کاربران میزبانی وب به طور کلی به دو دسته مجزا تقسیم می شوند. کسانی که نگران حملات هکری احتمالی هستند و دائما در تلاش برای ارتقای سطح امنیتی وب سایت خود هستند و کسانی که تا زمانی که هک نشوند اهمیتی نمی دهند.
جدا از همه توصیه ها، قانون اصلی همیشه انتخاب یک ارائه دهنده هاست حرفه ای و قابل اعتماد است.
صرف نظر از اینکه در کدام دسته قرار می گیرید، باید نکات زیر را برای محافظت از سایت خود در برابر هکرها بررسی کنید.
1. انتخاب رمز عبور
بسیاری از ارائه دهندگان میزبانی وب به کاربر این امکان را می دهند که به طور مستقل رمز عبور را برای دسترسی های متعدد مانند حساب های SSH، FTP، پنل های مدیریت، پشتیبان های CMS و پایگاه های داده MySQL انتخاب کند.
علاوه بر این، کاربران رمزهای عبور دقیقی را برای سرویس های مختلف انتخاب می کنند و آنها را به صورت آفلاین ثبت نمی کنند. اغلب حدس زدن این رمزهای عبور بسیار آسان است و سایت شما را آسیب پذیرتر می کند.
به این دلایل، باید تنوع ایجاد کنید. بنابراین، اگر یک هکر بتواند رمز عبور را قفل کند، نمی تواند آزادانه بین حساب های مختلف سرویس های مختلف شما حرکت کند و در نتیجه امنیت هاست شما را بهبود می بخشد.
نکته حرفه ای: گذرواژه های الفبایی عددی را انتخاب کنید. هر کدام برای سرویسهای خاص متفاوت است، بنابراین میتوانید کلیدهای دسترسی منحصربهفرد، حداقل برای اجزای مهم، داشته باشید.
2. آدرس های IP ناخواسته را مسدود کنید
فایل HTACCESS را برای جلوگیری از دسترسی ربات های ناخواسته به فایل ها پیکربندی کنید.
یک نکته بسیار مفید این است که بازدیدکنندگان ناخواسته را از آدرس های IP شناخته شده برای جاسوس افزارها و ربات ها مسدود کنید.
نکته حرفه ای: انتخاب هوشمند میزبانی وب اگر می خواهید راحت بخوابید، باید شرکت میزبانی را انتخاب کنید که بتواند ابزارهای امنیتی اضافی را ارائه دهد. داشتن گواهینامههای SSL، شناسایی بدافزار، پروتکلهای امنیتی (مانند پشتیبانگیری از دادههای مهم)، بهروزرسانیهای نرمافزار، محافظت از سرور با فایروالهای اضافی، و سیستمهای تشخیص نفوذ (IDS) و سیستمهای پیشگیری از نفوذ (IPS) را در نظر بگیرید. به عنوان مثال، LCN گواهینامه های رایگان SSL را ارائه می دهد که در بسته های میزبانی وب خود گنجانده شده است تا از داده های وب سایت و اطلاعات مشتری شما با رمزگذاری 256 بیتی ایمن و استاندارد صنعتی محافظت کند. گوگل همچنین تایید کرده است که SSL اکنون یک عامل رتبه بندی است، بنابراین ایمن سازی سایت شما با SSL می تواند به افزایش رتبه در موتورهای جستجو کمک کند.
3. نگهداری سایت
همیشه هر چیزی را که دیگر مفید نیست و در فضای میزبانی شما وجود دارد حذف کنید. گاهی اوقات پیگیری این سخت ترین کار است زیرا با گذشت زمان فایل هایی را که پشت سر گذاشته اید فراموش می کنید و دیگر استفاده نمی شوند.
به همین دلیل، بررسی دوره ای و حذف فایل هایی که برای اجرای سایت مورد نیاز نیستند، مهم است. همین امر در مورد اسکریپت های استفاده نشده نیز صادق است که اغلب توسط هکرها برای کنترل حساب مورد هدف قرار می گیرند. نگهداری و پاکسازی سایت همچنین باید شامل غیرفعال کردن تمام حسابهای (ایمیل، FTP و غیره) باشد که هنوز فعال هستند اما دیگر مورد استفاده قرار نمیگیرند، زیرا ممکن است توسط افراد غیرمجاز مجبور به استفاده از آنها شوند.
نکته حرفه ای: کاربران ناشناس FTP را غیرفعال کنید. فیلترهای دسترسی FTP را بپذیرید تا فقط به آدرس های IP خاص یا کلاس های از پیش پیکربندی شده آدرس های IP اجازه دسترسی به FTP را بدهید.
4. همیشه به روز کنید
هر برنامه ای که در سایت تعبیه شده است (CMS، چت، انجمن ها و غیره)، همیشه باید مطمئن شوید که آنها در آخرین نسخه موجود و به روز شده (به ویژه در مورد مسائل امنیتی) نصب شده باشند.
برای ارائه بهروزرسانیها منتظر نصبکننده برنامه در دسترس از فروشنده نباشید. در عوض، سعی کنید با بررسی وصلههای امنیتی جدید و بهروزرسانیها مستقیماً از منابع رسمی تا حد امکان فعال باشید.
به طور خلاصه، فقط در مورد تحقیق و اعمال به روز رسانی است که شما باید بیشتر زمان کاری خود را در سایت بگذرانید.
نکته حرفه ای: به طور منظم نسخه پشتیبان تهیه کنید. همچنین برنامه ها و فایل های غیر ضروری و همچنین اسکریپت های استفاده نشده یا نامناسب را حذف کنید.
5. به CMS توجه کنید
سیستم های مدیریت محتوایی مانند وردپرس، جوملا، دروپال یا مجنتو به دلیل سادگی بسیار گسترده هستند که هر کسی می تواند وب سایت های پیچیده را با آن مدیریت کند. این محبوبیت از سوی دیگر نقطه ضعف آنها نیز هست.
در واقع، این پلتفرمها اغلب یکی از اهداف مورد علاقه هکرها هستند، زیرا اکثر نصبها اجازه دسترسی نسبتا آسان به رابط دسترسی مدیریتی (مانند وردپرس و ورود به سیستم پشتیبان آن را میدهند)آدرس سایت/wp-admin).
علاوه بر این، بسیاری از CMS ها با مضامین و افزونه هایی که حملات هک را تسهیل می کنند، کاربران را در معرض خطر بیشتری قرار می دهند. به همین دلیل، مطمئن شوید که فقط از پلاگین ها و تم های منابع امن یا مخازن رسمی استفاده کنید. از نصب آیتمهای رایگان موجود از سایتهای غیرقابل اطمینان خودداری کنید، زیرا ممکن است دسترسی به سادگی در فایلهای این افزونهها پنهان باشد.
نکته حرفه ای: آدرس نهایی خود را پنهان کنید. بسیاری از سیستمهای مدیریت محتوا و پلتفرمهای متداول بهراحتی در برابر حمله آسیبپذیر هستند (به وردپرس مراجعه کنید)، بنابراین نصب افزونههای ویژه یا پیکربندی فایلهای HTACCESS برای بهبود امنیت آنها مهم است.
6. برنامه های اسکریپت و جاوا را تحت کنترل نگه دارید
اسکریپت به طور کلی و برنامه های جاوا به توسعه دهندگان اجازه می دهد تا ویژگی های سفارشی ایجاد کنند و در نتیجه اینترنت را بسیار تعاملی تر کنند.
بنابراین توصیه نمی شود که به طور کامل از اسکریپت ها خودداری کنید، اما مهم است که آنها را زیر نظر داشته باشید و آنها را تحت کنترل داشته باشید. گاهی اوقات شما فقط باید مطمئن شوید که ویژگی های آنها به روز شده و از حملات هکرها محافظت می شود.
نکته حرفه ای: مجوزهای فایل را تنظیم کنید. برای جلوگیری از خرابکاری آسان، فایل های موجود در فضای اشتراکی میزبانی وب شما هرگز نباید مجوزهای بالاتر از 644 یا 755 داشته باشند. اگر نیاز به ارائه مجوزهای بالاتر دارید، مطمئن شوید که فضای میزبانی عمومی نیست.