وب‌سایت‌های بسیاری هر روزه در معرض خطر ناشی از استفاده از نرم‌افزارهای منسوخ و ناامنی که بر روی آنها اجرا می‌شوند، هستند. این خیلی مهم است که وب‌سایت خود را با پلاگین‌ها و نسخه CMS جدیدی که در دسترس است بروز رسانی کنید. امروزه بیشترین هک‌ها کاملا اتوماتیک هستند توسط ربات‌هایی که به طور مداوم سایت‌ها را اسکن می‌کند و به دنبال بهره‌برداری از فرصت‌ها هستند.

بروز رسانی یک‌بار در ماه یا یک‌بار در هفته خیلی کافی نیست زیرا به احتمال بسیار زیاد ربات‌ها قبل از شما یک آسیب‌پذیری برای نفوذ پیدا کرده‌اند. مگراینکه شما درحال اجرای website firewall like CloudProxy باشید که به محض انتشار آن نیاز به بروز رسانی دارید. اگر در حال اجرای وردپرس هستید پلاگین ‘WP Updates Notifier توصیه می‌شود. این ایمیل‌ها به شما اجازه می‌دهد از زمانی که یک پلاگین یا هسته وردپرس برای بروزرسانی موجود باشد، باخبر شوید. شما می‌توانید با دنبال کردن @sucuri_security در توتیتر از بروز رسانی و هشدارهای امنیتی اطلاع پیدا کنید.

برای کار کردن به روی سایت مشتری اغلب نیاز است که با استفاده از جزئیات مدیریت کاربران به سایت/سرور آنها وارد شویم. در بسیاری از موارد Root Password آن‌ها امن نبوده ولی کمی ترسناک است که این موضوع به آن‌ها گفته شود، اما admin/admin ترکیب امنی برای Username و Password نیست. اگر Password شما در لیست پسوردهای رایج مشاهده شود باعث می‌شود که سایت شما نقاطی برای هک داشته باشد. حتی اگر Password شما در این لیست وجود نداشته باشد، تصورات اشتباهی در مورد رمز عبور قوی وجود دارد. سهل‌انگاری در مورد انتخاب اندازه Password مناسب بخشی از مشکل است.

–    پیچیده بودن: Password باید بصورت تصادفی (Random) انتخاب شود. با انتخاب Password تصادفی دیگر کسی با پی بردن به تاریخ تولد یا تیم ورزشی مورد علاقه شما و دیگر موارد نمی‌تواند حساب شما را هک کند.

–    طولانی بودن: Password باید از بیشتر از ۱۲ کاراکتر باشد. وقتی که برای محدودیتی برای وارد کردن رمز عبور وجود نداشته باشد یک رمز عبور ۱۲ کاراکتری به راحتی می‌تواند حدس زده شود. بنابراین بهتر است که رمز عبور طولانی‌تر انتخاب شود و بیش از ۱۲ کاراکتر باشد.

–    منحصربه‌فرد بودن: از Password تکراری استفاده نکنید.

من وسوسه شدن را درک می‌کنم. شما یک فضای نامحدودی برای میزبانی وب دارید پس چرا سایت‌های بسیاری بر روی آن قرار ندهید! متاسفانه این یکی از بدترین شیوه‌ها از نظر امنیتی است. با قرار دادن سایت‌های بسیار بر روی یک فضا سطح حمله بزرگی ایجاد می‌کنید. به عنوان مثال شما ممکن است یک سایت که شامل وردپرس و با یک موضوع و  ۱۰ پلاگین است که بر روی آن نصب شده است به طور بالقوه ممکن است مورد هدف مهاجمان قرار گیرد.

حال اگر بر روی سروری که مورد حمله مهاجمان قرار گرفته شما میزبان ۵ سایت باشید که سه تا از آنها با وردپرس و دوتا با جوملا طراحی شده باشند با ۵ موضوع و ۵۰ پلاگین که بر روی آنها نصب شده است، وضعیت بدتر خواهد شد. این کار نه تنها باعث می‌شود که تمامی سایت‌های شما هم‌زمان هک شوند بلکه فرآیند پیشگیری و پاکسازی به زمان بیشتری نیاز پیدا می‌کند.

بعد از اینکه پاکسازی با موفقیت انجام شد شما باید به فکر بازنشانی پسورد باشید، به جای اینکه این کار را فقط برای یک سایت انجام دهید اکنون باید برای تمام سایت‌های خود پسورد را بازنشانی کنید. هر پسورد مرتبط با هر وب‌سایت، تمامی سیستم‌های مدیریت محتوا (CMS)، پایگاه داده‌ها، FTP تمامی کاربران سایت‌ها باید تغییر کند. در نهایت بعد از انجام تمامی این موارد به خانه اول بازمی‌گردید و وب‌سایت شما ممکن است که دوباره آلوده شود.

 

این قانون برای وب‌سایتهایی است که چندین کاربر برای لاگین کردن به سایت دارند. این مهم است که هر کاربر برای انجام کار خود اجازه دسترسی داشته باشد. اگر نیاز دارند به صورت لحظه‌ای به آن‌ها دسترسی داده شود و بعد از اتمام کارشان این دسترسی محدود شود. این مفهوم به عنوان حداقل امتیاز شناخته می‌شود.

به عنوان مثال اگر دوستی دارید که می‌خواهد یک پست در سایت شما قرار دهند نیازی نیست که دسترسی کامل داشته باشد. این حساب کاربری فقط  باید قادر به ایجاد پست جدید و ویرایش باشد. نیازی نیست دسترسی که قادر به تغییر تنظیمات وب‌سایت است را داشته باشد. داشتن دسترسی‌هایی که به دقت تعریف شده می‌تواند اشتباهات و عواقب خطر را محدود کند و می‌تواند وب‌سایت را از آسیب‌های کاربران سرکش محافظت کند.

اغلب مدیریت کاربران بخش پاسخگویی و نظارت را نایده می‌گیرند. اگر مردم یک حساب کاربری مشترک داشته باشند و ناخواسته توسط کاربران امنیت تغییر کند، چگونه شخصی را که مسئول است را پیدا می‌کنید؟

وقتی برای هر کاربر حساب جداگانه‌ای داشته باشید می‌توانید رفتار هر کاربر را جداگانه بررسی کنید، بنابراین می‌توانید نقاط ناهنجار را پیدا کنید و شخصی که حسابش در معرض خطر است را تشخیص دهید.

برنامه‌های CMS امروزی اگرچه برای استفاده بسیار راحت هستند اما از دیدگاه امنیتی برای کابران نهایی بسیار خطرناک است. تاکنون رایج‌ترین حملات در وب‌سایت‌های بوده که کاملا اتوماتیک اند و بسیاری از حملات با تکیه بر تنظیمات پیش‌فرض انجام می‌شود. شما با تغییر تنظیمات پیش‌فرض هنگام نصب CMS ها می‌توانید از بسیاری از حملات دوری کنید. معمولا ساده‌ترین راه برای تغییر تنظیمات پیش ‌فرض هنگام نصب CMS است اما بعد از نصب هم می‌توان این نتظیمات را تغییر داد./وبسایت زاگریو