تبلیغات ویدئویی

راهنمای کامل تبلیغات ویدیویی آنلاین

در این مقاله ما قصد داریم درباره ی یکی از موثر ترین و رایج ترین راه های تبلیغات یعنی تبلیغات ویدئویی مطالبی را برای شما عنوان کنیم. همچنین قرار است درباره ی اهمیت تبلیغات ویدئویی و انواع آن مطالب مفید و مختصری ارائه شود.

همه ما این را قبلاً شنیده ایم: ویدئو پادشاه است! اما چگونه می توانید آن را به پادشاه استراتژی بازاریابی خود تبدیل کنید؟ بیایید برخی از روند های برتر تبلیغات ویدیویی و آنچه را که در مورد استفاده از این رسانه باید بدانید را بررسی کنیم.

تبلیغات ویدئویی چیست؟

تبلیغات ویدیویی محتوای تبلیغاتی است که قبل، حین یا بعد از پخش محتوا پخش می شود. برخی از متخصصان بازاریابی همچنین تعریف تبلیغات ویدئویی را گسترش می دهند تا تبلیغات نمایش داده شده با محتوای ویدیو را شامل شود، مانند زمانی که شخص یک مکان نما را روی آن ها قرار می دهد و تبلیغات ویدیویی بومی در شبکه های تبلیغاتی دیجیتال، پخش می شوند.

پیشنهاد ویژه
30% تخفیف
همین امروز با شارژ اکانت گوگل ادوردز خود از ما 30 درصد تخفیف بگیرید.
تنها تا پایان مهرماه فرصت دارید با انتخاب شارژ اکانت 300 دلاری از 30 درصد تخفیف ویژه ما استفاده کنید.


جایگاه کنونی تبلیغات ویدیویی

تبلیغات ویدیویی یکی از محبوب ترین راه ها برای دستیابی به مخاطبان آنلاین هستند. کارشناسان معتقدند تبلیغات ویدیویی در دهه آینده نیز همچنان حاکم خواهند بود، بنابراین هم اکنون زمان ایده آلی برای متخصصان بازاریابی است تا در مورد تبلیغات ویدئویی اطلاعات بیشتری کسب کنند و بررسی کنند که چگونه این نوع تبلیغات میتواند میزان پیشرفت و اثربخشی آن ها را بهبود بخشد.

اگرچه بازاریابی با ویدئو محبوبیت بیشتری پیدا می کند، اما این یک پیروزی تضمینی برای بازاریابان محسوب نمی شود.

نتایج یک مطالعه ایرلندی نشان داد 60٪ از پاسخ دهندگان احساس می کنند تبلیغات زیادی در پلتفرم های ویدئویی وجو دارد. همچنین 35٪ گفتند که از این تبلیغات ناامید شده اند، زیرا تبلیغات ویدئویی مانع از تماشای محتوای مورد نظر آن ها می شود.

آماری مانند این نشان می دهد که بازاریابان برای ایجاد تبلیغات ویدیویی که مخاطب آن را واقعاً با ارزش و مرتبط می داند ، باید بسیار مراقب باشند. جایگاه قرار دادن آگهی ویدیویی نیز مهم است ، زیرا هدف این است که هرگونه محتوای تبلیغاتی را به حداقل برسانید.

اگر یک آگهی در جایی ظاهر شود که یک وقفه طبیعی وجود داشته باشد ، مانند قبل از اینکه یک مجری در مورد موضوع جدید بحث کند ، ممکن است بینندگان تمایل بیشتری به آن داشته باشند.

بازاریابان بیشتر و بیشتر از راه حل های پیشرفته مانند Scroll-to-Watch و Click-to-Watch در تبلیغات ویدیویی استفاده می کنند.

در این نوع از تبلیغات ویدئویی ، بیننده به طور فعال برای تماشای ویدئو تصمیم گیری می کند و کنترل تجربه آنلاین مورد نظر خود را دوباره به دست می آورد. این روش کاملا با ماهیت مزاحم و آزار دهنده تبلیغات pre-roll متناقض است و نتایج بهتری خواهد داشت

تبلیغات ویدئویی

ترندهای تبلیغات ویدئویی دیجیتال

دنیای ویدیوی دیجیتال ایستا و ثابت نیست. بازاریابان با تجربه می دانند که باید در صدر تحولات بمانند و همیشه آپدیت باشند تا درک کنند که مخاطبان چه چیزی می خواهند و چه نیازهایی دارند. در این قسمت اطلاعات لازم را درباره چهار روند مرتبط در اختیار شما قرار می دهیم.

تبلیغات ویدیویی خیلی کوتاه نیستند

یوتیوب یکی از اولین پلتفرم هایی بود که تبلیغات شش ثانیه ای را ارائه داد. از اواخر سال 2015 این کار را کرد. با این حال هنوز هم یکی از محبوب ترین ها در تبلیغات ویدیویی، ویدئوهای 30 ثانیه ای است.

داده ها حاکی از آن است که وقتی صحبت از ویدئو می شود، مردم با تمای بیشتری به آنها توجه می کنند.

مثلا OYO، یکی از بزرگترین هتل های زنجیره ای جهان، مجموعه ای از “ویدئوهای تبلیغاتی” را در بازار هند منتشر کرد. برخی از آن ها بیش از یک دقیقه هستند و همه آن ها تأکید می کنند که برای اقامت در اتاق هتل با قیمت پایین، نباید کیفیت خدمات را قربانی کنید.

مزیت یک پلتفرم گسترده این است که تبلیغ کنندگان فرصت بیشتری برای گفتن داستان دارند و کاربران را به سمت آنچه که در صفحه اتفاق می افتد، سوق می دهند.

آمار تبلیغات ویدئویی

تنظیمات کاربران تلفن همراه برای طولانی تر بودن

تحقیقات نشان می دهد که تبلیغات برای کاربران تلفن های هوشمند بیشتر از شش ثانیه طول می کشد که تبلیغات ویدیویی با فرم طولانی تر را تماشا کنند. پس از شش ثانیه تماشا، 72٪ از کاربران همچنان به فعالیت خود ادامه می دهند. علاوه بر آن، آن ها بیشتر از کاربران دسکتاپ، نسبت به این ویدئوها متعهد هستند.

با این حال، حتی در بین کاربران تلفن همراه، توجه به موضوع تبلیغ بعد از 22 ثانیه کاهش می یابد. این یافته نشان می دهد که بازاریابان برای ایجاد تبلیغات ویدیویی برای موبایل، باید بر اساس نوع ترافیکی که می خواهند جذب کنند، به مدت زمان توجه داشته باشند.

هزینه تبلیغات ویدئویی در حال افزایش است

گزارشی که در آوریل 2019 منتشر شد، تأیید می کند بودجه تبلیغات ویدئویی دیجیتال، 25 درصد نسبت به سال گذشته افزایش یافته است. این رشد در صنایع خاص قابل توجه تر است.

به عنوان مثال، در رسانه ها و سرگرمی ها، هزینه های تبلیغاتی مبتنی بر ویدئو، از سال 2018، 75 درصد افزایش یافته است. تبلیغ کنندگان باید از این تغییرات آگاه باشند، به ویژه اگر شرکت های آن ها علائمی از کاهش بودجه را نشان دهند.

نادیده گرفتن تبلیغات ویدیویی می تواند باعث شود که آنها از رقبا عقب بیفتند.

انیمیشن محبوبیت بیشتری پیدا می کند

هدف از هرگونه تبلیغاتی ویدیویی، علاقه مندی بیننده است. شرکت ها می توانند با استفاده از انیمیشن در تبلیغات خود به نتایج فوق العاده برسند.

موارد اضافی مانند کارتون های همراه با فیلم های واقعی و گرافیک های متحرک می توانند محتوا را سرزنده، مرتبط و سرگرم کننده جلوه دهند.

انیمیشن گزینه های بیشتری را برای ایجاد انواع مختلف تبلیغات ویدیویی به بازاریاب ها می دهد که بعضی از آنها ممکن است در غیر این صورت، مشکلاتی را ایجاد کنند یا غیرممکن باشند.

از آنجایی که متخصصان به مطالعه ترجیحات مخاطبان خود ادامه می دهند، احتمالاً روش هایی را که فناوری انیمیشن می توانند جذاب تر جلوه دهند را نیز در این مسیر متوجه خواهند شد.

در مثال اخیر، مک دونالد تبلیغ متحرک کریسمس را برای مخاطبان در انگلستان و ایرلند منتشر کرد.
در این تبلیغ کوتاه، دختری به نام الی وجود دارد که در کنار Archie the Reindeer ظاهر می شود. در یک پیچ و تاب و قدرتمند متحرک، انیمیشن به یک اکشن زنده تبدیل می شود و بر جنبه انسانی داستان تأکید می کند.

*اکنون که روندهای اخیر را بررسی کرده ایم، بیایید در مورد محتوایی صحبت کنیم که به شما کمک می کند تا از قدرت تبلیغات ویدیویی استفاده کنید.

تبلیغات ویدیویی برای چه نوعKPI های بازاریابی مناسب است؟

قبل از استحکام یک رویکرد تبلیغات ویدیویی، بهترین شاخص های کلیدی عملکردی (KPI) را برای ردیابی انتخاب کنید. با KPI ها، می فهمید که آیا تلاش های شما موثر بوده یا اینکه نیازاست ترفندها را تغییر دهید.

اولین قدم در استراتژی تبلیغاتی ویدیویی بهینه، انتخاب یک هدف است. امیدوارید چه چیزی در پایان کار به دست بیاورید؟
Google BrandLab هنگام انتخاب KPI ها از سه دسته استفاده می کند – آگاهی ، توجه و اقدام.

KPI هایی که شما انتخاب می کنید، بسته به آنچه می خواهید به دست بیاورید، متفاوت می باشد. در اینجا مثال هایی را به شما معرفی می کنیم:

  • آگاهی: درصد مکالمات در مورد برند ، افزایش فراخوان یا تشخیص و تعداد بازدیدهای منحصر به فرد.
  • ترافیک: درصد بازدید کنندگان جدید به یک سایت و افرادی که پس از کلیک بر روی پیوند از یک ویدیو، از وبسایت شما بازدید می کنند.
  • هدایت: تعداد تبدیل ها، هزینه در هر هدایت در کانال های ویدیویی در مقابل کانال های غیر ویدئویی و میزان هدایت کلی.
  • خریدها: تعداد خریدهای ناشی از یک لینک یا کد تبلیغی که در یک آگهی ویدیویی نشان داده شده است و میانگین هزینه صرف شده.

این اهداف و KPI ها، تنها گزینه های شما نیستند. با این وجود، مثال های بالا نقطه شروع را برای اندازه گیری در استراتژی تبلیغات ویدیویی ارائه می دهند. به خاطر داشته باشید که شما لزوماً هرسال از همان KPI ها استفاده کنید.

KPI ها همانطور که اهداف بازاریابی شما را انجام می دهند، تغییر نیز خواهند کرد. به همین دلیل هوشمندانه است که حداقل سالانه، KPI هایی که برای تبلیغات ویدیویی یا دلایل دیگر استفاده می شود را دوباره مرور کنید. سپس می توانید KPI ها را همچنان با اهداف کلی شرکت خود مطابقت دهید.

انواع تبلیغات ویدیویی

تبلیغات In-stream

یکی از دلایلی که بازاریابان مشتاق هستند تبلیغات ویدیویی را امتحان کنند، این است که آن ها می توانند انواع مختلفی را انتخاب کنند. تبلیغات In-stream ، رایج ترین هستند که در حین یا بعد از محتوای ویدیویی ظاهر می شوند.

به عنوان مثال، یوتیوب به تبلیغات In-stream متکی است. برخی از تبلیغات تعاملی هستند که مخاطب را ترغیب به کلیک روی یک لینک یا یک پیشنهاد می کنند.

تبلیغات non-linear

از طرف دیگر، تبلیغات non-linear خارج از ویدئوی اصلی پخش می شود، گاهی اوقات به عنوان یک پوشش نمایش داده می شود. اگر شخصی روی یکی از این تبلیغات کلیک کند، تماشای محتوای اصلی آن متوقف می شود.

تبلیغات non-linear به محتوای دیگر وصل نمی شوند. اگر نمی خواهید آن را مشاهده کنید ، می توانید به اسکرول کردن ادامه دهید.
همچنین می توانید انواع مختلفی نیز انتخاب کنید.مثلا یکی از آنها پخش شدن تبلیغ داخل بازی می باشد. تبلیغات ویدیویی که به سمت گیمرها می روند، ، تبلیغی با ارزشی (rewarded ad)هستند.

native auto-play ad

حال بسته به نوع بازی، می توان موضوعاتی از قبیل زندگی، تقویت سلامتی یا یک ابزار جدید، در بازی با تبلیغ نمایش داد. همچنین می توانید در یک آگهی پخش خودکار بومی native auto-play ad ، سرمایه گذاری کنید.

این نوع تبلیغات در انتهای محتوای اصلی ، مانند یک پست وبلاگ، نمایش داده میشوند و اگر مرتبط به محتوای اصلی باشند، میتوانند بسیار موفق عمل کنند.

برای مثال اگر کاربر در حال خواندن مقاله ای درباره “نحوه انتخاب قهوه ساز” باشد، نمایش یک تبلیغ native auto-play که یک مدل قهوه ساز جدید به کاربر معرفی کند، گزینه ای مناسب است.

تبلیغات shoppable

یک گزینه نسبتاً جدید، تبلیغات ویدیویی قابل خرید یا shoppable است. همانطور که ممکن است از نامش حدس بزنید، تبلیغات قابل خرید سعی می کنند مردم را ترغیب کنند که قدرت خرید خود را بسنجند و به جای اینکه فقط برای آن ها جستجو کنند، چیزهایی را هم خریداری کنند.

به عنوان مثال، هنگامی که بیننده ویدیویی را برای یک محصول مشاهده کند، پیوندی ظاهر می شود تا بتوند بلافاصله آن کالا را خریداری کنند. حتی بهتر، قسمت تجربه خرید به طور مستقیم در هر برنامه شخصی که از آن استفاده می کند، نیز وجود دارد.

طبق گزارش ها، TikTok که بستر مورد علاقه نوجوانان است، با در دسترس قرار دادن تبلیغات shoppable برای گروهی از اینفلوئنسر های منتخب، در حال تست کردن این نوع تبلیغات است.

مقایسه انواع تبلیغات ویدئویی

بهترین تبلیغات ویدیویی، محتواهایی را ارائه می دهند که اقدامات آنلاین بازدید کننده را تکمیل می کند. در سال 2018، آمازون آزمایش فرمتی با نام “جستجوی ویدئو” را آغاز کرد .

تبلیغ کنندگان با استفاده از آن می توانند تبلیغات خود را زیر نتایج جستجو نشان دهند. فیلم ها باید کم تر از 90 ثانیه و حاوی صوت می بودند . آمازون برای این تبلیغات؛ امکاناتی را در نظر گرفت تا بتواند ترافیک را به صفحات محصول، فروشگاه آمازون یا صفحه فروش سفارشی، هدایت کنند. این شرکت آن ها را فقط به کاربرانی که با آیفون یا آیپد از آمازون بازدید میکردند نشان میداد.

انواع پیشرفته تبلیغات ویدیویی مانند فیلم های بومی، این امکان را به بیننده می دهد که بین گزینه های مختلف انتخاب کند و تجربه مشاهده خود را کنترل نماید. این فرمت در حال دستیابی است زیرا روش اثربخشی آن را فراتر از ویدئوی instream معمولی ثابت می کند. ما درمورد نتایج تکمیلی و زمان نتیجه دهی به مراتب بیشتر صحبت خواهیم کرد.

مقایسه آگهی نمایشی و تبلیغات ویدیویی

آگهی نمایشی (Display Ads) یکی از تبلیغات پولی است که در فضای دیجیتال مانند وب سایت، شبکه رسانه های اجتماعی یا یک اپلیکیشن ، ظاهر می شود. اولین نمونه آن، تبلیغات بنری مستطیل شکل بود که در بالای محتوای اصلی سایت نشان داده می شد.

نمایش تبلیغات با هدف تقویت آگاهی از برند و قصد خرید انجام می شد اما ، نرخ کلیک آن ها در تمامی قالب ها فقط 0.05٪ بود. علاوه بر آن، برای برخی افراد “کوری بنر” اتفاق می افتاد، یعنی گاهی آنقدر تبلیغات زیاد می شدند که دیگر هیچ کس متوجه آنها نمیشد.

کاستی های تبلیغات نمایشی، بازاریابان را وادار به جستجو برای گزینه های جایگزین کرد. این تغییر، منجر به استفاده از تبلیغات ویدیویی شد که در افزایش آگاهی، تعامل و تبدیل بسیار عالی عمل میکند.

در حقیقت، 72٪ از افراد هنگام یادگیری در مورد یک محصول یا خدمات، فیلم را به متن ترجیح می دهند. طبق گفته فوربس، ​​کاربران در یک صفحه وب که دارای ویدئو است، 88% زمان بیشتری در مقایسه با یک صفحه بدون ویدئو سپری می کنند. در یک مطالعه، استفاده از فیلم در صفحه ، 86٪ نرخ تبدیل را افزایش می دهد.

تبلیغات ویدیویی بومی (Native ads)

افزایش محبوبیت تبلیغات ویدئویی Nativeتبلیغات بومی (Native ads) جز آن دسته از تبلیغاتی است که در قسمت هایی از صفحه وب ظاهر می شود و با محتوای دیگر آمیخته می گردد. بنابراین مانند تبلیغات به نظر نمی رسد.

تبلیغات بومی نسبت به تبلیغات با نمایش معمولی رویه ای نرم تر و لطیف تر برای فروش محصولات دارند و نرخ کلیک از طریق آن ها نیز بسیار بالاتر است. پیش از این هم گفتیم که چگونه هزینه تبلیغات ویدئویی در حال افزایش است.

گزارشی از eMarketer نشان می دهد که این مورد نیز برای تبلیغات ویدیویی بومی هم اتفاق می افتد. آمار پیش بینی می کند که بازاریابان 38.7 درصد بودجه خود را به تبلیغات ویدیویی بومی در سال 2020 اختصاص می دهند که از 38.1 درصد در سال 2019 اندکی افزایش داشته است.

مزایای تبلیغات ویدیویی

بازاریابان می توانند از مزایای بیشماری در ارتباط با تبلیغات ویدیویی بهره مند شوند.

محتوای ویدیویی توجه کاربران را به خود جلب می کند و هنگامی که افراد به سمت آن می روند، آگاهی از برند بالا می رود. یوتیوب اخیرا فرصت هایی را برای بازاریابان برای نمایش تبلیغات ویدیویی خود ایجاد کرده است.

روش های بسیار دیگری وجود دارد که بازاریابان می توانند تبلیغات ویدیویی قانع کننده ای را ایجاد کنند که علاقه بینندگان را به خود جلب کند.

علاوه بر آن، تبلیغات ویدئویی قابل اشتراک و در حال افزایش می باشند. مردم ویدئوهای مورد علاقه خود را به اشتراک می گذارند، و اکثر پلتفرم ها نیز دارای دکمه های اشتراک گذاری هستند.

فیلم ها اطلاعات زیادی را نیز در مدت زمان کوتاه انتقال می دهند. این ویژگی ها، تبلیغات ویدیویی را برای گفتن داستان ایده آل می کند. برای ارتباط با مخاطبان خود می توانید با موسیقی پس زمینه، زاویه دوربین و گفتگو را آزمایش کنید. سپس احتمالاً مخاطبان آنچه را که می بینند، به خاطر می آورند و بهتر این که نام برند شما نیز در ذهنشان خواهد ماند .

علاوه بر آن شما می توانید ویدیو را برای دستگاه های تلفن همراه بهینه سازی کنید. به عنوان نقطه شروع، انجام این کار به این معناست که تیم بازاریابی شما باید اطمینان حاصل کند که پخش ویدیو در دستگاه های تلفن همراه کاملاً راحت انجام می شود و در صفحه های کوچک عالی به نظر می رسد.

جهت گیری ویدیو را نیز در نظر بگیرید. به عنوان مثال، بسیاری از افراد به طور طبیعی از تلفن های هوشمند خود هنگام نگه داشتن، به صورت عمودی استفاده می کنند. اما اگر شخصی بخواهد ویدیویی را که حداقل چند دقیقه طول بکشد، تماشا کند، آن را افقی می گیرد.

پس باید تصور کنید که افراد در هنگام مواجهه با روش های تبلیغاتی ویدیویی شما چه کاری انجام می دهند، سپس استراتژی متناسب را تنظیم کنید.

چرا باید تبلیغات ویدیویی را در ترکیب بازاریابی خود بگنجانید؟

اینکه ساخت ویدئو را بخشی از استراتژی خود سازید، به شما این امکان را می دهد با مخاطبانی که تبلیغات متن و بنر را نادیده می گیرند، سر و کار داشته باشید. همانطور که در بالا ذکر شد، بازاریابان پولی را که برای تبلیغات ویدیویی خرج می کنند را افزایش می دهند. اگر از این روند غافل شوید، با یک نقطه ضعف رقابتی روبرو خواهید شد.

جذب کاربران برای کلیک بر روی یک آگهی نمایشی استاتیک به معنی تحت تأثیر قرار دادن آنها به اندازه کافی با یک تصویر یا عنوان جذاب است. اما ، تبلیغات ویدئویی شامل عناصر بیشتری است که ممکن است کاربران آنها را مرتبط یا جذاب بداند.

شما می توانید از یک آهنگ جذاب ، یک شروع بامزه یا یک وضعیت مرتبط استفاده کنید تا توجه بینندگان را جلب کرده و از آنها بخواهید که کل تبلیغ را تماشا کنند.

همچنین تبلیغات ویدئویی قابلیت انعطاف پذیری بیشتری در اختیار شما قرار می دهد تا بتوانید با اشاره به مشکلات کاربر و پیشنهاد محصول یا خدمات خود بعنوان چیزی هیجان انگیز که زندگی را برای آنها راحت تر میکند، توجه بیشتری جلب کنید.

از آن جا که بسیاری از تبلیغات ویدیویی به صورت خودکار در محتوای اصلی پخش می شوند، نیاز نیست امیدوار باشید که روی آن کلیک کنند. آن ها در طی فرآیندی که در یک فعالیت انجام می شود، مانند تماشای آخرین قسمت از یک سریال در YouTube یا یک بازی موبایل، در معرض دید قرار می گیرند. بنابراین اگر آگهی شما جذاب باشد، می توانید آنها را به اندازه کافی علاقه مند کنید.

تحلیلگران فکر می کنند که اینترنت 5G تبلیغات ویدیویی را سودمندتر می کند، و این دلیل دیگری برای افزودن تبلیغات مبتنی بر ویدیو به ترکیب بازاریابی شما است. اگر می خواهید یک پیش نمایش از آنچه با تبلیغات ویدئویی 5G ممکن خواهد بود، ببینید، Verizon Media را به عنوان مثال درنظر بگیرید.

این شرکت اخیراً یک هیولا متحرک به نام HypeZilla خلق کرده و این شخصیت را به مشتریان تبلیغاتی خود نشان می دهد. این مثال نشان می دهد که چگونه 5G می تواند بازه زمانی مورد نیاز برای ایجاد آگهی ویدیو را به شدت کاهش دهد.

چقدر باید برای تبلیغات ویدیویی سرمایه گذاری کنید؟

مبلغی که برای تبلیغات ویدیویی سرمایه گذاری می کنید، بسته به اهداف و منابع مالی شما متفاوت خواهد بود. اگر برای اولین بار تبلیغات ویدیویی را امتحان می کنید، به تدریج مقیاس را افزایش دهید.

در نظر بگیرید که برای هدایت تلاش های اولیه خود، به راهنمایی های متخصص نیاز دارید. پس یک فرد متخصص نیز استخدام کنید. اگرچه این کار به هیچ وجه الزامی نیست، اما این متخصصان، نبض روند تبلیغات ویدیویی را به شما نشان می دهند.

علاوه بر این، آن ها در موقعیت های مناسب، برای ارائه پیشنهاداتی برای تهیه محتوای ویدیویی متناسب با نام تجاری شما و دستیابی به آن، KPI های مهم شما را انتخاب می کنند.

تبلیغات کلیکی ویدئویی

تاثیر تبلیغات ویدیویی

تبلیغات ویدئویی به دلایل مختلف استفاده می شوند. یک، نتیجه مطالعات نشان می دهد که تقریباً سه چهارم مصرف کنندگان، محتوای ویدیویی را بیش از تبلیغات متنی ترجیح می دهند.

آن ها به ذهن بینندگان می چسبند و باعث می شوند که یادآوری آن ها احتمال بیشتری پیدا کند. فیلم ها و ویدئوها داستان می گویند و به یک برند کمک می کنند تا خود را توسعه دهد. علاوه بر آن، تبلیغات بومی می توانند با محیط اطراف خود یکپارچه شوند.

بازاریابی ویدئویی مؤثر می تواند میلیون ها بازدید و اشتراک را در مدت زمان نسبتاً کوتاهی ایجاد کند. برای مثال، ویدیوی کریسمس 2019 توسط خرده فروش بریتانیایی، جان لوئیس پس از گذشت بیش از 2 هفته، بیش از 9 میلیون بازدید را تجربه کرد.

ویدئویی که توسط مارک، در مورد تراشه های سیب زمینی Walkers Crisps در توییتر بارگذاری شد، و برای اولین بار در اول نوامبر ظاهر شد. در پایان ماه، بیش از 13.7 میلیون بازدید داشت و به بیش از 19،000 بازخورد رسید.

برای فهمیدن توضیح اینکه ویدئو ها چگونه میتوانند مناسب بودن یک محصول برای یک سبک زندگی را نشان دهند، خرده فروش آمریکاییTarget را مثال میزنیم که با یک تبلیغ اسپانیایی برای خط تولید محصولات بچه گانه خود توانست تنها نه روز پس از ورود به YouTube ، بیش از 579،000 بازدید به دست آورد.

دست آورد. این محتوا فقط 15 ثانیه طول می کشید اما دارای تصاویر قابل ستایش از والدین و نوزادان است، که باعث جلب توجه کاربران شد.پیش بینی اینکه دقیقا چه چیزی باعث ایجاد بازدید بالا از یک تبلیغ ویدیویی توسط مخاطب می شود، دشوار است.

اما همانطور که این مثال ها نشان می دهند، صرف وقت و توجه و تمرکز می تواند سود و مزایای بیشتری را به همراه داشته باشد . علاوه بر توجه به مواردی مانند شمارش موارد مشاهده شده، نظرات افراد را نیز بخوانید. این نظرات بینش عمیق تری راجع به آنچه مردم درباره ویدیو دوست داشتند (یا نداشتند!) به شما می دهد.

استفاده از تبلیغات ویدئویی در چه کسب و کاری مناسب است؟

درست است که تا اینجای مقاله از مزایا و ویژگی های مثبت تبلیغات ویدئویی گفته شد اما باید این موضوع را نیز در نظر داشت که این روش تبلیغاتی برای تمامی کسب و کار ها نمی تواند مفید باشد.

به طور مثال اگر شما در حوزه تجهیزات و ابزار آلات صنعتی مشغول به فعالیت هستید به دلیل نوع و شرایط کار نمی شود در یک ویدئو چند ثانیه ای به معرفی تمامی جزییات ابزار پرداخت.

برای همین توصیه می شود در این قبیل حوزه ها از محتوای متنی و علمی برای ارائه محصول استفاده شود. برعکس در حوزه پوشاک و مواد غذایی یک ویدئو چند ثانیه ای به سرعت می تواند جزئیات محصول را برای مشتری بیان کند و او را ترغیب به خرید کند.

زمانی که در یک تبلیغات بازیگر محصول مورد نظر را تست می کند از رضایت موجود در چهره او فرد ترغیب به خرید محصول می شود.

نحوه ایجاد تبلیغات ویدیویی

اگر روند تبلیغات ویدئویی ذکر شده در بالا، شما را مایل به انجام این کار کرده است، با احتیاط عمل کنید. KPI های برتر خود را انتخاب کنید، سپس با یک شرکت با تجربه کار کنید تا تبلیغاتی را انجام دهید که بیننده را خوشحال می کند. یا ممکن است بخواهید خودتان ویدئو بسازید. این روزها، دیگر نیازی به تهیه کننده ویدیو ندارید و یا برای ساخت فیلم های مؤثر، نباید پول زیادی صرف کنید.

شما همچنین باید انواع تبلیغات ویدیویی موجود را در نظر بگیرید و تصمیم بگیرید که بهترین نوع برای ارسال پیام شما به مخاطبان کدام است.

منبع مقاله: outbrain.com

آژانس برندینگ

آژانس برندینگ چیست؟

 در این مقاله قصد داریم در مورد آژانس برندینگ مطالب جامع و کاملی ارائه دهیم. امید است با مطالعه ی این مطالب اطلاعات مفیدی در زمینه ی شرکت و گروه برندینگ، برند سازی، اهمیت برند، چگونگی برند سازی و مزایای یک برند خوب بدست آورید.

برند چیست؟ گروه برندینگ در ایران چگونه به شما کمک می کند؟

برند نام تجاری یک محصول و یا خدمت به شمار می آید. این نام می بایست نشان دهنده ی کلیت و ماهیت کار باشد. نام تجاری یا همان برند، تنها به این معنی نیست که تجارت شما در بین رقبایتان منحصر به فرد است. بلکه برند یک نشانه از شما در حیطه ی فعالیتتان می باشد.

این برند است که برای شما اعتبار ایجاد می کند و باعث شناسایی راحت تر محصول شما از محصول رقیب توسط کاربر می شود.

در انتخاب برند می بایست حساسیت های خاصی به خرج داد؛ چرا که اگر برند به خوبی انتخاب شود می تواند یک تصویر ذهنی از کار شما برای شنونده به تصویر کشد.

برند لزوما نباید یک طرح یا لوگو باشد. گاهی یک صدا یا آوا می تواند برند کار شما به حساب بیاید. چگونگی انتخاب برند و نحوه ی انتقال مفاهیم آن به مشتری توسط آژانس برندینگ محقق می شود.

برند چیست

آژانس برندینگ چیست؟

آژانس برندینگ در واقع موسسه و گروهی است که شما را در انتخاب، ایجاد و توسعه ی برند خود یاری و مشورت می دهد. برند سازی شامل مراحلی است که بسیار تخصصی می باشند.

آژانس برندینگ باکمک در ایجاد کردن یک برند محبوب در بین کاربران و حتی رقبا، گامی بلند در جهت پیشرفت تجارت شما و افزایش سود آوری شما بر می دارد.

اصولا آژانس برندینگ از استراتژی های برند سازی در جهت ایجاد و توسعه ی یک برند کمک می گیرد. در ادامه به توضیح این استراتژی ها می پردازیم.

استراتژی های برندینگ چیست؟

طوفان فکری برند سازی
از مهم ترین کار های یک آژانس برندینگ استفاده از استراتژی های برند سازی در فرایند ایجاد و توسعه ی یک برند می باشد. این استراتژی ها عبارت اند از:

طوفان فکری

یک آژانس برندینگ تخصصی در اولین گام برای ایجاد یک برند، ایده هایی را که می توانند یک نام شایسته و مناسب برای معرفی کسب و کار شما باشند، جمع آوری می کنند.

مرحله ی بعد از این طوفان فکری، انتخاب بهترین ایده از میان ایده های ارائه شده است. این مرحله از اهمیت بسیار خاصی برخوردار است چراکه پایه و اساس اولیه ی برند در این مرحله مشخص می شود.

نحوه ی ارائه ی برند

در این استراتژی شما می بایست مشخص نمایید که قرار است پیام برند شما از چه طریق به گوش مخاطب برسد.

آیا تمایل دارید از طریق تبلیغات اینترنتی به معرفی محصول خود بپردازید و یا اینکه می خواهید از طریق بازاریابی در شبکه های اجتماعی در فیسبوک، اینستاگرام و… به انجام این کار بپردازید. بهترین بستر تبلیغ در اینترنت، گوگل میباشد که با استفاده از تبلیغات گوگل میتوانید از این امکان بهره مند شوید.

در مقیاس های بزرگتر می توانید از تبلیغات تلویزیونی و رادیویی استفاده نمایید.

مشخص کردن پیام برند از استراتژی های آژانس برندینگ

در این استراتژی آژانس برندینگ به شما کمک می کند تا برندی بسازید که پیام و محتوای آن بسیار جذاب و گیرا باشد. تمام تلاش آژانس برندینگ این است که نامی برای تجارت شما برگزیند که در ذهن مخاطب نفوذ کند و ماندگار بماند. این نام تجاری هرچه ساده تر و خوش آوا تر باشد، یقینا تاثیر گذاری بیشتری خواهد داشت.

مراحل برند سازی توسط آژانس برندینگ در ایران

یک آژانس برندینگ حرفه ای زمانی که اطلاعات کافی را در رابطه با کسب و کار شما و چگونگی توسعه ی یک برند در آن حوزه را بدست آورد، می بایست برند سازی را آغاز نماید. در ادامه به تشریح مراحل برند سازی توسط آژانس برندینگ می پردازیم.

طراحی لوگو

از مهم ترین اقدامات آژانس برندینگ، طراحی لوگو است چرا که لوگو در واقع هویت برند محسوب می شود. در این مرحله طراحان با استفاده از اطلاعاتی که صاحبان کسب و کار و مدیران راجع به نوع فعالیت و هدف کسب وکار به دست آورده اند دست به طراحی لوگو می زنند.

این طراحی ها می بایست بسیار خلاقانه و چشم نواز با رنگ های جذاب باشد. هرچه از طرح های ساده تر برای طراحی لوگو استفاده شود شانس ثبت شدن این لوگو در ذهن مشتری بیشتر می شود.

طراحی برند آژانس برندینگ

انتخاب شعار برای برند

آژانس برندینگ یک شعار متناسب با لوگوی برند شما طراحی می کند. در انتخاب شعار تبلیغاتی باید به این نکته توجه کرده که مکمل لوگوی برند باشد تا تاثیر گذاری آن دو چندان شود. شعار های ارائه شده توسط تیم آژانس برندینگ، کوتاه و آهنگین می باشند. نکته ی مهم این است که آژانس برندینگ می بایست به طور دقیق با تمامی جوانب کسب و کار مورد نظر آشنایی داشته باشد تا بتواند بهترین نام تجاری و شعار را برای آن برگزیند.

در انتخاب شعار باید به این نکته نیز توجه شود که کلامی غیر واقعی و اغراق آمیز گفته نشود بلکه هر آنچه هست با بیانی شیوا و دلنشین برای مخاطب عرضه شود. در اینصورت است که تبلیغات موثر واقع می شود.

ارائه ی برند

در این مرحله آژانس برندینگ، نام تجاری طراحی شده را در معرض دید مخاطبان قرار می دهد. این اتفاق به این صورت است که نام تجاری و لوگوی طراحی شده برای عده ای به نمایش گذاشته می شود. سپس از این افراد خواسته می شود که احساس خود را نسبت به این نام بیان کنند. این اتفاق خود یک آزمون و خطا برای درصد درستی انتخاب نام تجاری توسط آژانس برندینگ می باشد.

توسعه برند

در این مرحله آژانس برندینگ با تحلیل یافته های خود از احساسات جامعه ی هدف نسبت به نام تجاری و لوگوی مشخص شده، تصمیمات نهایی را اتخاذ می کند. اگر نتایج حاصله مثبت بود اقدام به همگانی سازی و توسعه ی برند می کند. در غیر این صورت می بایست مراحل قبل تکرار شوند تا نتایج مطلوب حاصل گردنند.

نتیجه ی این اقدامات دستیابی به یک برند است که می تواند به عنوان شناسنامه ی یک کار شناخته شود. هرچه دقت و ظرافت بیشتری در انتخاب این نام تجاری بیشتر باشد، به تبع ماندگاری این برند در ذهن مشتری بیشتر است.

نکات مهم جهت انتخاب یک نام تجاری خوب

آژانس برندینگ ها به شما نکاتی را گوش زد می کنند که رعایت و توجه به آن ها می تواند شما را در داشتن یک نام تجاری و برند مناسب یاری دهد. یکی از این نکات مهم توجه به نشان تجاری است. به زبان ساده نشانه ی تجاری همان لوگو یا طرح انتخابی برای شناسایی بهتر محصول است.

پیام برند یکی دیگر از مواردی است که موجب می شود که کسب وکار شما به صورت بهتر و رسا تری برای مشتری معرفی شود. به عبارت دیگر پیام برند یک جمله ی کوتاه و شفاف است که کلیت فعالیت و کار شما را بیان می کند. به طور مثال برند امرسان توسط جمله ی زیبا، جادار و مطمئن توضیح داده شده است.

آژانس برند

باید به این نکته توجه کرد که یک نام تجاری و یا برند به تنهایی نمی تواند حافظ اعتبار یک کسب و کار به شمار آید. بلکه تمام اعمال و رفتاری که مشتری از فروشنده و کارمندان شما می بیند می تواند تاثیر زیادی در اعتبار بخشیدن به کسب و کار داشته باشد.

به طور مثال نحوه ی صحبت کردن کارمندان شما در پشت تلفن با مشتری، در شکل گیری یک تصویر ذهنی مثبت و یا منفی از جو کار و فعالیت شما موثر است. توجه داشته باشید که آنچه در شعار تجاری خود به آن اشاره کرده اید توسط رفتار شما و کارمندانتان نقض نشود. در صورت بروز این اتفاق اعتماد مشتری نسبت به برند از بین می رود و صاحب آن کسب و کار را یک دروغگو به شمار می آورد.

وصل کردن گوگل آنالیتیکس به گوگل ادز

نصب و راه اندزای گوگل آنالیتیکس

در این مقاله شیوه نصب و راه اندزای گوگل آنالیتیکس برای وب سایت شما به صورت تصویری و قدم به قدم شرح داده خواهد شد. قبل از هرچیزی لازم است تا بدانید که گوگل آنالیتیکس چیست و چه امکانات فوق العاده ای را برای شما فراهم می کند. در مقاله زیر آموزش گوگل آنالیتیکس به صورت کامل ، تصویری و قدم به قدم انجام شده است.

ایجاد حساب گوگل آنالیتیکس

به منظور نصب و راه اندزای گوگل آنالیتیکس ابتدا شما به حساب گوگل نیاز دارید. این موضوع با ساخت یک جیمیل برای خودتان انجام می شود. البته توجه کنید که اگر شما از قبل جیمیل دارید می توانید از همان برای فعال سازی استفاده کنید و نیازی به ساخت جیمیل جدید نیست. نکته مهم دیگر این است که شما با این جیمیل به اطلاعات سایت دسترسی کامل خواهید داشت فلذا لازم است تا از این مورد که فرد دیگری به این ایمیل دسترسی ندارد اطمینان خاطر کسب کنید.

نکته دیگری که باید بدانید این است که گوگل به شما این اجازه را می دهد که تا سقف 50 اکانت ، وب سایت ها و اپلیکیشن های موبایلی خود را از طریق یک حساب گوگل آنالیتیکس بررسی کنید و نیاز به ساخت حساب جدید تا سقف 50 اکانت نیست.

how to install google analytics/

how to install google analytics/

حال برای شروع کار به صفحه اصلی گوگل آنالیتیکس بروید و گزینه ورود را انتخاب کنید(Sign in). در این صفحه 3 مرحله به منظور راه اندازی برای شما به نمایش در خواهد آمد که در شکل زیر مشخص است.

how to install google analytics/

پس از کلیک بر روی گزینه Sign Up لازم است تا شما اطلاعاتت مربوط به وب سایت خود را وارد کنید. توجه کنید که در اینجا لازم است تا نام حساب آنالیز خود را انتخاب کنید، نام و دامنه وب سایت خود را نوشته و زمینه فعالیت خود را مشخص کنید. همچنین بایستی کشور و محدوده زمانی مورد نظر خود را انتخاب کنید که قاعدتا باید تهران را از این بین انتخاب کنید.

how to install google analytics/

در انتهای این صفحه شما باید بر روی دکمه Get Tracking ID کلیک کنید تا به صفحه بعد بروید.

how to install google analytics/

پس از این دکمه شما باید قوانین گوگل آنالیتیکس را بپذیرید که در شکل زیر نمایش داده شده است.

how to install google analytics/

پس از موافقت شما با قوانین کد اختصاصی شما نمایش داده می شود که شما باید این کد را در تگ Head وب سایت خودتان قرار دهید. این کار به این دلیل است که حتی اگر وب سایت شما کامل بارگذاری نشد گوگل آنالیتیکس بتواند که سایت شما را بخواند. توجه کنید که در صورتیکه از سیستم مدیریت محتوی وردپرس یا جمولا استفاده میکنید باید در ابتدا فایل های خود را بشناسید و تگ هد را پیدا کرده و در آن فایل کد اختصاصی گوگل آنالیتیکس را وارد کنید.

how to install google analytics/

دریافت ID مخصوص آنالیتیکس شما (Tracking Info)

پس از ساخت اکانت یک آی دی (ID) به خصوص برای وب سایت شما ساخته خواهد شد. شما باید این شناسه را دریافت کرده و در وب سایت خودتان قرار دهید. برای دریافت این کد کافی است شما از منوی بالا وارد قسمت ادمین شوید، پس از آن قسمت Account را انتخاب کنید و سپس در قسمت Property نام وب سایت خود را برگزینید و در نهایت بر روی گزینه Tracking Info کلیک کنید. نکته مهم این است که توجه داشته باشید این ID به صورت یک کد با این فرمت است: (UA-000000-0) حتما این کد را یادداشت کنید.

راه اندازی گوگل آنالیتیکس

پس از طی مراحل فوق شما می توانید وارد اکانت گوگل آنالیتیکس خود شده و اطلاعات وب سایت خودتان را مشاهده کنید. البته این بدیهی است که شما نیاز به طی زمان دارید تا اطلاعات شما در پنل گوگل آنالیز ثبت گردد. در ابتدا شما تصویری مشابه تصویر زیر مشاهده خواهید نمود.

how to install google analytics/

شما در قسمت بالا و سمت راست می توانید بازه زمانی که مد نظر دارید تا گزارش عملکرد آن را ببینید انتخاب کنید. این مورد در شکل زیر نمایش داده شده است.

how to install google analytics/

همچنین در قسمت Overview می توانید نمودار Session ها یا همان جلسات را مشاهده کنید. به طور مثال یک کاربر وارد سایت شما می شود، چند صفحه را مشاهده می کند، و از سایت خارج می شود، به این روند یعنی زمان ورود کاربر تا خروج آن از سایت یک جلسه یا Session می گویند.

how to install google analytics/

  • Sessions: تعداد کل جلسات ایجاد شده در سایت شما در بازه زمانی انتخابی
  • Users: تعداد کاربرانی که به سایت شما آمده اند (تعداد کاربران یونیک: یعنی تعداد واقعی کاربران بدون ثبت ورود تکراری)
  • Page Views: تعداد بازدید صفحات
  • Page / Sessions: مشاهده ی صفحات براساس Session ها
  • Session Duration: مدت زمان میانگین هر Session را نمایش می دهد
  • Bounce Rate: زمانیکه کاربر وارد سایت شما می شود و بدون مراجعه به سایر صفحات از سایت خارج می گردد را Bounce Rate یا درصد خروج کاربران می گویند.
  • %New Sessions: معیاری می باشد که درصد کاربران جدیدی که به سایت شما وارد شده اند را نمایش می دهد.

پیشنهاد میکنیم حتما مقاله آموزش گوگل آنالیتیکس را مطالعه کنید. این مقاله به صورت گام به گام و تصویری به شما توضیحات لازم را خواهد داد.

امنیت سایت

امنیت سایت خود را چگونه افزیش دهیم؟

چگونه از وبسایت خود محافظت کنیم؟

امنیت سایت می تواند موضوعی پیچیده (یا حتی گیج کننده) باشد که همیشه در حال تحول است. این راهنما برای ایجاد یک چارچوب مشخص برای صاحبان وبسایت است که به دنبال کاهش خطر و به کارگیری اصول امنیتی بر روی وبسایت خود هستند .
قبل از شروع ، بسیار مهم است که بخاطر بسپاریم که ایجاد امنیت، در یک مرحله انجام نمیشود. بلکه باید به آن را یك فرآیند مداوم فرض کنید كه نیاز به ارزیابی مداوم برای كاهش خطرات كلی سایت دارد .

با استفاده از رویکردی منظم برای امنیت سایت، می توانیم پروسه ایمن سازی را به یک پیاز تشبیه کنیم که لایه های بسیار زیادی  دارد. لایه های آن در جهت دفاع بوده و همه با هم جمع می شوند تا یک قطعه را تشکیل دهند . ما باید امنیت سایت را به صورت جامع مشاهده کنیم و با استراتژی دفاع در عمق، به آن نزدیک شویم.

استفاده از رمز عبور مناسب

امنیت سایت چیست؟

امنیت وبسایت اقداماتی است که برای ایمن سازی سایت در برابر حملات سایبری انجام می شود. امنیت سایت یک فرایند مداوم است و بخش مهمی از مدیریت یک وب سایت را تشکیل می دهد.

امنیت وب سایت بسیار مهم است، زیرا هیچ کس نمی خواهد یک وب سایت هک شده داشته باشد. داشتن یک وب سایت ایمن، به اندازه داشتن خود وب سایت برای حضور آنلاین و راه درآمد، حیاتی است. به عنوان مثال اگر یک وب سایت هک شده و در لیست سیاه قرار گرفته باشد، تا 98٪ از ترافیک خود را از دست می دهد. نداشتن یک وب سایت امن می تواند بدتر از داشتن وب سایت بد باشد. به عنوان مثال، امنیت پایین می تواند منجر به نقض اطلاعات مشتری شده که درگیری، جریمه های سنگین و ازبین رفتن محبوبیت سایت را در پی خواهد داشت.

استراتژی دفاع در عمق

استراتژی دفاع در عمق برای امنیت وب سایت، به عمق دفاع و وسعت سطح  حمله نگاه می کند تا ابزارهای مورد استفاده را برای امنیت تجزیه و تحلیل کند. این رویکرد، تصویری دقیق تر از چشم انداز تهدید امنیت وب سایت امروز را ارائه می دهد.

نگاه حرفه ای ها به امنیت وبسایت چگونه است؟

ما نمی توانیم آمار را فراموش کنیم، زیرا باعث می شود امنیت وب سایت، صرف نظر از اندازه وبسایت ، موضوعی قانع کننده برای هر تجارت آنلاین باشد.
پس از تجزیه و تحلیل بیش از 1000 پاسخ نظرسنجی از متخصصان وب، از بینش هایی درباره منظره امنیتی پرده برداشتیم:

  • 67٪ مراجعین وب درباره امنیت وب سایت سؤال کرده اند، اما تنها کم تر از 1٪ از پاسخ دهندگان، امنیت وب سایت را به عنوان خدمات ارائه می دهند.
  • حدود 72٪ متخصصان وب، نگران تجربه حمله سایبری در سایت های مشتری هستند.

چرا وبسایت ها هک می شوند؟

بیش از 1.94 میلیارد وب سایت وجود دارد. این یک زمین بازی عالی و گسترده برای فعالان مجرم است.
غالباً تصور اشتباهی در مورد هک شدن وب سایت ها وجود دارد. دارندگان و سرپرستان این وبسایت ها غالباً معتقدند که هک نمی شوند، زیرا سایت های آن ها کوچک است و بنابراین امنیت کم تری را اعمال می کنند. آن ها عقیده دارند اگر هکرها بخواهند اطلاعاتی را بدزدند یا خرابکاری هایی انجام دهند ، می توانند سایت های بزرگتری را انتخاب کنند. اما هکر ها برای اهداف دیگرشان (که رایج تر است) ، سایت های کوچک را نیز به اندازه کافی ارزشمند می دانند.

برای هک کردن وب سایت ها اهداف مختلفی وجود دارد، اما اصلی ترین ها شامل این موارد هستند:

  • بهره برداری از بازدید کنندگان سایت.
  • سرقت اطلاعات ذخیره شده در سرور.
  • فریب ربات ها و خزنده ها (سئوی کلاه سیاه).
  • سوء استفاده از منابع سرور.
  • شیطنت خالص (جبران خسارت).

 حملات وب سایت خودکار

متاسفانه این حملات کیفیت اتوماسیون را کاهش می دهند و اجازه می دهند تا احتمال قرار گرفتن در معرض جرم، و شانس برای موفق به سازش، صرف نظر از میزان ترافیک و یا محبوبیت از وب سایت افزایش یابد.
در حقیقت، اتوماسیون در دنیای هک کردن پادشاهی می کند. حملات خودکار اغلب شامل آسیب پذیری های شناخته شده برای تحت تأثیر قرار دادن زیر مجموعه بزرگی از سایت ها می باشد، گاهی اوقات حتی بدون اطلاع صاحب سایت.
حملات خودکار در فرصت های مختلف انجام می شوند. برخلاف تصور عموم، حملات خودکار به دلیل سهولت دسترسی، بسیار رایج تر از حملاتی هدفمند و دستی است.

ملاحظات امنیتی CMS

امنیت سایت وردپرسی

با استفاده از سیستم مدیریت محتوای منبع باز (CMS) مثل WordPress ، Magento ، Joomla به طور متوسط، حفظ امنیت ​​برای صاحب سایت آسانتر می شود.
در حالی که این سیستم عامل ها اغلب به روزرسانی های امنیتی مکرر را ارائه می دهند، استفاده از مؤلفه های قابل توسعه شخص ثالث – مانند افزونه ها یا مضامین – منجر به آسیب پذیری هایی می شود که حمله کنندگان می توانند به راحتی از آن استفاده کنند.

ما راهنماهای امنیتی وب سایت دقیقی را برای هر CMS  محبوب تهیه کرده ایم تا به صاحبان وب سایت کمک کنیم از سایت های خود محافظت کنند و تهدیدات را کاهش دهند.

امنیت اطلاعات CIA Triad

امنیت اطلاعات وبسایت دارای سه اصل است – محرمانه بودن، یکپارچگی و در دسترس بودن.

از این مدل برای توسعه سیاست های تأمین امنیت سایت ها استفاده می شود.

محرمانه بودن

محرمانه بودن به کنترل دسترسی اطلاعات گفته می شود، افرادی که دسترسی ندارند، بعدا هم دسترسی پیدا نکنند. این کار را می توان با تعیین گذرواژه ها، نام های کاربری و سایر مؤلفه های کنترل دسترسی انجام داد.

یکپارچگی

یکپارچگی اطمینان حاصل می کند که اطلاعاتی که کاربران نهایی دریافت می کنند، توسط کسی غیر از صاحب سایت تغییر نمی یابد و فقط او می تواند آن ها را تغییر دهد. این نوع امنیت اغلب با رمزگذاری انجام می شود، مانند گواهینامه های (Secure Socket Layer (SSL که اطمینان حاصل می کنند که داده ها در هنگام گذر، رمزگذاری شوند.

 در دسترس بودن

اصل در دسترس بودن، این مثلث را دور می زند و اطمینان می دهد که در صورت لزوم، می توان به اطلاعات دسترسی داشت. شایع ترین تهدید برای دسترسی به وب سایت، حمله   (Distributed Denial of Service (DDoS  است.
اکنون که در حملات خودکار و هدفمند پیش زمینه ای داریم، می توانیم به رایج ترین تهدید های امنیتی وب سایت بپردازیم.

آسیب پذیری ها و تهدیدات وب سایت

در این قسمت از سایت رایج ترین آسیب پذیری ها و تهدیدات امنیتی وب سایت ذکر شده است:

تزریق SQL

حملات تزریق SQL  با تزریق کد مخرب در یک پرس و جوی آسیب پذیر SQL  انجام می شود. این کدها به مهاجم اجازه میدهند در پیامی که وب سایت به پایگاه داده ارسال می کند، درخواستی خاص و ساختگی را اضافه کند.

یک حمله موفق، کوئری پایگاه داده را به گونه ای تغییر می دهد که بتواند به جای اطلاعات اصلی وبسایت، اطلاعات مورد نظر مهاجم را بازگرداند. تزریق SQL  حتی می تواند اطلاعات پایگاه داده را تغییر دهد یا اطلاعات مخرب را به پایگاه داده اضافه کند.

 اسکریپت نویسی ضربدری سایت  (XSS)

حملات اسکریپت کراس یا ضربدری سایت، شامل تزریق اسکریپت های مخرب سمت مشتری، به یک وب سایت و استفاده از وب سایت به عنوان یک روش انتشار است.
خطر XSS  این است که به یک مهاجم اجازه می دهد تا محتوا را در یک وب سایت تزریق کند و نحوه نمایش آن را تغییر دهد و مرورگر قربانی را مجبور کند تا هنگام بارگیری صفحه، کد ارائه شده توسط مهاجم را وارد کند. اگر سرپرست سایت وارد شده و کد را بارگیری کند، اسکریپت با سطح امتیاز آنها اجرا می شود که می تواند منجر به تصاحب سایت شود.

امنیت هاست

حمله های Credential Brute Force

دسترسی به ناحیه مدیریتی وب سایت، کنترل پنل یا حتی به سرور SFTP یکی از بردارهای رایج است که برای به خطر انداختن وب سایت ها استفاده می شود. این مراحل بسیار ساده می باشند؛ مهاجمان در اصل، یک اسکریپت را اجرا میکنند تا چندین نام کاربری و کلمه عبور را امتحان کنند تا زمانی که یک نام کاربری و رمز درست را پیدا کنند.
مهاجمان پس از امکان دسترسی می توانند انواع فعالیت های مخرب، از کمپین های اسپم گرفته تا سرقت اطلاعات کارت های اعتباری را انجام دهند.

حملات بدافزار ویروس ها به وب سایت

مهاجمان با استفاده از برخی از موارد امنیتی قبلی به عنوان ابزاری برای دسترسی غیرمجاز به وب سایت، می توانند اقدامات زیر را انجام دهند:

  • تزریق سئوی اسپم در صفحه.
  • ایجاد یک در پشتی برای حفظ دسترسی.
  • جمع آوری اطلاعات بازدید کننده یا داده های کارت اعتباری.
  • سوء استفاده بر روی سرور برای افزایش  سطح دسترسی
  • استفاده از از رایانه های بازدید کنندگان برای تصاحب ارزهای رمزگذاری شده.
  • ذخیره اسکریپت های فرمان و کنترل Botnetها.
  • نمایش تبلیغات ناخواسته، هدایت بازدید کنندگان به سایت های کلاهبرداری.
  • میزبانی دانلودهای مخرب
  • حمله به سایت های دیگر.

حمله DoS / DDoS

حمله DDoS  یک حمله اینترنتی غیرقابل نفوذ است . در این حمله ، مهاجم با استفاده از ترافیک جعلی و سنگین کردن شبکه، سرور یا اپلیکیشن، تلاش میکند تا سایت را با اختلال روبرو سازد یا باعث کندی آن شود.
حملات DDoS  تهدیدهایی هستند که صاحبان وب سایت، باید خود را با آن آشنا سازند زیرا یک قطعه مهم از منظر امنیتی است. هنگامی که یک حمله DDoS  یک نقطه پایانی آسیب پذیر منابع را هدف قرار می دهد، حتی مقدار کمی ترافیک نیز برای موفقیت حمله کافی است.

امنیت وب سایت های فروشگاهی و انطباق PCI

استاندارد های امنیتی داده های صنعت پرداخت با کارت (PCI-DSS)،  الزامات را برای صاحبان وب سایت های فروش آنلاین ارائه می دهد. این الزامات به شما اطمینان می دهد که می توانید داده های دارنده کارت را که به عنوان یک فروشگاه اینترنتی جمع می کنید به طور صحیح و تضمینی ایمن سازی کنید.

PCI به امنیت دارنده کارت و اطلاعات مربوط به شماره کامل حساب اصلی یا PAN اشاره دارد، اما ممکن است به شکل یکی از موارد زیر نیز ظاهر شود:
پداده های نوار مغناطیسی کامل (یا معادل تراشه)

  • تاریخ انقضا
  • کد خدمات
  • پین کد
  • CVV
  • نام و نام خانوادگی دارنده کارت

مقررات مربوط به انطباق PCI ، بدون توجه به اینکه داده ها را به صورت دیجیتالی یا به صورت کتبی به اشتراک می گذارید، اعمال می شود یا حتی ممکن است هنگامی که برای دسترسی به داده های دیگر با فرد دیگری صحبت می کنید، دست به کار شود.
برای وب سایت های تجارت الکترونیکی ، بسیار مهم است که اطمینان حاصل شود که داده های دارنده کارت از مرورگر به سرور وب، با رمزگذاری صحیح از طریق HTTPS، منتقل می شود. همچنین هنگام انتقال به هرگونه خدمات پردازش پرداخت شخص ثالث، باید به طور ایمن روی سرور ذخیره شود.
هکرها ممکن است سعی کنند داده های دارنده کارت را در هر زمان سرقت یا رهگیری کنند، خواه داده ها در حالت ساکن باشد و یا در حال انتقال. راهنما ها و رعایت چک لیست PCI  می تواند به ما کمک کند تا چگونگی پاسخگویی به این شرایط را بفهمیم.

چارچوب امنیت وب سایت

صرف نظر از اندازه تجارت شما، ایجاد یک چارچوب امنیتی می تواند به کاهش خطر کلی کمک کند.
موسسه ملی استاندارد اطلاعات و فناوری ایالات متحده، چارچوب امنیت سایبری را ایجاد کرده است که اساس چارچوب اصول امنیت وب سایت ما را در این راهنما تشکیل می دهد.

دانستن امنیت، یک فرایند مداوم است که برای شروع آن با ایجاد یک چارچوب امنیت وب سایت آغاز می کنیم. این چارچوب مستلزم ایجاد “فرهنگ امنیتی” است که در آن حسابرسی های برنامه ریزی شده به ساده و به موقع به انجام شدن کارها کمک می کند.

پنج عملکرد شناسایی، محافظت، کشف، پاسخ و بازیابی با در ادامه با جزئیات بیشتر توضیح داده می شوند.

شناسایی (Identify)

در این مرحله تمام موجودی و مدیریت دارایی مستندسازی و بررسی می شود. موجودی و مدیریت دارایی را می توان این گونه نام برد:

  • خصوصیات وب
  • سرورها و زیرساخت های وب
  • افزونه ها، قالب ها، مضامین و ماژول ها
  • ادغام ها و خدمات شخص ثالث
  • نقاط دسترسی / گره ها.

پس از تهیه لیستی از دارایی های وب سایت خود، می توانید برای ممیزی و دفاع از هرکدام از آن ها در برابر حملات، قدم بردارید.

محافظت (Protect)

دلایل زیادی وجود دارد که چرا اجرای اقدامات پیشگیرانه بسیار مهم است، اما از کجا باید کار را شروع کنید؟ این اقدامات به عنوان فناوری های محافظتی و لایه های دفاعی شناخته می شوند.
بعضی اوقات این اقدامات ، الزامات مربوط به انطباق مانند PCI  را برآورده می کند، یا پچ کردن و ایمن سازی محیط هایی که در معرض حمله قرار دارند را آسان می کند. حفاظت همچنین می تواند شامل سیاست های آموزش کارکنان و کنترل دسترسی باشد.
یکی از بهترین راه های محافظت از وب سایت شما، فعال کردن فایروال برنامه است. وقت گذاشتن برای فکر کردن به روش ها و راه های محافظتی،  از طریق فرآیندهای امنیتی، ابزارها و پیکربندی ها ، بر وضعیت امنیتی وب سایت شما تأثیر خواهد گذاشت.

تشخیص (Detect)

نظارت مداوم مفهومی است که با اجرای ابزارهایی برای نظارت بر وبسایت(دارایی) شما انجام میشود. این ابزارها باید وجود هرگونه مشکل را به شما اطلاع دهند.

برای تأیید وضعیت امنیتی ، نظارت باید روی موارد زیر انجام شود:

امنیت سایت

  • سوابق DNS
  • گواهینامه های SSL
  • پیکربندی سرور وب
  • به روز رسانی برنامه
  • دسترسی کاربر
  • یکپارچگی پرونده سایت

همچنین می توانید از اسکنرها و ابزار های امنیتی مانندsitecheck  برای اسکن کردن شاخص های سازش یا آسیب پذیری استفاده کنید.

پاسخ (Respond)

تجزیه و تحلیل به ایجاد دسته پاسخ کمک می کند. هنگامی که حادثه ای رخ داد ، باید یک برنامه پاسخگویی وجود داشته باشد. داشتن یک برنامه پاسخگویی قبل از حادثه سازش ، شگفت انگیز است.

یک برنامه پاسخ مناسب در مورد حادثه، شامل موارد زیر است:

  • انتخاب تیم یا شخص پاسخ دهنده حادثه
  • گزارش حادثه برای بررسی یافته ها
  • کاهش واقعه

در طی روند ترمیم، ما هرگز نمیتوانیم پیشبینی کنیم که با چه بدافزارهایی روبرو خواهیم شد. برخی از مشکلات می توانند به سرعت گسترش یابند و سایر وب سایت ها را در محیط های سرور اشتراکی آلوده کنند. (آلودگی متقابل)

روند پاسخ به حادثه، همانطور که توسط NIST  تعریف شده است، به چهار مرحله گسترده تقسیم می شود:

  • تهیه و برنامه ریزی
  • تشخیص و تجزیه و تحلیل
  • مهار، ریشه کن کردن و بازیابی
  • فعالیت های بعد از حادثه

داشتن یک مرحله آماده سازی جامع و یک تیم امنیتی وب سایت که بتوانید روی آن حساب کنید، برای موفقیت این مرحله بسیار مهم است.

اقدامات باید این گونه باشند:

آماده سازی  و برنامه ریزی

در این مرحله، باید مطمئن شویم که قبل از وقوع یک حادثه، همه ابزار و منابع لازم را در اختیار داریم.
این اقدام به صورت مشترک با بخش های قبلی در چارچوب امنیتی پیش می رود.
شرکت های هاستینگ با اطمینان از امنیت کافی سیستم ها، سرورها و شبکه ها در این مرحله نقش اساسی دارند. همچنین اطمینان حاصل کنید که توسعه دهنده وب یا تیم فنی شما برای رسیدگی به یک حادثه امنیتی آماده است.

تشخیص و تجزیه و تحلیل

اگرچه روش های مختلفی برای  حمله وجود دارند، اما ما باید برای رسیدگی به هرگونه حادثه آماده باشیم. بعد از صدها هزار پاسخ، ما بیشتر ویروس های آسیب زننده را به اجزای نصب شده در وب سایت (بیشتر پلاگین ها)، سازش های رمز عبور (رمز عبور ضعیف ، brute force) و سایر موارد محدود می کنیم.
بسته به مشکل و قصدی که داریم، مرحله تشخیص می تواند کمی مشکل باشد. برخی از مهاجمان به دنبال شهرت هستند، برخی دیگر ممکن است بخواهند از منابع استفاده کنند یا اطلاعات حساس (کارت اعتباری) را به دست آورند.
در بعضی موارد، هیچ علامتی مبنی بر نصب یک پشتوانه یا در پشتی که مهاجم برای فعالیت های مخرب ازآن استفاده میکند، وجود ندارد. بنابراین، باید مکانیزمی پیاده سازی کنید که یکپارچگی سیستم فایلی شما را تضمین کند.

مهار، ریشه کن کردن و بازیابی

این روند باید با نوع مشکل موجود در وب سایت و استراتژی های از پیش تعریف شده بر اساس حمله انجام شده، سازگار شود.
به عنوان مثال، ویروس های کریپتوماینر (cryptominer)، معمولاً منابع زیادی را از طریق سرور (Leecher) مصرف می کنند و قبل از شروع روند اصلاح، تیم پاسخ به حادثه باید اقدام کند. مهار این حمله، یک اقدام اساسی برای جلوگیری از هدر رفتن منابع اضافی و آسیب بیشتر است.
این سیستم و استراتژی های تصمیم گیری، بخش مهمی از این مرحله است. به عنوان مثال، اگر یک پرونده خاص را 100٪ مخرب تشخیص دهیم، باید اقدامی برای پاک کردن آن انجام شود. اگر پرونده حاوی کد جزئی مخرب باشد، فقط باید آن قطعه حذف شود. هر سناریو باید یک روند خاص داشته باشد.
اگرچه روش های مختلفی برای حمله وجود دارد، اما باید برای رسیدگی به هرگونه حادثه آماده باشیم.

فعالیت های پس از حادثه

آخرین مرحله که بعنوان “فعالیت های پس از وقوع حادثه ” شناخته می شود، می تواند “مرحله درس عبرت ها ” نیز نامیده شود. در این مرحله، تیم واکنش حوادث باید گزارشی را ارائه دهد تا بیان کند جزئیات آن اتفاق چه بوده است، چه اقداماتی انجام شده است و حمله یا مداخله چگونه انجام شده است. باید درباره این حادثه تأمل کنید، از آن درس بگیرید و برای جلوگیری از وقوع مشکلات مشابه در آینده اقدام کنید. این اقدامات می تواند به آسانی به روزرسانی یک جزء، تغییر گذرواژه‌ ها یا اضافه کردن فایروال وب سایت باشد تا از حملات در آینده جلوگیری شود.
برای ادامه استحکام وضعیت امنیتی خود، یک بررسی انجام دهید. بعد از آن، اطمینان حاصل کنید که این اقدامات را در اسرع وقت انجام دهید.می توانید تمام اقدامات بعدی را بر اساس نکات زیر پایه گذاری کنید:

  • دسترسی جهانی به سایت خود (یا مناطق خاص) را با استفاده از روش های GET  یا POST  محدود کنید تا قرار گرفتن در معرض حمله به حداقل برسد.مستندات و
  • مجوزهای پرونده را به روز کنید تا اطمینان حاصل شود که دسترسی های خواندن / نوشتن به درستی تنظیم شده است.
  • نرم افزار / تم / افزونه منسوخ را به روز رسانی یا حذف کنید.
  • رمزهای عبور خود را فوراً با یک خط مشی رمز عبور قوی تنظیم مجدد کنید.
  • برای افزودن یک لایه اضافی، تأیید اعتبار 2FA / MFA  را فعال کنید.

علاوه بر این ها، اگر از یک فایروال برنامه وب (WAF)  استفاده می کنید، پیکربندی موجود خود را بررسی کنید تا در صورت وجود گزینه هایی مناسب برای ایمن سازی بیشتر، آن ها را نیز فعال کنید.
به یاد داشته باشید که حتی اگر WAF  ها در رعایت چندین استاندارد مربوط به امنیت داده کارت های پرداخت کمک کنند، اما باز هم همه اقدامات امنیتی نیستند. عوامل دیگری نیز وجود دارد که می تواند در کار شما، به ویژه در مورد عوامل انسانی تأثیر بگذارد.

بازیابی

برنامه ریزی بازیابی یا ریکاوری زمانی اتفاق می افتد که بررسی کامل کلیه مراحل انجام شده باشد. ریکاوری همچنین به معنای داشتن یک برنامه پشتیبان برای موقعیت هایی است که که در آن تمام مراحل قبلی شکست خورده اند به عنوان مثال ، در صورت حملات باج افزار.

این فرایند همچنین باید شامل صحبت با متخصص امنیتی شما در مورد چگونگی بهبود زمینه های ضعف نیز باشد. آن ها از تجهیزات بهتری برای ارائه بینش و آگاهی در مورد آنچه می توان انجام داد، برخوردار هستند.

یک استراتژی ارتباطی داشته باشید.

اگر اطلاعات شما در معرض خطر است، به مشتریان خود اطلاع دهید. این امر به صورت ویژه برای  شرکت هایی که در اتحادیه اروپا هستند، مهم است و باید طبق 72 ماده آئین نامه عمومی حفاظت از داده ها ، نقض داده ها را طی 72 ساعت گزارش دهند.

از پشتیبان گیری خودکار استفاده کنید.

مهم نیست که برای تأمین امنیت وب سایت خود چه کاری انجام می دهید، اما خطر هرگز صفر نخواهد شد. اگر عملکرد وب سایت شما آسیب دیده است، به روشی برای بازیابی سریع اطلاعات نیاز دارید – نه تنها یک راه روش، بلکه حداقل دو روش نیاز است. داشتن پشتیبان محلی از کل برنامه و تهیه یک نسخه پشتیبان  خارجی که به طور مستقیم در صورت خرابی سخت افزار یا حمله به برنامه وصل نشده باشد، ضروری است.

چگونه می توان وب سایت خود را ایمن کرد؟

اهمیت امنیت وب سایت را نمی توان نادیده گرفت. در این بخش نحوه ایمن سازی و محافظت از وب سایت شما را بررسی خواهیم کرد. این یک راهنمای گام به گام نیست اما شما را راهنمایی می کند تا بتوانید خدمات مناسب را برای نیازهای خود پیدا کنید.

همه چیز را به روزرسانی کنید.

وب سایت های بی شماری هر روز به دلیل نرم افزارهای منسوخ و ناامن به خطر می افتند.
مهم است که به محض دسترسی به افزونه جدید یا نسخه CMS ، سایت خود را به روز کنید. این به روز رسانی ها ممکن است حاوی پیشرفت های امنیتی باشند.

اکثر حملات به وب سایت ها به صورت خودکار انجام می شود. ربات ها به طور مداوم هر سایتی را که می توانند برای هرگونه فرصت بهره برداری، مفید باشند را اسکن می کنند. دیگر بروزرسانی یکبار در ماه یا حتی یک بار در هفته هم کافی نیست  زیرا ربات ها به احتمال زیاد آسیب پذیری را قبل از پچ شدن آن، پیدا می کنند.
به همین دلیل شما باید از فایروال وب سایت استفاده کنید که به محض انتشار به روزرسانی ها، عملاً سوراخ امنیتی را برطرف خواهد کرد.

رمز عبور های قوی

داشتن وب سایت ایمن به وضعیت و اقدامات امنیتی شما بستگی دارد. آیا تاکنون به این فکر کرده اید که چگونه رمزهای عبور استفاده شده می توانند امنیت وب سایت شما را تهدید یا تامین کنند؟
به منظور پاکسازی وب سایت های آلوده، باید با استفاده از جزئیات کاربری مدیریت، وارد پنل مدیریت سایت یا سرور شوید. ممکن از از ناامنی و سادگی این جزئیات کاربری متعجب شوید. برای مثال استفاده از نام کاربری و رمزadmin/admin، مانند این است که هیچ رمزی برای ورود به وبسایت خود نگذاشته اید.
لیست های بسیاری از رمز عبورهای آنلاین وجود دارد. هکرها اینها را با لیست واژه های لغت نامه ترکیب می کنند تا لیست های بزرگتری از کلمات عبور احتمالی را تولید کنند. اگر گذرواژه‌هایی که شما استفاده می‌ کنید، در یكی از آن لیست ها قرار گرفته است ، مورد حمله قرار گرفتن وبسایت شما حتمی است.

تعیین رمزهای قوی برای امنیت سایت

بهترین شیوه های تعیین رمزهای عبور

بهترین روش های شما برای داشتن رمز عبور قوی عبارتند از:

  • از رمز های عبور خود استفاده مجدد نکنید: هر رمز عبوری که دارید، باید منحصر به فرد باشد. یک مدیریت صحیح از رمز عبور می تواند این کار را آسان تر کند.
  • دارای گذر واژه ‌های طولانی: رمزهایی با بیش از 12 کاراکتر را امتحان کنید. هرچه گذرواژه طولانی تر باشد، حدس آن توسط برنامه های کامپیوتری سخت تر خواهد بود.
  • از رمزهای عبور تصادفی استفاده کنید: اگر حاوی کلماتی است که به صورت آنلاین یا در فرهنگ لغت یافتید، بهتر است بدانید برنامه های رمز عبور می توانند میلیون ها رمز را در عرض چند دقیقه حدس بزنند. اگر در گذرواژه خود کلمات واقعی دارید، یعنی رمز شما تصادفی نیست. اگر به راحتی می توانید رمز عبور خود را حدس بزنید و یا تلفظ  کنید، به این معنی است که به اندازه کافی قوی نیست. حتی استفاده از روش تعویض کاراکترها (یعنی جایگزین کردن حرف O  با عدد 0) کافی نیست. چندین برنامه مدیریت رمز عبور مانند LastPass  (آنلاین) و KeePass 2  (آفلاین) وجود دارد که رمز های شما را با فرمت رمزگذاری شده ذخیره می کنند و به راحتی می توانند با کلیک یک دکمه، رمزهای عبور تصادفی تولید کنند. با استفاده از برنامه های مدیریت رمزعبور، میتوانید از رمزهای قوی و پیچیده استفاده کنید و دیگر نگران از یاد بردن آن ها نباشید.

یک سایت= یک کانتینتر

میزبانی وب سایت های بسیاری بر روی یک سرور واحد می تواند ایده آل به نظر برسد، به خصوص اگر برنامه میزبانی وب، “نامحدود” باشد. اما متأسفانه، این یکی از بدترین روش های امنیتی است که می توانستید به کار بگیرید. میزبانی بسیاری از سایت ها در یک مکان، سطح حمله بسیار وسیعی را فراهم می کند.
باید توجه داشته باشید که آلودگی متقابل سایت ها یا همان cross-site contamination بسیار رایج است. آلودگی متقابل زمانی اتفاق می افتد که که یک سایت به دلیل سطح پایین ایزوله شدن روی سرور یا پیکربندی ضعیف حساب، تحت تأثیر سایت های همسایه در همان سرور قرار بگیرد.
به عنوان مثال، یک سرور حاوی یک سایت، ممکن است یک نصب وردپرس با یک موضوع و 10 افزونه داشته باشد که به طور بالقوه توسط یک مهاجم قابل هدفگیری است. اگر اکنون میزبان پنج سایت در یک سرور واحد هستید، یک مهاجم ممکن است دارای سه نصب وردپرس، دو نصب جوملا، پنج موضوع و 50 افزونه باشد که می توانند اهداف بالقوه آن ها باشند. زمانی کار بدتر می شود که یک مهاجم در یک سایت سوء استفاده کند، سپس ویروس می تواند به راحتی در سایر سایت های میزبانی شده روی همان سرور پخش شود.

این امر نه تنها می تواند باعث هک شدن کلیه سایت های شما شود، بلکه باعث می شود روند پاکسازی بسیار وقت گیرتر و مشکل تر شود. سایت های آلوده می توانند به برقراری مجدد یکدیگر بپردازند و باعث ایجاد حلقه بی پایان شوند.
پس از موفقیت آمیز بودن پاکسازی، نوبت به تنظیم مجدد گذرواژه‌ها می رسد. در این حالت، گذرواژه همه وبسایت های موجود روی آن سرور، باید پس از از بین رفتن ویروس تغییر یابد.
این تغییر شامل کلیه بانک های اطلاعاتی CMS  و انتقال فایل FTP  کاربران، برای هر یک از این وب سایت ها می شود. اگر این مرحله را نادیده بگیرید و از آن بگذرید، وب سایت ها می توانند دوباره به هم متصل شوند و باید کل پروسه را مجدداً انجام دهید.

 محدودیت دسترسی کاربر و مجوزها

کد وب سایت شما ممکن است مورد حمله یک مهاجم قرار نگیرد، بلکه به کاربران حمله شود. ضبط آدرس هایIP  و کل تاریخچه فعالیت، بعداً در تحقیقات مفید خواهد بود.
به عنوان مثال افزایش زیاد تعداد کاربران ثبت شده، ممکن است نشانه عدم موفقیت در روند ثبت نام باشد و به اسپم ها اجازه دهد تا سایت شما را با محتوای جعلی درگیر کنند.

اصل حداقل امتیاز
اصل حداقل امتیازات، حول محور اصولی است که به دنبال تحقق دو چیز هستند:

  • استفاده از مجموعه حداقل امتیازات در یک سیستم به منظور انجام یک عمل
  • اعطای آن امتیازات فقط برای زمان لازم عمل

اعطای امتیاز به نقش های خاص،مشخص میکند هرکاربر چه کارهایی را میتواند انجام دهند و چه کارهایی را نمیتواند انجام دهد. در یک سیستم کامل، نقشی وجود خواهد داشت که درصورت تلاش کاربران در انجام عملی فراتر از آنچه برای آن طراحی شده اند، مانع آن ها می شود.

به عنوان مثال، بیایید بگوییم کاربری با نقش مدیریت یا administrator قادر به استفاده از کدهای HTML  در پست ها یا اجرای دستوراتی برای نصب افزونه ها است. آیا این آسیب پذیری است؟ نه، این یک ویژگی بر اساس یک عنصر بسیار مهم به نام اعتماد است.

با این حال، آیا یک نویسنده یا author باید از همین امتیازات و دسترسی برخوردار باشد؟ نقش های جداگانه را بر اساس اعتماد در نظر بگیرید و همه حساب ها را قفل کنید.
این فقط در مورد سایت هایی که دارای چندین کاربر هستند، صدق می کند. مهم این است که هر کاربر اجازه لازم برای انجام کار خود را داشته باشد. اگر مجوزهای بیشتری برای انجام یک کار خاص مورد نیاز است، دسترسی آن ها رافعال کنید و بعد از اتمام کار، آن ها راغیرفعال سازید.

به عنوان مثال، اگر شخصی می خواهد یک پست وبلاگ مهمان را برای شما بنویسد، اطمینان حاصل کنید که حساب آن از امتیازات مدیرکل برخوردار نیست. این حساب فقط باید قادر به ایجاد پست های جدید و ویرایش پست های خاص خود باشد، بنابراین دیگر نیازی به امکان تغییر تنظیمات وب سایت نیست.

داشتن نقش های دقیق تعریف شده برای کاربر و قوانین دسترسی، احتمال خطا کردن را محدود می کند. همچنین باعث کاهش احتمالی حساب های مصالحه شده می شود و می تواند در از وبسایت دربرابر صدمات وارده توسط کاربران سرکش محافظت کند.
این یک بخش غالباً از سمت مدیریت کاربر نادیده گرفته می شود: پاسخگویی و نظارت.

اگر چندین نفر یک حساب کاربری واحد را به اشتراک بگذارند و یک تغییر ناخواسته توسط آن کاربر ایجاد شود، چگونه می دانید کدام یک از اعضای تیم شما مسئول آن بوده است؟

هنگامی که برای هر کاربر حساب جداگانه دارید، می توانید با مرور گزارش ها و دانستن تمایلات معمول آن ها، مانند زمان و جایی که به طور عادی به وب سایت دسترسی پیدا می کنند، رفتار آن ها را کنترل کنید. به این ترتیب، اگر کاربر در ساعتی عجیب یا از یک مکان مشکوک وارد شود، می توانید به این موضوع پی ببرید.

نگه داشتن اطلاعات مربوط به حسابرسی برای حفظ هرگونه تغییر مشکوک در وب سایت شما بسیار مهم است. گزارش حسابرسی (audit log)، سندی است که وقایع را در یک وب سایت ثبت می کند، بنابراین می توانید ناهنجاری ها را تشخیص داده و شخص مسئول در به خطر افتادن سایت را تأیید کنید.

ممکن است انجام برخی از گزارش های حسابرسی به صورت دستی برای برخی از کاربران دشوار باشد. اگر یک وب سایت WordPress  دارید، می توانید از افزونه امنیتی رایگانSucuri   استفاده کنید که می تواند از مخزن رسمی WordPress  بارگیری شود.

مجوزهای پرونده

مجوزهای پرونده تعریف می کنند چه کسی می تواند برای یک پرونده چه کاری انجام دهد. هر پرونده دارای سه مجوز در دسترس است و هر مجوز توسط یک شماره ارائه می شود:

  • بخوانید (4): مشاهده محتوای پرونده
  • بنویسید (2): محتوای پرونده را تغییر دهید
  • اجرا کنید (1): پرونده یا برنامه را اجرا کنید

اگر می خواهید چندین مجوز به یک حساب کاربری اختصاص دهید، به سادگی اعداد را اضافه کنید. به عنوان مثال، اجازه خواندن (4) و نوشتن (2) را می توانید برای کاربر روی 6 تنظیم کنید. اگر می خواهید به کاربر اجازه دهید خواندن (4)، نوشتن (2) و اجرا (1) را انجام دهد، سپس مجوز کاربر را روی 7 قرار می دهید.

تعیین سطح دسترسی به سایت

انواع کاربر

همچنین سه نوع کاربر وجود دارد:

  • مالک: معمولاً سازنده پرونده می تواند اطلاعات را تغییر دهد. فقط یک کاربر می تواند مالک باشد.
  • گروه: به هر پرونده گروهی اختصاص داده می شود و هر کاربر که بخشی از آن گروه باشد، این مجوزها را دریافت می کند.
  • عمومی: همه افراد دیگر.

بنابراین، اگر می خواهید مالک و یا گروهی خاص دسترسی به خواندن و نوشتن داشته باشد و عموم مردم دسترسی نداشته باشند، تنظیمات اجازه پرونده باید به صورت زیر ذخیره گردد.

تنظیمات پیش فرض CMS را تغییر دهید

سیستم های مدیریت محتوای امروزی (با وجود قابلیت استفاده آسان) می تواند از منظر امنیتی برای کاربران نهایی مشکل باشد. تاکنون رایج ترین حملات علیه وب سایت ها کاملاً خودکار است. بسیاری از این حملات تنها به تنظیمات پیش فرض کاربران متکی هستند. این بدان معنی است که شما می توانید با تغییر تنظیمات پیش فرض هنگام نصب  CMS مورد نظر خود، از تعداد زیادی از حملات جلوگیری کنید.

به عنوان مثال، برخی از برنامه های CMS  توسط کاربر قابل نوشتن است و به کاربر اجازه می دهد افزونه های مورد نظر خود را نصب کند.

تنظیماتی وجود دارد که ممکن است بخواهید برای کنترل نظرات، کاربران و قابلیت Visibility اطلاعات کاربر، تنظیم کنید. مجوزهای پرونده، نمونه دیگری از تنظیمات پیشفرض است که می تواند حمله به سایت را مشکل سازد.

می توانید هنگام نصب CMS  یا پس از آن ، این تنظیمات پیش فرض را تغییر دهید، اما انجام آن ها را فراموش نکنید.

انتخاب افزونه ها

قابلیت توسعه برنامه هایCMS  چیزی است که معمولاً وب مسترها آن را دوست دارند، اما میتواند یکی از برزگترین نقاط ضعف هم محسوب شود. افزونه هایی وجود دارند که تقریباً عملکردی را که می توانید تصور کنید ارائه می دهند. اما چگونه می دانید کدام یک از آنها برای نصب امن است؟

انتخاب افزونه های ایمن

نکات زیر، مواردی هستند که بهتر است هنگام تصمیم گیری برای نصب یک افزونه ، درنظر بگیرید.

  • زمان آخرین به روزرسانی: اگر آخرین به روزرسانی بیش از یک سال پیش بود، ممکن است نویسنده افزونه ، کار روی آن را متوقف کرده باشد. از افزونه هایی استفاده کنید که توسعه آنها همچنان ادامه داشته باشد، زیرا این تداوم نشان می دهد که نویسنده حداقل در صورت کشف مشکلات امنیتی، مایل به اصلاح آن است. علاوه بر آن، اگر پسوندی توسط نویسنده پشتیبانی نشود، ممکن است در صورت بروز اختلافات اصلی، کار را متوقف کند.
  • سن افزونه و تعداد نصب های آن: افزونه ایجاد شده توسط یک برنامه نویس یا نویسنده باتجربه که دارای نصب های بی شماری است، قابل اعتمادتر از یک نسخه دارای تعداد معدود نصب است که توسط یک برنامه نویس تازه کار منتشر شده است. توسعه دهندگان باتجربه نه تنها ایده های بهتری در مورد بهترین شیوه های امنیتی دارند، بلکه احتمال وجود کد مخرب در برنامه های آنها ، بسیار کم تر است زیرا در آن صورت به شهرت خود آسیب می رسانند.
  • منابع قانونی و قابل اعتماد: افزونه ها، برنامه های افزودنی و مضامین خود را از منابع قانونی بارگیری کنید. مراقب نسخه های رایگان باشید که ممکن است دزدی و یا آلوده به بدافزارها باشند. برخی برنامه های افزودنی وجود دارد که تنها هدف آنها آلوده کردن هرچه بیشتر وب سایت با بدافزار است.

پشتیبان گیری وب سایت

تهیه نسخه پشتیبان وب سایت در صورت هک، برای بازیابی وب سایت شما از یک حادثه مهم امنیتی بسیار مهم است. اگرچه لازم نیست جایگزینی برای داشتن راه حل امنیتی وب سایت در نظر گرفته شود، اما تهیه نسخه پشتیبان می تواند به بازیابی فایل های آسیب دیده کمک کند.

انتخاب بهترین راه تهیه نسخه پشتیبان از وب سایت

یک راه حل پشتیبان خوب، باید شرایط زیر را برآورده کند:

  • اول، آن ها باید از سایت خارج شوند. اگر نسخه پشتیبان تهیه شده شما در سرور وب سایت شما ذخیره شود، مانند هر چیز دیگری که در آنجاست، در برابر حملات آسیب پذیر هستند. شما باید نسخه پشتیبان خود را خارج از سایت نگه دارید، زیرا می خواهید داده های ذخیره شده شما در برابر هکرها و خرابی سخت افزار محافظت شود. ذخیره کردن نسخه پشتیبان در وب سرور شما نیز یک خطر مهم امنیتی است. این نسخه های پشتیبان همواره حاوی نسخه های غیرقابل مشاهده CMS و پسوندها هستند و به هکرها امکان دسترسی آسان به سرور شما را می دهند.
  • دوم، تهیه نسخه پشتیبان شما باید خودکار باشد. شما هر روز کارهای زیادی انجام می دهید که به خاطر آوردن تهیه نسخه پشتیبان از وب سایت را غیرممکن می سازد. از یک راه حل پشتیبان استفاده کنید که بتواند برای رفع نیازهای وب سایت شما برنامه ریزی کند.
  • برای اتمام کار، بازیابی قابل اطمینان داشته باشیذ. این اقدام بدان معنی است که یک نسخه های پشتیبان از نسخه پشتیبان تهیه کنید و آن ها را تست کنید تا مطمئن شوید که به درستی کار می کنند. برای افزونگی چندین پشتیبان می خواهید . با این کار می توانید پرونده ها را از یک نقطه قبل از بروز هک ، بازیابی کنید.

 پرونده های پیکربندی سرور

با فایل های پیکربندی وب سرور خود آشنا شوید: سرورهای وب Apache  از فایل .htaccess استفاده می کنند، سرورهای Nginx  از nginx.conf  استفاده می کنند، سرورهای IIS Microsoft  از  web.config استفاده می کنند.

غالباً در فهرست مستندات وب، فایل های پیکربندی سرور بسیار قدرتمند هستند. آنها به شما امکان می دهند قوانین سرور، از جمله بخشنامه هایی را که امنیت وب سایت شما را بهبود می بخشد را اجرا کنید. اگر مطمئن نیستید از کدام وب سرور استفاده می کنید، وب سایت خود را از طریق Sitecheck آنالیز کرده و به بخش Website Details  توجه کنید.

بهترین وب سرورها

در اینجا چند روش برتر برای اضافه کردن به یک سرور وجود دارد:

  • جلوگیری از مرور مستندات: این کار باعث می شود کاربران مخرب از مشاهده محتویات هر فهرست در وب سایت دیدن نکنند. محدود کردن اطلاعات در دسترس مهاجمان، همیشه یک احتیاط امنیتی مفید است.
  • از image hotlinking جلوگیری کنید: اگرچه این یک بهبود امنیتی نیست، اما مانع از نمایش برای تصاویر میزبانی شده در سرور شما ، در وب سایت های دیگر می شود. اگر افراد شروع به استفاده تصاویر در سرور شما کنند، ممکن است پهنای باند هاستینگ شما به دلیل نمایش تصاویر شما در وبسایت های دیگر به سرعت به پایان برسد.
  • از فایل های حساس محافظت کنید: می توانید قوانینی را برای محافظت از پرونده ها و پوشه های خاص تنظیم کنید. پرونده های پیکربندی CMS یکی از حساس ترین پرونده هایی است که در وب سرور ذخیره می شود، زیرا شامل جزئیات ورود به دیتابیس است. سایر مکان ها، مانند مناطق مدیریتی نیز می توانند قفل شوند. همچنین می توانید اجرای پی اچ پی را در دایرکتوری هایی که دارای تصاویر هستند و همچنین اجازه بارگذاری را محدود کنید.

یک گواهیSSL  نصب کنید

از گواهینامه هایSSL   برای رمزگذاری داده ها در انتقال بین میزبان (وب سرور یا فایروال) و مشتری (مرورگر وب) استفاده می شود . این گواهی اطمینان حاصل می كند كه اطلاعات شما به درستی به سرور ارسال شده و رهگیری نمی شوند.

برخی از انواع گواهینامه های SSL  مانند organization SSL  یا extended validation SSL  ، لایه ای از اعتبار را اضافه می کنند، زیرا با وجود آن، بازدید کننده می تواند اطلاعات سازمان شما را ببیند و بداند که شما یک نهاد قانونی هستید.

امنیت سایت

به عنوان یک شرکت امنیتی وب سایت، وظیفه ما این است که به وب مسترها آموزش داده و به آن ها اطلاع دهیم که گواهینامه های SSL  از وب سایت آن ها در برابر حملات و هک شدن محافظت نمی کند. گواهینامه های SSL، داده ها را رمزگذاری می کنند، اما یک لایه محافظ به خود وب سایت اضافه نمی کنند.

 نصب ابزار های اسکن و نظارتی

نظارت بر هر مرحله یک راه برای اطمینان از یکپارچگی برنامه است. مکانیسم های هشدار دهنده می توانند در صورت بروز مشکل، زمان پاسخ و کنترل آسیب را بهبود بخشند. بدون بررسی و اسکن، آیا میتوانید از به خطر افتادن وبسایت خود مطلع شوید؟

حداقل یک ماه از وارد شدن های مربوط می تواند برای تشخیص نقض برنامه کاربردی بسیار مفید باشد. این آمار همچنین نشان می دهند که آیا سرور تحت حمله DDoS  قرار گرفته یا با فشار غیرضروری مواجه است.

ضبط و بررسی مرتب تمام عملکردهایی که در قسمت های مهم برنامه رخ می دهد را خصوصاً ( به طور انحصاری) در مناطق مدیریتی ثبت نکنید. مهاجم می تواند بعداً از قسمت کمتری از سایت برای سطح دسترسی بالاتر استفاده کند.

محرک یا triggerهایی ایجاد کنید تا در صورت وقوع brute force یا تلاش برای بهره برداری از هر یک از ویژگی های وبسایت، به شما هشدار دهند.

بسیار مهم است که به طور مرتب به روزرسانی ها را بررسی کرده و از آن ها استفاده کنید تا آخرین اقدامات امنیتی را برای وبسایت خود فعال کرده باشید مخصوصا اگر فایروال را فعال نکرده اید تا تلاش های سواستفاده از آسیب پذیری های سایت را مسدود کنند.

بهترین اقدامات امنیتی امنیت شخصی را دنبال کنید

ایمن سازی رایانه شخصی، یک اقدام مهم برای دارندگان وب سایت است. دستگاه های شما می توانند به یک وکتور ویروس تبدیل شده و باعث هک شدن وب سایت شما شوند.

در صورت هک شدن وب سایت شما،حتما کامپیوتر خود را برای یافتن بدافزار اسکن کنید. بدافزارها از طریق ویرایشگرهای متنی و سرویس دهندگان FTP  از یک رایانه آلوده منتقل می شوند.

شما باید تمام برنامه های استفاده نشده را از رایانه خود حذف کنید. این مرحله بسیار مهم است، زیرا این برنامه ها می توانند مشکلاتی مربوط به حریم خصوصی را نیز به وجود آورند، دقیقاً مانند پلاگین های بلااستفاده و مضامین موجود در وب سایت شما.

اگر چیزی نصب نشده باشد، نمی تواند به یک وکتور حمله تبدیل شود تا سیستم و وبسایت شما را آلوده کند.به ویژه افزونه های مرورگر. این افزونه ها وقتی وب مستر به قسمت مدیدیتی وبسایت خود وارد می شوند، دسترسی کاما به وبسایت پیدا میکنند. بنابراین هرچه افزونه ها یا برنامه های کمتری در کامپیوتر خود نصب کنید بهتر است.

اگر از هدف یک برنامه خاص مطمئن نیستید، بصورت آنلاین در مورد آن تحقیق کنید تا ببینید آیا میتوانید برخی از دسترسی های آن را حذف کنید یا خیر.

یک Firewall وب سایت بگیرید.

استفاده از گواهینامه هایSSL  به تنهایی برای جلوگیری از دسترسی مهاجمان به اطلاعات حساس کافی نیست. آسیب پذیری اپلیکیشن یا وبسایت شما می تواند به مهاجم اجازه دهد تا از ترافیک استراق سمع کند، بازدید کننده را به وب سایت های جعلی ارسال کند، اطلاعات دروغین را به نمایش بگذارد، یک باج افزار در وبسایت نگه دارد یا تمام داده های سایت را پاک کند.

مهاجمین می توانند حتی با یک برنامه که بصورت کامل پچ شده است، سرور یا شبکه شما را مورد حملات DDoS قرار دهد تا سرعت یک وب سایت را کند کنند یا آن را کاملا خراب کنند.

فایروال برنامه وب WAF  برای جلوگیری از چنین حملاتی علیه وب سایت ها طراحی شده است و به شما امکان می دهد تا روی کار خود تمرکز کنید.

از یک سرویس امنیت وب سایت استفاده کنید.

برای کمک به محافظت از وب سایت های خود و تبدیل شدن اینترنت به مکانی امن تر، از این منابع و ابزار رایگان استفاده کنید.

ابزارهای امنیتی وب سایت

در اینجا برخی از ابزارهای امنیتی وب سایت رایگان ارائه شده است:

SiteCheck : بررسی رایگان امنیت وب سایت و اسکنر بدافزار

Sucuri Load Time Tester : سرعت وب سایت را بررسی و مقایسه کنید

افزونه امنیتی وردپرس Sucuri   : ممیزی، اسکنر بدافزار و سخت شدن امنیت برای وب سایت های وردپرس

کنسول جستجوی Google : اطلاعیه ها و ابزارهای امنیتی برای اندازه گیری میزان ترافیک و عملکرد جستجوی وب سایت ها

Bing Webmaster Tools : گزارش های تشخیصی و امنیتی موتور جستجوگر

Yandex Webmaster : اعلان های جستجوی وب و نقض امنیت وب

Unmaskparasites : صفحات را برای محتوای غیرقانونی پنهان بررسی کنید

سؤالات متداول درباره امنیت وب سایت

چرا امنیت وب سایت مهم است؟

انجام اقدامات امنیتی وب سایت برای نگه داری آنلابن و امن سازی بازدید کننده ها، حیاتی است. بدون توجه مناسب به امنیت وب سایت، هکرها می توانند از وب سایت شما سوء استفاده کنند، آن را حذف کرده و بر حضور آنلاین شما تأثیر بگذارند. تأثیرات وب سایت هک شده می تواند شامل ضرر مالی، مشکلات شهرت برند و تضعیف رتبه در نتایج موتورهای جستجوگر باشد.

خطرات امنیتی برای وب سایت چیست؟

خطرات اصلی امنیتی یک وب سایت شامل: کد آسیب پذیر، کنترل های دسترسی ضعیف و بهره برداری از منابع سرور است. به عنوان مثال ، حملات DDoS  می تواند یک وب سایت را در عرض چند دقیقه از دسترس بازدید کنندگان خارج کند. دلایل زیادی برای هک شدن وب سایت ها وجود دارد. یک رمز عبور ضعیف یا افزونه منسوخ می تواند به هک شدن یک وب سایت منجر شود.

چگونه می توانید به یک وب سایت ایمن بگویید؟

یک وب سایت ایمن دارای یک فایروال اپلیکیشن وب است است که برای جلوگیری از حمله و هک ها فعال شده است. همچنین بهترین اقدامات امنیتی وب سایت را دنبال می کند و هیچ گونه مشکلات پیکربندی یا آسیب پذیری های شناخته شده ای ندارد. می توانید از SiteCheck   استفاده کنید تا ببینید که آیا وب سایت شما دارای فایروال، هرگونه ناهنجاری امنیتی یا نرم افزارهای مخرب یا لیست سیاه است یا خیر.

آیا برای وب سایت خود نیاز به امنیت دارم؟

بله کاملا.اکثر پلن ها یا بسته های هاستینگ شامل خدمات ایمن سازی وبسایت نیستند. مسئولیت تأمین وب سایت بر عهده صاحب وب سایت است. امنیت باید یکی از اولین اقدامات در هنگام راه اندازی وب سایت و روند بررسی مداوم باشد. اگر وب سایت ایمن نباشد، می تواند به بستری مناسب برای مجرمان سایبری تبدیل شود. 

چگونه می توان وب سایت خود را ایمن کرد؟

می توانید وب سایت خود را با رعایت بهترین شیوه های امنیتی وب سایت، مانند داشتن فایروال وب سایت، ایمن کنید. با استفاده از آخرین نسخه CMS وب سایت ، افزونه ها، مضامین و خدمات شخص ثالث و اجرای الزامات رمزعبور قوی نیز می توان این امنیت را برقرار کرد.

منبع مقاله: sucuri.net