كيفية تأمين موقع الويب الخاص بك من الهاكرز: خطوة بخطوة

مارس 10, 2021

كمالك للموقع، هل هناك أي شيء أكثر رعبا من التفكير في رؤية كل عملك تغير أو محو بالكامل من قبل عمليات الهاكر الخبيثة؟ لذلك تأمين موقع الويب مهم جداً لك

لقد عملت بجد على موقعك الإلكتروني (وعلامتك التجارية) – لذا من المهم أن تخصص وقتًا تأمين موقع الويب باستخدام هذه النصائح الأساسية لكيفية تأمين موقع الويب! ستعلمك هذه المقالة أيضًا كيفية التحقق مما إذا كان موقع الويب آمنًا وما يمكنك فعله لضمان أن موقعك على الويب آمنًا تمامًا من المتسللين..

بالإضافة إلى الاحتفاظ بنسخة احتياطية من ملفاتك بانتظام (والتي يجب عليك القيام بها بالفعل، لأسباب مختلفة)، فإن اتخاذ الخطوات السبعة السهلة التالية سيساعد في تأمين موقع الويب من المتسللين:

الخطوة رقم 1: تثبيت مكونات الأمان الإضافية، متى أمكن ذلك

بعد تحديث كل شيء، يمكنك تحسين أمان موقعك على الويب باستخدام المكونات الإضافية التي تمنع محاولات اختراق موقع الويب بشكل نشط.

مرة أخرى ، باستخدام WordPress كمثال ، ستحتاج إلى البحث في المكونات الإضافية للأمان. (أو أدوات مشابهة متاحة لمواقع الويب المبنية على أنظمة إدارة المحتوى الأخرى). تعالج هذه المنتجات الثغرات الأمنية المتأصلة في كل نظام أساسي ، وتحبط أنواعًا إضافية من محاولات القرصنة التي قد تهدد موقعك على الويب.

بدلاً من ذلك – ما إذا كنت تدير موقعًا بأنظمة CMS أو صفحات الهبوط – ألقِ نظرة على SiteLock. يذهب موقع SiteLock إلى أبعد من إغلاق الثغرات الأمنية في الموقع عن طريق توفير المراقبة اليومية لكل شيء بدءًا من اكتشاف البرامج الضارة إلى التعرف على الثغرات إلى الفحص النشط للفيروسات والمزيد. إذا كان عملك يعتمد على موقعه على الويب ، فإن SiteLock هو بالتأكيد استثمار يستحق النظر فيه.

ملاحظة: إن خطة استضافة ووردبريس المُدارة لديها سيتلوك مضمّنة، بالإضافة إلى ميزات أخرى للمساعدة في تأمين موقعك.

الخطوة رقم 2: استخدم HTTPS

بصفتك مستهلكًا، قد تعرف بالفعل أن تبحث دائمًا عن https باللون الأخضر في شريط المستعرض لديك في أي وقت ستوفر فيه معلومات حساسة لموقع ويب. يعرف معظم المستهلكين الاعتراف بتلك الأحرف الخمسة الصغيرة باعتبارها مهمة للأمان من القراصنة: فهم يشيرون إلى أنه من الآمن توفير معلومات مالية على صفحة الويب هذه.

في يناير 2018، أصدر جوجل كروم تحديثًا أمنيًا ينبه زائري موقع الويب إذا لم يكن موقعك على الويب مثبتًا عليه شهادة SSL. تعد شهادة SSL مهمة لأنها تضمن نقل المعلومات – مثل بطاقات الائتمان والبيانات الشخصية ومعلومات الاتصال – بين موقعك على الويب والخادم. تأخذ محركات البحث أمان مواقع الويب على محمل الجد أكثر من أي وقت مضى لأنها تريد من المستخدمين تجربة إيجابية وآمنة أثناء تصفح الويب. من خلال الالتزام بالأمن بشكل أكبر ، قد يجعل محرك البحث موقعك على الويب أقل في نتائج البحث إذا لم يكن لديك شهادة SSL.

ماذا يعني ذلك بالنسبة لك؟ إذا كان لديك متجر عبر الإنترنت ، أو إذا كان أي جزء من موقعك على الويب يتطلب من الزائرين تسليم معلومات حساسة مثل رقم بطاقة الائتمان ، فستحتاج إلى الاستثمار في شهادة SSL. تكلفة شهادة SSL هي الحد الأدنى، ولكن المستوى الإضافي للتشفير الذي يقدمه لعملائك يقطع شوطا طويلا لجعل موقع الويب الخاص بك أكثر أمانا وجدارة بالثقة.

في دكتورميجا، نأخذ أيضًا أمان موقع الويب على محمل الجد، ولكن الأهم من ذلك، أننا نريد أن نجعل من السهل عليك أن تكون آمنًا. جميع حزم استضافة الويب دكتورميجا تأتي مع شهادة SSL مجانية. سيتم تطبيق شهادة SSL تلقائيًا على حسابك، ولكن يلزمك بعض الخطوات لتثبيت شهادة SSL المجانية وماتعنيه هذا الاشهادة على موقعك الإلكتروني.

الخطوة # 3: حافظ على تحديث النظام الأساسي لموقعك على الويب

من أفضل الأشياء التي يمكنك القيام بها تأمين موقع الويب من التعرض للاختراق هو التأكد من أن نظام إدارة المحتوى أو المكونات الإضافية والتطبيقات أو البرامج النصية التي ثبّتها محدّثة. نظرًا لأن العديد من هذه الأدوات يتم إنشاؤها كبرامج برمجية مفتوحة المصدر، يمكن الوصول بسهولة إلى كودها – لكل من المطورين ذوي النوايا الحسنة وكذلك المتسللين الخبيثة. يستطيع المتسللون اختراق هذا الرمز، بحثًا عن نقاط ضعف أمنية تسمح لهم بالتحكم في موقع الويب الخاص بك عن طريق استغلال أي نقاط ضعف في النظام الأساسي أو البرنامج النصي.

على سبيل المثال، إذا كنت تقوم بتشغيل موقع ويب مبني على منصة ووردبريس، فإن كل من تثبيت ووردبريس الأساسي الخاص بك وأية ملحقات خارجية قمت بتثبيتها قد تكون عرضة لهذه الأنواع من الهجمات الإلكترونية. تأكد من أن لديك دائمًا أحدث الإصدارات من النظام الأساسي والنصوص البرمجية المثبتة تقلل من خطر التعرض للاختراق بهذه الطريقة، ولا تستغرق وقتًا طويلاً.

يمكن لمستخدمي ووردبريس التحقق من ذلك بسرعة عند تسجيل الدخول إلى لوحة تحكم ووردبريس الخاصة بهم. ابحث عن رمز التحديث في الجانب العلوي الأيمن بجوار اسم موقعك. انقر فوق الرقم للوصول إلى تحديثات ووردبريس الخاصة بك.

الخطوة رقم 4: تأكد من تأمين كلمات المرور الخاصة بك

يبدو هذا بسيطًا، لكنه مهم جدًا.

من المغري استخدام كلمة مرور تعرف أنها ستكون سهلة التذكر دائمًا. هذا هو السبب في أن كلمة المرور رقم 1 الأكثر شيوعًا لا تزال هي 123456. و 654321 يجب عليك أن تفعل أفضل من ذلك – أفضل بكثير من ذلك لمنع محاولات تسجيل الدخول من المتسللين وغيرهم من الغرباء.

بذل الجهد لمعرفة كلمة مرور آمنة بالفعل نحن نوصي. ببعض النصائح الاكثر أماناً حالياً. اجعلها طويلة. استخدم مزيجًا من الأحرف والأرقام والأحرف الخاصة. وتجنب الكلمات الرئيسية التي يسهل تخمينها مثل عيد ميلادك أو اسم الطفل. إذا تمكن أحد المخترقين من الوصول إلى معلومات أخرى عنك بطريقة ما، فسيعرف هؤلاء الأشخاص أولاً.

تحتاج أيضًا إلى التأكد من أن كل شخص لديه إمكانية الوصول إلى موقع الويب لديه كلمات مرور قوية مماثلة. متطلبات المؤسسة من حيث الطول ونوع الأحرف التي يجب أن يستخدمها الأشخاص؛ لذا يجب عليهم أن يكونوا أكثر إبداعًا من استخدام كلمات المرور القياسية والسهلة التي يتحولون إليها لحسابات أقل أمانًا. يمكن أن يؤدي إنشاء كلمات مرور قوية إلى منع أي متسلل من الوصول إلى حساباتك.

يمكن أن تجعل إحدى كلمات المرور الضعيفة داخل فريق موقعك الإلكتروني يمكن عرضة لخرق البيانات الموقع، لذا قم بتعيين التوقعات مع كل شخص لديه حق الوصول إلى نفس المستوى العالي.

الخطوة # 5: استخدام استعلامات معلمات

واحد من أكثر مواقع الويب شيوعًا هو اختراق مواقع الويب الضحية لحقن SQL.

يمكن أن تدخل حقن SQL حيز التشغيل إذا كان لديك نموذج ويب أو معلمة URL تسمح للمستخدمين الخارجيين بتوفير المعلومات. إذا تركت معلمات الحقل مفتوحة أكثر من اللازم ، فبإمكان شخصًا ما إدخال تعليمات برمجية بها تسمح بالوصول إلى قاعدة البيانات الخاصة بك. من المهم تأمين موقع الويب من هذا بسبب كمية معلومات العميل الحساسة التي يمكن الاحتفاظ بها في قاعدة البيانات الخاصة بك.

هناك عدد من الخطوات التي يمكنك اتخاذها لحماية موقعك على الويب من اختراق مخترقي SQL ؛ واحدة من أهم وأسهل لتنفيذ هو استخدام استعلامات معلمات. يضمن استخدام استعلامات ذات معلمات أن الشفرة تحتوي على معلمات كافية بما يكفي حتى لا يكون هناك أي مخترق يستطيع الفوضى معه.

الخطوة رقم 6: استخدم CSP

على غرار حقن SQL ، فإن هجمات البرامج النصية عبر المواقع (XSS) هي أحد ملاك مواقع التهديد الشائعة الأخرى التي يجب أن تكون على اطلاع عليها. تحدث عندما يجد المخترقون طريقة لإدخال شفرة جافا سكريبت الضارة على صفحاتك ، والتي يمكن أن تصيب صفحات أي زائر لموقعك الإلكتروني عرضة للرمز.

يشبه جزء من المعركة لحماية موقعك من هجمات XSS الاستعلامات ذات المعلمات التي تستخدمها لحقن SQL. يجب أن تتأكد من أن أي رمز تستخدمه على موقعك على الويب للوظائف أو الحقول التي تسمح بالإدخالات تكون واضحة قدر الإمكان في ما هو مسموح به ، حتى لا تترك مساحة لأي شيء ينزلق فيه.

من الأدوات المفيدة الأخرى التي يمكن أن تساعد في تأمين موقع الويب من XSS هي سياسة أمن المحتوى (CSP). يتيح لك CSP تحديد النطاقات التي يجب على المستعرض اعتبارها كمصادر صالحة للنصوص البرمجية القابلة للتنفيذ في صفحتك ، لذلك لا يعرف المتصفح الانتباه لأي نصوص برمجية ضارة أو برامج ضارة قد تصيب جهاز الكمبيوتر الخاص بزائر الموقع.

إن استخدام CSP هو مجرد مسألة إضافة رأس HTTP الصحيح إلى صفحة الويب الخاصة بك التي توفر سلسلة من التوجيهات التي تخبر المتصفح بالمجالات التي لا بأس بها وأي استثناءات للقاعدة. يمكنك العثور على تفاصيل حول كيفية تصميم رؤوس CSP لموقعك على الويب التي توفرها Mozilla Firefox هنا.

الخطوة # 7: قم بتأمين أذونات الملفات والمجلدات

الآن، بالنسبة لهذه التقنية النهائية، سوف نحصل على القليل من التقنية – لكن التزموا معنا.

يمكن غلق جميع المواقع إلى سلسلة من الملفات والمجلدات التي يتم تخزينها على حساب استضافة الويب الخاص بك. بالإضافة إلى احتواء كل البرامج النصية والبيانات اللازمة لجعل موقعك يعمل، كل من هذه الملفات والمجلدات يتم تعيين مجموعة من الأذونات التي تتحكم في من يمكنه قراءة وكتابة وتنفيذ أي ملف أو مجلد معين ، بالنسبة إلى المستخدم أو المجموعة التي ينتمون إليها.

في نظام التشغيل Linux، تكون الأذونات قابلة للعرض كرمز مكون من ثلاثة أرقام حيث يكون كل رقم عددًا صحيحًا بين 0-7. يمثل الرقم الأول أذونات مالك الملف ، ويمثل الرقم الثاني أذونات لأي شخص تم تعيينه للمجموعة التي تملك الملف ، ويمثل الرقم الثالث أذونات لكل شخص آخر. تعمل التخصيصات على النحو التالي:

  • 4 يساوي القراءة
  • 2 يساوي الكتابة
  • 1 يساوي التنفيذ
  • 0 لا يساوي أذونات لهذا المستخدم

على سبيل المثال، خذ رمز الإذن “644.” في هذه الحالة ، يعطي “6” (أو “4 + 2”) في الموضع الأول مالك الملف القدرة على قراءة الملف وكتابته. وتعني “4” في الموقعين الثاني والثالث أن مستخدمي المجموعة ومستخدمي الإنترنت بشكل عام يمكنهم قراءة الملف فقط – حماية الملف من التلاعب غير المتوقع.

لذلك ، فإن الملف الذي يحمل أذونات “777” (أو 4 + 2 + 1/4 + 2 + 1/4 + 2 + 1) يمكن قراءته وقراءته وقابليته للتنفيذ من قبل المستخدم والمجموعة وأي شخص آخر في العالم.

وكما قد تتوقع ، فإن الملف الذي تم تعيينه لرمز تصريح يمنح أي شخص على الويب القدرة على الكتابة والتنفيذ أقل أمانًا بكثير من الملف الذي تم إيقافه من أجل حجز جميع الحقوق للمالك وحده. بالطبع ، هناك أسباب وجيهة لفتح الوصول إلى مجموعات أخرى من المستخدمين (تحميل FTP مجهول، على سبيل المثال)، ولكن يجب النظر بعناية في هذه الحالات لتفادي خلق مخاطر أمنية على موقع الويب.

لهذا السبب ، تتمثل القاعدة الأساسية الجيدة في تعيين الأذونات على النحو التالي:

  • المجلدات والدلائل = 755
  • ملفات فردية = 644

لتعيين أذونات الملفات الخاصة بك، قم بتسجيل الدخول إلى مدير الملفات الخاص بـ cPanel أو اتصل بخادمك عبر FTP. وبمجرد دخولك، سترى قائمة بأذونات الملف الحالية (كما في المثال التالي الذي تم إنشاؤه باستخدام برنامج FTP Filezilla.

يعرض العمود الأخير في هذا المثال أذونات المجلد والملف المعينة حاليًا لمحتوى موقع الويب. لتغيير هذه الأذونات في Filezilla، ما عليك سوى النقر بزر الماوس الأيمن على المجلد أو الملف المطلوب وتحديد الخيار “أذونات الملف”. سيؤدي إجراء ذلك إلى عرض شاشة تسمح لك بتعيين أذونات مختلفة باستخدام سلسلة من مربعات الاختيار:

على الرغم من أن الواجهة الخلفية لمضيف الويب أو برنامج FTP قد تبدو مختلفة قليلاً، إلا أن العملية الأساسية لتغيير الأذونات تظل كما هي. تحتوي بوابة الدعم الخاصة بنا على حلول لكيفية تعديل أذونات الملفات والمجلدات الخاصة بك.

فى الختام

لا تؤجل اتخاذ هذه الخطوة المهمة. إن تأمين موقع الويب وتعلم كيفية حمايته من المتسللين هو جزء كبير من الحفاظ على صحة وسلامة موقعك على المدى الطويل!

في دكتورميجا، أنشأنا مجموعة من قواعد الأمان المخصصة للمساعدة في تأمين موقع الويب الخاص بك. إذا كنت تبحث عن مقدم استضافة جديد، فيمكنك النقر هنا للاشتراك للحصول على صفقة رائعة. بالنسبة إلى الحسابات الجديدة، سننقل لك مجانًا! بعد إنشاء حساب، تحتاج فقط إلى ملء النموذج هنا.

لا تقلق بشأن التعثر في هذه العملية. يوفر دكتورميجا دعمًا عالميًا متوفرًا على مدار الساعة! يتوفر لدينا متخصصو دعم العملاء 34/7/365 عبر تذكرة البريد الإلكتروني أو الدردشة أو الهاتف. يمكننا مساعدتك في الحصول على آمنة!

Abo Rayan

محمود حجازي، الرئيس التنفيذي ومؤسس، دكتورميجا (DoctorMega).

اترك تعليقاً