بصفتك مالكًا لموقع الويب ، هل هناك أي شيء مخيف أكثر من تخيل أن كل عملك قد تم تغييره أو إتلافه بالكامل من قبل مخترق شرير؟ قد تتساءل ، من الذي يبحث عن موقع الويب الخاص بي الصغير؟ لكن القرصنة لا تحدث فقط للأطفال الأكبر سنًا. وجد تقرير أن الشركات الصغيرة هي ضحايا 43 ٪ من جميع الاختراقات. نتيجة لذلك ، يعد تأمين موقع ويب أمرًا مهمًا للغاية.
لقد عملت بجد على موقع الويب الخاص بك (وعلامتك التجارية) - لذلك من المهم أن تأخذ الوقت الكافي لتأمين موقع الويب الخاص بك من نصائح القرصنة الأساسية هذه.
مقدمة كاملة عن الهاكرز (قبعة بيضاء ، قبعة سوداء ، قبعة رمادية)
الخطوة 1: تثبيت المكونات الإضافية للأمان
إذا كنت قد أنشأت موقع الويب الخاص بك باستخدام نظام إدارة المحتوى (CMS) ، فيمكنك ترقية موقع الويب الخاص بك باستخدام مكونات إضافية للأمان تمنع بشكل فعال محاولة اختراق موقع الويب. يحتوي كل خيار من خيارات CMS الرئيسية على مكونات إضافية للأمان ، والعديد منها مجاني.
مكونات الأمان الإضافية لـ WordPress:
- أمان iThemes
- الأمن من الرصاص
- سوكوري
- وردفنس
- fail2Ban
المكونات الإضافية للأمان لـ Magento:
- بذهول
- واتش لوج برو
- ماجى فنس
الامتدادات الأمنية لجملة :
- JHackGuard
- jomDefender
- RSFirewall
- حماية موقع الويب من الفيروسات
تعمل هذه الخيارات على إصلاح الثغرات الأمنية في كل نظام تشغيل وإحباط الأنواع الأخرى من محاولات القرصنة التي قد تهدد موقع الويب الخاص بك.
بالإضافة إلى ذلك ، يمكن لجميع مواقع الويب - سواء كنت تقوم بتشغيل موقع مدار بواسطة CMS أو صفحات HTML - الاستفادة من التفكير في SiteLock. يتجاوز SiteLock ذلك من خلال إغلاق الثغرات الأمنية في الموقع من خلال توفير مراقبة يومية لكل شيء بدءًا من اكتشاف البرامج الضارة وحتى اكتشاف الثغرات الأمنية وحتى الفحص النشط للفيروسات والمزيد. إذا كان عملك يعتمد على موقع الويب الخاص بك ، فإن SiteLock هو بالتأكيد استثمار يستحق العناء.
كيفية حماية موقع WordPress الخاص بك من المتسللين
الخطوة 2: استخدم HTTPS
بصفتك مستهلكًا ، قد تعلم بالفعل أنه كلما قدمت معلومات حساسة إلى موقع ويب ، ابحث دائمًا عن صورة القفل الأخضر و https في شريط المتصفح. فيما يلي خمس مؤشرات رئيسية في نقل موقع الويب الخاص بك بأمان من المتسللين: تشير إلى أن المعلومات الموجودة على صفحة الويب المحددة هذه آمنة.
تعد شهادة SSL مهمة لأنها تؤمن نقل المعلومات - مثل بطاقات الائتمان والمعلومات الشخصية ومعلومات الاتصال - بين موقعك على الويب وخادمك.
بينما كانت شهادة SSL ضرورية دائمًا لمواقع التجارة الإلكترونية ، فقد أصبح الحصول على شهادة مؤخرًا أمرًا مهمًا لجميع مواقع الويب. أصدرت Google تحديثًا لمتصفح Chrome في عام 2018. تم إجراء التحديث الأمني في يوليو وتنبيه زوار موقع الويب إذا لم يكن موقع الويب الخاص بك يحتوي على شهادة SSL مثبتة. يتيح ذلك للزوار الخروج من موقع الويب الخاص بك بشكل أسرع ، حتى لو لم يكن يجمع معلومات حساسة.
تأخذ محركات البحث أمان مواقع الويب على محمل الجد أكثر من أي وقت مضى لأنها تريد أن يتمتع المستخدمون بتجربة تصفح ويب إيجابية وآمنة. مع التزام أكبر بالأمان ، إذا لم يكن لديك شهادة SSL ، فقد يصنف محرك البحث موقع الويب الخاص بك في مرتبة أدنى في نتائج البحث.
ماذا يعني هذا بالنسبة لك؟ إذا كنت تريد أن يثق الناس بعلامتك التجارية ، فأنت بحاجة إلى الاستثمار في شهادة SSL. تكلفة شهادة SSL ضئيلة ، ولكن مستوى التشفير الإضافي الذي توفره لعملائك سيساعد بشكل كبير في جعل موقع الويب الخاص بك أكثر أمانًا وأمانًا.
الخطوة 3: حافظ على تحديث النظام الأساسي لموقع الويب والبرامج الخاصة بك
هناك العديد من الفوائد لاستخدام CMS مع العديد من المكونات الإضافية المفيدة ، ولكن هناك أيضًا مخاطر. السبب الرئيسي لعدوى موقع الويب هو الضعف في المكونات القابلة للتوسيع لنظام إدارة المحتوى.
نظرًا لأن العديد من هذه الأدوات يتم إنشاؤها كبرامج مفتوحة المصدر ، فإن التعليمات البرمجية الخاصة بها متاحة بسهولة - لكل من المطورين ذوي النوايا الحسنة والمتسللين الضارين. يمكن للقراصنة اختراق هذا الرمز والبحث عن الثغرات الأمنية التي تسمح لهم بالتحكم في موقع الويب الخاص بك باستخدام أي نظام تشغيل أو ثغرات في البرنامج النصي.
لحماية موقع الويب الخاص بك من التعرض للاختراق ، تأكد دائمًا من تحديث نظام إدارة المحتوى والمكونات الإضافية والبرامج وأي نص برمجي قمت بتثبيته.
إذا كنت تدير موقعًا إلكترونيًا في WordPress ، فيمكنك التحقق مما إذا كنت محدثًا عند تسجيل الدخول إلى لوحة تحكم WordPress. ابحث عن رمز التحديث في الزاوية اليسرى العليا بجوار اسم موقعك. انقر فوق الرقم للوصول إلى تحديثات WordPress.
الخطوة 4: تأكد من أن كلمات المرور الخاصة بك آمنة
هذا يبدو بسيطًا ، لكنه مهم جدًا.
من المغري تسجيل الدخول إلى موقعك باستخدام كلمة مرور تعلم أنه من السهل تذكرها. لهذا السبب ، لا يزال الرقم 1 وكلمة المرور الأكثر شيوعًا هو 123456. عليك أن تفعل ما هو أفضل من ذلك - أفضل بكثير لمنع تسجيل الدخول من قبل المتسللين وغيرهم من الغرباء.
حاول العثور على كلمة مرور آمنة تمامًا (أو استخدم منشئ كلمات المرور). توسيعها. استخدم مزيجًا من الأحرف والأرقام والحروف الخاصة. وتجنب الكلمات الرئيسية سهلة التخمين مثل ولادة طفلك أو اسمه. إذا تمكن المتسلل من الوصول إلى معلومات أخرى عنك بطريقة ما ، فيمكنه تخمينها أولاً.
الخطوة الأولى هي الحفاظ على مستوى أعلى من مستوى أمان كلمة المرور. تحتاج أيضًا إلى التأكد من أن كل شخص يصل إلى موقع الويب الخاص بك لديه كلمات مرور قوية بنفس القدر. يمكن أن تؤدي كلمة المرور الضعيفة في فريقك إلى تعريض موقع الويب الخاص بك للاختراق ، لذا قم بتعيين كلمة المرور مع كل من لديه حق الوصول.
متطلبات المعهد لجميع مستخدمي الموقع من حيث الطول ونوع الأحرف. إذا أراد موظفوك استخدام كلمات مرور سهلة لحساباتهم الأقل أمانًا ، فهذه هي أعمالهم. ولكن عندما يتعلق الأمر بموقعك على الويب ، فهذا هو عملك (حرفيًا) ويمكنك الحفاظ عليه بمستوى أعلى.
الخطوة الخامسة: استثمر في النسخ الاحتياطي التلقائي
حتى إذا قمت بأشياء أخرى في هذه القائمة ، فستظل تواجه مخاطر. أسوأ سيناريو لمخترق مواقع الويب هو أنك تفقد كل شيء لأنك نسيت عمل نسخة احتياطية من موقع الويب الخاص بك. أفضل طريقة لحماية نفسك هي التأكد من أن لديك دائمًا نسخة احتياطية.
على الرغم من أن عمليات اختراق البيانات ليست مهمة ، إلا أن الاسترداد يكون أسهل بكثير عند عمل نسخة احتياطية. يمكنك البدء بالنسخ الاحتياطي لموقعك يدويًا يوميًا أو أسبوعيًا. ولكن إذا كانت لديك أدنى فرصة للنسيان ، فاستثمر في نسخة احتياطية تلقائية. هذه طريقة رخيصة لشراء راحة البال.
الخطوة 6: اتخذ الاحتياطات عند قبول تحميل الملف من خلال موقعك
عندما يكون لدى شخص ما خيار تحميل شيء ما إلى موقع الويب الخاص بك ، فيمكنه إساءة استخدام هذا الامتياز عن طريق تحميل ملف ضار ، أو الكتابة فوق أحد الملفات المتاحة لموقع الويب الخاص بك ، أو تحميل ملف كبير بما يكفي لتدمير موقع الويب الخاص بك بالكامل. ببطء
إن أمكن ، ببساطة لا تقبل تحميل أي ملف من خلال موقع الويب الخاص بك. يمكن للعديد من مواقع الأعمال التجارية الصغيرة التعامل مع هذا دون تقديم خيار تحميل الملف. إذا كان هذا هو وصفك ، فيمكنك تخطي الآخرين في هذه المرحلة.
لكن حذف الملفات المرفوعة ليس خيارًا لجميع مواقع الويب. تحتاج بعض أنواع الأعمال ، مثل المحاسبين أو مقدمي الرعاية الصحية ، إلى توفير طريقة آمنة لتوفير المستندات للعملاء.
إذا كنت بحاجة إلى تحميل ملف ، فاتبع هذه الخطوات للتأكد من أن موقع الويب الخاص بك آمن:
- قم بإنشاء قائمة بيضاء بامتدادات الملفات المسموح بها. من خلال تحديد نوع الملف الذي تقبله ، فإنك تقضي على أنواع الملفات المشبوهة.
- استخدم التحقق من نوع الملف. يحاول المتسللون الوصول بسهولة إلى مرشحات القائمة البيضاء عن طريق إعادة تسمية المستندات بامتداد مختلف لنوع المستند ، أو إضافة نقاط أو مسافات إلى اسم الملف.
- اضبط الحجم الأقصى للملف. تجنب هجمات الخدمة الموزعة ( DDoS ) عن طريق رفض أي ملف مفرط التحديد .
- فحص الملفات بحثًا عن البرامج الضارة . استخدم برنامج مكافحة الفيروسات لفحص جميع الملفات قبل فتحها.
- إعادة تسمية الملفات تلقائيًا عند التحميل. إذا كان المتسللون يبحثون عن ملف آخر ، فلن يتمكن المتسللون من الوصول إليه مرة أخرى.
- احتفظ بمجلد التحميل خارج webroot. هذا يمنع المتسللين من الوصول إلى موقع الويب الخاص بك من خلال الملف الذي يقومون بتحميله.
يمكن أن تقضي هذه الخطوات على العديد من نقاط الضعف الكامنة في السماح بتحميل الملف على موقع الويب الخاص بك.
الخطوة 7: استخدم الاستعلامات ذات المعلمات
يعد حقن SQL أحد أكثر عمليات اختراق مواقع الويب شيوعًا التي تقع العديد من المواقع ضحية لها.
إذا كان لديك نموذج ويب أو معلمة URL تسمح للمستخدمين الخارجيين بتوفير المعلومات ، فيمكن أن يعمل إدخال SQL. إذا تركت معلمات القسم مفتوحة للغاية ، فيمكن لأي شخص إدخال رمز فيها يسمح بالوصول إلى قاعدة البيانات الخاصة بك. من المهم حماية موقعك من هذا لأنه يمكن تخزين معلومات العميل الحساسة في قاعدة البيانات الخاصة بك.
هناك العديد من الخطوات التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من عمليات اختراق حقن SQL. يعد استخدام الاستعلامات ذات المعلمات من أهمها وأسهلها في التنفيذ. باستخدام المدققات ذات المعلمات ، تحتوي التعليمات البرمجية الخاصة بك على معلمات محددة كافية بحيث لا يشارك فيها أي مكان للمتسلل.
الخطوة 8: استخدم CSP
تعد هجمات البرمجة النصية عبر المواقع (XSS) تهديدًا شائعًا آخر لمالكي المواقع الذين يحتاجون إلى معرفتهم. يجد المتسللون طريقة لنشر شفرة JavaScript ضارة على صفحاتك ، والتي يمكن أن تصيب جهاز أي زائر لموقع الويب يتعرض للشفرة.
جزء من المعركة لتأمين موقع الويب الخاص بك ضد هجمات XSS يشبه الاستعلامات ذات المعلمات لحقن SQL. تأكد من أن أي رمز تستخدمه على موقع الويب الخاص بك للإجراءات أو الحقول التي تسمح بالوصول يقع ضمن النطاق المسموح به ، لذلك لا تترك أي انزلاق.
سياسة أمان المحتوى (CSP) هي أداة مفيدة أخرى يمكن أن تساعد في حماية موقعك من XSS. يتيح لك CSP النظر في المجالات التي يجب أن يكون المتصفح على صفحتك للنظر في المصادر الصالحة للنصوص القابلة للتنفيذ. يكتشف المتصفح بعد ذلك أنه لا ينتبه لأي نصوص أو برامج ضارة قد تصيب زائر موقعك.
يتضمن استخدام CSP إضافة رأس HTTP المناسب إلى صفحة الويب الخاصة بك والتي توفر مجموعة من الإرشادات التي تخبر المتصفح بالمجالات المناسبة والاستثناءات لهذه القاعدة. يمكنك العثور على تفاصيل حول إنشاء رؤوس CSP لموقعك على الويب هنا.
الخطوة 9: قفل أذونات الملفات والقائمة
يمكن تلخيص جميع مواقع الويب في سلسلة من الملفات والمجلدات المخزنة في حساب استضافة الويب الخاص بك. بالإضافة إلى احتوائها على جميع البرامج النصية والبيانات اللازمة لجعل موقع الويب الخاص بك يعمل ، فإن لكل من هذه الملفات والمجلدات مجموعة من الأذونات التي تتحكم في من يمكنه الوصول إلى كل ملف أو قراءة مجلد معين وكتابته وتنفيذه ، اعتمادًا على المستخدم أو المجموعة التي تنتمي إليها.
في نظام التشغيل Linux ، يتم عرض الأذونات كرمز مكون من ثلاثة أرقام ، كل رقم يمثل عددًا صحيحًا بين 0-7. يشير الرقم الأول إلى مالك الملف ، والرقم الثاني لكل شخص تم تعيينه لمجموعة مالك الملف ، والرقم الثالث لكل شخص آخر. المهام هي كما يلي:
- 4 مرات القراءة
- اكتب مرتين
- 1 يساوي الجري
- 0 لا يساوي أي ترخيص لهذا المستخدم
على سبيل المثال ، حدد رمز الإذن "644". في هذه الحالة ، يسمح "6" (أو "4 + 2") في الموضع الأول لمالك الملف بقراءة الملف وكتابته. يعني الرقم "4" في الحالتين الثانية والثالثة أن مستخدمي المجموعة ومستخدمي الإنترنت يمكنهم قراءة الملف فقط - مما يحمي الملف من العبث غير المتوقع.
لذلك ، يمكن قراءة ملف مع أذونات "777" (أو 4 + 2 + 1/4 + 2 + 1/4 + 2 + 1) من قبل المستخدم والمجموعة والأشخاص الآخرين فيه.
كما تتوقع ، فإن الملف الذي يحتوي على رمز ترخيص يسمح لأي شخص على الويب بكتابته وتنفيذه هو أقل أمانًا بكثير من الملف المقفل ، وذلك لحماية جميع الحقوق محفوظة. هل هو المالك. بالطبع ، هناك أسباب وجيهة للوصول إلى مجموعات أخرى من المستخدمين (تحميل FTP مجهول ، على سبيل المثال) ، ولكن يجب أخذها في الاعتبار بعناية لتجنب خلق مخاطر أمنية على موقع الويب.
لهذا السبب ، فإن القاعدة الأساسية الجيدة لتعيين الأذونات هي:
- المجلدات والأدلة = 755
- ملفات مفردة = 644
لتعيين أذونات الملفات الخاصة بك ، قم بتسجيل الدخول إلى cPanel File Manager أو الاتصال بالخادم الخاص بك عبر FTP . بمجرد تسجيل الدخول ، سترى قائمة بأذونات الملفات الموجودة لديك (مثل تلك التي تم إنشاؤها باستخدام Filezilla FTP ):
يُظهر العمود الأخير في هذا المثال أذونات المجلد والملف المعينة حاليًا لمحتوى موقع الويب. لتغيير هذه الأذونات في Filezilla ، ما عليك سوى النقر بزر الماوس الأيمن على المجلد أو الملف وتحديد "أذونات الملف". سيؤدي القيام بذلك إلى تشغيل صفحة تسمح لك بتعيين أذونات مختلفة باستخدام سلسلة من مربعات الاختيار:
على الرغم من أن الجزء الداخلي من مضيف الويب أو تطبيق FTP قد يبدو مختلفًا بعض الشيء ، إلا أن العملية الأساسية لتغيير الأذونات هي نفسها.
الخطوة # 1- اكتشاف رسائل الخطأ أمر بسيط (لكنه لا يزال مفيدًا).
يمكن أن تساعدك رسائل الخطأ المفصلة في تحديد المشكلة حتى تعرف كيفية إصلاحها. ولكن عندما يتم عرض رسائل الخطأ هذه للزوار الخارجيين ، فيمكنهم إظهار المعلومات الحساسة التي تخبر المتسلل المحتمل بدقة نقاط الضعف في موقع الويب الخاص بك.
كن حذرًا جدًا بشأن المعلومات التي تقدمها في رسالة الخطأ ، لذلك لا تقدم معلومات تساعد مخترقًا سيئًا على اختراقك. اجعل رسائل الخطأ بسيطة بما يكفي لعدم الكشف عن الكثير من الرسائل غير المرغوب فيها. ولكن أيضًا تجنب الغموض ، بحيث لا يزال بإمكان زوارك معرفة ما يكفي من رسالة الخطأ لمعرفة ما يجب فعله بعد ذلك.
تأمين الموقع من المتسللين
يعد أمان الموقع وتعلم كيفية الحماية من المتسللين جزءًا كبيرًا من صحة موقعك وسلامته على المدى الطويل! لا تتأخر في القيام بهذه الخطوات المهمة.
في موقع خادم ممتاز ، نمنع أيضًا موقعك من الاختراق من قبل البرامج الضارة والمتسللين من خلال الدعم المستمر وتوفير الأمان المناسب لخادمك.
نحن نثق بثقتك.
