در سال ۲۰۲۰ بیش از یک میلیون وبسایت وردپرس هک شدند که بیشترشان تجارت های کوچک بودند، علاوه بر این چندی پیش در خبرها خواندیم که میلیونها وبسایت وردپرسی زیر حمله سایبری بودند، همانطور که مشخص است وبسایتها، بخصوص وبسایتهای تجارت الکترونیک، یکی از هدفهای محبوب مهاجمان سایبری هستند. همچنان که به روزهای آخر سال نزدیک میشویم، احتمال هک وبسایتها و شرکتها افزایش پیدا خواهد کرد. در ادامه ۹ استراتژی امنیتی که هر وبسایتی باید اعمال کند را مرور میکنیم.
۹ استراتژی برای امنیت وبسایتها
۱- رمزعبورهایتان را کنترل کنید
برای ورود به مدیریت وبسایت، ایمیل و پنل مربوط به آن یک حساب کاربری دارید. مطمئن باشید که سیاست رمزعبور قوی و موثری را دنبال میکنید:
- از رمزعبورهای افشا شده استفاده نمیکنید،
- رمزعبورهایتان به اندازه کافی (حداقل ۱۶ حرف) طولانی هستند،
- رمزعبورها کاملا تصادفی و شامل حروف بزرگ، کوچک، عدد و حروف خاصاند. برای اطمینان خاطر میتوانید از نرمافزارهای مدیریت رمزعبور استفاده کنید.
- هر حساب کاربری (مدیریت، ایمیل، پنل و .. ) یک رمزعبور جداگانه و منحصربفرد دارد.
۲- از رمزنگاری SSL استفاده کنید
SSL، مخفف Secure Sockets Layer certificate، باعث میشود ارتباط وبسایتشما رمزنگاری شود. یکی از مهمترین استراتژیهای امنیتی وبسایتها نصب SSL معتبر روی وبسایت است. در نتیجه سازمانهای نظارتی و هکرها نمیتوانند ببینند چه اطلاعاتی به وبسایت شما فرستاده یا از آن ارسال میشود. https در ابتدای آدرس URL وبسایتتان نشان میدهد که SSL روی وبسایت نصب شده است، در غیر اینصورت حتما با مدیر وبسایت یا سرورتان تماس بگیرید.
۳- احراز هویت دو عامله را فعال کنید
2FA مانند یک لایه امنیتی دیگر روی وبسایت شماست. تصور کنید یک مجرم سایبری به رمزعبور مدیریت یا پنل آن دسترسی پیدا کند، با فعال بودن گزینه احراز هویت دو مرحلهای همچنان نمیتواند وارد وبسایت شود، چون به کد دوم دسترسی ندارد.
۴- از وبسایتتان فایل پشتیبانگیری داشته باشید
حمله باجافزارها در حال افزایش است. اگر قربانی یک حمله باجافزار شوید برای بازگرداندن اطلاعات و داده های وبسایتتان دو راه در پیش رو دارید:
- باج تعیین شده را بپردازید که البته ممکن است دوباره دچار باجافزار شوید.
- از قبل فایل پشتبان داشته باشید تا بتوانید بدون پرداخت باج، وبسایت را برگردانید.
با مدیر وبسایت یا سرورتان تماس بگیرید، و مطمئن شوید که بصورت ماهانه، هفتگی یا روزانه (برحسب نوع وبسایت) بصورت خودکار از فایلهای وبسایت بکاپ گرفته میشود.
۵- از پلاگینهای امنیتی استفاده کنید
بر اساس اینکه وبسایتتان از چه پلتفرمی استفاده کرده است (جوملا، وردپرس، دروپال و غیره) میتوانید پلاگینهای امنیتی محبوب و قابل اطمینان آن پلتفرم را روی وبسایت نصب و اجرا کنید. برای مثال اگر وبسایت شما از وردپرس قدرت گرفته است، میتوانید از Wordfence استفاده کنید.
۶- تلاشهای ورود به وبسایت را محدود کنید
اگر تلاشهای ورود به وبسایت را محدود نکنید، وبسایت را در برابر انواع حملههای رمزعبور مانند حمله دیکشنری و بروتفورث آسیبپذیر میکنید. بنابراین بهتر است تعداد تلاش ناموفق برای ورود به وبسایت را محدود به ۳ تلاش کنید تا جلوی بدست آوردن رمزعبور توسط هکرها را بگیرید. برای این منظور حتما از مدیر سرور خود سوال کنید.
۷- به طور مرتب وبسایت را از نظر امنیتی بررسی کنید
هر ۴ تا ۶ ماه یکبار از یک متخصص یا شرکت امنیتی درخواست کنید وبسایتتان را از نظر امنیتی بررسی و اسکن کنند. این اسکنها از این جهت مهم هستند که ممکن است وبسایت در طول زمان به دلایل مختلف شامل نقض یا ضعف بحرانیای شود که منجر به هک وبسایت شود.بدین صورت قبل از اینکه خرابکار به ضعف وبسایتتان پی ببرد، خودتان آن را پیدا کرده و مشکل را حل کردهاید.
۸- بهروز رسانی را فراموش نکنید
یکی از مهمترین استراتژیهای امنیتی که هر وبسایتی باید اعمال کنید همین است: بهروز رسانی را فراموش نکنید. اگر از پلتفرمهای خاصی مانند وردپرس یا جوملا استفاده میکنید، مطمئن باشید که آخرین نسخه هسته را نصب کردهاید. علاوه بر این تک تک پلاگینهایی که روی وبسایت اجرا میکنید باید بهروز باشند. بهروزرسانیها اغلب شامل رفع یک ضعف یا آسیبپذیری بحرانی است.
علاوه بر بهروزرسانی وبسایت، مطمئن شوید که مدیر سرور تمام سرویسها را بهروز نگاه میدارد.
۹- کارمندان خود را آموزش دهید
عامل انسانی یکی از ضعیفترین عاملها در زنجیره امنیت است. سهلانگاری یک کارمند در باز کردن فایل مخرب، یا کلیک روی لینک مخرب، تشخیص ندادن حمله فیشینگ و… میتواند وبسایت و شرکت را دچار آسیبهای جدیای کند.
هر چه کارمندانتان درباره حملههای سایبری، راههای تشخیص و مقابله با آنها اطلاعات داشته باشند، همانقدر امنیت وبسایت، دادههای کاربران و تجارت یا شرکت شما امن میماند.
