راهنمای افزایش امنیت وب سایت

طبق استانداردهای جهانی امکان تضمین امنیت هیچ کد، هاست، سرور و یا نرم‌افزاری وجود ندارد.

هرگز نمی‌توان گفت یک وب سایت دارای امنیت ۱۰۰% می‌باشد. به همین دلیل وب مستران فقط به دنبال راهکارهایی برای افزایش هر چه بیشتر امنیت در وب سایت خود هستند تا احتمال هک شدن وب سایت خود رو تا جایی که امکان دارد به سمت صفر میل دهند.

با روی کار آمدن سیستم‌های مدیریت محتوای رایگان ازجمله وردپرس, جوملا, دروپال و … (هرچند فوق‌العاده سیستم‌های قوی ازنظر امنیت هستند) ولی بازهم به دلیل رایگان بودن آن‌ها و در دسترس بودن سورس آن‌ها توسط هکرها, هرلحظه امکان هک شدن آن‌ها وجود دارد.

راهکارهای افزایش امنیت یک وب سایت به چندین عامل مختلف بستگی دارد و با درست انجام دادن این عوامل, می‌توان امنیت یک وب سایت رو افزایش داد. 

یکی از مهم‌ترین عوامل افزایش امنیت یک وب‌سایت رعایت موارد امنیتی توسط مالک، طراح و استفاده‌کننده سایت می‌باشد. در صورتی که مالکین، طراحان و استفاده‌کننده سایت نیز موارد امنیتی را رعایت نمایند امنیت سایت‌های آنان به حدی افزایش خواهد یافت که احتمال نفوذ به آن ناچیز خواهد شد.

اولین راه نفوذ به یک وب سایت گذشتن از هاست است. هاستی که دارای پیکیره بندی خوبی باشد هکر به راحتی نمی‌تواند وارد اطلاعات یک سایت شود. اکثر حملاتی که علیه وب سایت‌ها صورت می‌گیرد به این دلیل نیست که اطلاعات شما را سرقت کنند یا سایت‌تان را از کار بیندازند، بلکه هکرها سایت‌تان را هک می‌کنند تا از سرور شما برای ارسال اسپم، یا محلی موقت برای نگهداری برنامه‌های مخرب‌شان استفاده کنند. در نگاه کلی ممکن است فکر کنید که سایت شما ارزش هک شدن را نداشته باشد اما وب سایت‌ها همواره در معرض این خطر هستند و وبمسترها باید موارد فنی را به دقت بررسی کنند.

هکرها معمولاً بر روی سایت‌های مختلف تست نفوذ می‌زنند و اگر راهی برای ورود پیدا کنند حتماً از باگ پیداشده نهایت سوءاستفاده را می‌برند. این‌طور نیست که هیچ وب‌سایتی هک نشود اگر نتوانند وارد شوند معمولاً از حملات DDOs استفاده می‌کنند. حملات از نوع DDOS که مخفف Distributed Denial of Service است، در این شیوه مهاجمان با در اختیار داشتن زنجیره‌ای از رایانه‌ها حجم گسترده‌ای از تقاضاها را به سمت سرورهای مقصد روانه می‌کنند که درنهایت با اشغال تمامی ترافیک مربوط به سرورهای موردنظر موجب ازکارافتادن سرویس‌دهی آن می‌شوند. البته DDOS بر روی وب‌سایت‌های مهم و شناخته‌شده انجام می‌شود و بر روی وب‌سایت‌های معمولی این نوع حمله اصلاً صورت نمی‌گیرد.

عوامل رایج هک شدن سایت‌ها

۱– استفاده از نرم‌افزارهای قدیمی

معمولاً نرم‌افزارهای قدیمی دارای انواع اشکالات امنیتی می‌باشند و به دلیل قدیمی بودن این اشکالات شناخته‌شده هستند و توسط نفوذ گران استفاده می‌شود.

۲– استفاده از سیستم‌های مدیریت محتوای قدیمی مانند جوملا ۱٫۵ و یا ورد پرس قدیمی و یا انواع سیستم‌های مدیریت محتوای قدیمی.

در صورت استفاده از سیستم‌های مدیریت محتوای قدیمی مانند جوملای ۱٫۵ و یا دیگر سیستم‌های قدیمی احتمال هک شدن سایت شما تقریباً ۱۰۰ درصد می‌باشد.

۳– استفاده از کدها و یا اسکریپت‌های ناامن و یا دارای امنیت پایین

یکی از رایج‌ترین عوامل هک شدن استفاده از کدهای ناامن است زیرا نفوذ از طریق کد صدها برابر ساده‌تر از نفوذ از روش‌های دیگر مانند سرور، شبکه و یا هاست است و تنها هکرهای بسیار حرفه‌ای توان نفوذ از روش‌های دیگر رادارند و معمولاً این هکرها تنها اقدام به نفوذ به سایت‌های بزرگ جهانی و یا دولتی می‌نمایند و به سایت‌های متوسط و کوچک نفوذ نمی‌نمایند

۴– استفاده از رمز عبور ضعیف و ساده

یکی از رایج‌ترین عوامل هک شدن یک سایت پیدا کردن یکی از رمزهای عبور مانند رمز عبور کنترل پنل، FTP، دیتابیس، admin، ایمیل، بخش مدیریت سایت و یا یکی از رمز عبورهای سایت توسط هکر است.

۵– نصب نرم‌افزار، ماژول، قالب، کامپاننت و یا پلاگین قفل‌شکسته و کرک شده

معمولاً نفوذگر ها اقدام به شکستن قفل نرم‌افزارها می‌نمایند و سپس در آن نرم‌افزار یک در ورود پنهانی (back door)، ویروس مخفی (trojan) و یا کد مخرب قرار می‌دهند و سپس آن را به‌رایگان در اینترنت منتشر می‌نمایند و شما نیز ممکن است به دلیل رایگان بودن از آن استفاده نمایید. این روش یکی از رایج‌ترین روش‌های نفوذگرها برای نفوذ است زیرا این امر موجب می‌شود پس از نصب آن نرم‌افزار، ماژول، قالب، کامپاننت و یا پلاگین سایت شما عملاً در اختیار هکر قرار می‌گیرد تا در زمان مناسب به آن نفوذ نماید. معمولاً این موارد در محل‌هایی بسیار مخفی قرار داده می‌شوند و پیدا کردن آن‌ها بسیار سخت و پیچیده بوده و تنها افراد دارای تخصص بسیار بالا در موضوع امینت ممکن است بتوانند این موارد مخفی را پیدا نماید.

۶– نصب ماژول، قالب، کامپاننت و یا پلاگین قدیمی و یا دارای مشکلات امنیتی

معمولاً هسته (بخش مرکزی – core) سیستم‌ها دارای امنیت مناسبی است اما ماژول‌ها، قالب‌ها، کامپاننت ها و یا پلاگین ها دارای امنیت بسیار پایینی است. نفوذ از طریق هسته بسیار سخت‌تر از نفوذ از طرق ماژول‌ها، قالب‌ها، کامپاننت ها و یا پلاگین ها است به همین دلیل بیش از ۹۰ درصد نفوذ به سیستم‌ها از طریق ماژول‌ها، قالب‌ها، کامپاننت ها و یا پلاگین های ناامن و یا قدیمی است. این اشکالات معمولاً شناخته‌شده هستند و توسط هکرها مورداستفاده قرار می‌گیرند.

۷– عدم رعایت موارد امنیتی مربوط به نرم‌افزار مورداستفاده که توسط سازنده اعلام‌شده‌اند

معمولاً هر نرم‌افزار استاندارد که دارای کیفیت و امنیت قابل قبولی باشد دارای یک راهنمای امنیتی است که توسط تولیدکننده نرم‌افزار به استفاده‌کننده داده می‌شود که باید در هنگام نصب و استفاده آن نرم‌افزار تمامی موارد به‌صورت دقیق و ۱۰۰ درصد رعایت گردد. معمولاً یکی از رایج‌ترین عوامل هک شدن سایت‌هایی که از نرم‌افزارهای استاندارد و باکیفیت استفاده می‌نمایند عدم رعایت موارد امنیتی ارائه‌شده توسط آن نرم‌افزار است.

۸– عدم رعایت موارد امنیتی مربوط به سیستم مدیریت محتوای مورداستفاده مانند تنظیم سطح دسترسی‌ها و موارد دیگر

همه سیستم‌های مدیریت محتوای معروف و شناخته‌شده مانند جوملا، ورد پرس و غیره که دارای کیفیت و امنیت قابل قبولی است دارای یک راهنمای امنیتی است که توسط تولیدکننده ارائه‌شده است که باید در هنگام نصب و استفاده از آن نرم‌افزار تمامی موارد به‌صورت دقیق و ۱۰۰ درصد رعایت گردد. معمولاً یکی از رایج‌ترین عوامل هک شدن سایت‌هایی که از سیستم‌های مدیریت محتوای شناخته‌شده استفاده می‌نمایند عدم رعایت موارد امنیتی ارائه‌شده توسط آن نرم‌افزار است.

۹– ویروسی شدن کامپیوتر مورداستفاده در مدیریت سایت

یکی از رایج ترین راه هکرها ، انتشار ویروس و تروجان در سطح اینترنت است. معمولاً این نرم‌افزارهای مخرب بدون اطلاع مدیران سایت که در حال استفاده از کامپیوتر، تبلت و یا کافی‌نت آلوده می‌باشند تمامی رمز عبورها را مخفیانه برای هکر ارسال می‌نمایند و هکر به‌راحتی و بدون اطلاع مدیر سایت از اینکه درزمانی رمز وی لو رفته سایت را هک می‌نمایند.

۱۰– لو رفتن رمز عبور شما و مورد سوءاستفاده قرار گرفتن توسط شخص ثالث

(روش‌های لو رفتن رمز عبور بسیار متعدد می‌باشند برای نمونه دیدن تایپ رمز عبور توسط شخص دیگر و حفظ کردن آن، لو رفتن توسط کارمندان و یا همکاران ناراضی، قرار دادن نرم‌افزار جاسوس بر روی کامپیوتر فرد، ساده بودن رمز عبور و پیدا کردن آن با استفاده از روش‌های bruteforce، حدس زدن رمز عبور مانند شماره تلفن و شماره شناسنامه و یا هر نوع رمز قابل حدس دیگر. ویروس‌ها و تروجان ها، قرار دادن رمزها در محل ناامن مانند فلش دیسک یا ایمیل که در صورت لو رفتن رمز ایمیل تمام رمزهای دیگر نیز لو می‌روند، مهندسی اجتماعی و ده‌ها روش دیگر که توسط نفوذ گرها مورداستفاده قرار می‌گیرد و فرد بدون اینکه خودش اطلاع داشته باشد رمزش لو رفته است و بعدها درزمانی مناسب رمز مورد سوءاستفاده قرار می‌گیرد.

راه‌حل‌های پیشنهادی

۱– توصیه می‌شود درصورتی‌که شما مطمئن به رعایت همه موارد بالا نیستید ، موقتاً سایت خود را متوقف نموده و تا رفع مشکلات امنیتی از کار بی اندازید. 

۲– از امن بودن کامل کامپیوتر شخصی خود مطمئن شوید و یک نرم‌افزار ضدویروس قوی بر روی آن نصب نمایید و در صورت نیاز سیستم‌عامل و تمامی اطلاعات آن را حذف و مجدد سیستم‌عامل نصب نمایید.

۳– هاست استاندارد خریداری کنید.زمانی که صحبت ازحصول اطمینان از امنیت وب سایت می شود، همه هاست ها در این زمینه مانند هم نیستند و هر یک امکانات و محدودیت های خودشان رادارند. همه آنها دارای امکان کنترل سرور فعال به صورت شبانه روزی ، و یا حتی SUPHP نیستند ، پس انتخاب یک میزبان که امنیت شما را جدی می گیرد و در این زمینه امکانات خوبی دارد کاملا ضروری است.

 SUPHP: در حال عادی زبان پی اچ پی، اسکریپت‌ها معمولی اجرا می‌شوند و دسترسی به اسکریپت‌ها توسط «هرکسی» مجاز است، اما با استفاده از SUPHP، دسترسی به آن‌ها محدود به کاربران مجاز خواهد بود. هنوز تمام میزبان‌ها از SUPHP استفاده نمی‌کنند، بنابراین اطمینان یابید میزبان شما از آن استفاده کرده تا سد بالقوه دیگری سر راه هکرها باشد.

مهم‌ترین بحث در امنیت بالای یک وب‌سایت, داشتن یک سرور کانفیگ شده و حرفه‌ای است.یکی از راه‌های نفوذ به وب‌سایت توسط هکرها, از طریق ورود به هاستینگ است.سعی کنید حتماً از یک شرکت هاستینگ معروف, شرکتی و پرکاربر استفاده نمایید تا جلوی یکی از راه‌های نفوذ را ببندید.هاستینگ‌هایی که توسط یک شخص و به‌صورت حقیقی پشتیبانی می‌شود اصلاً قابل‌اطمینان نمی‌باشند.هاستینگ‌ها باید علاوه بر حرفه‌ای بودن, دارای فایروال (دیوار آتشین) باشند تا دارای امنیت بیشتری باشند.

۴– استفاده از سرور مجازی (VPS). اگر شما به وسیله وب سایتتان امرار معاش می کنید ، پس ممکن است پس ممکن است هیچ حدی از بحث امنیت رمز عبور نتواند باعث احساس امنیت در شما شود. اگر سایت برای شما اهمیت زیادی دارد و کسب و کار شما به ان گره خورده است، پس باید به سمت استفاده از سرور مجازی (VPS) بروید تا بتوانید با آرامش خاطر بیشتری از وب سایت خود استفاده نمایید.

سرور مجازی به علت جدایی از سایت های دیگر، ذاتاً امن‌تر از هاست های معمولی است. شما می‌توانید روی آن فایروال را سفارشی کرده و به نصب تدابیر امنیتی دیگر که اکثر میزبان‌ها اجازه استفاده از آن را درهاست های معمولی نمی‌دهند، بپردازید. درواقع، سرور مجازی اجازه می‌دهد تا شما نقش فعال‌تری درزمینهٔ امنیت وب‌سایت خود ایفا کنید.

۵– تمامی رمزهای کنترل پنل هاست و ناحیه کاربری و ایمیل‌های خود را به یک رمز بسیار قوی و غیرقابل حدس تغییر دهید. دقت کنید که رمز عبورتان حداقل هشت کاراکتر و ترکیبی از حروف کوچک و بزرگ و اعداد باشد. در ضمن اصلا اطلاعات ورود به هاستینگ , ایمیل , ftp , سیستم مدیریت محتوا و … را با هم یکی انتخاب نکنید . زیرا با هک شدن هر کدام , به راحتی تمامی اطلاعات دیگرهک میشود . پس برای هر کدام , نام کاربری و رمز عبور مجزا انتخاب نمایید .سعی کنید در زمان برنامه نویسی کاربر را ملزم به رعایت این مسائل کنید و رمز های عبور کاربران را به صورت کد شده در بانک اطلاعات ذخیره نمایید همچنین توصیه می شود از الگوریتم های یک طرفه برای کد کردن رمز های عبورتان استفاده کنید.

۶– ماژول‌های تست نشده را نصب نکنید. درصورتی‌که شما نیز یکی از کاربران سیستم‌های مدیریت محتوا نظیر جوملا یا وردپرس هستید توجه داشته باشید که هر نوع افزونه‌ای را بر روی سیستم خود نصب نکنید، لازم است ابتدا نسبت به معتبر بودن آن افزونه مطمئن شوید. بسیار از افراد با طراحی افزونه برای سیستم‌های مدیریت محتوا و قرار دادن نقاط آسیب‌پذیر بر روی آن تلاش می‌نمایند تا از این طریق اقدام به هک وب سایت‌های استفاده‌کننده نمایند.سعی کنید از پلاگین های تایید شده که در سایت پشتیبانی هر cms قرار داده شده است استفاده کنید .

۷– شما باید از عدم وجود ویروس و یا کدهای مخرب مخفی بر روی سایت خود مطمئن شوید. این مرحله بسیار سخت و پیچیده است زیرا معمولاً هکرها از کدهای مخرب مخفی، Shell ها و ویروس‌هایی استفاده می‌نمایند که بسیار پیچیده و مخفی می‌باشند. نرم‌افزارهای رایج آنتی‌ویروس و سیستم‌های ضدویروس موجود در سرور و شبکه تنها توانایی تشخیص ویروس‌های شناخته‌شده و معروف رادارند و هکرها هم با آگاهی از این موضوع و جهت جلوگیری از شناخته شدن کدهای خود معمولاً از شل‌ها، ویروس‌ها و کدهای مخرب مشهور و شناخته‌شده که در اینترنت منتشرشده‌اند و قابل دانلود هستند، استفاده نمی‌کنند بلکه از کدهای تغییریافته و اختصاصی و مخفی استفاده می‌نماید که معمولاً توسط هیچ نرم‌افزار ضدویروسی شناسایی نمی‌گردند.

۸– تمامی نرم‌افزارها و یا سیستم‌های مدیریت محتوای سایت خود را به آخرین نسخه به‌روزرسانی نمایید. برای نمونه آخرین نسخه سیستم مدیریت محتوای جوملا و یا وردپرس.این یکی از ساده ترین راهها برای یکی دو گام جلوتر ایستادن از هکرها است. با دانلود جدیدترین و به روز ترین بسته های آپدیت ویندوز، وردپرس و نسخه آنتی ویروس خود، می توانید سیستم یا وب سایت خود را در مقابل هر گونه حمله احتمالی به اندازه کافی سخت و نفوذ ناپذیر کنید.در خط مقدم آن به روز کردن تمام وب اپلیکیشن ها ماژول ها و کامپوننت ها قرار دارد.

۹– ایجاد رمز بر روی پوشه مدیریت در کنترل پنل هاست. تمامی هاستینگ‌ها امکانی رو در اختیار ما قرار می‌دهند که می‌توانیم برای یک فایل یا یک پوشه نام کاربری و رمز عبور انتخاب کنیم.از این گزینه می‌توانیم برای بالا بردن امنیت یک وب سایت استفاده کنیم. بنابراین باید پوشه‌های مدیریت cms ها رو با استفاده از این روش رمز گذاری کنیم.منظور از پوشه مدیریت, همان پوشه‌ای هست که با ورود به آن, به قسمت مدیریت cms وارد می‌شویم.
مثلاً برای وردپرس, پوشهٔ wp-admin است.

۱۰– حذف مشاهده ورژن توسط کاربر. هر CMS در هر بار آپدیت دارای یک ورژن خاص می باشد که نباید اجازی ی دسترسی هکر رو به این ورژن بدهیم . یعنی کاربران و هکر ها نباید بدونند که شما از چه ورژنی از CMS استفاده میکنید .برای انجام این کار باید با توجه به آموزشی که هر CMS در سایت پشتیبانی خود دارد , مراحل حذف نمایش ورژن CMS را انجام دهید.
مثلا در وردپرس باید کد خاصی را به فایل functions.php اضافه نمایید.

۱۱– تغییر پیشوند جدول ها در پایگاه داده. پس از نصب هر CMS بر روی هاست خود , جدول های پیشفرضی در پایگاه داده شما ( واقع در phpmyadmin ) ساخته میشود که دارای یک پیشوند می باشند .به عنوان مثال ( wp_comments ) یا ( oc_product ) .
بیشتر CMS ها در هنگام نصب از شما میخواهند که این نام پیشفرض را با نام دلخواه خود عوض نمایید . پس حتما باید این کار را باید انجام دهید .اما اگر حالا که کار از کار گذشته و به همان نام پیشفرض در پایگاه داده قرار داده شده , شما باید با استفاده از پلاگین های مخصوص هر CMS که در سایت پشتیبانی آن بیان شده , این تعویض پیشوند را انجام دهید .

۱۲– permission فایلهای سایت را محدود و قفل کنید.در سیستم های مدیریت محتوا مانند wordpress , joomla و … , سطح دسترسی به فایل ها (یا همان گزینه permission واقع در فایل منیجر ( file manager ) هاستینگ)، به صورت پیشفرض تعیین شده است که بهتر است شما آن را با داده های زیر تغییر دهید .

سطح دسترسی پوشه ها = ۷۵۵
سطح دسترسی فایل ها = ۶۴۴
سطح دسترسی فایل config بعد از نصب سیستم مدیریت محتوا = ۴۴۴
سطح دسترسی htaccess. فایل = ۶۴۴

۱۳– اجازه آپلود فایل غیر مجاز را به کاربر ندهید. اگر شما نیز در سایت خود به کاربرانتان اجازه آپلود فایل را می‌دهید توجه داشته باشید که این مسئله یک ریسک بزرگ است، حملات ناشی از آپلود فایل در صورتی که با موفقیت انجام شوند می توانند کل سیستم شما را تحت کنترل در آورند و انواع خرابکاری‌ها را انجام دهند، در صورت نیاز به استفاده از این مورد لازم است از یک برنامه نویس آشنا به مسائل امنیتی استفاده کنید یا با یک متخصص امنیت در این باره مشورت کنید. ( به زودی مقاله ای در این مورد منتشر خواهیم کرد).

۱۴– پیام های سرور اختصاصی را جدی بگیرید. وب مسترهایی که از سرور اختصاصی استفاده می کنند به صورت مستقیم پیام های هشدار و بروزرسانی را دریافت می کنند که در صورت دقت نکردن به آنها ممکن است مشکلات امنیتی جدی برای هاست شما بوجود بیاید .

۱۵– به لینک‌ها دقت کنید. آیا واقعاً می‌دانید به چه نوع سایت‌هایی لینک می‌دهید؟ برخی لینک‌ها به سایتی که به نظر می‌رسد ختم نمی‌شوند و کاربر را به آدرس دیگری می‌فرستند. این‌یکی از دام‌های مهم هکرها برای حمله از طریق مرورگرهای مختلف به شمار می‌رود. احتمالاً می‌دانید زمانی که بر روی لینک خطرناک کلیک می‌کنید، چه اتفاقی می‌افتد. حالا تصور کنید زمانی که شما یک آدرس خطرناک را در سایت خود لینک می‌کنید، نتیجه چه خواهد بود. بنابراین نباید به هر سایتی که لینکی از آن را در سایت خود قرار می‌دهید اعتماد کامل داشته باشید.

۱۶– برای ارسال ایمیل‌ها حتماً از اس اس آل استفاده کنید. با توجه به وجود میلیون‌ها ایمیل غیرقابل اطمینان و خطرات مرتبط با آن، اگر مجبور هستید اطلاعات مهمی را از طریق ایمیل ارسال کنید، حداقل از این شیوه استفاده کنید.

۱۷– معمولاً یکی از رایج‌ترین عوامل هک شدن ضعف امنیتی کدهای سایت است. درصورتی‌که شما از یکی از سیستم‌های مدیریت محتوای معروف استفاده نمی‌نمایید و کدهای شما توسط یک برنامه‌نویس تهیه‌شده است باید کدهای خود را ازلحاظ امینت به‌طور کامل و دقیق بررسی نمایید. زیرا نفوذ از طریق کد صدها برابر ساده‌تر از نفوذ از طرق دیگر مانند سرور، شبکه و یا هاست است و تنها هکرهای بسیار حرفه‌ای توان نفوذ از روش‌های دیگر رادارند و معمولاً این هکرها تنها اقدام به نفوذ به سایت‌های بزرگ جهانی و دولتی می‌نمایند و به سایت‌های متوسط و کوچک نفوذ نمی‌نمایند).

۱۸– معمولاً هسته (بخش مرکزی – core) سیستم‌ها دارای امنیت مناسبی است اما ماژول‌ها، قالب‌ها، کامپاننت ها و یا پلاگین ها دارای امنیت بسیار پایینی است. تا حد ممکن هرگز از ماژول، قالب، کامپاننت و یا پلاگین اضافی بر روی سایت خود استفاده ننمایید.

۱۹– در صورت نیاز حتمی به استفاده از ماژول، قالب، کامپاننت و یا پلاگین اضافی بر روی سایت خود از بروز بودن و امن بودن آن‌ها اطمینان حاصل نمایید و هرگز از سیستم‌های قدیمی و یا ناامن استفاده ننمایید زیرا در آن حالت احتمال هک شدن شما تقریباً ۱۰۰ درصد خواهد بود اما به‌طور کل این مورد توصیه نمی‌شود.

۲۰– هرگز از نرم‌افزار، ماژول، قالب، کامپاننت و یا پلاگین قفل‌شکسته استفاده ننمایید زیرا با استفاده از آن‌ها احتمال مورد نفوذ قرار گرفتن شما تقریباً ۱۰۰ درصد خواهد بود.

۲۱– راهنمای امنیتی تک‌تک نرم‌افزارها، ماژول‌ها، قالب‌ها، کامپاننت ها و پلاگین های مورداستفاده خود را به‌صورت کامل و دقیق مطالعه نموده و تمامی مراحل آن را به طول ۱۰۰ درصد و دقیق انجام دهید زیرا انجام ندادن حتی یکی از موارد امنیتی می‌تواند منجر به هک شدن سایت شما گردد. این مورد یکی از رایج‌ترین علل نفوذ است.

برای پیدا کردن راهنمای امنیتی نرم‌افزار، ماژول، قالب، کامپاننت و یا پلاگین در اینترنت جستجو نمایید و یا از تولیدکننده آن نرم‌افزار دریافت نمایید.

۲۲– از یک متخصص امنیت درخواست نمایید امنیت تمامی بخش‌های سایت شمارا بررسی نماید.

۲۳– پس از اطمینان از امن بودن همه موارد بالا، تمامی رمزهای دسترسی به سیستم خود را مجدد و به‌طور کامل به یک رمز بسیار قوی و غیرقابل حدس تغییر دهید. رمز عبور ایمیل‌های شخصی، ناحیه کاربری، کنترل پنل هاست،FTP، دیتابیس،Admin، ایمیل‌های هاست، بخش مدیرت سایت و به‌طور کل تمامی رمزهای عبور دیگر.و در صورت حصول اطمینان از امن بودن سایت خود مجدد آن را فعال نمایید.

۲۴– در دوره‌های زمانی کوتاه تمامی رمزهای عبور خود شامل موارد ذکرشده در بالا را تغییر دهید.

نکته مهم: بیش از ۹۹ درصد نفوذهای اینترنتی از طریق ضعف کدها است و نه از طریق‌هاست، سرور و یا شبکه زیرابه دلیل امینت بالای سیستم‌عامل‌های امروزی (لینوکس و ویندوز) و قدرت بالای تجهیزات شبکه امروزی مانند UTM ها و Firewall ها نفوذ از طریق‌هاست، سرور و یا شبکه حتی در یک‌هاست بسیار ناامن بسیار سخت‌تر از نفوذ از طریق ضعف کد است چه برسد به نفوذ به یک‌هاست و یا سرور دارای امنیت بالا. معمولاً تنها هکرهای بسیار حرفه‌ای توان نفوذ از روش‌های دیگر رادارند و معمولاً این هکرها تنها اقدام به نفوذ به سایت‌های بزرگ دولتی و جهانی می‌نمایند و به سایت‌های متوسط و کوچک نفوذ نمی‌نمایند. هنگامی‌که یک سایت از روشی غیر از هاست، سرور و یا شبکه مورد نفوذ قرار گیرد تنها یک سایت هک نشده و تمامی و یا تعدادی از سایت‌ها مورد نفوذ قرار می‌گیرد ولی هنگامی‌که یک سایت تنها مورد نفوذ قرار می‌گیرد با احتمال تقریباً ۱۰۰ به علت عدم رعایت یک و یا چند مورد از موارد امنیتی ذکرشده در بالا است.

در آخر

توصیه می‌شود استانداردهای امنیتی کدهای خود را به‌وسیله یک کارشناس امنیت موردمطالعه قرار دهید تا بتوانید یک سایت امن و پایدار در اختیار داشته باشید و در این حالت سابقه عدم نفوذ کدهای شما چندان قابل‌اعتماد نیست زیرا معمولاً کدهای اختصاصی نوشته‌شده دارای گستردگی کم و سابقه اجرای کوتاه می‌باشند و معمولاً تا به امروز چندان مورد آزمایش نفوذ گران قرار نگرفته‌اند تا امینت آن‌ها بررسی شود درنتیجه عدم نفوذ تا به امروز دلیلی بر امنیت بالای کد نیست همچنین معمولاً شرکت‌های تولیدکننده کدها برخلاف شرکت‌های بزرگ و جهانی خبر مورد نفوذ قرار گرفت کدهای خود را اعلام نمی‌نمایند درنتیجه عدم وجود سابقه نفوذ نیز معتبر نیست.