امروزه خبرهای بسیاری در حوزه امنیت وب سایت، هک و ایجاد رخنه در سایت های مختلف می شنویم. از دستیابی به اطلاعات خاص گرفته تا نفوذ و از کار افتادن کامل برخی سایت ها و سرویس دهنده ها.

امنیت وب سایت یک مفهوم صددرصدی نیست!

به طور قطعی نمیتوان گفت که امنیت یک سایت یا سرویس دهنده صددرصدی است یا مثلا فلان سایت غیرقابل نفوذ و هک است. اما میتوان با راهکارهایی امنیت آن را ارتقا داد طوری که امکان ایجاد رخنه و یا نفوذ در آن بسیار سخت شده و یا هزینه های انجام آن بسیار بالا باشد. یا اینکه بعنوان مثال امروزه الگوریتم های مختلفی توسعه داده شده اند که کار رمزنگاری داده ها را انجام میدهند. استفاده از رمزنگاری داده ها اهمیت زیادی دارد چرا که برفرض چنانچه وب سایت مورد نظر ما، هک و داده های آن استخراج شوند، داده های سایت باید طوری رمزنگاری شده باشند که عملا نتوان از آنها استفاده کرد و صرفا یکسری داده ی عجیب و غریب در دست باشد که کسی چیزی از آن سر در نیاورد.

حتما شنیده اید که میگویند دزدها می توانند قفل درها را باز کنند. پس چرا ما از قفل برای درب منازل خود استفاده میکنیم؟ این یک مثال ساده برای امنیت وب است چرا که اگر دری قفل نداشته باشد به مراتب دزدی کردن از آن آسان تر و همچنین برای دزد وسوسه انگیز تر است. در حوزه امنیت وب نیز چنین است . اگر شما وب سایتی دارید که شکل و شمایل آن نشان از گستردگی و اهمیت آن دارد، لازم است موارد امنیتی آن نیز رعایت شود تا جلوی هرگونه سوء استفاده و خرابکاری در آن گرفته شود.

شکل های مختلف خرابکاری در وب سایت

نفوذ و ایجاد خرابکاری صرفا شامل سرقت اطلاعات سایت شما نمی شود. امروزه روش هایی توسط کلاه برداران استفاده می شود که انسان با شنیدن آن نیز متعجب می شود. گاهی ممکن است خود وب سایت شما را به محلی برای حمله به سایت های دیگر استفاده کنند یا از سرویس های سایت شما در جهت منافعی شوم استفاده کنند. به طور مثال فرض کنید وب سایت شما به یک سامانه پیامک اینترنتی مجهز است . چنانچه رباتهای بدافزار یا هکرها بتوانند در این سرویس شما نفوذ کنند، میتوانند به هر شماره تلفنی هر پیامی که بخواهند ارسال کنند و متعاقبا شما را با عواقب و جریمه های قانونی و.. روبرو سازند. 

یا مثلا امروزه زیاد میبینیم که حملات DDOS زیاد اتفاق می افتند و سایت ها را از کار می اندازند. ممکن است وب سایت شما نیز مورد نفوذ قرار گرفته و برای این حملات برنامه ریزی شوند. 

حملات DDOS  شکل های مختلفی دارند اما رایج ترین آنها این است که هکرها طی مدت زمانی مشخص به تعداد زیادی سایت نفوذ میکنند و کدهای مخربی را در آنها جای میدهند. این کدها از قبل برنامه ریزی شده اند که مثلا در زمان و تاریخ مشخص به یک وب سایت مشخص (قربانی اصلی ) یک درخواست ارسال کنند. خب حالا در نظر بگیرید مثلا سایت قربانی وب سایت سازمان سنجش باشد که قرار است در تاریخ مشخصی برای آزمون مشخصی ثبت نام داشته باشد. این کدهای مخرب که در سایت شما گنجانده شده اند، و ربات مخرب شناخته می شوند ، ازصدها سایت دیگر نیز در همان زمان به وب سایت سازمان سنجش درخواست ارسال میکنند. در این لحظه به طور همزمان صدها درخواست به سوی سایت سنجش میرسد و اگر سایت سازمان سنجش امنیت کافی برای مقابله با این نوع حملات را نداشته باشد، نمیتواند پاسخگوی این حجم از درخواست ها شود و در نتیجه از سرویس دهی خارج خواهد شد!

این یک مثال ساده بود که متوجه شویم باید روی امنیت سایت هزینه کرد تا هم قربانی چنین حملاتی نشد و هم امکان سوء استفاده از سایت ما برای حمله به سایت ها و سرویس دهنده های دیگر، بسته شود.

لزوم به روزرسانی سایت و داشتن پشتیبانی

هکرها به دنبال نقاط آسیب پذیر در یک شبکه می گردند. یکی از مهم ترین نکاتی که طراحان وب سایت باید رعایت کنند این است که اپلیکیشن ها و پلاگین های خود را مرتب به روز کنند، به این دلیل که هکرها از کد های قدیمی و تاریخ گذشته برای نصب بد افزار ها استفاده می کنند. به همین دلیل معمولا توصیه میکنیم هر سایت باید طی زمانی مشخص به روز رسانی دریافت کند تا با دریافت بسته های امنیتی جدید، راه های نفوذ قبلی آنها نیز بسته شود.

همچنین هرروزه شکل های جدیدی از هک و نفوذ توسط متخصصان این حوزه شناسایی می شود و شرکت های نرم افزاری سعی میکنند این راه های نفوذ را با ارائه آپدیت های نرم افزاری رفع کنند.