چگونه امنیت خود را در فضای مجازی تامین کنیم؟

امروزه امنیت در فضای مجازی با توجه به رشد تکنولوژی و تجارت الکترونیک بسیاری از خدمات و امکاناتی که در دنیای مجازی فراهم شده است بیش از پیش اهمیت پیدا کرده است. فروشگاه ها، خبرگزاری ها، آموزش های الکترونیک، ارتباط با دیگران ، نشر عقاید و افکار ها و … همه در اینترنت قرار گرفته است. حال با گسترش این فضا برخی افراد قصد دارند برای خود وبسایت داشته باشند و افرادی هم به دنبال بدست آوردن اطلاعات و برخی دیگر به خرید اینترنتی مشغول هستند و عده ای هم با هک کردن وبسایت ها سعی در سرقت اطلاعات شخصی افراد دارند، برخی دیگر با ایجاد صفحات جعلی درگاه های پرداخت بانک ها در پی سرقت اطلاعات کارت های بانکی افراد هستند. از همین رو نیاز است تا یک کاربر ، مدیر یک سایت و مدیر یک سرور به امنیت در فضای مجازی توجه داشته باشد.

ما تصمیم گرفتیم طی چندین آموزش راهکارهای افزایش امنیت در دنیای مجازی را به شما دوستان آموزش دهیم. ما آموزش های خود را ابتدا به صورت عمومی شروع می کنیم و به نکاتی می پردازیم که تمام افراد باید به آنها توجه داشته باشند و در ادامه راهکار های افزایش امینت یک وبسایت که در آن به امنیت سایت های اینترنتی که شامل سایت های راه اندازی شده با سیستم های مدیریت محتوای آماده و برنامه نویسی های شخصی است می پردازیم.

و در ادامه؛ با توجه به اینکه برای راه اندازی یک سایت به فضای میزبانی (هاست) در بستر اینترنت و یک دامنه نیاز است. حال هر دوی این ها نیاز به تامین امنیت دارند چرا که هکرها می توانند با نفوذ به وب سرور یا پنل مدیریت دامنه وبسایت شما را هک کنند، به امنیت سرور های میپردازیم با توجه به اینکه در این سری از آموزش ها قرار است از ابتدا شروع کنیم شاید برخی موارد برایتان تکرای باشد، لطفا کمی شکیبا باشید.

امنیت سیستم های شخصی شامل امنیت سیستم کامپیوتری شخص و حفاظت از اکانت ها و ایمیلهای شخص در فضای مجازی میباشد .مهم‌ترین عامل ارتقای امنیت خود کاربران هستند، هر کاربری که اطلاعات بیشتری در این زمینه دارد قطعا در محیط‌های مجازی می‌تواند با امنیت بالاتری کار کند. کاربران دانا نیز نسبت به آنچه در سایت‌ها باید بنویسند و آنچه نباید بنویسند آگاهی کامل دارند. بخشی از ضرر و آسیب‌های ناشی از پایین بودن ایمنی در شبکه به‌خود کاربر باز می‌گردد، به‌ عنوان مثال اگر کاربری اطلاعات شخصی خود شامل شماره شناسنامه ، کد ملی و… را به تقاضای یکی از دوستان خود روی شبکه اجتماعی می‌گذارد این فرصت را به کاربران دیگر می‌دهد تا بتوانند از آن اطلاعات استفاده کنند. (همچنین از اشتراک گذاری اطلاعات شخصی خود در چت روم ها خودداری کنید.) البته برخی از شبکه های اجتماعی هستند که در هنگام عضوگیری این دسته از اطلاعات شخصی را از شما درخواست می کنند، باید توجه داشت که نباید هیچگاه این گونه اطلاعات را در اختیار مدیر شبکه اجتماعی قرار داد.

در برخی مواقع سؤالاتی در شبکه‌های اجتماعی مطرح می‌شود که کاربران نباید به هر سؤالی پاسخ دهند. باید در مورد پرسشنامه‌هایی که در برخی از سایت‌ها گذاشته می‌شود اندیشید که پاسخ دادن به این سؤالات امکان دارد چه تبعاتی در آینده برای وی به‌دنبال داشته باشد. این خطر وجود دارد که از این اطلاعات در آینده مورد سوءاستفاده قرار گیرد.

در خصوص خرید آنلاین، مهمترین نکته در انتخاب یک فروشگاه اینترنتی اعتبار آن میباشد. برای فهمیدن این نکته می توان به داشتن Enamad و دارا بود لایسنس معتبر توجه کرد. جستجوی نام فروشگاه در گوگل هم می تواند کمک کننده باشد زیرا که فروشگاهی اگر در جستجوی های گوگل بیشتر نمایش داده شود می تواند دال بر بازدید بالای سایت و سئوی سایت باشد. البته رتبه الکسا و رنک گوگل هم در انتخاب می توانند به شما کمک کند. حال با انتخاب یک فروشگاه اینترنتی و قصد خرید از آن باید موقع ثبت نام به چند مورد توجه کرد. موقع ثبت نام چه مواردی را از شما درخواست میکند. توجه کنید که هیچگاه اطلاعات شخصی و بانکی خود را موقع ثبت نام وارد نکنید. از کلمه عبور مناسب و قوی استفاده کنید. در هنگام خرید با کارت اعتباری حتما URL سایتی که در آن به وارد کردن اطلاعات مشغول هستید را چک کنید زیرا که هکرها با fake page ها افراد نا آگاه را گول می زنند. اگر در کافی نت هستید حتما از صفحه کیبورد مجازی که در بعضی از سایت های بانک ها برای امنیت بیشتر قرار گرفته است استفاده کنید. هیچگاه مشخصات کارت اعتباری خود را در سایت ها و حتی با ایمیل به دوستان خود ارسال نکنید.

برای عضویت در شبکه های اجتماعی و یا فروشگاه های اینترنتی حتما به ایمیل احتیاج پیدا می کنید. برای ساخت ایمیل حتما از سرویس دهنده های معتبر مانند گوگل استفاده کنید. در هنگام ثبت نام برای سوال امنیتی از دادن جواب های واقعی خودداری کنید چرا که این می تواند با مهندسی معکوس یا مهندسی اجتماعی امنیت ایمیل شما را به خطر بیاندازد. انتخاب کلمه عبور خیلی مهم است چون امنیت اصلی شما به آن وابسته است. برای آن باید کلمه عبوری را انتخاب کنید که به هیچ یک از اطلاعات شخصی شما مانند نام مورد علاقه، شماره موبایل، شماره شناسنامه و … شباهتی نداشته باشد زیرا هکرها با نرم افزارهایی کلمه عبورهای بی شماری با استفاده از آنها میسازند و اصطلاحا به بروت فورس اکانت شما می پردازند. سعی کنید از کلمه عبور های ۸ تا ۱۵ حرفی و دارای حروف کوچک و بزرگ انگلیسی، اعداد و سیمبل ها استفاده کنید. روی لینک‌های داخل ایمیل کلیک نکنید و ضمیمه‌های ایمیل را باز نکنید، مگر اینکه ارسال کننده آن را بشناسید و همچنین بدانید آن لینک‌ها و آن ضمیمه‌ها چه هستند. کلیک بر روی لینک‌ها یا ضمیمه نامه‌‌ها ممکن است منجر به نصب برنامه‌های مخرب بر روی رایانه شما گردد. همچنین شما هم لینک‌های تصادفی را برای دوستانتان ارسال نکنید.

اگر شما آن دسته از کاربرانی هستید که برای استفاده از اینترنت از کافی نت ها استفاده میکنید باید از کافی نت هایی استفاده کنید که از safe browser هایی مانند مرورگر کوئیک هیل یا مشابه استفاده می کنند. سعی کنید تا جایی که امکان دارد وارد ایمیل خود و سایت های شبکه اجتماعی که در آنها فعالیت دارید نشودید. اگر از طریق رایانه‌های عمومی به ایمیل یا سایر حساب‌های کاربری خود دسترسی وارد می شوید، کلمه عبور خود را در مرورگرهای وب ذخیره نکنید. همچنین در هنگام استفاده از شبکه‌های wi-fi عمومی هم باید مراقب باشید. بعد از اتمام فعالیت حتما کش مرورگر را پاک کنید. عبارت Sign Out, Log Out و موارد مشابه هرگز فراموش نشود. هنگام استفاده از hotspot به خاطر داشته باشید که اطلاعات خود را فقط برای سایت‌هایی که کاملاً رمزگذاری شده‌اند ارسال نمایید. شما فقط زمانی می‌توانید از ایمن بودن hotspot مطمئن شوید که این hotspot زمان ورود به شبکه از شما درخواست یک کلمه عبور WPA نماید. اگر به hotspotای اطمینان ندارید، با آن شبکه مانند یک شبکه ناامن رفتار کنید. برخی شبکه‌های Wi-Fi از رمزگذاری استفاده می‌کنند. WEP و WPA بیشترین پروتکل‌های رمزگذاری برای شبکه‌های Wi-Fi هستند. رمزگذاری WPA از اطلاعات شما در برابر برنامه‌های هکِ معمول محافظت می‌کند، اما WEP ممکن است این کار را انجام ندهد. همچنین WPA2 نسبت به WPA قوی‌تر است. اگر از شبکه Wi-Fi استفاده می‌کنید و مطمئن نیستید که این شبکه از WPA استفاده می‌کند، احتیاط کنید!

فایروال و آنتی ویروس برای امنیت سیستم های شخصی و حتی وب سرورهای لازم است. این نرم افزارها باعث میشوند تا هکرها نتوانند به داخل سیستم شما نفوذ کرده و یا کیلاگر بر روی سیستم شما نصب کنند. جلوی فایل های مخرب را میگیرند. آیا می دانید نفوذ به بیشتر سرورهای دولتی و امنیتی از طریق همین کرم ها و ویروس ها و تروجان ها بوده است؟ شاید با خود فکر کنید که مثلا اگر سیستم شما به ویروس اکستاکنت آلوده شود چه مزیتی و چه ضرری برای شما و سازنده آن دارد. این ویروس ها که دیگر به کرم ها لقب گرفته اند (علت نامگذاری بر اساس هوش آنهاست) می توانند تشخیص دهند که قبلا این سیستم را آلوده کرده اند یا خیر. در چه قسمت سیستم شما به دنبال اطلاعات مورد نظر خود بگردند و بر چه اساس قربانی بعدی را پیدا کنند. و اطلاعات دریافت شده را به چه نحوی به سرور خود انتقال دهند. شاید سیستم شما فقط ناقل اطلاعات باشد. یعنی مواردی دیده شده است که کرم اطلاعات مورد نظر خود را به سیستم بعدی انتقال داده است تا بتواند از سیستم جدید به اینترنت دسترسی داشته باشد. پس همیشه مراقب باشید.

امروزه اهمیت داشتن وب سایت و از طرفی تاثیر مستقیم آن بر اهداف سازمانی و غیر سازمانی از قبیل فروش بیشتر ، اطلاع رسانی ، ارائه خدمات و … بسیار مورد توجه واقع شده است. از طرفی خبرهای متعددی داشتیم از هک شدن وب سایت های مختلف، حتی وب سایت های شرکت های امنیتی. ما در بخش اول آموزش تامین امنیت در دنیای مجازی به نکات عمومی که هر فرد باید به آنها توجه داشته باشد پرداختیم و با توجه به اهمیت تامین امنیت وب سایت ها در این قسمت به این موضوع می­پردازیم.

طبق آمار شرکت DOSarrest، یکی از شرکت های فعال در زمینه امنیت در دنیای مجازی اینترنت، ۹۰ درصد از ۵۰ وب سایت هایی که بررسی شده اند حداقل یک نقطه ضعف داشته اند؛ از این بین، مشکل ۹۵ درصد آنها، استفاده از نرم افزارها و ماژول های قدیمی و منسوخ بوده است. (نردبان) به طور کلی اگر از سیستم خاصی برای راه اندازی سایت خود استفاده می کنید حتما وبسایت پشتیبان سیستم مدیریت محتوای خود را چک کرده و بروزرسانی ها را دریافت کنید چرا که اگر در سیستمی ضعف امنیتی یا حتی مشکلات ساده دیده شود توسط پشتیبانی برطرف می شود. این مورد در رابطه با پلاگین های استفاده شده در سیستم نیز صدق می کند و حتما باید مورد توجه قرار گیرد.

در ذیل به چند مورد از نکات امنیتی که سیستم مدیریت محتوای شما را از معمول ترین روش های نفوذ و هک مصون می دارد اشاره شده است:

برای کلمه عبور مدیریت همانطور که در بخش قبلی به آن اشاره شد؛ از ترکیب حروف، اعداد و سیمبول ها مانند !@#$%^& استفاده کنید تا شکستن آنها را غیر ممکن کنید.

صفحه ورود به مدیریت خود را حتما تغییر دهید و از آدرس های پیش فرض استفاده نکنید.

از پلاگین و افزونه های زیاد بر روی سایت خود استفاده نکنید. استفاده زیاد از پلاگین ها علاوه بر کاهش سرعت بارگذاری وبسایت احتمال اینکه باعث شود تا بروزرسانی همه آنها را فراموش کنید وجود دارد. در بیشتر موارد یک افزونه بروز نشده برای هکرها کافی است تا وب سایت شما را هک کنند.

همیشه از نسخه های معتبر سیستم مدیریت محتوا استفاده کنید. متاسفانه در اینترنت بعضی از وب سایت ها نسخه هایی از سیستم های مدیریت محتوا را ارائه می دهند، که درون فایل های سیستم شل قرار می دهند. برای جوملا بهتر است همیشه از سایت اصلی جوملا joomla.org و یا joomlafarsi.com که به تایید سایت اصلی جوملا رسیده است استفاده کنید.

یک نکته مهم که باید به آن توجه داشته باشید این است که بیشتر مواقع ماژول های استفاده شده در جوملا دارای باگ امنیتی دیتابیس یا Sql Injection هستند هکر با استفاده از این باگ می تواند به دیتابیس وارد شده و نام کاربری مدیریت سایت و همچنین کلمه عبور آن را بدست بیاورد یا اینکه صفحه ورود به مدیریت جوملا که به آدرس site.com/administrator می باشد را با استفاده از نرم افزارهای بروت فورس مورد حمله قرار دهد که با این نوع حمله می تواند مشخصات ورود را حدس بزند و به مدیریت وارد شود. برای جلوگیری از این دو نوع حمله ذکر شده کافیست آدرس صفحه ورود به مدیریت جوملا را طبق آموزش زیر تغییر دهید :

برای این کار کافیست پلاگین change administrator را از سایت ribafs.org دریافت و نصب کنید. در صورت بروزرسانی جوملا طبق گفته سازنده پلاگین باید administrator را به حالت قبل برگردانید و بک آپ بگیرید، بعد از بروز رسانی می توانید دوباره به حالت قبل بازگردید.


پلاگین های ذکر شد در ادامه برای بالا بردن امینت وب سایت های جوملا توصیه می شود.
jFirewall IDS Incapsula jomDefender RSFirewall! jSecure

حال اگر نمی خواهید از افزونه خاصی یا پلاگین خاصی استفاده کنید می توانید با کلمه عبور صفحه مدیریت سایت خود را محافظت کنید:

به این ترتیب که وارد پنل مدیریت هاست (دایرکت ادمین) خود شده و به قسمت فایل منیجر بروید جلوی پوشه Administrator بر روی Protect کلیک کرده و کلمه عبور اختصاص دهید.

در سی پنل هم از قسمت Folder & files Protect می توانید همین کار را انجام دهید.

هر چند این نکات شاید ساده به نظر آیند ولی حجم وسیعی از نفوذها از این طریق می باشد.