8 نصائح ذهبية لحماية موقعك
8 نصائح ذهبية لحماية موقعك
غالبًا لا تحب التفكير في الأمر ، ولكن هناك أشخاص يقومون بعمليات اختراق وهجمات إلكترونية على مواقع الويب. حتى لو لم تكن موقعًا إلكترونيًا خاصًا بشركة كبيرة ولديك فقط موقع ويب شخصي صغير ، فإن الأمان شيء يجب أن تفكر فيه. قد تتساءل ، “لماذا أنا؟ لماذا يجب أن أقلق بشأن قيام شخص ما باختراق موقع الويب الخاص بي الصغير؟” لكن لسوء الحظ ، يمكن اختراق مواقع الويب من أي حجم.
نصائح ذهبية لحماية موقعك
في تجربتي الشخصية ، قمت بإنشاء CMS بسيطًا (سيئًا جدًا) قبل بضع سنوات للاحتفاظ بمدونة. لم أستخدمه لبيع منتج ولم أضع عليه سوى محتوى بسيط. لكن شخصًا ما على الإنترنت وجد موقع الويب الصغير الخاص بي! من خلال حقن SQL في موقع الويب الخاص بي ، كان قادرًا على ملء قاعدة البيانات الخاصة بي بروابط غير قانونية من موقعه ثم نقل الأشخاص من موقعي إلى موقعه.
في ذلك اليوم ، تعلمت درسًا مهمًا: تأمين موقع الويب الخاص بك ضد الهجمات الإلكترونية المختلفة. لا يجب أن يكون إنشاء موقع ويب آمن ضد الهجمات والقرصنة أمرًا صعبًا ومعقدًا. في أقرب وقت ممكن وفي وقت إطلاق الموقع ، من خلال القيام ببعض الأشياء التي أذكرها في هذه المقالة ، قم بإحباط محاولات المتسللين للتسلل إلى موقع الويب الخاص بك.
أدناه ، قمت بإدراج 10 طرق رئيسية يمكنك من خلالها الحفاظ على أمان موقع الويب الخاص بك:
حماية الخادم الخاص بك
1. اضبط HTTPS و TLS / SSL لتشفير حركة المرور الخاصة بك
بشكل افتراضي ، تستخدم مواقع الويب HTTP (بروتوكول نقل النص Transtext) لنقل المعلومات من الخادم إلى المستعرض والعكس بالعكس. يعتبر HTTP بمثابة طريق سريع يربط كل شيء على الإنترنت ، ولهذا السبب تستخدم “http” أو “https” قبل اسم مجال موقع الويب الخاص بك. HTTPS هو إصدار آمن من HTTP. يحمي هذا البروتوكول حركة مرور موقع الويب من التعرض للاختراق أو الاختراق.
يعتبر بروتوكول HTTPS مهمًا بشكل خاص لمواقع التجارة الإلكترونية أو مواقع الويب التي تخزن معلومات حساسة لمستخدميها مثل بطاقات الائتمان وأرقام الهواتف وما إلى ذلك. باختصار ، يعمل HTTPS عن طريق تشفير أو تشفير حركة المرور ، بحيث لا يمكن فك تشفير المعلومات المشفرة بسهولة. يعد فك تشفير المعلومات المشفرة مهمة صعبة للغاية.
اليوم ، مقارنة بالماضي ، تُظهر مواقع الويب اهتمامًا أكبر بهذا البروتوكول وحتى المواقع التي لا تقوم بالتجارة الإلكترونية قد زودت نفسها بـ HTTPS. أعلنت Google أنها تضع مواقع الويب التي تستخدم هذا البروتوكول في قائمة بحث أعلى من المواقع غير الآمنة. قد يكون هذا التغيير مؤلمًا بالنسبة لك ، ولكن هذا أمر جيد بشكل عام ، لأن المزيد والمزيد من مواقع الويب أصبحت آمنة كل يوم وسيكون لدينا إنترنت أكثر أمانًا.
الآن كيف تؤمن موقع الويب الخاص بك مع HTTPS؟ كل ما عليك فعله هو تثبيت شهادة SSL أو TLS على موقعك. اليوم ، يمكنك القيام بذلك بسهولة وفي بعض الحالات مجانًا عند شراء اسم مجال.
يسمح لك معظم مضيفي الويب تلقائيًا بالعثور على شهادة تشفير لموقع الويب الخاص بك وتسجيلها. إذا كنت بحاجة إلى مزيد من الأمان ، فيجب عليك شراء إحدى هذه الشهادات. لكن معظم مواقع الويب الصغيرة التي ليس لها نشاط تجاري إلكتروني يمكن أن تحصل عليها بنفس الشهادات المجانية.
الشيء الذي يدور حول TLS و SSL هو أنه في الماضي كان SSL هو الطريقة الأساسية لتشفير حركة مرور الموقع. حاليًا ، حل TLS محل SSL ، وهو إصدار أكثر أمانًا. ولكن نظرًا لأن معظم الأشخاص على دراية بالمصطلح “SSL” ، فإن العديد من الأشخاص يقولون فقط SSL ، حتى لو كانوا يستخدمون TLS.
2. استخدم جدران الحماية لحماية الوصول غير المصرح به
إذا كان لديك خادم خاص بك ، فمن المحتمل أن يكون مثبتًا عليه جدار حماية. جدار الحماية هو برنامج أو جهاز يمنع الاتصالات غير المصرح بها ويسمح فقط لأشكال معينة من المعلومات بالمرور. عادةً ما تريد فقط الوصول إلى حركة المرور العامة عبر HTTP / HTTPS إلى الخادم الخاص بك ، بحيث يمكن للمستخدمين تحميل موقع الويب الخاص بك في متصفحهم ، وتريد بالتأكيد الاتصال العام بأجزاء أو أقسام مهمة. قم بتقييد من الخادم الخاص بك.
واحدة من هذه الأجزاء المهمة للغاية هي قاعدة البيانات الخاصة بك حيث تحتفظ بكل المعلومات. اعتمادًا على مقدار تحكمك في الخادم ، يمكن أن يكون إعداد جدار الحماية مهمة بسيطة نسبيًا. حتى إذا لم يكن لديك تحكم مباشر في جدار الحماية الخاص بك ، فإن معظم المضيفين يسمحون لك بحظر عناوين IP معينة على الأقل. تتمثل الإستراتيجية الأخرى في حظر الوصول إلى أشياء مثل صفحة مسؤول موقع الويب من أي عنوان IP بخلاف عنوانك.
هذا يجعل من المستحيل على المتسللين حتى تحميل صفحة تسجيل الدخول ، ناهيك عن محاولة تسجيل الدخول. قد يكون هذا مزعجًا بعض الشيء ، لأنه إذا كنت بحاجة إلى تسجيل الدخول إلى موقع الويب الخاص بك من موقع آخر ، فيجب عليك إضافة عنوان IP الجديد يدويًا إلى جدار الحماية. لكن هذا يمنحك مزيدًا من الأمان.
نصائح ذهبية لحماية موقعك
3. نقل الملفات بأمان باستخدام SSH / SFTP
هناك اتصال آخر بخادم الويب الخاص بك يحتاج إلى الحماية وهو كيفية تحميل ملفات موقع الويب الخاص بك وتحميلها. كما هو الحال مع بروتوكول HTTP المذكور أعلاه ، فإن الآلية الأساسية ، FTP (بروتوكول نقل الملفات) ، غير آمنة. حتى إذا كنت تستخدم اسم مستخدم وكلمة مرور للاتصال ، يتم تخزين هذه المعلومات في نص عادي وليست مشفرة.
اليوم ، تم استبدال FTP بـ SFTP ، وهو إصدار آمن من FTP ، يسمى أيضًا SSH. SSH آمن تمامًا ، المعلومات التالية مشفرة. عند إعداد اتصال SSH بين الخادم وجهاز الكمبيوتر الخاص بك ، يمكنك استخدام زوج مفاتيح مشفر للتأكد من أن جهاز الكمبيوتر الخاص بك فقط يمكنه الوصول إلى الخادم. تتكون المفاتيح من مفتاح عام وخاص. يتم تخزين المفتاح العام على الخادم ويتم تخزين المفتاح الخاص على الكمبيوتر.
المفتاح الخاص هو المفتاح الذي يسمح لك بالوصول إلى الخادم من خلال المفتاح العام. عند محاولة الاتصال بالخادم ، يتم فحص مفتاحك للتأكد من أنه يطابق المفتاح العام. تحول مواقع الويب SSH هذه العلاقة إلى حالة قفل ومفتاح ، وفي هذه الحالة يكون المفتاح العام هو القفل والمفتاح الخاص هو المفتاح الفريد الذي يمكنه فتح القفل.
4. تعيين أذونات المستخدم لمنع الوصول إلى المجلدات والملفات الهامة
هل تعلم أن جميع الخوادم تسمح لك بتعيين أذونات محددة لمستخدمي موقعك؟ يمكنك تعيين أذونات القراءة أو الكتابة أو التنفيذ لأي ملف أو مجلد. بالإضافة إلى ذلك ، يمكن تعيين هذه الأذونات للمالك (عادةً مسؤول) ، أو المجموعة (مستخدم واحد أو أكثر) أو عامة (الجميع !!). يتم تحديد طريقة الوصول باستخدام رقم مكون من ثلاثة أرقام مع عدد معين من “النقاط” لكل رقم.
يحتوي الوصول للقراءة على 4 نقاط ، والوصول للكتابة له نقطتان ، والوصول للتنفيذ له نقطة واحدة ، وهذه الأرقام تتوافق مع مستخدمين مختلفين: الرقم الأول هو المالك ، والرقم الثاني هو المجموعة ، والرقم الثالث عام. إذا لم يكن لدى شخص ما أي وصول إلى ملف ، فسيتم اعتبار إذن المستوى 000 لهذا الملف. إذا كان لدى جميع المستخدمين حق الوصول الكامل إلى ملف ، فسيتم تعيين الأذونات على 777.
بشكل عام ، يجب أن يكون للمالك (عادةً مسؤول النظام أو المستخدم “sa”) حق الوصول للقراءة والكتابة ، ويجب أن يكون للمجموعة والمستخدمين العموميين حق الوصول للقراءة فقط. ما يجب ألا تفعله أبدًا هو تعيين جميع أذوناتك على 777 – كثير من الناس يفعلون ذلك ويمكن أن يواجهوا مشاكل كبيرة. لأن الأشخاص يمكنهم الوصول إلى جميع الملفات ويمكنهم حتى حذفها ، وهو أمر خطير.
بشكل عام ، أنت بالتأكيد لا تريد تشغيل موقع الويب الخاص بك لكل شخص لديه أذونات المسؤول ، لأنه في حالة اختراق بيانات الاعتماد ، يمكن للمتسلل الحصول على وصول كامل إلى الخادم الخاص بك. يجب أن يعمل موقع الويب الخاص بك تحت المستخدم الخاص بك. سيساعد الاحتفاظ بمستويات الوصول المختلفة منفصلة عن بعضها البعض في الحفاظ على أمان ملفات الخادم.
حماية موقع الويب الخاص بك
5. قم بتحديث نظام إدارة المحتوى والمكونات الأخرى الخاصة بموقعك
سواء كنت تقوم بتشغيل موقعك على WordPress أو تستخدم عددًا من حزم npm ، يجب عليك بالتأكيد التأكد من تحديث جميع هذه البرامج والأدوات التي تستخدمها. بالنسبة إلى WordPress على وجه الخصوص ، تحتاج إلى التأكد من تحديث نسختك الأصلية من WordPress ، إلى جانب السمات والمكونات الإضافية. هذا مهم جدًا لأن المطورين يحتاجون دائمًا إلى إجراء تغييرات للحماية من الثغرات الأمنية.
إذا لم يتم إجراء هذه التحديثات بانتظام ، فأنت بذلك تعرض موقعك لهجمات إلكترونية. شيء آخر عن مواقع الويب التي تستخدم WordPress هو أنه يمكنها استخدام مكونات إضافية للأمان مثل Sucuri أو Bulletproof لمنع الهجمات.
نصائح ذهبية لحماية موقعك
6. حماية نماذج الإدخال في موقعك
يعد إرسال المعلومات من خلال نماذج مواقع الويب أحد أكثر الطرق شيوعًا لمهاجمة المتسللين لموقع الويب. السبب هو أن النماذج ترسل البيانات إلى قاعدة بيانات موقع الويب الخاص بك. بعض الطرق الأكثر شيوعًا لتدمير الوظيفة الرئيسية للنموذج هي: SQL Injection و XSS. في نموذج غير محمي ، سيؤدي حقن SQL في أحد حقول قاعدة البيانات ثم تشغيله إلى تعطل موقع الويب.
تتسبب الهجمات Cross-site أو XSS في نقل أكواد JavaScript إلى موقع الويب الخاص بك ، مما قد يغير محتوى موقع الويب للمستخدمين ويجعلهم يقدمون معلوماتهم الحساسة إلى المتسللين عن غير قصد. يمكن منع كل من هذه الهجمات بالتحقق المناسب في حقول النموذج. لذا خذ التحقق من جانب المستخدم والخادم على محمل الجد. من الناحية المثالية ، يجب عليك إجراء التحقق من جانب المستخدم والخادم.
ومع ذلك ، لا يمكنك الاعتماد على التحقق من جانب المستخدم وحده لأن هذا التحقق وحده معرض للخطر. يضيف التحقق من جانب الخادم طبقة أخرى من الأمان للتحقق من البيانات بحثًا عن أي معلومات ضارة.
7. استخدم كلمات مرور آمنة وفريدة من نوعها
عند إنشاء كلمة مرور لموقع الويب الخاص بك ، يجب مراعاة بعض النقاط. لا تستخدم أسماء أو كلمات لها أي نوع من الاتصال بك ، على سبيل المثال ، لا تستخدم تاريخ ميلادك أو عنوانك أو رقمك الوطني. حاول استخدام كلمات مرور يزيد طولها عن 20 حرفًا. لا تستخدم نفس كلمة المرور لحسابات مختلفة. قم بتغيير كلمات المرور الخاصة بك بشكل دوري. من الأفضل القيام بذلك في أسرع وقت ممكن ، ولكن قد تكون فترة ستة أشهر مناسبة لهذا العمل.
8. النسخ الاحتياطي لملفات الموقع وقواعد البيانات
في أسوأ الأحوال ، قد تفقد جميع معلومات موقع الويب الخاص بك. في مثل هذه الحالات ، ستصل إليك النسخة الاحتياطية من الموقع بالتأكيد. النسخ الاحتياطي أمر حيوي أو يمكن تدمير سنوات عملك الشاق في أقل من دقيقة. يجب أن يقوم مضيف موقع الويب الخاص بك بتمكين النسخ الاحتياطية الدورية لك. لذلك يجب أن تكون حريصًا في اختيار شركة الاستضافة الخاصة بك.
خاتمة
أمان موقع الويب هو أحد تلك الأشياء التي قد تستغرق بعض الوقت ، ولكن الأمر يستحق ذلك إذا كنت تريد تجنب هجوم إلكتروني. لن تحدث أي مشكلة. ومع ذلك ، ينبغي اتخاذ جميع التدابير الوقائية.
ستساعد الإرشادات الأساسية الموضحة أعلاه بالتأكيد في حماية موقع الويب الخاص بك ، ولكن قد لا تزال هناك طريقة لاقتحامها. الخبر السار هو أنه يمكنك تجنب معظم الهجمات باستخدام هذه النصائح.
أتمنى أن تكون قد وجدت هذه المقالة مفيدة! كيف تحمي موقع الويب الخاص بك؟ اترك لنا رأيك هنا
أخيرا نتمنى أن يكون درس 8 نصائح ذهبية لحماية موقعك قد أفادكم
يسعدنا إثراء الموضوع من خلال تعليقاتكم و استفساراتكم المفيدة
مع تحيات موقع hdegy