چک لیست امنیت وب سایت برای صاحبان مشاغل

کارشناسان امنیتی انتظار دارند که هزینه جهانی جرایم سایبری تا سال 2025 به 10.5 تریلیون دلار در سال برسد. میانگین هزینه نقض داده ها در حال حاضر بیش از 9 میلیون دلار است که تنها در ایالات متحده باعث نگرانی صاحبان مشاغل می شود.

امنیت وب سایت

در حالی که پذیرش ابر مشکلات مقیاس‌پذیری، سفارشی‌سازی و نگهداری و تحویل زیرساخت را حل کرده است، تامین امنیت دارایی‌های وب یکی از نگرانی‌های اصلی کسب‌وکارهای آنلاین است. در اینجا راهنمای شما برای ایمن نگه داشتن کسب و کار، مشتریان و تراکنش های خود در برابر تلاش های هک است.

7 چک لیست امنیت وب سایت

1. وب سایت را برای نقاط ضعف اسکن کنید

گروه گارتنر تخمین زده است که بیش از 70 درصد از نقض ها در لایه برنامه اتفاق می افتد. برنامه های کاربردی وب به مشتریان و مشتریان متعددی خدمت می کنند. واضح است که هکرها انگیزه بیشتری در هدف قرار دادن برنامه ها برای از بین بردن فرآیندهای مهم تجاری دارند. اسکن خودکار برنامه های وب مؤثرترین راه برای یافتن حفره های امنیتی وب سایت است که هکرها ممکن است هدف قرار دهند. این اولین قدم به سوی ایمن سازی وب سایت های تجاری است.

AppTrana Basic Scanning (رایگان برای همیشه): اسکن های امنیتی هر دو هفته را ارائه می دهد که به دنبال آسیب پذیری های OWASP Top 10 و SANS Top 25 است. می توانید حداکثر 250 صفحه از یک وب سایت را اسکن کنید و گزارش مفصلی در مورد مسائل امنیتی مانند XSS، SQL Injection و غیره دریافت کنید.

امنیت وب سایت OWASP

2. نرم افزار را به روز نگه دارید

آشکار است اما نادیده گرفته شده است. وصله های نرم افزاری نقش مهمی در ایمن نگه داشتن سایت شما از هکرها دارند. این برای همه چیزهایی که در سطل شما وجود دارد از جمله سیستم عامل های سرور، CMS و سایر نرم افزارهای مورد استفاده در شرکت اعمال می شود. هنگامی که حفره های امنیتی وب سایت در یک برنامه شخص ثالث پیدا می شود، هکرها تمام وب سایت هایی را که از آن نسخه حساس نرم افزار استفاده می کنند، هدف قرار می دهند.

بسیاری از توسعه دهندگان با استناد به مهلت های تحویل، به روز رسانی ها را به تعویق می اندازند. حمله باج‌افزار عظیم «WannaCrypt» نمونه‌ای از حمله‌ای است که رایانه‌های حداقل ۱۵۰ کشور را فلج کرد و ۴ میلیارد دلار خسارت به بار آورد.

3. اعتبارسنجی داده های کاربر

اجازه دادن به کاربران برای ارسال یا آپلود هر چیزی به سرور شما یک خلأ امنیتی بزرگ است. از نقطه نظر تجاری، رابط های تعاملی کارآمد هستند، اما خطرات آن زیاد است. حتی یک رشته ساده غیر بهداشتی در قسمت نام کاربری یا آپلود فایل در بخش تصویر می تواند سرورها را از کار بیاندازد.

اعتبارسنجی داده های کاربر

شما باید با همه ورودی های کاربر با شک و تردید برخورد کنید و مطمئن شوید که فقط قالب های ورودی از پیش تعیین شده پذیرفته می شوند. اطمینان حاصل کنید که فایروال شما انواع فایل های اجرایی و سایر ورودی های کاربر را مسدود می کند. همچنین دسترسی فیزیکی به سرور را به طور کامل ممنوع کنید.

4. تست نفوذ دوره ای را دریافت کنید

برنامه های کاربردی تجاری پیچیده هستند. چندین تنظیمات متغیر در سرورهای Backend/Frontend و APIها وجود دارد که مختص کسب و کار شما هستند. ابزارهای اسکن خودکار محدودیت های خود را دارند، به خصوص اگر برنامه شما بر اساس منطق متفاوت ساخته شده باشد.

- یک سایت تجارت الکترونیک به کاربران امکان می دهد مواردی را به سبد خرید خود اضافه کنند، یک صفحه خلاصه را مشاهده کنند و سپس پرداخت کنند. اگر آنها بتوانند به صفحه خلاصه بازگردند و همان جلسه معتبر خود را حفظ کنند و هزینه کمتری را برای یک مورد تزریق کنند و تراکنش پرداخت را تکمیل کنند چه؟

- آیا کاربر می تواند کالایی را بی نهایت در سبد خرید خود نگه دارد و دیگران را از خرید آن باز دارد؟

- آیا کاربر می تواند کالایی را در سبد خرید با قیمت تخفیف قفل کند و چندین ماه بعد آن را خریداری کند؟

- اگر کاربر یک مورد را از طریق حساب وفاداری رزرو کند و امتیاز وفاداری بگیرد اما قبل از تکمیل تراکنش لغو کند، چه؟

تست نفوذ

تست نفوذ دستی یا هک اخلاقی تمام تلاش هایی را که یک هکر انجام می دهد تکرار می کند. آن‌ها ساعت‌ها به دنبال نقاط ضعفی می‌گردند که عملکرد برنامه را به خطر می‌اندازد و راه‌حل‌هایی را به توسعه‌دهندگان پیشنهاد می‌کند.

5. از HTTPS استفاده کنید

اتصالات HTTP ایمن از نفوذ هکرها به ارتباط بین وب سایت شما و کاربران جلوگیری می کند. با استفاده از ارتباطات غیر HTTPS، یک مهاجم می‌تواند کاربر را فریب دهد تا اطلاعات حساس را بدهد یا بدافزار/کد اجرایی را به سرور ارسال کند.

SSL برای امنیت وب سایت

اگر برنامه‌های تجاری شما داده‌های حساسی مانند اطلاعات پرداخت را مدیریت می‌کنند، باید روی گواهی‌های SSL با کیفیت سرمایه‌گذاری کنید تا پروتکل‌های رمزنگاری را در همه وب‌سایت‌ها به ارتباطات مرورگر وادار کنید.

6. استقرار یک فایروال برنامه وب (WAF)

بر اساس گزارش آمار امنیت برنامه های وب، آسیب پذیری های بحرانی به طور متوسط در 146 روز برطرف می شوند. این پنج ماه برای هکرها است تا روش‌های مختلف حمله را امتحان کنند. برای ایمن سازی وب سایت خود آن را تغییر دهید.

آسیب پذیری های بحرانی را برطرف کنید

یک فایروال برنامه وب (WAF) برای اصلاح نقاط ضعف برنامه (OWASP Top 10 و SANS 25) به طور مجازی در حین نظارت و فیلتر کردن ترافیک طراحی شده است. همچنین به عنوان دیوار آتش لایه 7 شناخته می شود، حملاتی را که از جعل بین سایتی، برنامه نویسی متقابل سایت (XSS)، گنجاندن فایل و تزریق SQL بدون تغییر توسعه/کد در برنامه استفاده می کنند، متوقف می کند.

فایروال های یونی امنیت مدیریت شده را همگام با اسکن فراهم می کنند. AppTrana آسیب پذیری ها را برای توقف و نظارت بر حملات اصلاح می کند. این یک فایروال هوشمند است که از الگوهای حملات مکرر می آموزد و قوانین مسدودسازی یا ثبت سفارشی را فوراً می پذیرد.

7. افزایش ترافیک را کنترل کنید

یک حمله انکار سرویس توزیع شده (DDoS) از چندین سیستم در معرض خطر یا سایر منابع شبکه استفاده می کند تا یک سرویس آنلاین را تحت الشعاع قرار دهد و آن را در دسترس نباشد.

هر وب سایتی می تواند با حمله DDoS در معرض خطر قرار گیرد.

نظارت بر افزایش ترافیک

نظارت بر افزایش ترافیک جعلی و توقف ربات ها قبل از آسیب تنها راه برای مدیریت حملات DDoS است. اعتبار سنجی دوره ای عملکرد امنیتی شبکه و برنامه شما توصیه می شود.

با این چک لیست امنیت وب سایت، سایت را ایمن نگه دارید

آن را با AppTrana Free اسکن کنید

همه نرم افزارها را به روز کنید

درخواست تست نفوذ

SSL را نصب کنی

مسیر ترافیک از طریق WAF

این مقاله جالب بود؟ Indusface را در فیس بوک، توییتر و لینکدین دنبال کنید تا محتوای اختصاصی بیشتری را که پست می کنیم بخوانید.

منبع