العين الاخبارية

أثار اختراق تطبيق نبض في مصر العديد من التساؤلات حول أمن المواقع الإلكترونية وكيفية حمايتها من القرصنة والاختراق.

قالت وسائل إعلام مصرية اليوم الجمعة، إنه تم غلق تطبيق نبض بمصر بعد قيام مجهولين باختراقه ونشر معلومات كاذبة، وتقوم الأجهزة المعنية في مصر بالتعامل مع الاختراق واتخاذ اللازم حيال الواقعة.

في السنوات الأخيرة، أصبح من السهولة بشكل كبير إنشاء المواقع الإلكترونية، لذلك فإنه من الأهمية لأصحاب المواقع والمسؤولين عنها تأمينها.

فرغم سهولة إنشاء المواقع الإلكترونية، بفضل أنظمة إدارة المحتوى (CMS)، مثل WordPress وJoomla، أصبح أصحاب الأعمال الآن مديري المواقع.

لكن الحقيقة أن الكثير من المالكين لا يعلمون كيفية جعل موقع الويب الخاص بهم آمنًا.

عندما يستخدم العملاء معالج الدفع ببطاقة الائتمان عبر الإنترنت، فإنهم بحاجة إلى معرفة أن بياناتهم آمنة، فلا يريد الزوار أن تقع معلوماتهم الشخصية في الأيدي الخطأ.

وسواء كنت تدير شركة صغيرة أو مؤسسة، يتوقع المستخدمون تجربة آمنة عبر الإنترنت.

ووفقا لموقع "computer"، أظهر تقرير عام 2019 الصادر عن Google Registry و The Harris Poll أنه على الرغم من قيام المزيد من الأشخاص بإنشاء مواقع إلكترونية، إلا أن غالبية الأمريكيين لديهم فجوة معرفية كبيرة فيما يتعلق بالأمان عبر الإنترنت.

في حين أن 55% من المشاركين منحوا أنفسهم درجة A أو B في الأمان عبر الإنترنت، فإن حوالي 70% حددوا بشكل غير صحيح الشكل الذي يجب أن يبدو عليه عنوان URL الآمن لموقع الويب.

هناك العديد من الطرق لتطمئن نفسك والموظفين والعملاء أن موقع الويب الخاص بك آمن. لا يجب أن يكون أمان موقع الويب لعبة تخمين.

وأوضح الموقع أنه يجب اتخاذ خطوات أساسية نحو تحسين أمان موقعك. ساعد في الحفاظ على البيانات بعيدًا عن أعين المتطفلين.

ورغم أنه لا توجد طريقة تضمن أن موقعك سيكون "خاليًا من المخترقين" إلى الأبد، فإن استخدام الأساليب الوقائية سيؤدي إلى تقليل ضعف موقعك.

وأمن الموقع الإلكتروني هو عملية بسيطة ومعقدة في الوقت ذاته. وهناك 10 خطوات أساسية على الأقل يمكنك اتخاذها لتحسين أمان موقع الويب قبل فوات الأوان.

كيفية تحسين أمان الموقع الإلكتروني

1 ـ حافظ على البرامج والمكونات الإضافية محدثة

كل يوم، هناك عدد لا يحصى من مواقع الويب التي يتم اختراقها بسبب البرامج القديمة، حيث يقوم المتسللون والروبوتات المحتملون بفحص المواقع للهجوم.

وتعد التحديثات أمرًا حيويًا لصحة موقع الويب الخاص بك وأمانه، فإذا لم تكن برامج أو تطبيقات موقعك محدثة، فإن موقعك ليس آمنًا.

غالبًا ما تحتوي التحديثات على تحسينات أمنية وإصلاحات للثغرات الأمنية، فتحقق من موقع الويب الخاص بك للحصول على تحديثات أو أضف مكونًا إضافيًا لإشعار التحديث. تسمح بعض الأنظمة الأساسية بالتحديثات التلقائية ، وهو خيار آخر لضمان أمان الموقع الإلكتروني.

2 ـ إضافة HTTPS وSSL

للحفاظ على الموقع الإلكتروني الخاص بك آمنًا، فأنت بحاجة إلى عنوان URL آمن. فإذا عرض زوار موقعك إرسال معلوماتهم الخاصة، فأنت بحاجة إلى HTTPS ، وليس HTTP ، لتسليمها.

ما هو بروتوكول HTTPs؟

HTTPS (بروتوكول نقل النص التشعبي الآمن) هو بروتوكول يستخدم لتوفير الأمان عبر الإنترنت، ويمنع HTTPS حدوث اعتراضات وانقطاعات أثناء نقل المحتوى.

ولكي تتمكن من إنشاء اتصال آمن عبر الإنترنت، يحتاج موقع الويب الخاص بك أيضًا إلى شهادة SSL. فإذا طلب موقع الويب الخاص بك من الزائرين التسجيل أو الاشتراك أو إجراء معاملة من أي نوع ، فأنت بحاجة إلى تشفير اتصالك.

ما هو SSL؟

SSL (طبقة مآخذ التوصيل الآمنة) هو بروتوكول موقع ضروري آخر، يؤدي إلى نقل معلومات الزائر الشخصية بين موقع الويب وقاعدة البيانات الخاصة بك.

ويقوم بروتوكول SSL بتشفير المعلومات لمنع الآخرين من قراءتها أثناء النقل.

كما أنه يحرم أولئك الذين ليس لديهم سلطة مناسبة من القدرة على الوصول إلى البيانات. GlobalSign هو مثال لشهادة SSL التي تعمل مع معظم مواقع الويب.

3 ـ اختيار كلمة مرور ذكية

نظرًا لوجود العديد من مواقع الويب وقواعد البيانات والبرامج التي تحتاج إلى كلمات مرور، فمن الصعب تتبعها. وينتهي الأمر بالكثير من الأشخاص باستخدام نفس كلمة المرور في جميع الأماكن، لتذكر معلومات تسجيل الدخول الخاصة بهم. لكن هذا خطأ أمني كبير.

فحاول إنشاء كلمة مرور فريدة لكل طلب تسجيل دخول جديد. وابتكر كلمات مرور معقدة وعشوائية ويصعب تخمينها. ثم قم بتخزينها خارج دليل مواقع الويب.

فعلى سبيل المثال، يمكنك استخدام مزيج مكون من 14 رقمًا من الأحرف والأرقام ككلمة مرور. ويمكنك بعد ذلك تخزين كلمة (كلمات) المرور في ملف غير متصل بالإنترنت أو هاتف ذكي أو كمبيوتر آخر.

وسيطلب نظام إدارة المحتوى (CMS) الخاص بك تسجيل دخول، ويجب عليك اختيار كلمة مرور ذكية. امتنع عن استخدام أي معلومات شخصية داخل كلمة مرورك أيضًا. لا تستخدم اسم عيد ميلادك أو اسم حيوانك الأليف؛ اجعلها غير قابلة للتخمين تمامًا.

بعد ثلاثة أشهر أو أقل من ذلك، غيّر كلمة مرورك إلى كلمة مرور أخرى، ثم كرر ذلك.

كلمات المرور الذكية طويلة ويجب أن تتكون من اثني عشر حرفًا على الأقل في كل مرة. يجب أن تكون كلمة مرورك عبارة عن مزيج من الأرقام والرموز. تأكد من التبديل بين الأحرف الكبيرة والصغيرة.

لا تستخدم كلمة المرور نفسها مرتين أو تشاركها مع الآخرين.

إذا كنت صاحب عمل أو مدير CMS ، فتأكد من قيام جميع الموظفين بتغيير كلمات المرور الخاصة بهم بشكل متكرر.

4 ـ استخدام مضيف ويب آمن

فكر في اسم نطاق موقعك على الويب كعنوان شارع مثلا، وفكر في مضيف الويب على أنه قطعة أرض من "العقارات" حيث يوجد موقع الويب الخاص بك على الإنترنت.

نظرًا لأنك تبحث عن قطعة أرض لبناء منزل، فأنت بحاجة إلى فحص مضيفي الويب المحتملين للعثور على الشخص المناسب لك.

يوفر العديد من المضيفين ميزات أمان الخادم التي توفر حماية أفضل لبيانات موقع الويب التي تم تحميلها. هناك عناصر معينة للتحقق منها عند اختيار مضيف.

هل يقدم مضيف الويب بروتوكول نقل الملفات الآمن (SFTP)؟

هل تم تعطيل استخدام FTP بواسطة مستخدم غير معروف؟

هل تستخدم ماسح الجذور الخفية؟

هل يقدم خدمات النسخ الاحتياطي للملفات؟

ما مدى مواكبة ترقيات الأمان؟

سواء اخترت SiteGround أو WP Engine كمضيف الويب الخاص بك ، تأكد من أنه يحتوي على ما تحتاجه للحفاظ على أمان موقعك.

5 ـ سجل وصول المستخدم والامتيازات الإدارية

في البداية، قد تشعر بالراحة عند منح العديد من الموظفين رفيعي المستوى إمكانية الوصول إلى موقع الويب الخاص بك. أنت تمنح كل منهم امتيازات إدارية، معتقدًا أنهم سيستخدمون موقعهم بعناية. على الرغم من أن هذا هو الوضع المثالي، إلا أنه ليس كذلك دائمًا.

لسوء الحظ، لا يفكر الموظفون في أمان موقع الويب عند تسجيل الدخول إلى نظام إدارة المحتوى. بدلا من ذلك، أفكارهم في المهمة التي في متناول اليد.

وإذا ارتكبوا خطأ أو أغفلوا مشكلة، فقد يؤدي ذلك إلى مشكلة أمنية كبيرة.

من الضروري فحص موظفيك قبل منحهم إمكانية الوصول إلى موقع الويب. واكتشف ما إذا كان لديهم خبرة في استخدام نظام إدارة المحتوى الخاص بك وما إذا كانوا يعرفون ما الذي يبحثون عنه لتجنب خرق أمني.

مع توعية كل مستخدم لنظام إدارة المحتوى بأهمية كلمات المرور وتحديثات البرامج. أخبرهم بكل الطرق التي يمكنهم من خلالها المساعدة في الحفاظ على أمان موقع الويب.

لتتبع من لديه حق الوصول إلى نظام إدارة المحتوى (CMS) وإعداداته الإدارية ، قم بعمل سجل وقم بتحديثه كثيرًا.

يأتي الموظفون ويذهبون. تتمثل إحدى أفضل الطرق لمنع حدوث مشكلات أمنية في الحصول على سجل مادي لمن يفعل ماذا مع موقع الويب الخاص بك.

6 ـ تغيير إعدادات CMS الافتراضية

الهجمات الأكثر شيوعًا ضد مواقع الويب تكون آلية بالكامل. ما يعتمد عليه العديد من روبوتات الهجوم هو أن يكون لدى المستخدمين إعدادات CMS الخاصة بهم بشكل افتراضي.

بعد اختيار نظام إدارة المحتوى (CMS) الخاص بك ، قم بتغيير إعداداتك الافتراضية على الفور. تساعد التغييرات في منع حدوث عدد كبير من الهجمات.

يمكن أن تتضمن إعدادات CMS ضبط تعليقات التحكم ورؤية المستخدم والأذونات.

من الأمثلة الرائعة على تغيير الإعداد الافتراضي الذي يجب عليك إجراؤه هو "أذونات الملف". يمكنك تغيير الأذونات لتحديد من يمكنه فعل ما يتعلق بملف ما.

وإلى جانب إعدادات أذونات الملف الافتراضية ، هناك ثلاثة أنواع من المستخدمين:

المالك - غالبًا ما يكون منشئ الملف ، ولكن يمكن تغيير الملكية. يمكن لمستخدم واحد فقط أن يكون المالك في كل مرة.

مجموعة - يتم تعيين كل ملف إلى مجموعة. سيحصل المستخدمون الذين يشكلون جزءًا من تلك المجموعة المحددة على حق الوصول إلى أذونات المجموعة.

عام - أي شخص آخر.

تخصيص المستخدمين وإعدادات الأذونات الخاصة بهم. لا تحتفظ بالإعدادات الافتراضية كما هي ، أو ستواجه مشكلات تتعلق بأمان موقع الويب في مرحلة ما.

7 ـ النسخ الاحتياطي لموقع الويب الخاص بك

من أفضل الطرق للحفاظ على أمان موقعك هو الحصول على نسخ احتياطي جيد. ويجب أن يكون لديك أكثر من واحد. يعد كل منها أمرًا بالغ الأهمية لاستعادة موقع الويب الخاص بك بعد وقوع حادث أمني كبير.

هناك العديد من الحلول المختلفة التي يمكنك استخدامها للمساعدة في استعادة الملفات التالفة أو المفقودة.

احتفظ بمعلومات موقع الويب الخاص بك خارج الموقع. لا تقم بتخزين النسخ الاحتياطية الخاصة بك على نفس الخادم مثل موقع الويب الخاص بك ؛ هم عرضة للهجمات أيضًا.

اختر الاحتفاظ بنسخة احتياطية من موقع الويب الخاص بك على جهاز كمبيوتر منزلي أو محرك أقراص ثابت. ابحث عن مكان خارج الموقع لتخزين بياناتك وحمايته من أعطال الأجهزة والقرصنة والفيروسات.

خيار آخر هو عمل نسخة احتياطية من موقع الويب الخاص بك في السحابة. يجعل تخزين البيانات أمرًا سهلاً ويسمح بالوصول إلى المعلومات من أي مكان.

إلى جانب اختيار مكان النسخ الاحتياطي لموقع الويب الخاص بك ، يجب أن تفكر في أتمتة هذه المواقع. استخدم حلاً يمكنك من خلاله جدولة النسخ الاحتياطية لموقعك. تريد أيضًا التأكد من أن الحل الخاص بك يحتوي على نظام استرداد موثوق.

كن زائداً عن الحاجة في عملية النسخ الاحتياطي - قم بعمل نسخة احتياطية من نسختك الاحتياطية.

من خلال القيام بذلك، يمكنك استرداد الملفات من أي نقطة قبل حدوث الاختراق أو الفيروس.

8 ـ تعرف على ملفات تكوين خادم الويب

يمكنك العثور عليها في دليل الويب الجذر. تسمح لك ملفات تكوين خادم الويب بإدارة قواعد الخادم. يتضمن هذا توجيهات لتحسين أمان موقع الويب الخاص بك.

هناك أنواع مختلفة من الملفات المستخدمة مع كل خادم. تعرف على الشخص الذي تستخدمه.

تستخدم خوادم الويب Apache ملف htaccess

تستخدم خوادم Nginx nginx.conf

تستخدم خوادم Microsoft IIS web.config

لا يعرف كل مشرف للموقع أي خادم ويب يستخدمه. إذا كنت أحدهم ، فاستخدم ماسحًا ضوئيًا لموقع الويب مثل Sitecheck للتحقق من موقع الويب الخاص بك. يقوم بالمسح بحثًا عن البرامج الضارة والفيروسات وحالة القائمة السوداء وأخطاء موقع الويب والمزيد.

كلما زادت معرفتك بالحالة الحالية لأمان موقع الويب الخاص بك ، كان ذلك أفضل. يمنحك الوقت لإصلاحه قبل أن يلحق به أي ضرر.

9 ـ تقدم بطلب للحصول على جدار حماية تطبيقات الويب

تأكد من التقدم بطلب للحصول على جدار حماية تطبيق ويب (WAF). إنه يضبط بين خادم موقع الويب الخاص بك واتصال البيانات. الغرض من ذلك هو قراءة كل جزء من البيانات التي تمر عبرها لحماية موقعك.

اليوم ، تعتمد معظم WAFs على السحابة وهي خدمة توصيل وتشغيل. الخدمة السحابية هي بوابة لجميع حركة المرور الواردة والتي تحظر جميع محاولات القرصنة. كما يقوم أيضًا بتصفية الأنواع الأخرى من حركة المرور غير المرغوب فيها ، مثل مرسلي البريد العشوائي والروبوتات الضارة.

10 ـ تشديد أمن الشبكة

عندما تعتقد أن موقع الويب الخاص بك آمن ، فأنت بحاجة إلى تحليل أمان الشبكة.

قد يقوم الموظفون الذين يستخدمون أجهزة الكمبيوتر المكتبية عن غير قصد بإنشاء مسار غير آمن إلى موقع الويب الخاص بك.

ولمنعهم من منح الوصول إلى خادم موقع الويب الخاص بك، ضع في اعتبارك القيام بما يلي في عملك:

هل تنتهي صلاحية تسجيلات الدخول إلى الكمبيوتر بعد فترة قصيرة من عدم النشاط.

تأكد من أن نظامك يخطر المستخدمين كل ثلاثة أشهر بتغييرات كلمة المرور.

تأكد من فحص جميع الأجهزة المتصلة بالشبكة بحثًا عن البرامج الضارة في كل مرة يتم توصيلها بها.

وأخيرا، بصفتك صاحب عمل ومسؤول موقع، لا يمكنك فقط إنشاء موقع ويب ونسيانه، فعلى الرغم من أن إنشاء مواقع الويب أصبح أسهل من أي وقت مضى، إلا أنه لا يغير حقيقة أن صيانة الأمان ضرورية.