بازدید از یک وب سایت مخرب می تواند یکی از بدترین اتفاقاتی باشد که ممکن است برای افرادی که در حال گشت و گذار در اینترنت^(Internet) هستند، به خصوص کسانی که علاقه مند به خرید آنلاین هستند، رخ دهد. وب مسترها باید تهدیدات برای وب سایت ها و قابلیت های ویرانگر آنها را بشناسند - اولین مورد از دست دادن پایگاه مصرف کننده است. اگر یک وب سایت یا وبلاگ دارید، باید در مورد تهدیدات احتمالی وب سایت بدانید. این مقاله در مورد تهدیدها و نتایج آنها، برخی از روش‌هایی که توسط هکرها برای بدافزاری وب‌سایت شما استفاده می‌شود، صحبت می‌کند، و سپس راه‌هایی را در مورد چگونگی ایمن نگه داشتن وب‌سایت‌ها مورد بحث قرار می‌دهد.

^(Website) تهدیدات ^(Threats)وب سایت و اثرات^(Effects) یا قابلیت های آنها^(Their)

سرقت اطلاعات افراد و استفاده از آن برای منافع شخصی برای هکرها یک تجارت سودآور است. سود می تواند پولی یا انتزاعی باشد. در حالی که هک، فیشینگ و مهندسی اجتماعی روش‌های رایجی هستند، هکرها همچنین از وب‌سایت‌های دیگران برای به خطر انداختن رایانه‌های کاربران و دسترسی به داده‌های آن‌ها استفاده می‌کنند. تصویر زیر تصوری از تهدیدات وب سایت به شما می دهد.

بنابراین، وظیفه یک وب مستر این است که مطمئن شود وب سایت او عاری از هر گونه کد مخرب و آسیب پذیری است. با توجه به اینکه ممکن است هزاران صفحه وجود داشته باشد و هکر به طور انتخابی کد را در برخی از صفحات وارد کند، کار آسانی نیست. از آنجایی که موضوع شهرت شماست، باید این کار را انجام دهید. خوشبختانه، ابزارهایی در دسترس هستند که می‌توانند وب‌سایت‌های شما را روزانه اسکن کنند تا گزارشی از کدهای عفونی و نقاط آسیب‌پذیری (مانند صفحه‌های ورود، فرم‌ها و غیره) به شما ارائه دهند.

علاوه بر این، مرورگرها و پلاگین های مرورگر در دسترس هستند که وقتی می خواهید از یک وب سایت مخرب و آلوده بازدید کنید، زنگ هشدار را ایجاد می کنند. اگرچه ممکن است قبلاً از آن سایت بازدید کرده باشید، و اگر چه ممکن است برای شما سخت باشد که باور کنید سایتی که به آن اعتماد دارید آلوده شده است، ممکن است واقعاً مخرب باشد بدون اینکه مدیر وب سایت از آن مطلع باشد – زیرا یک ساعت قبل، یک هکر مقداری کد را به سایت اضافه کرد. سایت.

صحبت از بدترین سناریوها - یا قابلیت های تهدیدات وب سایت - دو جنبه اصلی آسیب وجود دارد:

1. وب مسترها ممکن است پایگاه مصرف کننده خود را از دست بدهند زیرا مرورگر بازدیدکنندگان هنگام تلاش برای بازدید از سایت آنها زنگ هشداری را ایجاد می کند. موتورهای جستجوی گوگل^(Google) و غیره ممکن است در صورت یافتن هر نوع کد مخرب هنگام خزیدن در وب سایت، وب سایت را در لیست سیاه قرار دهند.
2. در سمت کاربر، رایانه کاربر و در نتیجه داده‌های وی در معرض خطر قرار می‌گیرد و می‌تواند منجر به سرقت هویت شود.

انواع رایج تهدیدات وب سایت

رایج ترین و مورد توجه کلیک جک^{(clickjacking)} است . در این روش، یک لایه شفاف از کدهای مخرب روی یک دکمه یا ویدیو قرار می گیرد. وقتی روی دکمه کلیک می کنید، کد را در رایانه شما دانلود می کند. ممکن است روش‌های مشابهی را برای تبلیغات در وب‌سایت‌های درجه C^(C-grade) دیده باشید که بیشتر مربوط به دزدی دریایی و محتوای بزرگسالان و غیره است.

آسیب‌پذیری‌های تغییر مسیر وب‌سایت^{(Website redirection)} هکرها را قادر می‌سازد تا از تغییر مسیرها برای دستاوردهای خود استفاده کنند. آنها می توانند داده های رد و بدل شده را رهگیری کنند یا از تغییر مسیر برای هدایت کاربران به یک سایت فیشینگ استفاده کنند.

در میان انواع دیگر وب سایت ها، تهدیدات، حملات هدفمند با استفاده از کیت های بهره برداری آماده^{(readymade exploit kits)} ای هستند که به راحتی در اینترنت^(Internet) در دسترس هستند . این کیت ها هکرها را قادر می سازند تا وب سایت های خاصی (انواع) را هدف قرار دهند و لینک های مخرب به آنها اضافه کنند. روش دیگر ارسال ایمیل هایی به وب سایت با لینک های مخرب است که مدیر وب سایت ناشناس را دور می زند تا آن را به یک وب سایت مخرب تبدیل کند.

حملات اخیر به وب سایت های محبوب نشان می دهد که حتی بزرگترین وب سایت ها نیز آسیب پذیر هستند. افرادی که یک بار اعتبار خود را از دست می دهند، به احتمال زیاد دوباره به سایت باز نمی گردند.

تصور^(Imagine) کنید کسب و کار یا وب سایت تجارت الکترونیک شما در لیست سیاه قرار می گیرد و هفته ها در تاریکی قرار می گیرید تا زمانی که موتورهای جستجو دوباره آنها را در لیست سفید قرار دهند. در حالی که روند حذف یک وب سایت از لیست سیاه دشوار است، اگر کسب و کار شما برای هفته ها در معرض دید عموم قرار نگیرد، می تواند دوام بیاورد؟

بخوانید^(Read) : چگونه اسکریپت استخراج رمزنگاری Coinhive را از وب سایت خود حذف کنید.

چگونه وب سایت ها را ایمن نگه داریم

• نرم^{(Up-to-date software)} افزار به روز: نرم افزار سرور وب سایت خود را به طور کامل به روز و وصله نگه دارید
• گواهینامه های SSL:^{(SSL Certificates:)} شرکت هایی که گواهینامه های ایمنی ارائه می دهند قبل از صدور گواهی اعتماد، وب سایت شما را بررسی می کنند. قسمت سبز رنگ در نوار آدرس در کنار "https" تا حدی به کاربران وب سایت اطمینان می دهد.
• رمزگذاری:^{(Encryption:)} برای هر کاری که کاربران در وب سایت شما انجام می دهند، از یک اتصال امن استفاده کنید، به خصوص اگر درگیر تراکنش باشد.
• ارتقا به EV SSL: ^{(Upgrade to EV SSL: )} این کار را در هر قسمت از وب سایت که مشتری ممکن است داده وارد کند انجام دهید
• اسکن روزانه بدافزار:^{(Daily Malware Scan:)} می توانید از محصولاتی استفاده کنید که صفحات وب سایت شما را برای بدافزار اسکن می کنند بدون اینکه زمان بارگذاری آنها کاهش یابد. به این ترتیب، می توانید کد مخرب را - در صورت وجود - قبل از اینکه کاربران تحت تأثیر قرار گیرند، حذف کنید.
• ارزیابی هفتگی آسیب‌پذیری‌ها:^{(Weekly Assessment of Vulnerabilities:)} نقاط احتمالی آسیب‌پذیری را بررسی کنید و امنیت بیشتری را در آنجا پیاده‌سازی کنید.^(Check)

موارد بالا تنها چند نکته برای ایمن سازی وب سایت شما هستند. تهدیدات وب سایت ها و قابلیت های آنها را به طور خلاصه توضیح می دهد.

اکنون بخوانید^{(Now read)} : چگونه یک سایت وردپرس را ایمن کنیم^{(How to secure a WordPress site)} .

امروز بعداً در مورد دانلودهای Drive-by^{(Drive-by downloads)}  و چند روز دیگر در مورد نحوه ایمن نگه داشتن وب سایت وردپرس خواهیم خواند.^(WordPress)

How to keep websites secure: Threats and Dealing with Vulnerabilities

Visiting a malicіous website can be one of the worst things that cаn happen to people browsing the Internet, еspecially the ones іnterested in shopping online. Webmasters need to knоw threats for and of websites, and their devastating capabilіties – loѕing consυmer base being the first. If you run a website or blog, you need to know аbout the possible website thrеats. This article talks of the threats and their outcomes, somе methods used by hackеrs to malign your website, and then discuss ways on how to keep websites secure.

Website Threats and Their Effects or Capabilities

It is a profitable business for hackers to steal people’s data and use it for personal gains. The gains can be monetary or abstract. While hacking, phishing, and social engineering are common methods, hackers also use other people’s websites to compromise users’ computers and access their data. The following image gives you an idea of website threats.

It is, therefore, a webmaster’s job to make sure his or her website is free of any malicious code and vulnerability. That is not an easy job considering that there might be thousands of pages and the hacker selectively inserts the code on some pages. Since it is a matter of your reputation, you have to do it. Fortunately, there are some tools available that can scan your websites daily to present you with a report of infectious code and vulnerability points (like login screens, forms, etc.).

In addition, browsers and browser plugins are available that trigger an alarm when you are about to visit a malicious, infected website. Though you might have visited that site before, and though it might be hard for you to believe that a site you trust is infected, it may really be malicious without the webmaster knowing it – because an hour earlier, some hacker added some code to the site.

Speaking of worst-case scenarios – or capabilities of website threats – there are two major sides of damage:

1. Webmasters may lose their consumer base as visitors’ browser triggers an alarm when they attempt to visit their site; Google etc. search engines may blacklist the website if they find any type of malicious code while crawling the website.
2. On the user side, the user’s computer and hence his/her data is compromised and can result in identity theft.

Common Types of Website Threats

The most common and noticed is clickjacking. In this method, a transparent layer of malicious code sits on a button or video. When you click on the button, it downloads the code to your computer. You might have seen similar methods for advertising on C-grade websites, mostly related to piracy and adult content, etc.

Website redirection vulnerabilities enable hackers to use the redirections for their gains. They can either intercept data being exchanged or use the redirection to redirect users to a phishing site.

Among other types of websites, threats are targeted attacks using readymade exploit kits available easily on the Internet. These kits enable the hackers to target certain (types of) websites and add malicious links to them. Another method is to send emails to the website with malicious links that bypass the unsuspecting webmaster to make it a malicious website.

The recent attacks on popular websites indicate that even the biggest websites are vulnerable. People who once lose their credentials are not likely to return to the site again.

Imagine your business or e-commerce website getting blacklisted and you are left in dark for weeks until the search engines whitelist them again. While the process to get a website removed from blacklists is tough, can your business survive if it is not on the public view for weeks?

Read: How to remove Coinhive crypto-mining script from your website.

How to keep websites secure

• Up-to-date software: Keep your website server software fully updated and patched
• SSL Certificates: The companies offering safety certificates check your website before issuing the certificate of trust. The green part on the address bar next to “https” provides some assurance to the users of the website.
• Encryption: Use a secure connection for anything users do on your website, especially if involved in transactions.
• Upgrade to EV SSL: Do this in any part of the website where the customer may enter data
• Daily Malware Scan: You can use products that scans your website pages for malware without reducing their load time. This way, you can remove the malicious code – in case it is there – before users are affected.
• Weekly Assessment of Vulnerabilities: Check for possible points of vulnerabilities and implement additional security there.

The above are just a few tips for securing your website. It explains threats to websites and their capabilities in brief.

Now read: How to secure a WordPress site.

Later today, we will read about Drive-by downloads and in a few days about how to keep a WordPress website secure.

Related posts

• Browser Security Test برای بررسی اگر Browser خود را امن است

• چگونه به استفاده از و اضافه کردن Work/School حساب به Microsoft Authenticator app

• نحوه غیرفعال کردن کلاس های ذخیره سازی قابل جابجایی و دسترسی به Windows 10

• Delete Files Permanently با استفاده از File Shredder software رایگان برای Windows

• Tiny Security Suite به شما کمک می کند رمزگذاری، تکه تکه کردن و محافظت از فایل ها بر روی کامپیوتر شما

• Internet Security article and tips برای کاربران Windows 10

• Windows Security تنظیمات در Windows 10

• چگونگی پیدا کردن حساب های مرتبط با Email address and Phone number

• راهنمایی برای کاربران ایمیل: امنیت و محافظت از خود را email account

• حفاظت از Master Boot Record کامپیوتر خود را با MBR Filter محافظت کنید

• چگونه به فعال یا غیر فعال از Windows Security Center اطلاعیه

• نحوه بازنشانی Windows Security app در Windows 10

• حادثه Response توضیح داده شده: مراحل و Open Source software

• SSuite Picsel Security به شما اجازه می دهد پیام ها را در تصاویر رمزگذاری کنید

• Emsisoft Browser Security بلوک malware and phishing attacks

• چگونه WiFi خود را حفظ کنید - Know که متصل هستند

• چگونه به سفارشی Support Contact Information در Windows Security

• Kernel Security Check Failure error در Windows 10

• Convert به طور بالقوه PDFs خطرناک خطرناک است، اسناد و تصاویر به فایل های ایمن

• Internet Security Suite Software Best رایگان برای Windows 10