تجنب الإصابة بالبرامج الضارة

اليقظة الدائمة هي الحل لتجنب البرامج الضارة. تحتوي هذه المقالة على نصائح وتوجيهات لتجنب الإصابة بالبرامج الضارة. ومع ذلك، فهي لا تشمل جميع جوانب الموضوع، وتوصي Google مشرفي المواقع بإجراء عمليات بحث أكثر شمولاً.

مراقبة سلامة الموقع

يمكن أن تفيدك العديد من ميزات Search Console في تحديد المشكلات المحتملة. مثل:

  • جرّب عامل تشغيل البحث site:‎ على Google لمعرفة الصفحات التي وجدها محرّك البحث Google على موقعك الإلكتروني. ويمكنك الاستعانة دائمًا بهذا الإجراء من آن لآخر لمعرفة ما إذا كانت هناك محتويات أو صفحات قد تسلّلت بشكل غير متوقّع إلى موقعك الإلكتروني. إذا ظهرت لك صفحات غير معروفة على موقعك الإلكتروني، أو ظهرت لك مواضيع لم تكتبها، يعني هذا أن موقعك قد يكون مخترَقًا. إذا لم تكن معتادًا على استخدام عامل تشغيل البحث site:‎، يمكنك الاستعانة به باعتباره أسلوبًا لقصر البحث على موقع معين. على سبيل المثال، لن يعرض البحث site:googleblog.blogspot.com نتائج سوى من "مدونة Google الرسمية" فقط.
  • يعرض تقرير "مشاكل الأمان" أي صفحات تم اختراقها واكتشفها محرك البحث Google في موقعك الإلكتروني، كما يعرض تعليمات حول كيفية حل المشكلة.
  • إذا اكتشف محرك البحث Google وجود برامج ضارة على موقعك، سيتم إبلاغك عبر صفحة Search Console الرئيسية كما سنرسل رسالة إلى "مركز الرسائل" التابع لك. (لضمان إعلامك بسرعة، يمكنك إعادة توجيه رسائل مركز الرسائل إلى حساب بريدك الإلكتروني)

قائمة التحقق من الأمان

بالإضافة إلى مراقبة الموقع بشكل منتظم، نوصي أيضًا بما يلي:

جميع مشرفي المواقع

  • اختر كلمات مرور جيدة. يمكن الاستفادة من إرشادات حساب Google.
  • انتقِ موفري المحتوى من الجهات الخارجية بعناية. إذا كنت تريد تثبيت تطبيق تقدمه جهة خارجية، مثل أداة أو عداد أو شبكة مواقع إعلانية، فتأكد من بذل الجهد المستحق للتأكد من سلامتها. وغالبًا ما تتم مشاركة المساحات الإعلانية مع جهات خارجية غير معروفة لمالك موقع الويب. وعلى الرغم من وجود الكثير من محتويات الجهات الخارجية الرائعة على الويب، فمن الممكن أيضًا أن يستخدم الموفرون تلك التطبيقات لنشر برامج تستغل الثغرات الأمنية، مثل النصوص البرمجية الخطيرة، لاختراق أجهزة الزائرين. وتأكد من أن التطبيق مصدره آمن وموثوق به. هل لدى التطبيق موقع ويب شرعي يحتوي على معلومات للدعم والاتصال؟ هل استخدم مشرفو المواقع الآخرون هذه الخدمة؟
  • اتصل بشركة الاستضافة أو النظام الأساسي للنشر للحصول على الدعم. لدى معظم الشركات مجموعات دعم و/أو صفحات أمان مفيدة ومتجاوبة. إذا كانت صفحة الأمان أو الموقع يحتوي على خلاصة RSS، فاشترك بها للتأكد من الاطلاع على آخر التحديثات.
  • حافظ على أمان جميع أجهزة الكمبيوتر. خاصة عند العمل على موقع ويب، تأكد من أن محطة العمل المحلية بها برامج محدثة، وخالية من الفيروسات أو أحصنة طروادة أو البرامج الضارة المشابهة ومثبت بها برنامج مكافحة فيروسات محدّث.

مشرفو المواقع الذين يمكنهم الدخول إلى الخادم

  • تحقق من تهيئة الخادم. يتضمن Apache بعض نصائح التهيئة الأمنية على موقعه كما تمتلك شركة Microsoft بعض موارد المركز التقني من أجل خادم IIS على مواقعها. تتضمن بعض تلك النصائح معلومات حول أذونات الأدلة والتضمينات من جانب الخادم والمصادقة والتشفير.
  • تأكد من الاحتفاظ بنسخة احتياطية من ملف ‎.htaccess‎‏ (أو آليات التحكم في الدخول الأخرى اعتمادًا على النظام الأساسي لموقع الويب). واستخدم ملف النسخ الاحتياطي للاستعادة في حالة إخفاق الملف التالي. وتأكد من حذف الملف الاحتياطي بعد الانتهاء.
  • كن على علم بآخر تحديثات ورموز تصحيح البرامج. توجد أدوات كثيرة لبناء موقع ويب بسهولة، ولكن كلاً منها يجعل الموقع عرضة لخطر الاختراق. ويتعرض الكثير من مشرفي المواقع لخطر شائع وهو تثبيت منتدى أو مدونة على موقع الويب ثم السهو عنه. كما هو الحال عند صيانة السيارة، يجب التأكد من أن لديك كل التحديثات الأخيرة لأي برامج مثبتة. أنشئ قائمة بجميع البرامج والمكوّنات الإضافية المستخدمة في موقع الويب، وتتبع أرقام الإصدارات والتحديثات. وحتى إذا كنت يقظًا وتحرص على تحديث جميع مكونات موقع الويب، فقد تظل عرضة للهجوم إذا لم يثبّت مضيف الويب أحدث رموز تصحيح نظام التشغيل. ولا تمثل هذه مشكلة للمواقع الصغيرة فقط، بل قد صدرت تحذيرات بشأن مواقع الويب لمصارف مالية وأندية رياضية وشركات ومواقع ويب حكومية.
  • استمر في مراقبة ملفات السجلات. فهناك العديد من المزايا عند إجراء ذلك، ومنها الأمان الإضافي. على سبيل المثال، قد تشير معلّمات URL غير المألوفة (مثل "‎=http:‎" أو "‎=//‎") أو الزيادات المفاجئة في عدد الزيارات لإعادة توجيه عناوين URL على موقعك إلى وجود مُخترِق يستغل عمليات إعادة التوجيه المفتوحة. ضع في اعتبارك أيضًا أن المخترقين يحاولون في الغالب تبديل ملفات السجلات. اتخذ بعض الإجراءات لحماية تلك الملفات من الهجوم. على سبيل المثال، يمكنك نقل هذه الملفات من مكانها الافتراضي، مما يجعل من الصعب على المخترقين العثور عليها.
  • تحقق من الموقع للتأكد من عدم وجود ثغرات أمنية شائعة. تجنب ترك أدلة بأذونات مفتوحة. ويشبه ذلك ترك الباب الأمامي لمنزلك مفتوحًا على مصراعيه.

    تحقق أيضًا من عدم وجود أية ثغرات أمنية تتيح هجمات XSS (النصوص البرمجية للمواقع المشتركة) وتضمين شفرات SQL.

  • استخدم بروتوكولات آمنة. توصي Google باستخدام SSH وSFTP لنقل البيانات، بدلاً من بروتوكولات النص العادي مثل telnet أو FTP. ويستخدم SSH وSFTP تشفيرًا، كما أنهما أكثر أمانًا. للاطلاع على ذلك والكثير من النصائح الأخرى المفيدة، اطلع على نصائح إزالة البرامج الضارة من موقع الويب وتأمينه لدى StopBadware.org.
  • كن على علم بآخر أخبار الأمان. وتوفر مدونة الأمان عبر الإنترنت من Google معلومات مفيدة عن الأمان والسلامة على الإنترنت، بالإضافة إلى معلومات عن موارد أخرى. ويقدم الموقع الحكومي US-CERT (فريق الولايات المتحدة للاستعداد لطوارئ الكمبيوتر) نصائح وتنبيهات أمان تقنية.
هل كان ذلك مفيدًا؟
كيف يمكننا تحسينها؟