سئو و بهینه سازی

بررسی مبانی امنیت سایت

بررسی مبانی امنیت سایت

حفظ امنیت سایت:

شاید فکر کنید هک شدن سایت اتفاقی است که فقط برای سایت‌های بزرگ رخ می‌دهد و یک سایت شخصی یا شرکتی کوچک هیچ‌گاه هدف هکرها قرار نمی‌گیرد. اگر این‌طور است کاملا در اشتباهید، چراکه طبق آمارهای ارائه شده، بسیاری از سایت‌های شخصی و کوچک نیز هک می‌شوند و گاهی این نفوذ به شکلی است که صاحب سایت تا مدت‌ها از آن بی‌اطلاع است و هکر برای اهداف مختلفی از سایت قربانی سوءاستفاده می‌کند. در ادامه با مقاله حفظ امنیت سایت از استدیو تدسا ( هلدیگ بین المللی توسعه دهندگان ) همراه باشید.

اهمیت ایمن سازی سایت:

امروزه میلیون ها کاربر در سرتاسر کشور به اینترنت متصل هستند. کاربری های اینترنت از عضویت در یک شبکه اجتماعی گرفته تا وب سایت های بزرگ بانکی نیاز به سطحی از امنیت برای حفاظت در فضای مجازی دارند. امنیت در فضای اینترنت از حفاظت از نام کاربری یا مشخصات فردی ساده گرفته تا رمز عبور حساب بانکی یا حفاظت یک وب سایت هر روزه اهمیتی دو چندان پیدا می کند. با گسترش تعداد کاربر ها اینترنت تعداد افرادی که می خواهند در این فضا سوء استفاده کنند نیز رو به افزایش است. بدین جهت امنیت و حفاظت در اینترنت یکی از تخصص های پر اهمیت دنیای تکنولوژی است. و این امر در هر سطحی می بایست مورد توجه قرار بگیرد. از سطح کاربران عادی گرفته تا متخصصان و طراحان وب سایت می بایست هر کاربر به دانشی متناسب برای حفظ امنیت آگاهی پیدا کند. اهداف حملات آنلاین نیز متفاوت هستند. وب سایت شما ممکن است اطلاعات با ارزشی برای دزدیدن داشته باشد و یا از وب سایت شما برای پخش بد افزار ها استفاده شود. هر وب سایتی خدماتی ارئه می دهد. برای کسی که سعی می کند که به زور وارد وب سایت شما شود همیشه به دنبال راه های جدیدی برای ورود هستند. این حملات به شکل های مختلفی انجام می شوند که می توان آن ها را به دو دسته کلی تقسیم کرد: کنترل ورودی و آسیب پذیری نرم افزار.

امنیت سایت از اهمیت فوق العاده ای برخوردار است و می توان گفت موثرترین عامل ادامه فعالیت ، ثبات و اعتبار یک سایت با توجه به موارد دیگر ، موضوع مهم امنیت است. متاسفانه با بررسی وضعیت سایت های عادی و حتی بزرگ و حساس به این نتیجه می رسیم که بسیاری از مدیران و مسئولان سایت ها اهمیت کمی به امنیت سایت می دهند. هک نشدن سایت ، امن بودن سایت را تضمین نمی کند به این معنی که ممکن است بر روی یک سایت با ضعف های امنیتی ، تلاشی برای هک و نفوذ به آن انجام نشده است و در صورت انجام سایت مورد بحث آسیب پذیر خواهد بود. اهمیت امنیت سایت زمانی مشخص می شود که سایت تحت حمله قرار دارد که محتمل به دو نتیجه خواهد بود. اگر امنیت سایت بصورت صحیح تامین شده باشد حمله ناموفق بوده و سایت آسیبی نخواهد دید اما اگر موارد امنیتی رعایت و تامین نشده باشد ضریب آسیب پذیری سایت بسیار بالا خواهد بود و امکان هک سایت و نفوذ به آن وجود دارد. این نکته نیز قابل توجه است که حتی با وجود انجام و پوشش موارد امنیتی هر سایتی در هر زمان و موقعیت مستعد دریافت حملات و آسیب پذیری ناشی از حملات است. نوع ، تعداد و روشهای هک و نفوذ بسیار گسترده هستند و مقابله در برابر تمامی آنها اقدامات بسیار جدی و دائمی را طلب می کند. علاوه بر پوشش و رفع موارد امنیتی بحث مراقبت و رسیدگی نیز در امنیت بسیار حائز اهمیت است.

یک بد افزار چگونه وارد یک سایت می شود؟

هکر ها همیشه به دنبال نقاط آسیب پذیر در هر شبکه برای نصب شدن سیستم می گردند. یکی از بزرگترین نکاتی که دارندگان وب سایت بایستی به آن توجه کنند به روز نگاه داشتن اپلیکیشن ها و پلاگین های استفاده شده در وب سایت ها می باشد. توسعه دهنده گان اپلیکیشن ها همیشه در حال بهبود و به روز رسانی کدها برای اطمینان امنیت اپلیکیشن هستند. اما این به صاحب یا نگهدارنده وب سایت بستگی دارد که این اپلیکیشن ها آپدیت کند. هکر ها می توانند از کد ها یا اپلیکیشن های تاریخ گذشته برای نصب بد افزار های خود استفاده کنند.

اما اپلیکیشن های تاریخ گذشته تنها راه نفوذ هکر ها نیستند. نرم افزار های رایگان نیز می تواند در کد های خود دارای کد های مخرب باشند. و یا حتی فایلهایی که به اشتراک گذاشته می شوند حامل کد ها و بد افزار های مخرب باشند.

صاحبان وب سایت باید آگاه باشند که گاه هکر از روش های مهندسی اجتماعی برای فریب و متقاعد کردن آنها برای نصب یک نرم افزار مخرب استفاده کنند. و این فریب می تواند به سادگی درخواست برای غیر فعال کردن موقت آنتی ویروس باشد تا یک بد افزار بتواند به راحتی عمل کند.

قصد من این نیست که شما را از داشتن یک وب سایت بترسانم. مسلما فواید داشتن یک وب سایت بسیار بیشتر از مشکلات احتمالی در نگهداری آن می باشد. و البته ابزار های قدرتمندی برای مقابله و کنترل آسیب احتمالی به وب سایت ها وجود دارد. اما مهم است شما به عنوان یک دارنده وب سایت از تهدیدهای احتمالی آگاهی لازم را داشته باشید.

چطور از آسیب یک بد افزار جلوگیری کنیم؟

همیشه خطر ها و تهدیدات آنلاین وجود دارند. راه های زیاد هم برای محافظت از وب سایت و مشتریان شما وجود دارد. یکی از راحت ترین و البته مهم ترین راه حفاظت از وب سایت داشتن یک آنتی ویروس قوی و به روز بر روی کامپیوتر شما می باشد. یک آنتی ویروس می تواند شما را در برابر بیشتر اگر نه همه ی دانلود هایی که از اینترنت انجام می دهید محافظت کند. آنتی ویروسی را انتخاب کنید که می دانید می توانید به آن اعتماد کنید مانند Norton و یا McAfee و آنتی ویروس ها همیشه مراقب لینک هایی که دانلود می کنید خواهند بود.

سایت هایی که با WordPress یا Joomla ساخته شده اند از آنجایی که این CMS ها همواره در حال آپدیت شدن هستند، توجه داشته باشید که شما هم می بایست مرتبط وب سایت خود را آپدیت کنید.

همچنین تمامی کاربران خود را تشویق به استفاده از کلمات عبور قوی و پیچیده برای استفاده از وب سایت خود بکنید. یک کلمه عبور ضعیف می تواند مورد استفاده هکرها قرار گرفته و امنیت شما را تحت تاثیر قرار دهد. یک کلمه عبور قوی باید کاملا تصادفی انتخاب شود شامل اعداد، حروف، علائمی کاملا غیر مرتب و غیر متعارف. در اینترنت سایت هایی وجود دارند که می توانند شما را در ساخت یک کلمه عبور قوی کمک کنند و همچنین به شما راهکارهایی برای راحت تر به خاطر سپردن کلمه عبور پیشنهاد می کنند.

روش دیگر برای محافظت کردن از وب سایت استفاده گواهینامه های SSL  است. شاید این سوال برای شما ایجاد شده باشد که آن قفل سبز در کنار آدرس وب سایت در مرور گر اینترنت شما چیست؟ این قفل نشانه یک امکان ایمنی برای رمز گذاری لینک هاست تا این اطمینان حاصل شود که تمامی ارتباط ها بین مرورگر کاربر و وب سایت کاملا محافظت شده و امن باشند. اگر وب سایت شما نیاز دارد که کاربر یا مشتری رمز کارت بانکی خود را در سایت وارد کند SSL نقش بسیار مهم و اساسی ایی در امن نگه داشتن اطلاعات دارد.

اصول ایمن سازی سایت:

» میزبانی سایت بر روی هاست امن «

هاستِ سایت خود را از شرکت های معتبر و قابل اعتماد تهیه کنید. وجود بستر امن که سایت بر روی آن میزبانی می شود از اهمیت بسیار ویژه ای برخوردار است. استفاده از سیستم های امنیتی شامل آنتی ویروس ، آنتی اسپم ، آنتی شل ، فایروال سخت افزاری و نرم افزاری و کانفیگ حرفه ای و اصولی سرور نقش اساسی در برخورد با حملات را ایفا می کند. در کل امنیت سایت وابسته به تمامی عوامل مطرح شده است که امنیت هاست نیز یکی از موارد بسیار مهم است. در هنگام خرید هاست به موارد ذکر شده توجه نمایید.

» استفاده از اینترنت امن و مطمئن «

غالبا ارتباط بین سایت ها و کاربران دو طرفه بوده و این ارتباط از طریق اینترنت انجام می شود. برای ثبت نام ، ورود و بسیاری از موارد دیگر می بایست درخواستی از سمت کاربر به سایت ارسال شود تا سایت پاسخ مناسب برای آن درخواست را انجام دهد. برای مثال در هنگام ورود به یک سایت اگر در مسیر درخواست ( از کامپیوتر ما تا سایت و بالعکس ) شنودی انجام شود اطلاعات کاربری ما به راحتی به سرقت می رود حال اگر این مورد در سطح بالاتری و برای مدیر سایت اتفاق بیافتد یک فاجعه رخ داده است که برای جلوگیری از اینکار می بایست از ارتباطی امن و حدالامکان محدود شده استفاده کنیم. استفاده از اینترنت عمومی که کنترل و محدودیت امنیتی خاصی بر روی آن انجام نشده است می تواند بسیار خطرناک باشد. توجه داشته باشید که حتی در صورت استفاده از اینترنت شخصی نیز می بایست اقدامات امنیتی مناسب برای تامین اینترنت امن را انجام داد. با توجه به اینکه عمدتا اینترنت در کشور ما از طریق adsl و هدایت آنها از طریق مودم و روتر انجام شده و اتصال اکثر دستگاه ها به اینترنت از طریق Wi-Fi انجام می پذیرد می بایست تمهیدات خاصی جهت جلوگیری از هک وای فای انجام داد. مواردی مانند محدود کردن مودم به Mac Address دستگاه ها ، غیر فعال کردن wps ، فعال کردن فایروال مودم و …

» حفاظت همه جانبه «

افزونه قدرتمند iThemes Security Pro با بهره‌مندی از 32 لایه امنیتی قادر است حفاظت کامل سایت شما را بر عهده بگیرد. برخی امکانات حفاظتی موجود در این افزونه عبارتند از:

• مسدودسازی دسترسی به سایت از آدرس‌های آی‌پی شناسایی شده به‌عنوان خرابکار

• مسدود کردن دسترسی کاربران به سایت پس از چند تلاش ناموفق

• فعال‌سازی قابلیت تائید هویت دو مرحله‌ای با ارسال کد به ایمیل یا تلفن همراه بدون نیاز به سامانه‌های ارسال پیام کوتاه

• اسکن زمان‌بندی شده صفحات سایت برای شناسایی کدهای مخرب

• اجباری کردن استفاده از رمز عبور پیچیده برای همه کاربران و تنظیم تاریخ انقضا برای رمز عبور

• فعال‌سازی SSL در داشبورد مدیریتی و دیگر صفحات و مطالب سایت (در صورت پشتیبانی توسط سرور)

• تغییر مسیر پیش‌فرض برای ورود به داشبورد مدیریتی وردپرس

• مانیتور کردن لحظه‌ای فایل‌ها و اعلام هرگونه تغییرات در آنها

• ارسال ایمیل اطلاع‌رسانی در صورت مشاهده فعالیت‌های مشکوک به خرابکاری روی سایت

» استفاده از سیستم عامل و نرم افزارهای معتبر و اصلی «

این موضوع برای عموم کاملا قابل درک است که با استفاده از سیستم عامل و نرم افزارهای معتبر و اصلی امنیت بسیار بالاتری نسبت به حالت معکوس آن خواهیم داشت. این نکته را در نظر داشته باشید که ممکن است در منابع غیر اصلی تغییراتی در هسته یا بخشی از سیستم عامل و نرم افزار مورد استفاده انجام شده باشد و بسیار محتمل است که این تغییرات به سمت سوء استفاده ، تخریب و جاسوسی و … باشد و نکته قابل بحث در اینجاست که متاسفانه در این حالت تشخیص و جلوگیری از این مشکل بسیار سخت خواهد بود و پیشنهاد ما به شما این است که حتما از سیستم عامل و نرم افزارهای معتبر و اصلی استفاده کرده و به هیچ عنوان از نسخه های کرک شده و مشابه استفاده نکنید. علاوه بر موارد گفته شده اگر از بعد انسانی و اخلاقی نیز به موضوع نگاه کنیم بهتر است به حقوق تولید کننده احترام گذاشته و از محصولات اصلی آنها استفاده کنیم.

» استفاده از آنتی ویروس و فایروال قدرتمند ، بروز ، معتبر و اصل «

این بخش نیز از اصول بخش قبل پیروی می کند اما تفاوت های شاخصی نیز دارد. استفاده از آنتی ویروس و فایروال قدرتمند ، بروز ، معتبر و اصل از اساسی ترین مواردی است که یک وبمستر باید از آن استفاده کند. حتی با در نظر گرفتن حصول تمامی شرایط دیگر و عدم قید به این موضوع می تواند مشکلات امنیتی بسیاری بوجود آید. محصولات امنیتی خوبی برای اینکار عرضه شده اند که از آنها می توان به محصولات عرضه شده توسط شرکت های eset و kaspersky اشاره کرد. اگر قادر به تهیه لایسنس نیستید این محصولات امنیتی دارای بازه محدود Trial نیز هستند که می توانید از آنها استفاده کنید.

» دریافت سیستم مدیریت محتوا ، قالب و افزونه تنها از منبع اصلی «

متاسفانه دلیل عمده به خطر افتادن امنیت بسیاری از سایت ها عدم رعایت اصل دریافت سیستم مدیریت محتوا ، قالب و افزونه تنها از منبع اصلی است. ساختار فایل ها به راحتی قابل تغییر بوده و امکان ترکیب آنها با بدافزار ، شل ، اسپمر و … وجود دارد. پس بنابراین هر فایلی که از منبع غیر اصلی آن دریافت می شود می تواند مستعد و حاوی انواع بدافزارها باشد. به شدت توصیه می کنیم این اصل را رعایت کنید تا از بروز مشکلات حاد و به خطر افتادن امنیت سایت خود جلوگیری کنید.

» استفاده از رمز عبور قدرتمند و محافظت از آن «

یکی از مواردی که همه با اتفاق نظر آنرا قبول دارند و متاسفانه درصد کمی به آن اهمیت می دهند بحث استفاده از رمز عبور قدرتمند و محافظت از آن است. پسورد خوب و قدرتمند باید بیش از 8 کاراکتر داشته ، تلفیقی از حروف بزرگ و کوچک – اعداد و کاراکترهای خاص مانند @ , % , ! و موارد مشابه باشد. مورد دیگر محافظت و تغییر آن است. اطلاعات حساس را می بایست بصورت مطمئنی محافظت کرد. خوشبختانه سیستم هایی مانند Bit Locker و مشابه آن می توانند از اطلاعات حساس ما مراقبت کنند. بحث دیگر تغییر دوره ای رمز عبور است که می بایست در بازه های زمانی مشخصی مانند ماهی یکبار تغییر داده شود تا در برابر حملات brute force محافظت شود.

» نصب و فعال‌سازی «

پیش از نصب این افزونه و هریک از افزونه‌های امنیتی دیگر توصیه می‌شود یک نسخه پشتیبان از بانک اطلاعاتی سایت خود تهیه کنید، چراکه بسیاری از افزونه‌های امنیتی، تغییراتی در بانک اطلاعاتی سایت اعمال می‌کنند و ممکن است نیازمند بازگردانی اطلاعات در صورت مواجهه با مشکل باشید. نسخه رایگان افزونه iThemes Security را می‌توانید با جست‌وجو در مخزن وردپرس از لینک wordpress.org دانلود و روی سایت خود نصب کنید.

همچنین نسخه حرفه‌ای این افزونه که از امکانات منحصربه‌فردی همچون تائید هویت دو مرحله‌ای و اسکن زمان‌بندی شده برخوردار است نیز از سایت سازنده قابل خریداری است که باتوجه به محدودیت در خریدهای آنلاین از سایت‌های خارجی می‌توانید برای دریافت نسخه مشابه به سایت‌های معتبر ایرانی همچون zhaket.com که نسخه فارسی‌شده افزونه‌ها و قالب‌های وردپرسی را در اختیار کاربران قرار می‌دهد، مراجعه کنید.

در ادامه پس از اضافه کردن افزونه به سایت وردپرسی خود و فعال‌سازی آن، پیامی مبنی بر فعال‌سازی قابلیت حفاظتی Brute Force را مشاهده خواهید کرد.

استفاده از این قابلیت رایگان است و تنها کاری که باید انجام دهید این است که روی گزینه Get Free API Key کلیک و آدرس ایمیل خود را وارد کنید تا یک کلید رایگان برای شما ایجاد و روی سایت ثبت شود.

تا این بخش کار، جلوگیری از حملات بروت‌فورس روی سایت شما فعال شده و آدرس‌های آی‌پی شناسایی شده به عنوان خرابکار قابلیت دسترسی و ورود به سایت شما را نخواهند داشت.

در ادامه باید از داشبورد مدیریتی وردپرس، روی گزینه Security کلیک کرده و پس از آن گزینه Settings را انتخاب کنید.

در این بخش مجموعه‌ای از ماژول‌های امنیتی برای حفاظت از سایت در اختیار شما قرار می‌گیرد که با فعال‌سازی و پیکربندی هرکدام می‌توانید حفاظت از سایت وردپرسی خود را چند برابر افزایش دهید.

» تعیین سطح دسترسی مناسب اطلاعات «

تعیین سطح دسترسی مناسب مخصوصا برای فایل هایی که محتوی اطلاعات کلیدی مانند اطلاعات دیتابیس هستند بسیار ضروری است. در این مورد باید سطحی از دسترسی را به فایل داد که تنها وب سرور و owner فایل بتوانند اطلاعات داخل فایل کانفیگ را بخوانند و غیر از آنها به هیچ نحو دیگری قابل خواندن و نوشتن نباشد. برای فایل ها و دایرکتوری های دیگر نیز باید سطح دسترسی معقول و استاندارد تعیین کرده و از اعطای دسترسی سطح بالا خودداری کنیم.

» محافظت از مسیر ورود به مدیریت سایت «

پیشنهاد می شود از قابلیت محافظت از مسیر ورود به مدیریت سایت استفاده نمایید. اینکار در تامین و کمک به امنیت سایت موثر بوده و در مواقعی محافظت اساسی به عمل می آورد. فرض کنید اگر در حالتی نام کاربری و رمز عبور سایت شما به دست هکر افتاده باشد با اینکار می توانید از مشاهده مسیر مدیریت توسط هکر ممانعت به عمل آورید. همانطور که در ابتدای بحث گفته شد امنیت 100 درصد نیست اما با انجام موارد امنیتی می توان تا حد بالایی از بروز مشکلات امنیتی جلوگیری کرد و در واقع با انجام و تامین صحیح امنیت سایت می توان در مواقع بحرانی روی اقدامات انجام شده حساب باز کرد و تجربه نیز اثبات کرده با کانفیگ صحیح امنیتی بسیاری از ضعف های دیگر پوشش داده می شوند. در موضوع امنیت کوچکترین موارد هم اهمیت خاص خود را دارند.

» تعیین محدودیت های دسترسی و مشاهده «

با تعیین محدودیت های دسترسی امنیت سایت تا حد بالایی بهبود می یابد. در سایت ها این امکان وجود دارد که با اعمال محدودیت هایی مانند تعریف IP از مشاهده مسیر یا فایل خاصی توسط اشخاص غیر جلوگیری کرد. در این حالت به وب سرور دستور داده می شود که اگر آی پی کاربر غیر از مقدار یا مقادیر تعریف شده باشد آنها را با پیغام forbidden یا access denied روبرو کند. در وب سرورهای تحت لینوکس و ویندوز امکان استفاده از این قابلیت وجود دارد و به راحتی می توان از آن استفاده کرد. پیشنهاد می کنیم حتما از امکان محدودیت آی پی مخصوصا در مسیر مدیرتی سایت خود استفاده کنید.

» محافظت سایت در برابر اسپمرها «

روبات های اسپمر با جستجو در سایت ها و پیدا کردن نقاط ضعف در آنها مخصوصا فرم های محافظت نشده که تکمیل آنها بصورت ماشینی امکان پذیر است اقدام به حملات انبوه اسپم می کنند که اگر محافظتی در اینکار انجام نشده باشد بسیار محتمل است که با ایجاد اختلال در سرور میزبان سایت ، مورد برخورد شرکت میزبان سایت و دریافت ابیوز از منابع متعدد شوید. اما با یک اقدام ساده و استفاده از سیستم محافظت CAPTCHA می توانید از بروز مشکلات امنیتی اسپمرها جلوگیری کنید. ما سیستم reCAPTCHA گوگل را به شما پیشنهاد می کنیم. بسیاری از سایت های بزرگ و معتبر دنیا از این سیستم استفاده می کنند و شما نیز می توانید با اطمینان خاطر از این ابزار امنیتی استفاده کنید.

» پیگیری مشکلات امنیتی گزارش شده و بروزرسانی امنیتی مداوم «

مدیر امنیت سایت باید همیشه آخرین اخبار و رویدادهای امنیت مخصوصا مواردی که در ارتباط مستقیم با امنیت سایت است را رصد و پیگیری کند. بسیاری از مواقع سایت های بزرگ و حتی متوسط و کوچک قربانی این مشکلات می شوند. غالبا هر شرکت یا مرجعی که اقدام به انتشار محصولی می کند در مواقعی که باگ امنیتی در آن محصول مورد ارائه کشف و منتشر می شود وظیفه دارد بلافاصله راهکار و پچ امنیتی که بتواند از آن مشکل محافظت کند را ارائه نماید. در چنین مواقعی هوشیاری و اطلاع فوری از مشکل و رفع آن باعث جلوگیری از ایجاد مشکل امنیتی در سایت می شود. توجه داشته باشید که حتی سایت هایی که در بالاترین سطح امنیتی محافظت شده اند نیز در برابر باگ های امنیتی آسیب پذیر هستند و می بایست بلافاصله نسب به رفع باگ در سایت اقدام شود. عضویت در خبرنامه و انجمن ، پیگیری بخش اخبار و بلاگ سایتی که از محصولات آن استفاده میکنیم راهکار مناسبی برای اطلاع سریع و به عملکرد به موقع است.

» راه اندازی گواهی امنیتی SSL بر روی سایت «

یکی از بهترین راهکارها برای حفظ امنیت اطلاعات کابران و مدیران سایت استفاده از گواهی امنیتی SSL بر روی سایت است که علاوه بر موارد امنیتی ، تاثیرات بسیار خوبی در نتایج سئو و جلب اعتماد کاربران دارد. گواهی ssl بر روی سایت اطلاعات ورودی و خروجی را با الگوریتم بسیار پیچیده ای رمزنگاری کرده و از شنود و دزدیده شدن آنها جلوگیری می کند. اینکار سبب می شود که در بسیاری از حالات حتی در صورت استفاده کاربر یا مدیر سایت از اینترنت ناامن مشکلی ایجاد نشود. در واقع در این حالت اگر اطلاعات مورد شنود نیز قرار گیرد قابل بهره برداری نخواهد بود و شنود کننده با یکسری اطلاعات رمزنگاری شده روبرو خواهد شد.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *