به عنوان شرکت یا فردی که یک فروشگاه اینترنتی یا هر تجارت آنلاینی را رهبری می‌کنید، باید برای امنیت برند و سایت خود اهمیت ویژه ای قایل شوید. پس این ده نکته حیاتی را برای افزایش ضریب امنیتی سیستم خود، از دست ندهید:

به جای سرورهای اشتراکی، از یک سرور اختصاصی برای سایت خود استفاده کنید
اکثر شرکت های سرویس دهنده‌ی هاست، فایل‌ها و سایت‌های زیادی را به صورت اشتراکی بر روی یک سرور قرار می‌دهند که علت اصلی این کار، افزایش درآمد است. بدین ترتیب سایت‌های مختلفی بر روی یک سرور در حال سرویس‌گیری هستند و علاوه بر سخت افزار، برخی نرم‌افزارها و اسکریپت‌ها برای اجرای برنامه‌های همه سایت‌ها(مواردی مانند سرویس‌های ایمیل و کنترل پنل‌ها) در حال اجرا هستند. این بدین معنی است که فقط شما و شرکت شما به سرور مربوطه دسترسی ندارد و احتمالاً صدها شخص و کمپانی دیگر به این سرور دسترسی‌هایی دارند. اگر یکی از این مشتریان که سایتش به صورت مشترک با شما روی یک سرورقرار دارد، مسایل امنیتی را رعایت نکند و هک شود، سایت و اطلاعات شما را نیز در معرض خطر قرار داده است.

استفاده از یک سرور اشتراکی به این معنی است که فردی که برای دسترسی به اطلاعات شما تلاش می‌کند، بخاطر وجود سایت‌های زیاد، انتخاب‌های زیادی برای دسترسی به سرور داشته باشد.

در مقابل، استفاده از سرور اختصاصی، یک امتیاز امنیتی برای سایت شما محسوب می‌شود. وقتی شما از سرور اختصاصی استفاده کنید، فقط سایت شما است که به سرور و برنامه‌های آن دسترسی دارد. بدین ترتیب شما می‌توانید به طور کامل بر سرور و برنامه تحت اجرای آن نظارت داشته و از امنیت سایت خود مطمئن باشید.

همیشه گوش به زنگ بسته های به روزرسانی و وصله‌های امنیتی برنامه‌های سرورتان باشید و به سرعت آن‌ها را نصب کنید
امنیت اطلاعات و سرور، که مهمترین مساله برای یک مشتری است، اغلب اوقات کمترین اهمیت را برای شرکت‌های ارائه دهنده‌ی هاست، دارد. (و حتی شاید برایشان مهم نباشد!)
شرکت‌های ارائه دهنده هاست، هنگام قرارداد می گویند که از امن‌ترین و بهترین نرم‌افزارهای امنیتی برای حفاظت از اطلاعات سایت شما استفاده می‌کنند، اما اگر آن‌ها برنامه‌های در حال اجرا را به روز نکنند و وصله‌های امنیتی را روی آنها نصب ننمایند، سایت شما در برابر انواع خطرات آسیب‌پذیر خواهد بود. (دقت کنید که نصب وصله‌های امنیتی باید در اولین فرصت و کمترین زمان ممکن انجام شود، زیرا هکر محترم هم همزمان با ارائه بسته امنیتی از سوراخ موجود در سایت تان مطلع خواهد شد!)

وقتی‌که شرکت ارائه دهنده یک نرم‌افزار، بسته‌های امنیتی‌ای را برای ترمیم ایراد‌های امنیتی نرم‌افزارش ارسال می‌کند، لازم است که این بسته‌ها به سرعت نصب شوند تا مبادا هکر بتواند زودتر اقدام کند و به سایت شما نفوذ کرده و اطلاعات تان را به سرقت ببرد. پس در صورتی به دنبال یک شرکت مطمئن برای خرید هاست می گردید، باید بدانید که بررسی مرتب و نصب منظم و سریع بسته‌های امنیتی و به روز رسانی‌ها، از اهمیت خاصی برخوردار است. در صورتی که شرکت مذکور در به روز رسانی و نصب وصله‌های امنیتی کوتاهی کند، این امنیت سایت شما است که به خطر می‌افتد.

از اجرای نرم افزار‌هایی که به آنها احتیاجی ندارید، پرهیز کنید
اکثر شرکت‌های هاستینگ، معمولاً تعدادی سرویس را به مشتریان پیشنهاد می‌دهند؛اما باید دقت کنید، هر نرم‌افزاری که روی سرور شما در حال اجرا است، ممکن است راه نفوذی برای ورود هکرها و در نتیجه نابودی سایت شما باشد. برای مثال یکی از آسیب‌پذیرترین برنامه‌های ممکن، وب میل است. پس اگر سرویس‌دهنده نرم‌افزاری را به شما پیشنهاد می‌دهد که در عمل نیاز چندانی به آن ندارید، بهتر است که از نصب آن بر روی سرور اجتناب کنید. علاوه بر این بعضی برنامه‌ها هستند که سرویس‌دهنده‌ها به طور معمول آنها را نصب می کنند، در حالی‌که وقتی صحبت از امنیت به میان می‌آید، این برنامه‌ها به هیچ وجه مناسب نیستند؛ FTP مثال خوبی برای این نرم افزارها است که همه دارندگان سایت به آن نیاز دارند، اما در صورتی که از برنامه‌های FTP رمزنگاری نشده استفاده شود یک حفره امنیتی بزرگ در سایت شما ایجاد خواهد کرد. علاوه بر این هنگام استفاده از FTP بهتر است که محدودیت دسترسی برای IP های خاصی تعریف شود و بقیه کاربران به این سرویس دسترسی نداشته باشند.

همیشه پیگیر تغییرات و به روز رسانی های سرور باشید
وقتی که امنیت سایت اهمیت پیدا می کند، شما نمی‌توانید اجازه دهید که هر کسی به فایل‌های سایت تان دسترسی داشته باشد، چرا که این عمل می‌تواند باعث ایجاد ناهنجاری و هرج و مرج در روند نگه داری اطلاعات حیاتی مشتریان تان شود. به همین دلیل باید تا حد ممکن دسترسی به سایت را محدود نموده و فقط در اختیار افراد معدودی گذاشتد. بهتر است یکی از کارمندان تان را مسئول پیگیری این امور نمایید تا همیشه از زمان و دلیل تغییراتی که شرکت هاستینگ در سرور اجاره ای تان می‌دهد با خبر باشد و شرکت فروش هاست موظف به ارائه جزئیات به این فرد باشد.

زیرا هر گونه تغییر بی مورد یا نامشخص در برنامه‌ها و فایل‌ها می‌تواند نشانه‌ای از یک خطر امنیتی باشد، به همین منظور باید به طور پیوسته و مستمر، سایت خود را مرور کرده و داده‌ها و برنامه‌ها را در سرور بررسی کنید.

فرد مسئول پشتیبانی فنی سرورتان در شرکت ارائه هاست را شناسایی کنید و زمان انجام تغییرات را پیگیری کنید
نکته‌ی مهم در مورد تغییراتی که بر روی سرور و سایت اعمال می‌شود (هرچند کوچک و کم اهمیت)، این است که بدانید دقیقاً چه کسی و در چه زمانی تغییر مزبور را انجام داده است. با استفاده از سیستم کنترل تغییرات، تصحیح خطاهای احتمالی سایت ساده‌تر و سریعتر انجام می‌شود. همچنین شما می‌توانید هر گونه بدافزار و فایل مخرب احتمالی رادر سریعترین زمان ممکن شناسایی کنید.

به یاد داشته باشید که فقط خطرات خارجی برای شما دردسر ساز نیستند؛ در صورتیکه شما دسترسی‌های زیادی را برای همکاران و کارمندان غیرقابل اعتماد خود در نظر گرفته باشید، خطری که متوجه سایت شما است، از خطر هر هکری بیشتر است. پس علاوه بر بررسی مکرر فایلها و سایت خود، از درستکاری همکاران خود مطمئن شوید و حداقل دسترسی‌های لازم را به آنها بدهید.

از امنیت فیزیکی سرور و داده‌های خود مطمئن شوید
به همان اندازه که محدود کردن دسترسی به اسناد و مدارک شرکت تان اهمیت دارد، کنترل دسترسی به کامپیوتری که سایت تان روی آن میزبانی می‌شود هم مهم است.

شاید سرور شما از امنیت بالا و سیستم‌های رمزنگاری مناسبی برخوردار باشد، اما آیا در اتاق سرور هم قفل است؟ به یاد داشته باشید که در نهایت اطلاعات شما بر روی یک سری سخت‌افزار ذخیره شده‌اند. آیا می‌دانید شرکت هاستینگ شما با یک هارددیسک سوخته چه کار می‌کند؟ اگر آنها این هارددیسک را به طرز صحیحی نابود نکنند، ممکن است اطلاعات شما به دست چه کسانی بیفتد؟

به هر حال در صورتی که چنین اتفاقی بیافتد، شما بطور قانونی حقی برای شکایت ندارید. راه حل این است که قبل از انتخاب شرکت هاستینگ، مطمئن شوید که آن شرکت دارای گواهینامه‌های امنیتی ISO?/?IEC 27001 و 27002 باشد. فقط شرکت‌هایی که استانداردهای امنیت مجازی و فیزیکی اطلاعات مشتریان را رعایت می‌کنند، دارای این گواهینامه‌ها هستند. پس در صورتی که شرکت ارائه دهنده فضای سایت شما دارای این دو گواهینامه‌ی معتبر باشد، قابل اعتماد است.

برای امنیت داده‌های کاربران، با شرکت هاستینگ قرارداد رسمی ببندید
مطمئناً شما برای فروش کالاها و خدماتی که به کاربران می‌دهید، اطلاعاتی همانند نام، ایمیل، آدرس، تلفن و .. را دریافت می‌کنید که این داده‌ها در هاست ذخیره می‌شوند. اما در صورتی که با وجود اقدامات امنیتی و حفاظتی، به هر دلیلی اطلاعات سایت شما دزدیده شود، تکلیف اطلاعات شخصی کاربران و خریداران شما (Personally Identifiable Information ?-? PII) چیست؟ شاید جالب باشد که بدانید در بسیاری از کشورها حتی اگر شما هم در این زمینه مقصر نباشید و لو رفتن اطلاعات از طرف شرکت هاستینگ اتفاق افتاده باشد، باز هم مسئولیت حقوقی این مساله با شما است و باید پاسخگو باشید.

اغلب شرکت‌های هاستینگ معمولاً زیر بار مسئولیت این اطلاعات نمی‌روند و حتی در صورت هک شدن سرورشان، مسئولیتی را متقبل نمی شوند. اما شما باید این نکته را هم در قراردادی رسمی که با شرکت هاستینگ می‌بندید، ذکر کنید. یعنی قرارداد باید طوری نوشته شود که مسئولیت امنیت این اطلاعات مهم مشخص باشد.

پیاده‌سازی Code Sanitizing برای فیلدهای ورود اطلاعات
code sanitizing اصطلاحی رایج به معنای پاکسازی کدها از اسکریپت‌ها و کدهای مخرب است که اجازه ورود هر داده‌ای را به دیتابیس(پایگاه داده ها) نمی‌دهد?، بلکه ابتدا کارکترها و رشته‌های ورودی را بررسی می‌کند و در صورت وجود کد مخرب یا به درد نخور، آن را پاکسازی می‌کند و یا از ورود آن به پایگاه داده‌های سایت، جلوگیری می‌کند.?

باید توجه داشته باشید، هر کجا که کاربر می‌تواند اطلاعات وارد کند، به صورت بالقوه می‌تواند حفره ورودی خطرناکی باشد. فرض کنید همه ورودی‌های یک صفحه با نیت‌های بدخواهانه و خرابکارانه پر شوند، بدین ترتیب، اگر code sanitizing را رعایت نکرده باشید، امکان دارد کاربران خواسته یا ناخواسته کارکتر یا رشته‌ای را وارد دیتابیس سایت شما کنند. با این وضع تصور کنید که یک دستور SQL اجرا شود و قسمتی از داده‌ها را پاک کند. بدون شک تحمل چنین فاجعه‌ای برای هر مدیر سایتی غیرممکن است. پس برای جلوگیری از چنین مواردی، باید اصول code sanitizing را رعایت کنید، تا از خطر در امان بمانید.

سایت خود را هم به لیست سایت‌هایی که روزانه مرور می‌کنید، اضافه نمایید
لازم است که سایت خود را در بازه‌های زمانی مشخص بررسی کرده و وجود Malware و اسکریپت‌های خطرناک در آن را کنترل کنید. برای این کار سرویس‌های مختلفی ?(malware checking service)? وجود دارد که به شما امکان بررسی سایت تان را می‌دهد. شما می‌توانید با استفاده از سرویس‌هایی که به این منظور طراحی شده‌اند، از وضعیت سلامت و امنیت سایت خود مطلع شوید. البته استفاده از بسیاری از این سرویس‌ها مستلزم پرداخت هزینه خواهد بود که کار را برای ایران کمی مشکل می کند.

همیشه ایمیل‌هایی را که از سرور شما فرستاده می شوند، اسکن کنید.
در صورتی که هکر یا یکی از کارمندان تان، اقدام به ارسال ایمیل‌های اسپم از سرور شما کند، سرور شما در لیست ارسال کننده‌های اسپم قرار گرفته? و از آن به بعد کلیه ایمیل‌هایی که از سرور شما ارسال می‌شود، در سرویس دهنده های عمومی و اختصاصی ایمیل مستقیماً به پوشه اسپم فرستاده شده و مشاهده نمی شوند.

همچنین در صورتی که شما یکی از قربانیان هرزنامه ها (اسپم) باشید و این نکته امنیتی را به کار نبندید، ناخواسته به یکی از عاملان انتشار آن خواهید بود. پس همیشه و همه ایمیل‌هایی را که از سرورتان ارسال می گردند، با برنامه‌های مناسب کنترل کنید و اطمینان حاصل کنید که حاوی هیچ کد مخربی نیستند!?