يمكن أن تكون زيارة موقع ويب ضار من أسوأ الأشياء التي يمكن أن تحدث للأشخاص الذين يتصفحون الإنترنت^(Internet) ، وخاصة المهتمين بالتسوق عبر الإنترنت. يحتاج مشرفو المواقع إلى معرفة التهديدات لمواقع الويب وإمكاناتها المدمرة - حيث يكون فقدان قاعدة المستهلكين هو الأول. إذا كنت تدير موقعًا إلكترونيًا أو مدونة ، فأنت بحاجة إلى معرفة التهديدات المحتملة لموقع الويب. تتحدث هذه المقالة عن التهديدات ونتائجها ، وبعض الأساليب التي يستخدمها المتسللون للإساءة إلى موقع الويب الخاص بك ، ثم مناقشة طرق حول كيفية الحفاظ على أمان مواقع الويب.

^(Website) تهديدات ^(Threats)موقع الويب^(Effects) وتأثيراتها أو قدراتها^(Their)

كيف تحافظ على مواقع الويب آمنة

إنه عمل مربح للمتسللين لسرقة بيانات الأشخاص واستخدامها لتحقيق مكاسب شخصية. يمكن أن تكون المكاسب نقدية أو مجردة. في حين أن القرصنة والتصيد الاحتيالي والهندسة الاجتماعية من الأساليب الشائعة ، يستخدم المتسللون أيضًا مواقع الويب الخاصة بأشخاص آخرين لتعريض أجهزة كمبيوتر المستخدمين للخطر والوصول إلى بياناتهم. الصورة التالية تعطيك فكرة عن تهديدات الموقع.

لذلك ، فإن مهمة مشرف الموقع هي التأكد من خلو موقعه أو موقعها من أي شفرة ضارة أو نقاط ضعف. هذه ليست مهمة سهلة بالنظر إلى أنه قد يكون هناك آلاف الصفحات ويقوم المخترق بإدراج الشفرة بشكل انتقائي في بعض الصفحات. نظرًا لأن الأمر يتعلق بسمعتك ، فعليك القيام بذلك. لحسن الحظ ، هناك بعض الأدوات المتاحة التي يمكنها فحص مواقع الويب الخاصة بك يوميًا لتزويدك بتقرير عن التعليمات البرمجية المعدية ونقاط الضعف (مثل شاشات تسجيل الدخول والنماذج وما إلى ذلك).

بالإضافة إلى ذلك ، تتوفر المتصفحات والمكونات الإضافية للمتصفح التي تطلق إنذارًا عندما تكون على وشك زيارة موقع ويب ضار ومصاب. على الرغم من أنك ربما تكون قد زرت هذا الموقع من قبل ، وعلى الرغم من أنه قد يكون من الصعب عليك تصديق أن موقعًا تثق به مصابًا ، فقد يكون حقًا ضارًا دون أن يعرفه مشرف الموقع - لأنه قبل ساعة ، أضاف بعض المتسللين بعض التعليمات البرمجية إلى موقع.

عند الحديث عن أسوأ السيناريوهات - أو قدرات تهديدات موقع الويب - هناك جانبان رئيسيان للضرر:

قد يفقد مشرفو المواقع قاعدة عملائهم لأن متصفح الزوار يطلق إنذارًا عند محاولتهم زيارة موقعهم ؛ قد تقوم محركات البحث Google^(Google) وما إلى ذلك بإدراج موقع الويب في القائمة السوداء إذا عثروا على أي نوع من الشفرات الضارة أثناء الزحف إلى موقع الويب.
من جانب المستخدم ، يتعرض كمبيوتر المستخدم وبالتالي بياناته للخطر ويمكن أن يؤدي إلى سرقة الهوية.

الأنواع الشائعة لتهديدات مواقع الويب

الأكثر شيوعًا والملاحظة هو النقر فوق الاختراق^{(clickjacking)} . في هذه الطريقة ، توجد طبقة شفافة من التعليمات البرمجية الضارة على زر أو مقطع فيديو. عند النقر فوق الزر ، يقوم بتنزيل الرمز على جهاز الكمبيوتر الخاص بك. ربما تكون قد شاهدت طرقًا مماثلة للإعلان على مواقع الويب من الدرجة C^(C-grade) ، تتعلق في الغالب بالقرصنة ومحتوى البالغين ، وما إلى ذلك.

تمكن نقاط الضعف في إعادة توجيه موقع الويب^{(Website redirection)} المتسللين من استخدام عمليات إعادة التوجيه لتحقيق مكاسبهم. يمكنهم إما اعتراض البيانات التي يتم تبادلها أو استخدام إعادة التوجيه لإعادة توجيه المستخدمين إلى موقع تصيد.

من بين أنواع مواقع الويب الأخرى ، التهديدات عبارة عن هجمات مستهدفة باستخدام مجموعات أدوات الاستغلال الجاهزة^{(readymade exploit kits)} المتاحة بسهولة على الإنترنت^(Internet) . تمكن هذه المجموعات المتسللين من استهداف (أنواع) معينة من مواقع الويب وإضافة روابط ضارة إليها. هناك طريقة أخرى تتمثل في إرسال رسائل بريد إلكتروني إلى موقع الويب تحتوي على روابط ضارة تتجاوز مشرف الموقع المطمئن لجعله موقع ويب ضارًا.

تشير الهجمات الأخيرة على مواقع الويب الشهيرة إلى أنه حتى أكبر مواقع الويب معرضة للخطر. من غير المرجح أن يعود الأشخاص الذين فقدوا بيانات اعتمادهم مرة أخرى إلى الموقع مرة أخرى.

تخيل^(Imagine) أن عملك أو موقع التجارة الإلكترونية الخاص بك يتم إدراجه في القائمة السوداء وتركك في الظلام لأسابيع حتى تقوم محركات البحث بإدراجها في القائمة البيضاء مرة أخرى. في حين أن عملية إزالة موقع ويب من القوائم السوداء صعبة ، فهل يمكن لعملك أن يستمر إذا لم يكن معروضًا للجمهور لأسابيع؟

قراءة^(Read) : كيفية إزالة البرنامج النصي لتعدين العملات المشفرة Coinhive من موقع الويب الخاص بك.

كيف تحافظ على مواقع الويب آمنة

برنامج محدث^{(Up-to-date software)} : حافظ على تحديث برنامج خادم موقع الويب الخاص بك بالكامل وتصحيحه
شهادات SSL:^{(SSL Certificates:)} تقوم الشركات التي تقدم شهادات الأمان بفحص موقع الويب الخاص بك قبل إصدار شهادة الثقة. يوفر الجزء الأخضر الموجود في شريط العنوان بجوار "https" بعض التأكيد لمستخدمي موقع الويب.
التشفير:^{(Encryption:)} استخدم اتصالاً آمنًا لأي شيء يفعله المستخدمون على موقع الويب الخاص بك ، خاصةً إذا شاركوا في معاملات.
الترقية إلى EV SSL: ^{(Upgrade to EV SSL: )} قم بذلك في أي جزء من موقع الويب حيث يمكن للعميل إدخال البيانات
الفحص اليومي للبرامج الضارة:^{(Daily Malware Scan:)} يمكنك استخدام المنتجات التي تفحص صفحات موقعك على الويب بحثًا عن البرامج الضارة دون تقليل وقت تحميلها. بهذه الطريقة ، يمكنك إزالة التعليمات البرمجية الضارة - في حالة وجودها - قبل أن يتأثر المستخدمون.
التقييم الأسبوعي للثغرات الأمنية: ^{(Weekly Assessment of Vulnerabilities:)} تحقق^(Check) من نقاط الضعف المحتملة وقم بتنفيذ أمان إضافي هناك.

ما سبق هو مجرد بعض النصائح لتأمين موقع الويب الخاص بك. يشرح التهديدات التي تتعرض لها المواقع وقدراتها بإيجاز.

اقرأ الآن^{(Now read)} : كيفية تأمين موقع WordPress^{(How to secure a WordPress site)} .

في وقت لاحق اليوم ، سنقرأ عن تنزيلات Drive-by^{(Drive-by downloads)} وفي غضون أيام قليلة عن كيفية الحفاظ على أمان موقع WordPress .

How to keep websites secure: Threats and Dealing with Vulnerabilities

Visiting a malicious website can be one of the worst things that can happen to people browsing the Internet, espeсially thе ones interested in shopping online. Webmasters need to know threats for and of websіteѕ, and their devastating caрabilities – losing consumer base being the fіrst. If you run a website or blog, you neеd to know about the possible website threats. This article talks of the threats and their outcomes, some methods used by hackеrs to malign your website, and then discuss ways on how to keep websites secure.

Website Threats and Their Effects or Capabilities

How to keep websites secure

It is a profitable business for hackers to steal people’s data and use it for personal gains. The gains can be monetary or abstract. While hacking, phishing, and social engineering are common methods, hackers also use other people’s websites to compromise users’ computers and access their data. The following image gives you an idea of website threats.

It is, therefore, a webmaster’s job to make sure his or her website is free of any malicious code and vulnerability. That is not an easy job considering that there might be thousands of pages and the hacker selectively inserts the code on some pages. Since it is a matter of your reputation, you have to do it. Fortunately, there are some tools available that can scan your websites daily to present you with a report of infectious code and vulnerability points (like login screens, forms, etc.).

In addition, browsers and browser plugins are available that trigger an alarm when you are about to visit a malicious, infected website. Though you might have visited that site before, and though it might be hard for you to believe that a site you trust is infected, it may really be malicious without the webmaster knowing it – because an hour earlier, some hacker added some code to the site.

Speaking of worst-case scenarios – or capabilities of website threats – there are two major sides of damage:

Webmasters may lose their consumer base as visitors’ browser triggers an alarm when they attempt to visit their site; Google etc. search engines may blacklist the website if they find any type of malicious code while crawling the website.
On the user side, the user’s computer and hence his/her data is compromised and can result in identity theft.

Common Types of Website Threats

The most common and noticed is clickjacking. In this method, a transparent layer of malicious code sits on a button or video. When you click on the button, it downloads the code to your computer. You might have seen similar methods for advertising on C-grade websites, mostly related to piracy and adult content, etc.

Website redirection vulnerabilities enable hackers to use the redirections for their gains. They can either intercept data being exchanged or use the redirection to redirect users to a phishing site.

Among other types of websites, threats are targeted attacks using readymade exploit kits available easily on the Internet. These kits enable the hackers to target certain (types of) websites and add malicious links to them. Another method is to send emails to the website with malicious links that bypass the unsuspecting webmaster to make it a malicious website.

The recent attacks on popular websites indicate that even the biggest websites are vulnerable. People who once lose their credentials are not likely to return to the site again.

Imagine your business or e-commerce website getting blacklisted and you are left in dark for weeks until the search engines whitelist them again. While the process to get a website removed from blacklists is tough, can your business survive if it is not on the public view for weeks?

Read: How to remove Coinhive crypto-mining script from your website.