت کند این یک فاجعه خواهد بود.

بعد از ثبت دستورات در دیتابیس هنگامی که در جایی بخواهید این اطلاعات را از دیتابیس بخوانید ناخواسته دستور را اجرا می‌کنید و خرابی به بار خواهد آمد.

نشت اطلاعات

بسته به اینکه چطور برنامه نویسی کرده باشید اطلاعات می‌تواند به بیرون نشت کند. URL ها میتوانند حاوی اطلاعات حساس باشند. افراد می‌توانند از طریق گوگل لینک آدرس های صفحات سایت شما را به دست آورند و از این طریق به اطلاعات حساس شما دسترسی پیدا کند. اگر فایل های حساس خود را در پوشه هایی که در سرور محافظت نشده اند، قرار دهید برای هر کسی قابل دانلود هستند.

اگر کسی از این طریق بتواند به فایل پیکربندی سایت شما دسترسی پیدا کند این برای شما فاجعه‌بار است. این موارد همیشه نتیجه برنامه نویسی ضعیف نیست گاهی اوقات ممکن است فراموش کنید پوشه های خود را در سرور با مجوز های صحیح تنظیم کنید. در این صورت نشت اطلاعات به صورت تصادفی اتفاق خواهد افتاد.

CLICKJACKING

CLICKJACKING معمولا به دو روش اتفاق می افتد، وقتی کسی یک سایت مخرب را با محتویاتی ایجاد میکند که بی ضرر به نظر می‌رسد، اما وقتی روی لینک های آن سایت کلیک کنید چیزی را که لزوماً شما می خواهید انجام نمی دهد و یا به جایی که شما نمی‌خواهید شما را هدایت می‌کند.

روش دوم این است که کدی را به سایت شما تزریق کرده اند که کلیک های سایت شما را بدزدند. از همه بدتر این است که کسی اطلاعات کاربران شما را از طریق فرمی که در اختیار آنها قرار می دهند با نام سایت شما بدزدند. 

نتیجه

راه و روش های مختلف دیگری نیز وجود دارد فرصت آنها نیست که در این مقاله به آنها بپردازیم، با این حال هفت عملی که ذکر شد رایج ترین راه ها برای در معرض قرار گرفتن وب سایت شماست. برای آنها برنامه‌ریزی ترتیب بینید زیرا که همیشه پیشگیری بهتر از درمان است

منبع: لرن سورس