۹ مورد از رایج ترین تهدیدهای امنیتی وب سایت‌ها

۹ تهدید رایج در امنیت وب سایت

چکیده‌ی مطلب :

۱۱ آبان ۱۳۹۷ ۲‍۰‍۰ بازدید 13 دقیقه
امروزه بحث امنیت به چالشی حساس بدل شده است. در فضای مجازی هیچ وقت امنیت 100% نخواهد بود. اما می‌توان با روش‌هایی دسترسی نفوذ گران را محدود نمود. در این مقاله به طور خلاصه به بحث امنیت در وب سایت خواهیم پرداخت.

چگونه امنیت وب سایت خود را افزایش دهیم؟

ویژه علاقه‌مندان به دنیای امنیت و نفوذ

تامین امنیت وب سایت

برای تأمین امنیت وب سایت قبل از بیان هر نکته‌ای باید با مفاهیم امنیت آشنا شویم. سپس تهدیدهای امنیتی وب سایت و راه‌های نفوذ را بشناسیم تا بتوانیم از راه درست با آنها مقابله کنیم.

امنیت چیست؟

مجموعه اقداماتی جهت حفاظت از سیستم‌ها، شبکه و غیره جهت جلوگیری از سرقت اطلاعات و صدمه به سخت‌افزار و نرم‌افزار گفته می‌شود.

خدمات امنیتی چیست؟

اجرا و پیاده سازی ساز و کارها و ارائه‌ی آن به کاربران به شرطی که بتوان میزان وقوع حمله را به حداقل رساند.
مشهورترین این خدمات عبارت است از :

  1.  محرمانه ماندن اطلاعات (Privacy Information)
  2.  احراز هویت (Authentication)
  3.  رمزنگاری (Encryption)
  4.  کنترل دسترسی (Permission Control)

توجه داشتن به مباحث امنیتی از جمله مهم‌ترین عواملی است که می‌تواند در حفظ اطلاعات شما و فاش نشدن آن ها تاثیر به سزایی داشته باشد. پس صرف هزینه در این زمینه نیز سبب آسودگی خاطر بسیاری از کاربران شما خواهد شد.

سیستم های مدیریت محتوا (CMS)

سیستم های مدیریت محتوا (CMS)

به طور کلی، امنیت به اینکه از چه پلتفرمی استفاده می‌کنید ارتباطی ندارد و چنین چیزی غیر ممکن است که بتوان CMS کاملاً امنی ساخت و حتی امنیت را صرفاً به نوع آن (CMS) مرتبط دانست. به علاوه افزایش امنیت به معنای پایین آوردن میزان ریسک نفوذ است نه حذف آن؛ این به معنی بهبود وضعیت سایت شما و کاهش احتمال هک شدن آن است نه جلوگیری از آن! چون امنیت هیچ گاه ۱۰۰% نیست و مهم‌ترین وب سایت‌های خبری و سازمانی نیز تجربه تلخ هک شدن را داشته‌اند. اما با شناخت مهم‌ترین تهدیدهای امنیتی وب سایت می‌توان راه‌های نفوذ به وب سایت را تا حد زیادی بست.

مهمترین تهدیدهای امنیتی وب سایت ها

۱) هاستینگ (میزبانی وب)

مهمترین تهدیدهای امنیتی وب سایت ها

یکی از انواع تهدیدهای امنیتی وب سایت‌ها که منجر به هک شدن وب سایت‌ها می‌شود، مسائل مربوط به هاستینگ می‌باشد. امروزه شما انتخاب‌های زیادی در خرید یک هاست دارید. بهتر است بدانید که آنها تا چه حد به مسائل امنیتی اهمیت می‌دهند و پایبند آن خواهند بود.
هاست یا سرور مناسب می‌بایست از حریم خصوصی شما محافظت کند و مدیر سرور مسئولیت ارائه سرویس را بر عهده گیرد. با توجه به اینکه ما با هرگونه ایمن سازی وب سایت هیچ گاه به امنیت ۱۰۰% نخواهیم رسید، بک آپ گیری منظم و روزانه طبق نیاز شما یکی از مهم‌ترین خدمات هاستینگ به حساب می‌آید.

۲) اپلیکیشن‌های مورد استفاده در وب سایت

در صورتی که از امنیت هاست خود اطمینان حاصل کردید، حال باید به این نکته توجه داشته باشید که امنیت هاست به زیر ساخت سایت مربوط می‌شود و آنها مسئول امنیت برنامه‌هایی که شما اقدام به نصب کرده‌اید نخواهند بود.
مسائل امنیتی سایت‌ها به ندرت مربوط به بخش هاستینگ می‌شود و در بیشتر مواقع به بخش اپلیکیشن‌های مورد استفاده مرتبط است. خود آن شامل زیرمجموعه‌های مختلفی است که می‌توان با محدود کردن دسترسی‌ها – افزایش اطلاعات و دانش خود در زمینه امنیت و دریافت برنامه‌های موردنیاز از منابع معتبر این ریسک را به میزان قابل توجهی کاهش داد. (در مقالات بعدی به طور تخصصی به این مبحث می‌پردازیم.)

۳) حفره‌های امنیتی کلاینت

مدیران و ادمین سایت‌ها باید اطمینان داشته باشند که کامپیوتر آنها فاقد هرگونه ویروس، نرم افزار جاسوسی، تروجان‌ها و .. باشد. در مواقعی که حفره‌های امنیتی در کامپیوتر شما وجود داشته باشد، احتمال به خطر افتادن امنیت وب سایت وجود دارد و تمام تلاش‌های مدیران هاست و بخش پشتیبانی بی ثمر خواهد بود. در صورت وجود حفره‌های امنیتی، شامل باز بودن پورت‌های مهم سیستم، وجود بدافزار (RAT)، کیلاگر (Keylogger) و… ممکن است از صفحه مانیتور شما تصویر برداری شود و یا کیبورد شما تحت نظر باشد و…

باید توجه داشت که نمونه‌های یاد شده یکی از رایج‌ترین و ساده‌ترین روش‌های هک و سرقت اطلاعات است. (در مقالات بعدی به طور تخصصی به این مبحث خواهیم پرداخت.)

۴) حفره‌های امنیتی وب سرور (Server Side)

حفره های امنیتی وب سرور (Server Side)

حفره‌هایی امنیتی در وب سرورها نیز یکی دیگر از تهدیدهای امنیتی وب سایت‌ها است. همیشه باید توجه داشت که نسخه معتبری از وب سرور را نصب کرده باشیم. زمان تهیه‌ی هاست، حتماً اطمینان حاصل کنید که مدیران آن سرور به این مسئله توجه دارند. در صورتی که امنیت وب سایت شما اهمیت زیادی دارد و از هاست اشتراکی استفاده می‌کنید (در هاست اشتراکی چندین وب سایت در یک هاست وجود دارد) ممکن است امنیت وب سایت شما در معرض خطر باشد و هر چقدر موارد امنیتی را رعایت کرده باشید فرقی نمی‌کند!

زیرا در این مواقع هکر از حفره امنیتی وب سایت‌های ضعیف‌تر که در هاست با شما مشترک هستند استفاده کرده و به هدف (Target) که ممکن از سایت شما باشد نفوذ می‌کند. (به این نوع حملات Symlink گفته می‌شود)، اطمینان حاصل کنید که مدیران هاست به این مسئله آگاهی لازم را داشته و دسترسی‌ها را محدود کرده‌اند.
و یا اینکه اگر وضعیت مالی شما کفاف می‌دهد، سایتتان را به هاست اختصاصی منتقل کنید که البته هزینه بالاتری نسبت به هاست اشتراکی دارد.

۵) حفره‌های امنیتی شبکه

یکی دیگر از موارد تهدیدهای امنیتی وب سایت، وجود حفره های امنیتی در شبکه است. کل مسیر ارتباطی در شبکه، هر دو سمت (Serverو Client) باید مورد اعتماد باشد. به عنوان مثال نباید از اینترنت کافی‌شاپ برای ورود به بخش مدیریت وب سایت خود استفاده کنید. همین‌طور استفاده از سیستم‌های Wireless ریسک بزرگ به حساب می‌آید. حال اگر مدیریت و امنیت سرور به عهده خودتان باشد، امنیت شبکه متصل به سرور و سایر سیستم‌ها نیز اولویت بالاتری دارد. (در مقالات بعدی به طور تخصصی به این مبحث خواهیم پرداخت.)

۶) رمزهای عبور (Password)

مهمترین تهدیدهای امنیتی در وب سایت ها

انتخاب یک رمز عبور قوی و غیر قابل کرک جهت تأمین امنیت وب سایت!  هدف از قوی بودن پسورد، جلوگیری از حدس زدن آن توسط افراد و مقابله با حملات بروت فورس است. (حملاتی که با تست تعدادی از پسوردها روی اکانت انجام می‌شود)

یکی از عادت‌های بد برخی افراد، استفاده از یک پسورد ثابت یا پسوردهای یکسان در حساب‌های کاربری مختلف است.

هکرها با به‌دست آوردن پسورد شما در وب سایت‌های کم اهمیت، حدس می‌زنند که شما در انتخاب پسورد از چه عباراتی استفاده می‌کنید! لذا از به‌ کار بردن عبارات قابل حدس و یکسان خودداری کنید. همیشه سعی کنید از پسوردهایی برای حساب‌های کاربری خود استفاده کنید که ترکیبی از اعداد، حروف بزرگ، حروف کوچک، نشانه‌ها و… باشد. برای مثال:

Am!e!@#J)78*$’a`d

وب سایت زیر به شما کمک خواهد کرد تا بتوانید میزان ایمن بودن پسورد انتخابی را تست کنید و بدانید چه زمانی طول می‌کشد تا پسورد شما کرک شود.

howsecureismypassword.net

۷) پروتکل (Protocol)

پروتکل (Protocol)

در بحث امنیت سرور، اگر سرور شما از سرویس SFTP پشتیبانی می‌کند، باید از این سرویس به جای FTP استفاده کنید. از آنجایی سرویس SFTP مشابه FTP می‌باشد اما با یک تفاوت! و آن هم این است که پسورد و اطلاعات شما را رمزگذاری کرده و سپس ارسال می‌کند. در نتیجه رمز عبور شما هیچ گاه به طور واضح در شبکه ارسال نخواهد شد و توسط برنامه‌های جاسوسی و اسنیف (شنود) قابل شناسایی نیست! در واقع  استفاده از سرویس SFTP می‌تواند نقش مهمی در تأمین امنیت وب سایت داشته باشد. یکی از معروف‌ترین نرم‌افزار‌ها WireShark می‌باشد.

۸) مجوزهای دسترسی (Permission)

مجوز های دسترسی (Permission)

از مهم‌ترین تهدیدهای امنیتی وب سایت ‌ها می‌توان به مجوز دسترسی ویرایش فایل‌ها اشاره کرد. مخصوصاً زمانی که از هاست اشتراکی استفاده می‌کنید. بهتر است تا جایی که امکان دارد مجوزهای دسترسی را برای ویرایش و آپلود فایل به درستی محدود کنید. مسلماً برای این کار باید با ساختار سیستم مدیریت محتوا خود آشنا باشید.

۹) امنیت پایگاه داده (Database)

در صورتی که چندین وب سایت را در یک سرور مدیریت می‌کنید بهتر است جهت تأمین امنیت وب سایت، برای هر کدام از وب سایت‌ها یک پایگاه داده مجزا تعریف کنید. در صورتی که هکر به یک دیتابیس دسترسی پیدا کند این کار مانع دسترسی هکر و هک شدن سایر وب سایت‌ها می‌شود. امنیت پایگاه داده شامل نکات زیادی می‌باشد که بیشتر به مدیریت سرور مربوط می‌شود تا اینکه مدیر سایت نقشی در آن داشته باشد. برای مثال: تغییر پیشوند جداول، تغییر نوع رمزنگاری پسوردها و غیره. (در مقالات بعدی به طور تخصصی به این مبحث خواهیم پرداخت.)

۹ مورد بیان شده از جمله مهمترین تهدیدهای امنیتی وب سایت‌ها بودند که با رعایت آنها می‌توان گامی موثر در تأمین امنیت وب سایت برداشت.

برخی از روش‌های جلوگیری از هک و نفوذ

برای جلوگیری از به وجود آمدن حفره‌ های امنیتی از آنتی‌ویروس‌های اورجینال و مطمئن استفاده کنید. برنامه‌ها و فایل‌های خود را از وب سایت‌های معتبر دانلود کنید و هیچ فایلی را از ایمیل‌های ناشناس دریافت نکنید.

(یک نرم افزار جاسوسی می‌تواند در قالب یک عکس یا فایل متنی و غیره همراه بوده و با یک کلیک اشتباه وارد سیستم شود.) بنابراین همیشه سیستم عامل و نرم افزارهای خود به ویژه مرورگر را از وب سایت رسمی ناشر آن دانلود و به روز رسانی کنید.

هکرها برای نفوذ به وب سایت‌ها ابتدا حفره‌ های امنیتی نرم افزارها را پیدا می‌کنند و توسعه دهندگان نرم افزارها با بررسی رفع باگ امنیتی و ارائه نسخه جدید، راه نفوذ از طریق آن حفره را مسدود می‌کنند. و شما با آپدیت به جدیدترین نسخه می‌توانید خود را در برابر آخرین باگ‌های امنیتی کشف شده ایمن کنید.

لازم به ذکر است که این بدان معنا نیست که اگر به عنوان مثال تا به حال ۱۰ باگ امنیتی برای مرورگر کروم کشف شده است این مرورگر دیگر قابل اطمینان نیست. خیر! بلکه پشتیبانی، بروز رسانی و رفع حفره‌ های امنیتی دلیل اعتماد داشتن و یا نداشتن به یک نرم افزار است و در این مواقع هکرها به توسعه آن نرم افزار کمک کرده‌اند.

یکی از رایج‌ترین بحث‌ها که حائز اهمیت است، استفاده یا عدم استفاده از CMS‌های معروف که عمدتاً رایگان و متن باز هستند، می‌باشد که همین موضوع دلیل بر برتری سیستم‌های معروف نسبت به CMSهای شرکتی و دست ساز می‌باشد.

در حقیقت حفره‌ های امنیتی CMSهای اختصاصی به دلیل کم اهمیت بودن کشف نشده است. به عنوان مثال کاخ سفید آمریکا از سیستم متن باز و رایگان دروپال (Drupal) برای وب سایت خود استفاده می‌کند.

ما در ادمین سایت امیدواریم با معرفی رایج‌ترین تهدیدهای امنیتی وب سایت‌، گامی در جهت آموزش حفظ امنیت برداشته باشیم.

 

منابع :

WordPress.org

Veracode.com

Techopedia.com

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.