تجنب الإصابة بالبرامج الضارة

التنبّه الدائم هو الحل لتجنُّب الإصابة بالبرامج الضارة. تتضمن هذه المقالة نصائح وتوجيهات لتجنُّب الإصابة بالبرامج الضارة. ويُرجى العلم بأن هذه المقالة لا تشمل جميع جوانب الموضوع، وتنصح Google مالكي المواقع الإلكترونية بإجراء عمليات بحث أكثر شمولاً.

مراقبة سلامة الموقع الإلكتروني

يمكن أن تفيدك العديد من ميزات Search Console في تحديد المشاكل المحتملة. مثلاً:

• حاوِل إجراء بحث على Google باستخدام عامل تشغيل البحث site: لمعرفة الصفحات التي اكتشفها محرّك بحث Google على موقعك الإلكتروني. ننصحك بإجراء هذا البحث من حين إلى آخر لمعرفة ما إذا كان هناك محتوى أو صفحات قد تسلّلت بشكل غير متوقّع إلى موقعك الإلكتروني. إذا رأيت صفحات غير معروفة على موقعك الإلكتروني أو مواضيع لم تكتبها، يشير ذلك إلى حدوث عملية استيلاء على موقعك الإلكتروني. في حال لم تكن تعرف، إن عامل تشغيل البحث site: عبارة عن أسلوب لجعل البحث محصورًا على موقع إلكتروني معيّن. على سبيل المثال، ستؤدي عملية البحث site:developers.google.com إلى عرض نتائج من موقع Google Developers الإلكتروني فقط.
• يعرض تقرير "مشاكل الأمان" أي صفحات مخترَقة اكتشفها محرّك بحث Google على موقعك الإلكتروني، كما يقدّم تعليمات حول كيفية حلّ المشكلة.
• إذا اكتشف محرّك البحث Google برامج ضارة على موقعك الإلكتروني، سيظهر لك إشعار في لوحة الرسائل في Search Console. لتتلقّى إشعارات بأسرع وقت ممكن، يمكنك اختيار إعادة توجيه الرسائل إلى حساب بريدك الإلكتروني.

قائمة التحقق من الأمان

بالإضافة إلى مراقبة الموقع الإلكتروني بشكل منتظم، ننصح أيضًا بما يلي:

جميع مالكي المواقع الإلكترونية

• اختَر كلمات مرور جيدة. يمكنك الاستعانة بإرشادات حساب Google.
• اختَر موفّري المحتوى التابعين لجهات خارجية بعناية. تأكّد من أن التطبيقات والإعلانات التابعة لجهات خارجية على موقعك الإلكتروني هي من مصادر موثوقة وشرعية. يوفّر المصدر الموثوق والشرعي معلومات تتعلق بفريق الدعم بالإضافة إلى معلومات الاتصال على موقعه الإلكتروني.
• تواصَل مع شركة الاستضافة أو منصة النشر للحصول على المساعدة. لدى معظم الشركات مجموعات دعم و/أو صفحات أمان مفيدة ومتجاوبة. إذا كانت صفحة الأمان أو الموقع الإلكتروني يحتوي على خلاصة RSS، اشترِك بها للاطّلاع على آخر المعلومات.
• حافِظ على أمان جميع أجهزة الكمبيوتر. بصورة خاصة عند العمل على موقع إلكتروني، تأكّد من أن محطة العمل المحلية تتضمن برامج حديثة وخالية من الفيروسات أو أحصنة طروادة أو البرامج الضارة المشابهة ومن أنها تحتوي على برنامج مكافحة فيروسات محدّث.

مالكو المواقع الإلكترونية الذين يمكنهم الدخول إلى الخادم

• تحقّق من إعدادات الخادم. يتضمّن الموقع الإلكتروني الخاص بنظام Apache بعض النصائح حول إعدادات الأمان، وتقدّم شركة Microsoft بعض موارد المركز التقني حول خادم IIS على موقعها الإلكتروني. وتتضمّن بعض تلك النصائح معلومات حول أذونات الأدلة وتضمينات جانب الخادم والمصادقة والتشفير.
• تأكّد من الاحتفاظ بنسخة احتياطية من ملف .htaccess (أو آليات التحكم في الدخول الأخرى اعتمادًا على النظام الأساسي الذي يستخدمه الموقع الإلكتروني). واستخدِم ملف النسخة الاحتياطية للاسترداد في حال لم تؤدِّ الإجراءات التالية إلى النتيجة المرجوّة. وتأكّد من حذف ملف النسخة الاحتياطية بعد الانتهاء.
• اطّلِع على آخر تحديثات البرامج ورموز التصحيح الخاصة بها. هناك أدوات كثيرة تسهّل عملية إنشاء موقع إلكتروني، ولكن كلاً منها يجعل الموقع الإلكتروني عرضة لخطر الاستغلال. ويقع العديد من مالكي المواقع الإلكترونية في خطأ تثبيت منتدى أو مدوّنة على موقعهم الإلكتروني ثم تركه بدون مراقبة. كما هي الحال عند صيانة السيارة، يجب التأكّد من أن لديك كل التحديثات الأخيرة لأي برامج مثبّتة. أنشِئ قائمة بجميع البرامج والمكوّنات الإضافية المستخدمة في موقعك الإلكتروني، وتتبَّع أرقام الإصدارات والتحديثات. وحتى إذا كنت يقظًا وتحرص على تحديث جميع مكوّنات موقعك الإلكتروني، قد لا تكون محميًّا من خطر الاختراق إذا لم يثبّت مضيف الويب أحدث رموز تصحيح نظام التشغيل. وهذه المشكلة ليست مقتصرة على المواقع الإلكترونية الصغيرة فقط، فقد صدرت تحذيرات ذات صلة لمواقع إلكترونية خاصة بمصارف وفِرق رياضية ومواقع إلكترونية خاصة بحكومات وبشركات.
• راقِب ملفات السجلّات بانتظام. هذا الإجراء مفيد بأكثر من طريقة، ومن فوائده أنه يقدّم أمانًا إضافيًّا. على سبيل المثال، قد تكون مَعلَمات عنوان URL غير المألوفة (مثل =http: أو =//) أو الارتفاعات المفاجئة في عدد الزيارات إلى عناوين URL لإعادة التوجيه على موقعك الإلكتروني دليلاً على أن ثمة مخترِق يستغل عمليات إعادة التوجيه المفتوحة. ضَع في اعتبارك أيضًا أن المخترِقين يحاولون في الغالب تبديل ملفات السجلات. اتّخِذ بعض الإجراءات لحماية تلك الملفات من الهجمات. على سبيل المثال، يمكنك نقل هذه الملفات من مكانها التلقائي، ما يجعل من الصعب على المخترِقين العثور عليها.
• تحقّق من عدم توفّر ثغرات أمنية شائعة في موقعك الإلكتروني. تجنَّب ترك أذونات الأدلة مفتوحة. يشبه ذلك ترك الباب الأمامي لمنزلك مفتوحًا على مصراعيه.

  وتحقّق أيضًا من عدم وجود أي ثغرات أمنية في XSS (النصوص البرمجية للمواقع الإلكترونية المشتركة) وفي عملية إدخال لغة الاستعلامات البنيوية (SQL).

• استخدِم بروتوكولات آمنة. تنصح Google بنقل البيانات من خلال بروتوكول النقل الآمن (SSH) وبروتوكول النقل الآمن للملفات (SFTP) بدلاً من بروتوكولات النص العادي مثل telnet أو بروتوكول نقل الملفات. تستخدم بروتوكولات SSH وSFTP التشفير وهي أكثر أمانًا.
• اطّلِع على آخر الأخبار المتعلقة بالأمان. تتضمّن المدوّنة Google Security Blog معلومات مفيدة عن الأمان والسلامة على الإنترنت، وتقدّم مراجع مفيدة أخرى. ويقدّم الموقع الإلكتروني الحكومي US-CERT (فريق الولايات المتحدة للاستعداد لطوارئ الكمبيوتر) نصائح وتنبيهات حول الأمان التقني.

إذا كنت من مستخدمي Search Console وتواجه مشاكل أمان مستمرة أو غير قابلة للحلّ على موقعك الإلكتروني، يمكنك إخبارنا بذلك.

الإبلاغ عن مشكلة تتعلّق بالأمان