إن ذعر DDOS الأخير الذي أثر على عدد كبير من المواقع الإلكترونية قد سلط الضوء على مدى أهمية وضع كل الاحتياطات التي يمكننا اتخاذها للحفاظ على أمان موقعك على الويب. يجب أن يفكر أي شخص يمتلك موقعًا حاليًا في الأمان، ولكن بالنسبة لهؤلاء الذين يمثلو موقعك على الويب نشاطًا تجاريًا، يجب أن يعاملوه كأولوية.

وهذا صحيح على نحو مضاعف إذا قبلت الدفع من خلال موقعك على الويب. عندما يزودك شخص ما بمعلومات بطاقة الائتمان الخاصة به، فإنه يضع الثقة فيك وعلامتك التجارية. إذا تمكن أحد المخترقين من الدخول إلى هذه المعلومات لأنك لم تتخذ الخطوات اللازمة لجعل موقعك الإلكتروني آمنًا، فإنك تخون هذه الثقة.

إن الأمن السيبراني عبارة عن أشياء معقدة، وقد لا تكون قادرًا على ادارة كل التهديدات، فغالباً ما يكون المتسللون في كثير من الأحيان يعملون دائماً على تجاوز كل تحديث أمني جديد. ومع ذلك، يمكنك الحد بشكل كبير من خطر أن يكون موقع الويب الخاص بك هو القادم ليكون ضحية من خلال اتخاذ بعض الاحتياطات الرئيسية.

أهم 10 خطوات للحفاظ على أمان موقعك على الويب.

1. حافظ على تحديث جميع برامجك

الخطوة الأولى هي واحدة من أسهلها، ولكنها خطوة تُحدث فرقًا كبيرًا. تم تصميم الكثير من تحديثات البرامج خصيصًا لتقليل الثغرات الأمنية. إن مصممي البرامج وخبراء الأمن الإلكتروني في معركة مستمرة مع المتسللين لإحباط كل جهد جديد يكتسبونه.

معظم تحديثات البرامج التي يبدو أنك تحصل على تذكيرات مستمرة لها جزء من هذه المعركة. حتى لو كان الأمر يبدو وكأنه مصدر إزعاج، تابع في إكمال هذه التحديثات. تحقق بانتظام من وجود تحديثات في المكونات الإضافية، و نظام إدارة المحتوى CMS، وبرنامج التجارة الإلكترونية، وأي برامج أخرى تتعلق بكيفية تشغيل موقعك على الويب. سيؤدي اتخاذ هذه الخطوة البسيطة إلى تقليل الضعف على الفور.

2. استخدم كلمات مرور آمنة وتحديثها بشكل متكرر

لا يزال عدد مذهل من الأشخاص يستخدم كلمات المرور الأساسية مثل “654321” أو “123456.” لا تكن واحدًا من هؤلاء الأشخاص.

تأكد من أن كلمة المرور التي تستخدمها للوصول إلى موقع الويب الخاص بك تحتوي على مزيج من الأرقام والحروف والأحرف الخاصة. تجنب أيضًا استخدام شيء يمكن أن يعرفه أحد معارفك في كلمة مرورك – فإن اسم طفلك أو تاريخ ولادته سهل للغاية بالنسبة لشخص ما. كن مبدعًا، تأكد من أنك تستخدم شيئًا مختلفًا لموقعك على الويب مما تستخدمه في عمليات تسجيل الدخول الأخرى، وتأكد من أن أي شخص آخر في الشركة لديه حق الوصول إلى موقع الويب يفعل نفس الشيء.

ثم قم بذلك مرة أخرى خلال ستة أشهر. عيّن تذكيرًا في تقويمك حتى تتذكر تحديث كلمة مرورك. في صفحة تسجيل الدخول الخاصة بـ دكتورميجا ، نوصي دائمًا باستخدام أقوى كلمة مرور للحفاظ على الحساب.

3. النسخ الاحتياطي بانتظام

في حالة حدوث أي شيء، لا تريد أن تعلق موقعك على الويب. تأكد من نسخها احتياطيًا بشكل منتظم، تمامًا كما تفعل في الكمبيوتر الخاص بك (يمكنك إجراء نسخ احتياطي للكمبيوتر بانتظام ، أليس كذلك؟).

إذا كنت تستخدم دكتورميجا لاستضافتك على الويب، فسيكون إعداد نُسخ احتياطية تلقائية لموقعك الإلكتروني سهلاً. نظرًا لأن كل شيء يتم تلقائيًا، حتا استعادة موقعك إذا كونت بحاجة إلى ذلك هي عملية بسيطة أيضًا.

4. استثمر في كاشف البرمجيات الخبيثة

البرامج الضارة شائعة جدًا، وليس فقط على مواقع الويب التي تتوقعها. يهتم المخترقون في إصابة أي موقع ويب يُرجح أن يزوره الأشخاص. وهذا يعني أنه يمكن إساءة استخدام موقعك على الويب بسبب البرامج الضارة، أو (يمكن القول) أنه أسوأ من ذلك، فقد يكون ذلك هو الوسيلة التي تُصيب بها البرامج الضارة أجهزة كمبيوتر عملائك.

أفضل تحركاتك لتجنب كلا السيناريوهين هو كاشف للبرامج الضارة. يمكن لبرامج مكافحة البرامج الضارة اكتشاف البرامج الضارة بسرعة وتساعدك على التخلص منها قبل أن تتاح لها الفرصة لإحداث الكثير من الضرر. إنها غير مكلفة نسبيًا عندما تضع في اعتبارك مخاطر البرامج الضارة، ولا يصعب تنفيذها. قد تقدم منصة استضافة الويب الخاصة بك واحدة مثل دكتورميجا، مما يجعل إضافته إلى خطة استضافة الويب الخاصة بك وتنشيطها من السهل القيام به.

5. كن حذرا بشأن الأذونات الخاصة بك

كم عدد الأشخاص الذين يمكنهم الوصول إلى موقع الويب الخاص بك؟ تحتاج معظم الشركات، حتى العديد منها على الجانب الأصغر، إلى تزويد شخصين على الأقل بالوسائل اللازمة للوصول إلى الموقع الإلكتروني لإجراء تغييرات. غالباً ما يكون لدى الشركات متوسطة الحجم والكبيرة المزيد من الأشخاص الذين يصلون إلى موقع الويب بشكل منتظم.

كلما زاد عدد الأشخاص الذين قمت بإجراء تغييرات على الموقع، زادت نقاط الضعف التي تعاني منها. هناك احتمالات، وليس كل شخص يستخدم موقع الويب الخاص بك يحتاج إلى نفس المستوى من الوصول. من خلال استخدام أذوناتك بحكمة، يمكنك الحد من الضرر المحتمل الذي قد يحدثه تصرف خاطئ أو خبيث من قِبل أحد الموظفين.

6. قم بإعداد SSL

إذا كانت لديك مواقع ويب للتجارة الإلكترونية، فإن شراء شهادة SSL ليس اختياريًا. يجب أن يعرف عملاؤك أن موقع الويب الخاص بك آمن قبل تسليمهم للمعلومات الحساسة. شهادة SSL هي الطريقة التي توفر بها هذا الأمان.

موقع ويب به شهادة SSL تعرض رمز القفل الأخضر

شهادة SSL ليست باهظة الثمن وتضمن أن مواقع الويب الخاصة بك تعرض HTTPS أخضر في شريط المتصفح، وهو ما يبحث عنه المستهلكون لمعرفة أنه يمكن الوثوق بموقع ويب. ويضيف مستوى إضافي من الحماية لضمان تشفير التفاصيل التي يشاركها العملاء معك بشكل صحيح ولا يمكن انتزاعها بسهولة من قبل اللصوص الإلكترونيين.

7. استخدم AVS و CVV.

عندما تضيف نظام التحقق من العنوان (AVS) وحقل قيمة بطاقة الائتمان (CVV) لجميع عمليات سحب بطاقات الائتمان، فمن المحتمل أن تكون محاولات الاحتيال أقل فرصة للانخفاض. لديك فرصة للتحقق من المعلومات التي يقدمها العميل مقابل المعلومات التي تعرفها شركة بطاقة الائتمان الخاصة بها، يعرف ذلك أن الأشخاص الذين سرقوا أرقام بطاقات الائتمان لم يتمكنوا من تجاوز عملية التأكيد.

8. تقليل نقاط الضعف XSS

تصبح هذه الخطوة تقنية حقًا وقد ترغب في استشارة مشرف الموقع أو مستشار الأمان عبر الإنترنت بدلاً من محاولة التعامل مع هذه الخطوة بنفسك. تتمثل نقاط الضعف في XSS (البرمجة عبر الموقع) في نقاط الضعف في الكود التي تكتبها والتي تسمح للمتطفلين بإضافة كود إلى موقعك على الويب والتي تصيب أجهزة الزائرين.

لتقليل نقاط الضعف، تحتاج إلى التحقق من صحة بياناتك وتعقيمها كما هو موضح في الرابط أعلاه. قد تتمكن أيضًا من إدراج هذه السلسلة في صفحات الويب لديك لتقليل درجة الثغرة:

echo htmlentities($string, ENT_QUOTES | ENT_HTML5, ‘UTF-8’);

ولكن ذلك لن يعمل إلا إذا كنت لا تستخدم HTML. إذا كنت تستخدم HTML ، فإن تشغيل التعليمات البرمجية من خلال جهاز تنقية HTML هو أفضل بديل لك.

9. تقليل نقاط الضعف حقن SQL

كما هو الحال مع الخطوة السابقة، من المحتمل أن تكون هذه الخطوة مهمة لمشرف الموقع أكثر من مالك أحد الأنشطة التجارية، لذا اطلب المساعدة إذا وجدت أن الاقتراحات مربكة.

ليست الثغرات الأمنية لحقن SQL شائعة مثل ثغرات XSS، ولكنها لا تزال تسبب القلق. فهي تسمح للهكر بالوصول إلى البيانات الحساسة المخزنة في قاعدة البيانات – والتي غالبًا ما تتضمن معلومات مثل أرقام بطاقات ائتمان عملائك.

أفضل الطرق للوقاية هنا فنية إلى حد كبير ويمكنك الاطلاع على ورقة الغش الخاصة بـ SQL Injection لمزيد من التفاصيل حول ما يعنيه كل دفاع. الدفاعات الخمس الرئيسية ضد حقن SQL هي:

  • استخدام استعلامات ذات معلمات لمساعدة قاعدة البيانات الخاصة بك على التمييز بين التعليمة البرمجية والبيانات.
  • استخدام الإجراءات المخزنة التي يتم تحديدها بوضوح داخل قاعدة البيانات والمقدمة للمستخدمين، بدلاً من السماح لهم بإدخالها.
  • الهروب من الإدخال المقدم من المستخدم (والذي يُنصح به فقط في بعض الحالات)، بحيث تعرف قاعدة البيانات على أي معلومات يوردها المستخدمون مختلفة عن كود SQL الذي كتبه المطور.
  • سنحقق امتيازًا أقل – والذي يتعلق مرة أخرى بالخطوة المذكورة بشأن الأذونات – للتأكد من حصول المستخدمين على الإذن الذي يحتاجون إليه فقط وليس أكثر من ذلك.
  • قم بتطبيق التحقق من إدخال القائمة البيضاء، والذي يسمح لقاعدة البيانات باكتشاف أي إدخال غير مصرح به قبل معالجته.

إذا كانت لا تفهم شيئاً، فأنت لست وحدك. إذا كنت لا تفهم هذه الأشياء، فمن الأفضل إحضار شخص يفعل ذلك حتى يتم إجراؤه بشكل صحيح.

10. استخدم خدمة تخفيف DDoS

تحدث هجمات الحرمان من الخدمة (DDoS) عند قيام الهاكر بتعيين عدد كبير من الأنظمة التي تعرضت للاختراق لإغراق عرض النطاق الترددي لموقع الويب مرة واحدة. الخادم يغمره ويبدأ في رفض جميع الزوار.

يعد وجود موفر خدمة استضافة ويب يضع تدابير الحماية موضع التنفيذ هو خط الدفاع الأول ، ولكن مع مدى انتشار هجمات DDoS الشائعة، فإن إجراء استثمار إضافي في خدمة التخفيف من DDoS يمكن أن يقلل من مخاطرك.

يعمل المخترقون باستمرار على إنشاء طرق جديدة للالتفاف على هذه الحماية. بالإضافة إلى وضع هذه النصائح العشرة موضع التنفيذ، يمكنك قضاء بعض الوقت على مدار العام في الاطلاع على التهديدات الأمنية الجديدة وأفضل الممارسات.

الرهانات هنا عالية – تحتاج إلى ثقة العملاء بك وموقع الويب الخاص بك للقيام بعمله باستمرار. تأكد من التعامل مع أمان موقعك على الويب كأولوية يجب أن تكون.

نصحية: حافظ على أمان موقعك على الويب من خلال الصيانة الدورية.