حماية موقع ويب ضد المتسللين في 10 خطوات

بصفتك مالكًا لموقع الويب ، هل هناك أي شيء مخيف أكثر من تخيل أن كل عملك قد تم تغييره أو إتلافه بالكامل من قبل مخترق شرير؟ قد تتساءل ، من الذي يتابع موقع الويب الخاص بي الصغير؟ لكن القرصنة لا تحدث فقط للأطفال الأكبر سنًا.

وجد تقرير أن الشركات الصغيرة هي ضحايا 43 ٪ من جميع الاختراقات. نتيجة لذلك ، يعد تأمين موقع الويب أمرًا مهمًا للغاية.

لقد عملت بجد على موقع الويب الخاص بك (وعلامتك التجارية) – لذلك من المهم أن تأخذ الوقت الكافي لحماية موقع الويب الخاص بك من نصائح القرصنة الأساسية هذه.

خطوات حماية موقع الويب:

1. تثبيت المكونات الإضافية للأمان

إذا كنت قد أنشأت موقع الويب الخاص بك باستخدام نظام إدارة المحتوى (CMS) ، فيمكنك ترقية موقع الويب الخاص بك باستخدام مكونات إضافية للأمان تمنع بشكل فعال محاولة اختراق موقع الويب.

يحتوي كل خيار من خيارات CMS الرئيسية على مكونات إضافية للأمان ، والعديد منها مجاني.

مكونات الأمان الإضافية لـ WordPress:

  • أمان iThemes 

تعمل هذه الخيارات على إصلاح الثغرات الأمنية في كل نظام تشغيل وإحباط الأنواع الأخرى من محاولات القرصنة التي قد تهدد موقع الويب الخاص بك.

بالإضافة إلى ذلك ، يمكن لجميع مواقع الويب – سواء كنت تقوم بتشغيل موقع مدار بواسطة CMS أو صفحات HTML – الاستفادة من التفكير في SiteLock.

يتجاوز SiteLock ذلك من خلال إغلاق الثغرات الأمنية في الموقع من خلال توفير مراقبة يومية لكل شيء بدءًا من اكتشاف البرامج الضارة وحتى اكتشاف الثغرات الأمنية وحتى الفحص النشط للفيروسات والمزيد.

إذا كان عملك يعتمد على موقع الويب الخاص بك ، فإن SiteLock هو بالتأكيد استثمار يستحق العناء.

2. استخدم HTTPS

بصفتك مستهلكًا ، قد تعلم بالفعل أنه كلما قدمت معلومات حساسة إلى موقع ويب ، ابحث دائمًا عن صورة القفل الأخضر و https في شريط المتصفح.

فيما يلي خمس مؤشرات رئيسية في نقل موقع الويب الخاص بك بأمان من المتسللين: تشير إلى أن المعلومات الموجودة على صفحة الويب المحددة هذه آمنة.

تعد شهادة SSL مهمة لأنها تؤمن نقل المعلومات – مثل بطاقات الائتمان والمعلومات الشخصية ومعلومات الاتصال – بين موقعك على الويب وخادمك.

بينما كانت شهادة SSL ضرورية دائمًا لمواقع التجارة الإلكترونية ، فقد أصبح الحصول على شهادة مؤخرًا أمرًا مهمًا لجميع مواقع الويب.

أصدرت Google تحديثًا لمتصفح Chrome في عام 2018. تم إجراء التحديث الأمني ​​في يوليو وتنبيه زوار موقع الويب إذا لم يكن موقع الويب الخاص بك يحتوي على شهادة SSL مثبتة.

يتيح ذلك للزوار الخروج من الويب بشكل أسرع ، حتى إذا كان موقع الويب الخاص بك لا يجمع معلومات حساسة.

تأخذ محركات البحث أمان مواقع الويب على محمل الجد أكثر من أي وقت مضى لأنها تريد أن يتمتع المستخدمون بتجربة تصفح ويب إيجابية وآمنة. مع التزام أكبر بالأمان ، إذا لم يكن لديك شهادة SSL ، فقد يصنف محرك البحث موقع الويب الخاص بك في مرتبة أدنى في نتائج البحث.

ماذا يعني هذا بالنسبة لك؟ إذا كنت تريد أن يثق الناس بعلامتك التجارية ، فأنت بحاجة إلى الاستثمار في شهادة SSL.

تكلفة شهادة SSL ضئيلة ، ولكن المستوى الإضافي من التشفير الذي توفره لعملائك يساعد في جعل موقع الويب الخاص بك أكثر أمانًا.

3. حافظ على تحديث النظام الأساسي لموقع الويب والبرامج الخاصة بك

هناك العديد من الفوائد لاستخدام CMS مع العديد من المكونات الإضافية المفيدة ، ولكن هناك أيضًا مخاطر. السبب الرئيسي لعدوى موقع الويب هو الضعف في المكونات القابلة للتوسيع لنظام إدارة المحتوى.

نظرًا لأن العديد من هذه الأدوات يتم إنشاؤها كبرامج مفتوحة المصدر ، فإن التعليمات البرمجية الخاصة بها متاحة بسهولة – لكل من المطورين ذوي النوايا الحسنة والمتسللين الضارين.

يمكن للقراصنة اختراق هذا الرمز والبحث عن الثغرات الأمنية التي تسمح لهم بالتحكم في موقع الويب الخاص بك باستخدام أي ثغرات أمنية في نظام التشغيل أو البرنامج النصي.

لحماية موقع الويب الخاص بك من التعرض للاختراق ، تأكد دائمًا من تحديث نظام إدارة المحتوى والمكونات الإضافية والبرامج وأي نص برمجي قمت بتثبيته.

إذا كنت تدير موقعًا إلكترونيًا في WordPress ، فيمكنك التحقق مما إذا كنت محدثًا عند تسجيل الدخول إلى لوحة تحكم WordPress.

ابحث عن رمز التحديث في الزاوية اليسرى العليا بجوار اسم موقعك. انقر فوق الرقم للوصول إلى تحديثات WordPress.

4. تأكد من أن كلمات المرور الخاصة بك آمنة

هذا يبدو بسيطًا ، لكنه مهم جدًا.

من المغري تسجيل الدخول إلى موقعك باستخدام كلمة مرور تعلم أنه من السهل تذكرها. لهذا السبب ، لا يزال الرقم 1 وكلمة المرور الأكثر شيوعًا هو 123456. عليك أن تفعل ما هو أفضل من ذلك – أفضل بكثير من ذلك لمنع المتسللين وغيرهم من الغرباء من تسجيل الدخول.

حاول العثور على كلمة مرور آمنة تمامًا (أو استخدم منشئ كلمات المرور). توسيعها. استخدم مزيجًا من الأحرف والأرقام والحروف الخاصة. وتجنب الكلمات الرئيسية سهلة التخمين مثل ولادة طفلك أو اسمه. إذا تمكن أحد المتطفلين من الوصول إلى معلومات أخرى عنك بطريقة ما ، فيمكنه تخمينها أولاً.

الخطوة الأولى هي الحفاظ على مستوى أعلى من مستوى أمان كلمة المرور. يجب عليك أيضًا التأكد من أن كل شخص يصل إلى موقع الويب الخاص بك لديه كلمات مرور قوية بنفس القدر. يمكن أن تؤدي كلمة المرور الضعيفة في فريقك إلى تعريض موقع الويب الخاص بك للاختراق ، لذا قم بتعيين كلمة المرور مع كل من لديه حق الوصول.

متطلبات المعهد لجميع مستخدمي الموقع من حيث الطول ونوع الأحرف. إذا أراد موظفوك استخدام كلمات مرور سهلة لحساباتهم الأقل أمانًا ، فهذه هي أعمالهم. ولكن عندما يتعلق الأمر بموقعك على الويب ، فهذا هو عملك (حرفيًا) ويمكنك الحفاظ عليه بمستوى أعلى.

5. استثمر في النسخ الاحتياطي التلقائي

حتى إذا قمت بأشياء أخرى في هذه القائمة ، فستظل تواجه مخاطر. أسوأ سيناريو لاختراق موقع الويب هو أنك تفقد كل شيء لأنك نسيت عمل نسخة احتياطية من موقع الويب الخاص بك. أفضل طريقة لحماية نفسك هي التأكد من أن لديك دائمًا نسخة احتياطية.

على الرغم من أن عمليات اختراق البيانات ليست مهمة ، إلا أن الاسترداد يكون أسهل بكثير عند عمل نسخة احتياطية. يمكنك البدء بالنسخ الاحتياطي لموقعك يدويًا يوميًا أو أسبوعيًا. ولكن إذا كانت لديك أدنى فرصة للنسيان ، فاستثمر في نسخة احتياطية تلقائية. هذه طريقة رخيصة لشراء راحة البال.

6. اتخذ الاحتياطات عند قبول تحميل الملف من خلال موقعك

عندما يكون لدى شخص ما خيار تحميل شيء ما إلى موقع الويب الخاص بك ، فيمكنه إساءة استخدام هذا الامتياز عن طريق تحميل ملف ضار ، أو الكتابة فوق أحد الملفات المتاحة لموقع الويب الخاص بك ، أو تحميل ملف كبير بما يكفي لتدمير موقع الويب الخاص بك بالكامل. ببطء

إن أمكن ، ببساطة لا تقبل تحميل أي ملف من خلال موقع الويب الخاص بك. يمكن للعديد من مواقع الأعمال الصغيرة التعامل مع هذا دون تقديم خيار تحميل الملف. إذا كان هذا هو وصفك ، فيمكنك تخطي الآخرين في هذه المرحلة.

لكن حذف الملفات المرفوعة ليس خيارًا لجميع مواقع الويب. تحتاج بعض أنواع الأعمال ، مثل المحاسبين أو مقدمي الرعاية الصحية ، إلى توفير طريقة آمنة لتوفير المستندات للعملاء.

إذا كنت بحاجة إلى تحميل ملف ، فاتبع هذه الخطوات للتأكد من أن موقع الويب الخاص بك آمن:

  • قم بإنشاء قائمة بيضاء بامتدادات الملفات المسموح بها. من خلال تحديد نوع الملف الذي تقبله ، فإنك تقضي على أنواع الملفات المشبوهة.
  • استخدم التحقق من نوع الملف. يحاول المتسللون الوصول بسهولة إلى مرشحات القائمة البيضاء عن طريق إعادة تسمية المستندات ذات الامتدادات المختلفة لنوع المستند ، أو إضافة نقاط أو مسافات إلى اسم الملف.
  • اضبط الحجم الأقصى للملف. تجنب هجمات الخدمة الموزعة ( DDoS ) عن طريق رفض أي ملف مفرط التحديد .
  • فحص الملفات بحثًا عن البرامج الضارة . استخدم برنامج مكافحة الفيروسات لفحص جميع الملفات قبل فتحها.
  • إعادة تسمية الملفات تلقائيًا عند التحميل. إذا كان المتسللون يبحثون عن ملف آخر ، فلن يتمكن المتسللون من الوصول إليه مرة أخرى.
  • احتفظ بمجلد التحميل خارج webroot. هذا يمنع المتسللين من الوصول إلى موقع الويب الخاص بك من خلال الملف الذي يقومون بتحميله.

يمكن أن تقضي هذه الخطوات على العديد من نقاط الضعف الكامنة في السماح بتحميل الملف على موقع الويب الخاص بك.

7. استخدم الاستعلامات ذات المعلمات

يعد حقن SQL أحد أكثر عمليات اختراق مواقع الويب شيوعًا التي تقع العديد من المواقع ضحية لها.

يمكن أن يعمل إدخال SQL إذا كان لديك نموذج ويب أو معلمة URL تسمح للمستخدمين الخارجيين بإرسال المعلومات. إذا تركت معلمات القسم مفتوحة للغاية ، فيمكن لأي شخص إدخال رمز فيها يسمح بالوصول إلى قاعدة البيانات الخاصة بك. من المهم حماية موقعك من هذا لأنه يمكن تخزين معلومات العميل الحساسة في قاعدة البيانات الخاصة بك.

هناك العديد من الخطوات التي يمكنك اتخاذها لحماية موقع الويب الخاص بك من عمليات اختراق حقن SQL. يعد استخدام الاستعلامات ذات المعلمات من أهمها وأسهلها في التنفيذ. باستخدام المدققات ذات المعلمات ، تحتوي التعليمات البرمجية الخاصة بك على معلمات محددة كافية بحيث لا يشارك المتسلل فيها.

8. استخدم CSP

تعد هجمات البرمجة النصية عبر المواقع (XSS) تهديدًا شائعًا آخر لمالكي المواقع يجب أن يكونوا على دراية بها. يجد المتسللون طريقة لنشر شفرة JavaScript ضارة على صفحاتك ، والتي يمكن أن تصيب جهاز أي زائر لموقع الويب يتعرض للشفرة.

جزء من المعركة لتأمين موقع الويب الخاص بك ضد هجمات XSS يشبه الاستعلامات ذات المعلمات لحقن SQL. تأكد من أن أي رمز تستخدمه على موقع الويب الخاص بك للإجراءات أو الحقول التي تسمح بالوصول يقع ضمن النطاق المسموح به ، لذلك لا تترك أي انزلاق.

سياسة أمان المحتوى (CSP) هي أداة مفيدة أخرى يمكن أن تساعد في حماية موقعك من XSS. يتيح لك CSP اعتبار المجالات التي يجب أن يكون المتصفح على صفحتك مصدرًا موثوقًا للنصوص القابلة للتنفيذ. يكتشف المتصفح بعد ذلك أنه لا ينتبه لأي نصوص أو برامج ضارة قد تصيب زائر موقعك.

يتضمن استخدام CSP إضافة رأس HTTP المناسب إلى صفحة الويب الخاصة بك ، والتي توفر مجموعة من الإرشادات التي تخبر المتصفح بالمجالات المناسبة والاستثناءات لهذه القاعدة. يمكنك العثور على تفاصيل حول إنشاء رؤوس CSP لموقعك على الويب هنا.

9. قفل أذونات الملفات والقائمة

يمكن تلخيص جميع مواقع الويب في سلسلة من الملفات والمجلدات المخزنة في حساب استضافة الويب الخاص بك. بالإضافة إلى احتوائه على جميع البرامج النصية والبيانات اللازمة لجعل موقع الويب الخاص بك يعمل ، فإن لكل من هذه الملفات والمجلدات مجموعة من الأذونات التي تتحكم في من يمكنه الوصول إلى كل ملف أو قراءة مجلد معين وكتابته وتنفيذه ، اعتمادًا على المستخدم أو المجموعة التي تنتمي إليها.

في نظام التشغيل Linux ، يتم عرض الأذونات كرمز مكون من ثلاثة أرقام ، كل رقم يمثل عددًا صحيحًا بين 0-7. يشير الرقم الأول إلى مالك الملف ، والرقم الثاني لكل شخص تم تعيينه لمجموعة حامل الملف ، والرقم الثالث لأي شخص آخر. المهام كالتالي:

  • 4 مرات القراءة
  • اكتب مرتين
  • 1 يساوي الجري
  • 0 لا يساوي أي ترخيص لهذا المستخدم

على سبيل المثال ، حدد رمز الإذن “644”. في هذه الحالة ، يسمح “6” (أو “4 + 2”) في الموضع الأول لمالك الملف بقراءة الملف وكتابته. يعني الرقم “4” في الحالتين الثانية والثالثة أن مستخدمي المجموعة ومستخدمي الإنترنت لا يمكنهم قراءة الملف إلا – مما يحمي الملف من العبث غير المتوقع.

لذلك ، يمكن قراءة ملف مع أذونات “777” (أو 4 + 2 + 1/4 + 2 + 1/4 + 2 + 1) من قبل المستخدم والمجموعة والأشخاص الآخرين فيه.

كما تتوقع ، فإن الملف الذي يحتوي على رمز ترخيص يسمح لأي شخص على الويب بكتابته وتنفيذه هو أقل أمانًا بكثير من الملف المقفل ، وذلك لحماية جميع الحقوق محفوظة.

هل هو المالك. بالطبع ، هناك أسباب وجيهة للوصول إلى مجموعات أخرى من المستخدمين (تحميل FTP مجهول ، على سبيل المثال) ، ولكن يجب أخذها في الاعتبار بعناية لتجنب خلق مخاطر أمنية على موقع الويب.

لهذا السبب ، فإن القاعدة الأساسية الجيدة لتعيين الأذونات هي:

  • المجلدات والأدلة = 755
  • ملفات مفردة = 644

لتعيين أذونات الملفات الخاصة بك ، قم بتسجيل الدخول إلى File Manager cPanel أو الاتصال بالخادم الخاص بك عبر FTP . بمجرد تسجيل الدخول ، سترى قائمة بأذونات الملفات الموجودة لديك (مثل تلك التي تم إنشاؤها باستخدام Filezilla FTP ):

يُظهر العمود الأخير في هذا المثال أذونات المجلد والملف المعينة حاليًا لمحتوى موقع الويب. لتغيير هذه الأذونات في Filezilla ، فقط انقر بزر الماوس الأيمن على المجلد أو الملف وحدد “أذونات الملف”. سيؤدي القيام بذلك إلى تشغيل صفحة تسمح لك بتعيين أذونات مختلفة باستخدام سلسلة من مربعات الاختيار:

على الرغم من أن الجزء الداخلي من مضيف الويب أو تطبيق FTP قد يبدو مختلفًا بعض الشيء ، إلا أن العملية الأساسية لتغيير الأذونات هي نفسها.

10. اكتشاف رسائل الخطأ أمر بسيط (لكنه لا يزال مفيدًا).

يمكن أن تساعدك رسائل الخطأ التفصيلية في تحديد المشكلة حتى تعرف كيفية إصلاحها.

ولكن عندما يتم عرض رسائل الخطأ هذه للزائرين الخارجيين ، فيمكنهم إظهار معلومات حساسة تخبر المتسلل المحتمل بدقة نقاط الضعف في موقع الويب الخاص بك.

كن حذرًا جدًا بشأن المعلومات التي تقدمها في رسالة الخطأ ، لذلك لا تقدم معلومات تساعد مخترقًا سيئًا على اختراقك.

اجعل رسائل الخطأ بسيطة بما يكفي حتى لا يتم كشفها كثيرًا عن طريق الخطأ. ولكن أيضًا تجنب الغموض ، بحيث لا يزال بإمكان زوارك معرفة ما يكفي من رسالة الخطأ لمعرفة ما يجب فعله بعد ذلك.

حماية الموقع من المتسللين

يعد أمان الموقع وتعلم كيفية الحماية من المتسللين جزءًا كبيرًا من صحة موقعك وسلامته على المدى الطويل! لا تتأخر في القيام بهذه الخطوات المهمة.