چه خطرات امنیتی سایت شما را تهدید میکند ؟
خطرات امنیتی که میتواند برای سایتهای مختلف پیش آید را میتوان در گروههای زیر طبقهبندی کرد. این خطرات ممکن است به دلیل مشکلات امنیتی در هستهی سایتهای طراحی شده با CMS مثل وردپرس اتفاق بیفتد یا ممکن است به دلیل مشکلات امنیتی در افزونهها و قالبهایی که روی سایت نصب شدهاند به وقوع بپیوندد.
انواع خطرات امنیتی
مشاهده محتوای فایلها
مشاهدهی محتوای فایلها مثل فایلهای css و js و تصاویر به صورت مستقیم میبایست امکانپذیر باشد ولی اگر روشهایی وجود داشته باشد که بتوان محتوای هر فایل موجود روی هاست را مشاهده کرد، این یک خطر امنیتی جدی به حساب میآید. برای مثلا دسترسی به محتوای فایل wp-config.php در وردپرس میتواند اطلاعات مهمی را در اختیار هکرها قرار دهد.
امکان آپلود بدون محدودیت
سیستمهایی که به کاربران اجازه آپلود فایل را میدهند، میبایست به طور دقیق محدودیتهایی را روی فایلهای مجاز اعمال نمایند. فایلهایی با پسوند غیرمجاز مثل php یا با محتوای غیرمجاز مثلا محتوای php داخل یک فایل با پسوند تصویر نباید امکان آپلود داشته باشند. اگر کار برنامهنویسی را خودتان انجام میدهید همیشه باید یک لیست سفید داشته باشید و تنها اجازهی آپلود چند پسوند مشخص و بدون خطر در سایت شما باز باشد. همچنین بهتر است علاوه بر بررسی پسوند، محتوای فایلها را نیز با روشهای ایمن بررسی کنید.
تغییر سطح دسترسیها
معمولا کاربران میتوانند در سایت ثبت نام کنند و از بخشهای مختلف آن استفاده نمایند. اگر یکی از این کاربران به صورت غیرمجاز دسترسیهای مدیریتی پیدا کند، خطرات مهمی سایت را تهدید خواهد کرد.
تزریق SQL یا SQL Injection
تزریق SQL یکی از متداولترین اشکالهای امنیتی در سایتها است که به دلیل کیفیت پایین برنامهنویسی یا عدم دقت کافی به وقوع میپیونند. با وجود چنین اشکالی در یک نرمافزار تحت وب، هرگونه تغییر روی ساختار یا اطلاعات پایگاه داده از راه دور امکانپذیر است و ممکن است باعث ایجاد خسارتهای زیادی بشود.
اجرای کدها از راه دور یا Remote Code Execution
اگر هکر بتواند کدهای مورد نظر خود را داخل هاست شما اجرا کند، هرگونه فعالیت دیگری نیز برای او امکان پذیر خواهد بود. این نوع خطا معمولا در محلهایی به وقوع میپیوندد که برنامهنویس مکانیزمهایی برای اجرای کدهای مورد نظر خود از راه دور تعبیه میکند ولی امنیت و کنترلهای کافی را روی این بخشها در نظر نمیگیرد. به طور کلی بهتر است هرگونه امکان اجرای کدها از راه دور روی هاست امکانپذیر نباشد و جهت بهروزرسانی یا تغییرات، از روشهای سنتی استفاده شود.