This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
توصیه‌هایی برای ارتقای امنیت وب‌سایت‌های خبری

توصیه‌هایی برای ارتقای امنیت وب‌سایت‌های خبری

1353

تصور کنید چوپان دروغ‌گویی دسترسی به پنل انتشار خبر را به دست بگیرد و اخبار نادرستی را به گوش مخاطبان برساند. پس از عیان‌شدن ماجرا بر همگان, دیگر انتشار اخبار درست هم سخت می‌شود؛ چراکه مخاطبین مارگزیده حالا به ریسمان سیاه‌وسفید نیز مشکوکند...

درست است که خبررسانی از حالت سنتی دیرینه‌ی خود، به شکل نوینی تبدیل شده است. اما موضوعی که همیشه و در همه‌ی دوران‌ها لازمه‌ی حیات یک روزنامه یا وب‌سایت خبری است، امین و مورداعتمادبودن آن از جانب مردم است.

خبررسانی از حالت دیرینه‌ی خود، به شکل نوینی تبدیل شده است

آن‌چه در این بلاگ‌پست خواهید خواند:

• مثال موردی از هک وب‌سایت‌های خبرگزاری؛ تاریخ چه می‌گوید؟

• گوهر گران‌بهای اعتماد مخاطبین

• شاید برای شما هم اتفاق بیفتد...

• استفاده‌ از یک سیستم مدیریت محتوای یکسان توسط وب‌سایت‌های خبری؛ یکی برای همه، همه برای یکی

• چه اقداماتی به ارتقای امنیت وب‌سایت خبری شما کمک می‌کند؟

مثال موردی از هک وب‌سایت‌های خبرگزاری؛ تاریخ چه می‌گوید؟

پایگاه اینترنتی Wired، با استناد به شرکت امنیتی FireEye، گزارشی منتشر کرده که در آن چنین آمده است:

از سال ۲۰۱۷، گروهی هکری به نام Ghostwriter شروع به فعالیت کرده‌اند. عمده‌ی فعالیت این گروه در رابطه با رسانه‌های خبری است. این گروه هکری، با هک و نفوذ به وب‌سایت‌های خبری حامی روسیه، اخبار نادرستی را در رابطه با نیروهای نظامی ناتو و هم‌چنین ایالات متحده در آن‌ها منتشر می‌کنند. Ghostwriter با نفوذ به حساب‌های شبکه‌های اجتماعی حامی روسیه نیز، به انتشار مطالب خلاف واقع، درباره‌ی تحولات و حواشی حضور نظامی کشورهای دیگر در لهستان و منطقه‌ی بالتیک می‌پردازند.

از سال ۲۰۱۷، گروهی هکری به نام Ghostwriter شروع به فعالیت کرده‌اند. عمده‌ی فعالیت این گروه در رابطه با رسانه‌های خبری است.

گوهر گران‌بهای اعتماد مخاطبین

اعتماد و اعتبار کالاهای گران‌بهایی هستند که ذره‌ذره و در نتیجه‌ی مدت‌ها فعالیت و تلاش به دست می‌آیند، اما در صورت غفلت و بی‌توجهی, به آسانی از دست می‌روند. خبرگزاری‌ها و سایت‌های خبری اهمیت رسانه‌ای دارند و از جمله کسب‌وکارهای مبتنی بر مخاطب (Audience-based) هستند. به همین دلیل است که اعتماد مخاطبان برای چنین کسب‌وکارهایی، ارزشی دوچندان می‌یابد. اگر مخاطبینی که اخبار خود را از رسانه‌های دیجیتالی دریافت می‌کنند، بر اساس نشر یک یا چندین‌باره‌ی اخبار غلط اعتماد خود به صحت اخبار یک منبع خبری را از دست بدهند، به ندرت دوباره به آن منبع اعتماد پیدا می‌کنند.

شاید برای شما هم اتفاق بیفتد...

اگر نفوذی به CMS یا سیستم مدیریت محتوای خبرگزاری شما صورت بگیرد، شخص نفوذگر غیرمجاز یا به عبارت بهتر هکر کلاه‌سیاه می‌تواند در صفحه‌ی ایجاد خبر یا اطلاعیه‌، هر چه می‌خواهد دل تنگش، بنویسد. به این ترتیب می‌تواند خبر نادرست، با جهت‌گیری سیاسی، یا شایعه‌ای بزرگ را از این طریق منتشر کند. این اتفاق بارها و به دفعات در خبرگزاری‌های بزرگ دنیا و هم‌چنین کشور ما رخ داده است و سبب ایجاد مشکلات زیادی در جامعه شده است. نقطه‌ی آغاز همه‌ی این خطرها را می‌توان در بی‌توجهی به اهمیت امنیت جست. در اغلب موارد، در لحظات اولیه مسئولین خبرگزاری متوجه‌ی این مساله نمی‌شوند و این سبب شیوع هر چه بیش‌تر این خبر می‌شود. هر لحظه که می‌گذرد, خبر نادرست مانند ویروسی همه‌گیر, سینه‌به‌سینه منتقل می‌شود و چه‌بسا در کانال‌های مختلف نیز بازنشر شود... پس از انتشار یک خبر، تکذیبیه‌ی آن حکم نوش‌داروی بعد از مرگ سهراب را دارد و این اعتماد از دست‌رفته که مثقال‌مثقال فراهم شده بود را، از نو باید فراهم آورد.

به همین خاطر لازم است چالش‌های فنی و امنیتی را بشناسید و با مشورت و استفاده از تخصص متخصصان امنیتی در پی رفع آن‌ها باشید. اما چه چالش‌هایی؟

استفاده از یک سیستم مدیریت محتوای یکسان توسط وب‌سایت‌های خبری؛ یکی برای همه، همه برای یکی

با نگاهی به ظاهر بیش‌تر وب‌سایت‌های خبری کشورمان و بررسی آن‌ها، در می‌یابیم که پنل‌هایی که بسیاری از خبرگزاری‌ها استفاده می‌کنند، شباهت زیادی به یک‌دیگر دارند. مدیران بسیاری از وب‌سایت‌های خبرگزاری، معمولا برای سهولت و تسریع روند راه‌اندازی وب‌سایت خود، اقدام به خرید پنل آماده‌ای از یک شرکتی نرم‌افزاری می‌کنند سپس آن را بر روی سرور خود نصب می‌نمایند. متاسفانه مسئولان در این اقدام، توجهی به ملاحظات امنیتی این پنل‌ها و CMSهای آماده نمی‌کنند. اگر هکر کلاه‌سیاه آسیب‌پذیری‌ای را از آن پنل آماده کشف کند و یکی از آن سیستم‌های مدیریت محتوا هک شوند، باقی وب‌سایت‌های دارای این سیستم مدیریت محتوا یا CMS که از همان نسخه‌ی پنل استفاده می‌کنند، نیز در معرض خطر نفوذ و هک قرار می‌گیرند. حالا تصور کنید نفوذ به چندین خبرگزاری انجام شده باشد و خبری یکسان به نقل از یک منبع معتبر و اصطلاحا آگاه در همه‌ي آن‌ها منتشر شود. اعتبار خبر دروغ بالا و بالاتر می‌رود و مسئولان آن وب‌سایت‌ها به دلیل تعلل در رفع مشکلات امنیتی وب‌سایت خود، دچار مشکلات حقوقی بسیاری خواهند شد.

Image

چه اقداماتی به ارتقای امنیت وب‌سایت خبری شما کمک می‌کند؟

• تغییر اطلاعات کاربری پیش‌فرض مانند نام کاربری و گذرواژه

• پیاده‌سازی انواع دسترسی‌های کافی برای تعیین سطح دسترسی خبرنگاران با توجه به چارت خبرگزاری

• نصب آخرین نسخه‌ی ارائه‌شده‌ی سیستم مدیریت محتوا و وصله‌‌های امنیتی منتشرشده از جانب شرکت یا تیم ارائه‌دهنده آن

بگذارید بگوییم که انجام ندادن هر یک از موارد بالا چه خطراتی را برای یک وب‌سایت خبری در بر خواهد داشت:

عدم تغییر اطلاعات کاربری پیش‌فرض

در اغلب محصولات فیزیکی و حتی مجازی اطلاعات محرمانه‌ای از آن محصول به صورت پیش‌فرض ثبت شده‌اند، یا به اصطلاح هاردکد ( Hardcode ) شده‌اند. این اطلاعات در محصولات فیزیکی قابل‌تغییر نیستند، مانند؛ شماره‌ي شاسی خودرو. اما محصولات مجازی و به طور خاص پنل‌های آماده، معمولا دارای نام کاربری و گذرواژه‌ای پیش‌فرض هستند. در صورتی که این اطلاعات در همه‌ی پنل‌های به فروش‌رسیده‌ی دیگر نیز به صورت پیش‌فرض وجود داشته باشند، خطر نفوذ هکر کلاه‌سیاه از این ناحیه برای همه‌ی پنل‌های به فروش‌رسیده یکسان خواهد بود و هکر کلاه‌سیاه می‌تواند تنها با دانستن اطلاعات کاربری پیش‌فرض مربوط به یکی از آن‌ها، به همه‌ی آن‌ها نفوذ کند. تنها در صورتی این خطر رفع می‌شود که خریدار این اطلاعات پیش‌فرض را تغییر دهد. این امکان تقریبا در همه‌ي این سامانه‌ها وجود دارد. البته لازم است توجه کنید که انتخاب گذرواژه‌ی ضعیف هم به همان اندازه چالش امنیتی، برای سامانه‌ی شما در برخواهد داشت. در مطلب «۷ نکته برای انتخاب پسورد امن‌تر»، هفت روش را برای انتخاب پسوردی امن‌تر معرفی کرده‌ایم.

عدم پیاده‌سازی طبقه‌بندی کافی برای سطح دسترسی خبرنگاران

معمولا در تحریریه‌های روزنامه‌نگاری و یا خبرگزاری‌ها، سلسله‌مراتبی برای انتشار اخبار یا مطالب وجود دارد. این سلسله‌مراتب در گذشته به طور سنتی و در محیط فیزیکی با امضای برگه‌ی خبر یا ... انجام می‌شد. اما امروزه که خبرگزاری‌ها به سمت آنلاین‌شدن پیش می‌روند، نیاز است که سازوکاری آنلاین برای اجرای این سلسله مراتب در سامانه‌ی مدیریت محتوای خبرگزاری نیز وجود داشته باشد. سازوکاری که به کمک آن بتوانند با یک کلیک این فرآیندها را پیش ببرند. اگر سطوح دسترسی برای خبرنگاران و یا مدیران اعمال نشود، این امکان برای هکر وجود خواهد داشت که با ورود به سامانه به عنوان یک خبرنگار جعلی، خبری را مستقیما در خروجی سایت قرار دهند. بنابراین وجود سطوح دسترسی در سامانه‌های خبرگزاری‌ها لازم و ضروری است.

عدم نصب آخرین نسخه‌ی ارائه‌شده‌ی سیستم مدیریت محتوا و وصله‌های امنیتی منتشرشده از جانب شرکت یا تیم ارائه‌دهنده آن

معمولا شرکت‌های ارائه‌دهنده محصولات نرم‌افزاری، تیمی برای بهبود نرم‌افزار و بررسی مداوم آن از لحاظ امنیتی دارند. این شرکت‌ها، در صورت کشف آسیب‌پذیری‌هایی در نسخه‌های محصول خود، با انتشار نسخه‌ی جدید یا راه‌کارهای رفع آسیب‌پذیری‌ها، در جهت ارتقای امنیت کاربران، اقدام می‌کنند. زمانی که شما یک نسخه از نرم‌افزار را به صورت کامل خریداری می‌کنید، لازم است که در صورت ارائه‌ی نسخه‌ و یا وصله‌ی امنیتی جدید از سمت ارائه‌دهنده برای سیستم مدیریت محتوایی که خریداری کرده‌اید، هر چه سریع‌تر آن‌ها را نصب کنید تا از رفع آسیب‌پذیری‌های کشف‌شده اطمینان پیدا کنید.

سخن آخر

قابل درک است که وب‌سایت‌های خبری به دلیل کاهش هزینه‌های خود اقدام به خرید پنل‌های آماده کنند اما لازم است با آگاهی نسبت به خطراتی که در کمین وب‌سایت خبری هستند، به ارتقای امنیت اهتمام بورزند. اقدام در جهت ارتقای امنیت از مسئولیت‌هایی‌ست که به عنوان حقوق مخاطبان، بر گردن چنین کسب‌وکارهایی است. این خطرها ممکن است اعتبار وب‌سایت‌های خبری را نشانه بگیرند.