7 نصائح للمساعدة في تأمين موقع الويب الخاص بك ضد هجمات القراصنة

المادة التي كتبها:
  • مقالات مميزة
  • تم التحديث: مايو 06 ، 2019

الويب لا يتعلق بالأعمال فقط. تتم كتابة مليارات الصفحات وإدخالات المدونة كل يوم، كل ثانية ، من قبل أصحاب المواقع الصغيرة والمدونين الذين يتطلعون إلى مشاركة وجهات نظرهم مع العالم. هذا هو سحر الويب: إنه يوفر مساحة للجميع وأي نوع من المشاريع.

احتمالات لا نهاية لها.

لكن الإنترنت غابة برية: إنها تخفي الأخطار في كل زاوية ولا يوجد شيء تقصده حتى مجرد سحرية مضمونة. إذا كنت تدير شركة غير هادفة للربح أو منفردة في مجال الأعمال التجارية عبر الإنترنت ، على وجه الخصوص ، فأنت تدرك أن نقل جميع المعاملات إلى الويب يمكن أن يترجم إلى مزيد من الحذر فيما يتعلق بخدماتك.

يعد الأمان جانبًا هامًا حقًا يجب أن تضعه في الاعتبار عند التخطيط لموقعك على الويب: كيف يمكنني تأمين المحتوى الخاص بي والعمل الجاد ضد المهاجمين؟ كيف يمكنني تقديم أفضل تجربة ممكنة للمستخدم؟ هذه أسئلة يجب عليك طرحها على نفسك في كل مرة تقوم فيها بتحديث موقع الويب الخاص بك.

لماذا هذه المقالة ولماذا نصائح 7؟

يمكن أن يكون تأمين موقعك بطريقة سهلة ، n00b-ish أفضل من الواقعية ، ولكن هذا لا يعني أن أي شخص ليس مبرمجًا أو عالم كمبيوتر لا يمكنه إضافة بعض الأمان إلى موقعه على الويب. لقد اخترت سبع نصائح سهلة التطبيق ومتعمقة بدرجة تكفي لتدليل فضولك بشأن مشكلات الأمان ، بحيث تصبح - ببطء ولكن بلا هوادة - خبير أمان الويب الخاص بك. جميع النصائح خاصة بالقرصنة على الويب وسأقدم أيضًا تقنيات يمكنك استخدامها لاختبار موقع الويب الخاص بك بحثًا عن ثغرات الأمان. لا تقلق: لا شيء يصعب عليك القيام به ، لكن من المهم أن تكون على دراية بالأدوات والتقنيات البسيطة التي يمكن أن تتجنب الهجمات ، من أجل مشاريعك. :)

المتعة!

نصيحة #1 - قضاء القليل من قوة العقل على كلمات المرور الخاصة بك

ثقب أمان الويب رقم واحد هو استخدام كلمة المرور نفسها عبر المزيد من مواقع الويب أو خدمات الويب. سيقوم المتسلل الذي يحصل على معرفة كلمة مرور واحدة باستكشاف جميع كلمات المرور الخاصة بك وسيكون من السهل الوصول إلى جميع البيانات الخاصة بك ، سواء كان ذلك بلوق الخاص بك أو حساب PayPal الخاص بك. إن الاحتفاظ بقائمة بكلمات المرور الخاصة بك على الورق أو الملف ليس بديلاً آمنًا أيضًا (إلا إذا قمت بحماية ملفاتك بكلمة مرور) لأن شخصًا ما يقوم باختراق جهاز الكمبيوتر الخاص بك سيحصل على وصول سهل إلى قاعدة بياناتك.

ولكن ماذا لو كنت لا تستطيع التوصل إلى كلمة مرور لائقة؟

  1. استعمل مولد كلمة مرور قوية لإنشاء كلمة مرور يصعب كسرها ، بما في ذلك الرموز الأبجدية والرموز البديلة. كلما كانت سلسلة الرموز أكثر عشوائية أو عشوائية (أي أن رموز كلمة المرور ليس لها ذاكرة داخلية ، فهي غير مرتبطة ببعضها البعض ، لذلك كل رمز له فرص متساوية ليأتي بعد الآخر) ، كلما كان أكثر أمانًا.
  2. استعمل كلمة المرور الآمن لحفظ وتشفير جميع كلمات المرور الخاصة بك ، والتي يمكنك فتحها من خلال تذكر عبارة المرور. يستخدم البرنامج خوارزمية توفيق لتشفير كل كلمات المرور كلمة السر الآمن هو مشروع مفتوح المصدر ويندوز التي وضعتها بروس شناير. إذا كنت لا تستخدم ويندوز ، كلمة السر الغوريلا هو بديل مفتوح المصدر صالح لكلمة مرور آمنة.

إليك طريقة عرض أولية لكلمة مرور آمنة مع قاعدة بيانات باسم "المواقع الإلكترونية":

كلمة السر الآمنه عرض البرنامج

فيما يلي تفاصيل ملف داخل قاعدة بيانات "المواقع الإلكترونية":

كلمة السر الآمنه عرض الملف

نصيحة #2 - خذ العناية الجيدة من مخطوطاتك

من المعروف جيدًا أن البرامج النصية للموقع ومنصات CMS هي الأداة الرئيسية لهجمات الاختراق. إذا قمت باستضافة البرامج النصية المكتوبة بلغة PHP و ASP و JavaScript ، فأعلم أنها قد تحتوي على ثغرات أمنية وأخطاء قد يتجاهلها مطوروها. بصرف النظر عن الاتصال بالمطور فور اكتشاف إحدى المشكلات المذكورة أعلاه ، هناك طرق غير تقنية يمكنك استخدامها للتأكد من أن البرامج النصية الخاصة بك لن تلحق الضرر بك:

  • اقرأ مستند إصدار البرنامج النصي تمامًا: غالبًا ما يحتوي على تفاصيل حول التصحيحات وإصلاح الأخطاء
  • قم بسرد تحذيرات مثبت البرنامج أو لوحة الإدارة أو حتى تحذيرات Google (من خلال أدوات مشرفي المواقع): إذا كنت بحاجة إلى تحديث ملف أو تحريره / إزالته ، فقم بذلك
  • لا تقم بتثبيت كل مكون إضافي موجود: تحقق من التوافقات وملاحظات الأمان أولاً.

أيضًا - وربما هذا هو العامل الأكثر أهمية - دائمًا ، حافظ دائمًا على تحديث البرامج النصية ونظام إدارة المحتوى. تحتوي الحزمة الأخيرة من البرنامج عادةً على تصحيحات للأخطاء والمشاكل الأمنية في الإصدار السابق.

مثال: تحذير ترقية WordPress من Softaculous

تحذير ترقية softaculous

تلميح # 3 - إجراء عمليات تحقق منتظمة من المجلدات والإدارة الإدارية

أحيانًا ما يتسلل المتسللون إلى موقعك بهدوء ، ويتسللون مثل القطط ، لكنهم يتركون الكوارث وراءهم: محاكاة ساخرة للموقع ، وملفات الوسائط التي تحتوي على فيروسات وقابلة للتنفيذ وصفحات الويب التي تم إعادة ترميزها. تحقق من مجلداتك بانتظام ، مرة واحدة على الأقل كل أسبوعين ، للتأكد من عدم وجود مشكلة في ملفاتك. إذا حددت الملفات التي لا تتعرف عليها ، فقم بإزالتها فورًا. إذا لم ينجح ذلك ، فاتصل بمضيف الويب الخاص بك واحصل على المساعدة (هذا هو عندما تحتاج إلى استضافة ويب جيدة أكثر). في حالات كهذه:

  • تغيير كلمة مرور لوحة المشرف (واسم المستخدم ، إن أمكن)
  • قم بإجراء فحص لجميع الملفات لمعرفة ما إذا كانت قد تضررت
  • إذا كان لديك برنامج مكافحة فيروسات مثبت ، فقم بتشغيله.

نصيحة #4 - المصادقة الآمنة

يستفيد خبراء أمان الويب من الكثير من الطرق لتوفير الأمان الأمثل للأنظمة ومعاملات الويب التي يعملون عليها: تشفير المفتاح العمومي ، وسلاسل الثقة ، والتوقيعات ، SSL و TSL (أمان طبقة النقل). على الرغم من أنه يجب عليك بالتأكيد تعلم شيء ما عن التشفير ، من المهم أن تبدأ في تعلم كيفية استخدام أدوات المصادقة متعددة العوامل البسيطة التي يستعدها الخبراء لك:

لماذا تحتاج المصادقة متعددة العوامل؟ لأنه سيتطلب معرفة اسم المستخدم وكلمة المرور واستخدامك مرة واحدة ثم التخلص من الرمز المميز للوصول إلى المحتوى الخاص بك ؛ وإلا ، سيتم رفض الوصول.

إذا كنت تستطيع ، فابحث عن خبير لتعليمك أثناء تعلمك لأمن الويب ، أو استخدم البرامج التعليمية والدورات عبر الإنترنت.

نصيحة # 5 - احذر من هجمات DDoS

هجمات رفض الخدمة هي سريعة التطور وخطيرة ، جنبًا إلى جنب مع سرقة الخوادم واستبدال خدماتك بخدمات محاكاة ساخرة.

يفرض هجوم DDoS الخادم في حالة لا تعمل خدماته العادية فيه ، ولم يعد النظام بأكمله متاحًا للمستخدمين النهائيين.

ما الذي يمكن أن يتسبب في هجوم DDoS؟

  • تكوين شبكة مفتوحة
  • مدمن ، تطبيقات غير مطورة
  • تكوين خادم غير آمن
  • لا توجد صيانة و / أو مراقبة لنشاط الشبكة

أخبر مزود خدمة الإنترنت الخاص بك عن هذا النوع من الهجوم واحصل على معلومات أيضًا. ما يمكن أن يفعله مضيف موقعك هو تهيئة كل خادم بقائمة بعناوين DNS البديلة ، لذلك عندما يصبح DNS الافتراضي غير متاح ، سيظل الموقع بأكمله يعمل. لا يمكن للهاكر أن يحقق النجاح في تصرفاته إلا عندما يحجب جميع الخوادم الموجودة في القائمة - مهمة صعبة ، ألا تعتقد ذلك؟ يمكن أن يكون إجراء آخر مضاد هو تصفية جميع الحزم الواردة مع توقيتات غير معتادة و / أو من عناوين IP عالية المخاطر. يجب أن يكون مضيفك على دراية بهجمات رفض الخدمة ، لذا ناقش معهم الوقاية من DDoS.

نصيحة #6 - الوصول الآمن إلى FTP باستخدام SFTP

لا شيء يتغير بالنسبة لك ، فهو يعمل تمامًا مثل FTP العادي ، ولكن SFTP ، أو بروتوكول نقل الملفات الآمن ، يأتي مع الكثير من الفوائد ، من الناحية الأمنية:

  • ويستخدم SSH لتشفير البيانات والأوامر أثناء نقل الملفات
  • يستخدم المفاتيح العامة لخادم العميل للتحقق من صحة الخادم عند الاتصال ، للتأكد من أنه ليس وسيطًا
  • يجعل من المستحيل على المتسلل الاستماع إلى حركة مرور الشبكة الخاصة بك

المشكلة في أمر FTP "العادي" هي أنه غير مشفر: يتم نقل جميع عمليات التحميل والتنزيل من وإلى الخادم كبيانات واضحة.

للوصول إلى FTP عبر سطر الأوامر (إذا كنت أحد مستخدمي Unix / Linux / Mac OS) ، فيمكنك استخدامه

sftp [البريد الإلكتروني المحمي]

أو مجرد تحميل برنامج FTP مجاني يدعم SFTP ، مثل فايلزيلا (مفتوح المصدر).

نصيحة # 7 - تعرف على حقن SQL لحماية موقعك ضده

احذر من طريقة القرصنة السيئة هذه ، حافظ على تحديث البرامج النصية الخاصة بك والاتصال على الفور بمطور البرامج النصية إذا واجهت اختراقًا أمنيًا. إليك كيفية إجراء اختبار بسيط:

  • أدخل رمز SQL التالي في نموذج الويب الخاص بك (اسم المستخدم وكلمة المرور):
    'OR' t '=' t '؛ -
    الذي يصبح ، على مستوى SQL:
    SELECT * FROM users WHERE userid = 'admin' AND password = '' OR 't' = 't'؛ - "
  • هل يعيد محتوى قاعدة البيانات الخاصة بك؟

قد تعمل التعليمات البرمجية (أقول "قد" لأنك قد تكون محظوظاً بتثبيت نص آمن للغاية) لأن 't' = 't' عبارة صحيحة رياضياً ، لذلك سيتم تنفيذ طلب SQL دائمًا. قد يقوم أحد المتطفلين ذوي المعرفة بإعداد عبارات SQL معقدة للغاية لتحقيق أهدافه ، لذا تأكد من الاتصال بمطور البرنامج النصي والحصول على المساعدة إذا كان البرنامج النصي الذي تستخدمه قابلاً للهجوم بسهولة. أو تغيير البرنامج النصي.

BONUS Tip #1 - تحقق بانتظام من سجلات لوحة الإدارة الخاصة بك

قسم سجلات cPanel

تأتي لوحة الإدارة (cPanel ، Plesk ، إلخ) مع أدوات مدمجة لتحليل حركة المرور ، وسجلات الوصول والأمان التي يجب أن تراقبها مرة واحدة على الأقل في الأسبوع.

إذا كنت تستخدم cPanel ، فأوصيك بالتحقق من إحصائيات التناظرية أداة كل يومين ، حيث تعرض الأداة تقارير مفصّلة واحدة:

  • طلبات HTTP
  • تقارير شهرية / يومية / كل ساعة عن نشاط حركة المرور
  • أحيلت المتصفحات والمتصفحات ونظام التشغيل الخاص بك

أدوات السجلات هي أول ما يجب أن تنظر إليه عندما تعتقد أن موقعك على الويب قد تعرض للهجوم.

BONUS نصيحة # 2 - أداء النسخ الاحتياطي ثنائي الأسبوعية

النسخ الاحتياطي كل أسبوعين ، أو كل أسبوع ، إذا كنت تستطيع. مع الإضافات مثل Supsystic . الأمن قبل iThemes، يمكنك حتى النسخ الاحتياطي كل يوم أو كل ثلاثة أيام. ما يهم هو أنك تقوم باستمرار بتنزيل نسخ جديدة من المحتوى الخاص بك ، وتكون جاهزة للإستعادة إذا حدث شيء سيء على طول الطريق. اشرح لكم هذا المقال نوع الهجمات التي يمكن أن يتعرض لها موقعك الإلكتروني ، وكيفية محاربتها ومنعها ، لكن أقوى سلاح لديك هو: دعم. إنها الطريقة الوحيدة لإعادة موقع الويب الخاص بك إلى حالته الأصلية ، كما لو أن المتسلل لا يمكنه أبدًا لعب حيله القذرة.

تلخيص

لذا ، ماذا تحتاج أن تفعل ، في الأساس؟

  1. تعلم. المعرفة قوة! تعرّف على معلومات حول التشفير و DDoS و SQL Injection والبرمجة عبر المواقع (XSS) وأنواع أخرى من الهجمات. كل شيء وأي شيء يمكن أن يساعدك في تطوير رؤية كاملة لما يحدث عندما يتم اختراق موقعك. كلما عرفت أكثر ، كلما كان بإمكانك القيام بهجوم مضاد.
  2. مواكبة. مع الاكتشافات والأدوات وترقيات البرامج النصية. وقد شددت هذه المقالة على أهمية ترقية وتحديث برامج الموقع الخاص بك لضمان حماية أكثر صلابة ضد المهاجمين.
  3. إجراء فحوصات ونسخ احتياطية بشكل منتظم. إذا كنت احتياطية ، يمكنك استعادة!
  4. تقرير. عندما تخرج الأمور عن نطاق سيطرتك ، قم بالإبلاغ عن مشكلات لمطوري البرامج النصية والسلطات والمضيف. يمكنهم القيام بما لا تستطيع.

خدع الأمن من هندسة البرمجيات

إن هندسة البرمجيات حقل ساحر يجب أن يتعلمه كل مهندس وعلم كمبيوتر جيد للتطبيق عند تطوير البرمجيات. ولكن هل تعلم أنه يعمل العكس ، أيضا؟ يمكنك أنت - المستخدم - استخدام مفاهيم هندسة البرمجيات لإجراء اختيارات ذكية بين برامج المواقع المقدمة لك من المطورين. يمكنك:

  1. افهم أن الخلل يمكن أن يؤدي إلى اختراق شديد للأنظمة وفقد البيانات
  2. تعرّف على أبعاد 4 للاعتمادية واستخدمها لصالحك: التوافر والموثوقية والسلامة والأمان
  3. حدد جميع مخاوفك الأمنية المحتملة: فقدان البيانات الحساسة / الهامة ، فشل خدمات معينة ، تكاليف إعادة البناء المرتفعة (الوقت والمال).

ماذا يجب عليك أن تسأل نفسك قبل تثبيت واستخدام برنامج نصي؟

الاعتمادية. هل يمكنني الوثوق بهذا البرنامج؟

  • توفر هل البرنامج النصي متوفر بسهولة بالنسبة لي؟ هل يمكن الاتصال بمطور البرامج للحصول على المساعدة؟
  • الموثوقية هل يعمل النص بشكل جيد؟ هل يحتوي على أخطاء أو يعطيني مشاكل عندما أقوم بتنفيذ إجراءات ملائمة لأهدافي؟
  • الأمان هل تؤثر الأعطال والحشرات بشدة على الأمن والأداء؟
  • الأمن هل يحتوي البرنامج على وحدة أمان مدمجة؟ هل هو شيء يمكنني أن أديره؟
  • Repairability إذا حدث خطأ ما ، هل يمكنني إدارته؟
  • قابلية الصيانة هل بإمكاني الحفاظ على هذا البرنامج بمفردي؟
  • بقاء هل سيظل البرنامج يعمل تحت الهجوم؟ هل يمكنني التعافي بشكل جيد من الهجوم؟

جدول نقاط الضعف

  • سوفت وير البق. نقل البيانات شفافة. أخطاء. سجلات عامة
  • الانسان كلمات مرور منخفضة القوة ؛ الدلائل غير المحمية. الكشف عن البيانات الحساسة ؛ عدم وجود صيانة النظام والتحديث / الترقية

حول لوانا سبينيتي

Luana Spinetti كاتبة مستقلة وفنانة مقرّها في إيطاليا ، وطالبة عاطفية في علوم الكمبيوتر. حصلت على شهادة الثانوية العامة في علم النفس والتربية وحضرت دورة سنة 3 في فن الكتاب الهزلي ، وتخرجت منه على 2008. وباعتبارها متعددة الأوجه لشخص ، فقد طورت اهتمامًا كبيرًا بـ SEO / SEM و Web Marketing ، مع ميل خاص إلى Social Media ، وهي تعمل على ثلاث روايات بلغتها الأم (الإيطالية) ، والتي تأمل في إيندي تنشر قريبا.