نویسنده : mahsa motadel
12 ژانویه 2021

امنیت سایت

امنیت سایت چیست؟

به وضعیتی گفته میشود که در آن سایت با  وجود خدمات دهی معمول ، بالاترین سطح امنیتی مورد نیاز را داشته و سطح آسیب پذیری آن در حداقل باشد.
همینطور نیز به مجموعه اقداماتی گفته میشود که با انجام آنها ضریب امنیت سایت به حداکثر رسیده و غیر قابل نفوذ میشود.
امنیت سایت به عوامل بسیاری وابسته است همانند  : امنیت سرور ، امنیت شبکه ، امنیت اینترنت ، امنیت سیستم عامل ، امنیت نرم افزار و بسیاری از موار دیگر که نقش به سزایی در تامین زیر ساخت امنیت سایت دارند. بحث فعلا در مراحل پایه است و هنوز در مورد اقدامات موثر و کلیدی در خود سایت، مقاله ای بارگزاری نشده. 
امنیت سایت چه اهمیتی دارد؟
در این برهه از زمان که همه روزه به تعداد کاربران اینترنت اضافه می شود، امنیت برای همه افراد مهم است. امنیت از نگهداری نام کاربری یا مشخصات فردی ساده تا رمز عبور حساب بانکی و حفاظت یک وب سایت هر روزه اهمیت بیشتری پیدا می کند.
اهمیت امنیت سایت زمانی مشخص می شود که سایت تحت حمله قرار دارد که محتمل به دو نتیجه خواهد بود. اگر امنیت سایت بصورت صحیح تامین شده باشد حمله ناموفق بوده و سایت آسیبی نخواهد دید اما اگر موارد امنیتی رعایت و تامین نشده باشد ضریب آسیب پذیری سایت بسیار بالا خواهد بود و امکان هک سایت و نفوذ به آن وجود خواهد داشت.
موثرترین موضوع امنیت و ادامه فعالیت آن، ثبات و اعتبار یک سایت است.
با افزایش کاربران ، تعداد افرادی که از این فضا سواستفاده می کنند هم افزایش یافته، به همین دلیل است که امنیت و حفاظت ، بیشتر معنا پیدا می کند.
امنیت یکی از تخصصی ترین حرفه های این روزهاست که کمک می کند تا بتوانیم امنیتی را که از آن حرف می زنیم را تامین کند.
شما به عنوان کسی که وبسایتی را ایجاد کرده اید باید به اطلاعات و مواردی که در سایت خود قرار میدهید توجه کنید و از اطلاعات محرمانه خود محافظت کنید. 

 

تعیین محدودیت های دسترسی و مشاهده

با تعیین محدودیت های دسترسی امنیت سایت تا حد بالایی بهبود پیدا میکند. در سایت ها این امکان وجود دارد که با اعمال محدودیت هایی مانند تعریف IP از مشاهده مسیر یا فایل خاصی توسط اشخاص دیگر جلوگیری شود. در این حالت به وب سرور دستور داده می شود که اگر IP کاربر غیر از مقدار یا مقادیر تعریف شده باشد آنها را با پیغام forbidden یا access denied روبرو کند. در وب سرورهای تحت لینوکس و ویندوز امکان استفاده از این قابلیت وجود دارد و به راحتی می توان از آن استفاده کرد. پیشنهاد می کنیم حتما از امکان محدودیت IPمخصوصا در مسیر مدیرتی سایت خود استفاده کنید.


میزبانی سایت بر روی هاست امن 

باید هاست را از شرکت های قابل اعتماد و معتبر تهیه کنید. این امر که سایت بر روی بستر امنی میزبانی شود از اهمیت بالایی برخوردار است. استفاده از سیستم های امنیتی مانند:Antivirus, anti-spam, anti-shell, firewall سخت افزاری و نرم افزاری و کانفیگ اصولی و حرفه ای سرور نقش زیادی در برخورد با حملات را ایفا میکنند. به طور کلی امنیت سایت وابسته به تمام عواملی است که مطرح شده ، که امنیت هاست نیز یکی از این عوامل میباشد. در هنگام خرید هاست به مواردی که در بالا گفتیم توجه نمایید.

 


اینترنت امن و مطمئن  

اصولا ارتباط بین سایت ها و کاربران دو طرفه بوده و این ارتباط از طریق اینترنت انجام شده. برای ثبت نام ، ورود و بسیاری از موارد دیگر باید درخواستی از سمت کاربر به سایت ارسال شود تا سایت پاسخ مناسب را برای آن درخواست بدهد. مثال:در هنگام ورود به یک سایت اگر در مسیر درخواست ( از کامپیوتر ما تا سایت و بالعکس ) شنودی انجام شود اطلاعات کاربری ما به راحتی سرقت میشود حال اگر این مورد از سطح بالاتری و برای مدیریت سایت اتفاق بیافتد یک فاجعه است. که برای جلوگیری از رخ دادن این فاجعه باید ا ارتباطی امن و در صورت امکان محدود شده استتفاده کنیم.
اینترنت های عمومی که دارای کنترل و محدویت امنیتی خاصی نیستند میتوانند سیار خطرناک باشند. با توجه به اینکه حتی برای استفاده از اینترنت های شخصی نیز باید اقدامات امنیتی مناسب برای داشتن اینترنت امن را انجام داد. با اینکه اینترنت کشور ما هم از طریق ADSL و هدایت آنها از طریق مودم و روتر انجام میشو و اتصال اکثر دستگاه ها به اینترنت با WIFI میباشد باید جلوگیری خاصی از هک WIFI انجام داد. که این تمهیدات میتواند مواردی مانند:محدود کردن مودم به Mac Address دستگاه ها ، غیر فعال کردن Wps، فعال کردن Firewall مودم و....

 

استفاده از سیستم عامل و نرم افزارهای اصلی و معتبر 

 برای عموم کاملا قابل درک است که با استفاده از سیستم عامل و نرم افزارهای اصلی و معتبر امنیت بسیار بالاتری نسبت به حالت معکوس آن دارد. نکته: در نظر داشته باشید که ممکن است در منابع غیر اصلی تغییراتی در هسته یا بخشی از سیستم عامل و نرم افزار مورد استفاده انجام شده باشد و بسیار احتمال دارد  که این تغییرات به سمت سوء استفاده ، تخریب و جاسوسی و … باشد و  بحث در اینجاست که متاسفانه در این حالت تشخیص و جلوگیری از این مشکل بسیار سخت  بوده و پیشنهاد ما به شما این است که حتما از سیستم عامل و نرم افزارهای اصلی و معتبر استفاده کنید و به هیچ وجح از نسخه های کرک شده و مشابه استفاده نکنید. علاوه بر موارد گفته شده اگر از نظر انسانی و اخلاقی نیز به موضوع نگاه کنیم بهتر است به حقوق تولید کننده احترام گذاشته و از محصولات اصلی آنها استفاده کنید.

 

استفاده از Antivirus و firewall بروز ، قدرتمند ، اصلی و معتبر

این قسمت نیز مانند قسمت قبلی از اصولی پیروی می کند اما تفاوت های شاخصی نیز دارند.استفاده از آنتی Antivirus و firewall  بروز ، قدرتمند ، اصلی و معتبر از اساسی ترین مواردی است که  وبمستر باید از آن استفاده کند. حتی با در نظر گرفتن حاصل تمامی شرایط دیگر و عدم تاکیید به این موضوع می تواند مشکلات امنیتی بسیاری بوجود بیاید. محصولات امنیتی خوبی برای اینکار عرضه شده اند که از آنها می توان به محصولات عرضه شده توسط شرکت های eset و kaspersky اشاره نمود . اگر قادر به تهیه license نیستید این محصولات امنیتی دارای بازه محدود Trial نیز هستند که می توان از آنها استفاده کرد.

 

دریافت سیستم مدیریت محتوا (CMS) ، قالب و پلاگین تنها از منبع اصلی

متاسفانه دلیل عمده به خطر افتادن امنیت بسیاری از سایت ها عدم رعایت اصل دریافت CMS، قالب و پلاگین تنها از منبع اصلی است. ساختار فایل ها به راحتی قابل تغییر بوده و امکان ترکیب آنها با بدافزار ، شل ، اسپمر و … وجود دارد.  بنابراین هر فایلی که از منبع غیر اصلی دریافت شود می تواند مستعد و حاوی انواع بدافزاری ها باشد. پس توصیه می کنیم این اصل را رعایت کنید تا از بروز مشکلات حاد و به خطر افتادن امنیت سایت خود جلوگیری نمایید.

 

استفاده از رمز عبور قدرتمند و حفاظت از آن

یکی از مواردی که  متاسفانه درصد کمی به آن اهمیت می دهند بحث استفاده از رمز عبور قدرتمند و حفاظت از آن است. Password خوب و قوی  باید بیش از 8 کاراکتر داشته و تلفیقی از حروف بزرگ و کوچک( – ) اعداد و کاراکترهای خاص مانند @ , % , ! و موارد مشابه باشد. یکی دیگر از موارد  حفاظت و تغییر آن میباشد. اطلاعات حساس را می بایست بصورت مطمئنی محافظت کرد. خوشبختانه سیستم هایی مانند Bit Locker و مشابه آن می توانند از اطلاعات حساس ما مراقبت کنند.و دیگری تغییر رمز عبور است که باید در بازه های زمانی مشخصی مانند ماهی یکبار تغییر داده شود تا در برابر حملات brute force از آن محافظت کنیم.

 

تعیین سطح دسترسی مناسب اطلاعات

تعیین سطح دسترسی مناسب به ویژه برای فایل هایی که محتوای اطلاعات کلیدی مانند: اطلاعاتSQL هستند بسیار ضروری میباشد. در این مورد باید سطحی از دسترسی را به فایل داد که تنها وب سرور و owner فایل بتوانند اطلاعات داخل فایل کانفیگ را خوانده و غیر از آنها به طریق دیگری قابل خواندن و نوشتن نباشد. برای فایل ها و دایرکتوری های دیگر نیز باید سطح دسترسی معقول و استاندارد تعیین کرده و از دادن دسترسی سطح بالا خودداری نماییم.

 

محافظت از مسیر ورود به مدیریت سایت

از قابلیت حفاظت از مسیر ورود به مدیریت سایت استفاده نمایید. اینکار در امر کمک به امنیت سایت موثر بوده و در مواقعی حفاظتی اساسی به عمل خواهد آورد. بر فرض مثال اگر نام کاربری و رمز عبور سایت شما به دست هکر بیافتد با اینکار می توانید از مشاهده مسیر مدیریت توسط هکر ممانعت کنید. همانطور که میدانید امنیت 100% نیست اما با انجام موارد امنیتی می توانید تا حد بالایی از بروز مشکلات امنیتی جلوگیری کنید و در واقع با انجام و تامین صحیح امنیت سایت می توانید در مواقع بحرانی روی اقدامات انجام شده حساب بازکنید و تجربه نیز اثبات کرده با configure صحیح امنیتی بسیاری از ضعف های دیگر پوشش داده می شوند. در امر امنیت موضوع های کوچکترین موارد نیز از اهمیتی خاص برخوردارند.

تعیین محدودیت های دسترسی و مشاهده

با تعیین کردن محدودیت ها دسترسی امنیت سایت تا حد بالایی بهبود پیدا میکند. در سایت ها این امکان وجود دارد که با محدودیت هایی مانند: تعریف IP از مشاهده مسیر یا فایل خاصی توسط اشخاص دیگر جلوگیری کند. در این حالت به وب سرور دستور داده می شود که اگرIP کاربر غیر از مقدار تعریف شده باشد آنها را با پیغام forbidden یا access denied روبرو میکند. در وب سرورهای تحت لینوکس و ویندوز امکان استفاده از این قابلیت وجود دارد و به راحتی می توانید  از آن ها استفاده کنید. پیشنهاد میشود حتما از امکان محدودیتIP مخصوصا در مسیر مدیرتی سایت خود استفاده نمایید.

محافظت سایت در برابر اسپمرها

روبات هایSpammer با جستجو در سایت ها و یافتن نقاط ضعف در آنها به خصوص فرم های محافظت نشده که تکمیل آنها بصورت ماشینی امکان پذیر است اقدام به حملات انبوه اسپم می کنند که اگر محافظتی در اینکار انجام نشده باشد بسیار احتمال دارد که با ایجاد اختلال در سرور سایت میزبان ، مورد برخورد شرکت میزبان سایت و دریافت ابیوز از منابع متعدد شویم. اما با یک اقدام ساده و استفاده از سیستم محافظت CAPTCHA می توانیم از بروز مشکلات امنیتی اسپمرها جلوگیری کنید. ما سیستم ReCaptcha گوگل را به شما پیشنهاد می کنیم. بسیاری از سایت های بزرگ و معتبر دنیا از این سیستم استفاده می نمایند و شما نیز می توانید با اطمینان خاطر از این ابزار امنیتی استفاده نمایید.

 گزارش پیگیری مشکلات امنیتی و بروزرسانی امنیت مداوم

مدیریت امنیت سایت باید آخرین اخبار و رویدادهای امنیتی مخصوصا مواردی که  ارتباط مستقیم با امنیت سایت دارند  را  پیگیری نماید.اکثر مواقع سایت های بزرگ ، متوسط و کوچک قربانی چنین مشکلاتی می شوند. اصولا هر شرکت یا مرجعی که اقدام به انتشار محصولی می کند در شرایطی که باگ امنیتی در آن محصول مورد ارائه کشف و منتشر شود وظیفه دارد بلافاصله راهکار و پچ امنیتی که بتواند از آن مشکل حافاظت کند را ارائه نماید. در چنین شرایطی هوشیاری و اطلاع فوری از مشکل و رفع آن باعث جلوگیری از ایجاد مشکل امنیتی در سایت میشود. با توجه به این  که حتی سایت هایی که در بالاترین سطح امنیتی محافظت شده اند نیز در برابر باگ های امنیتی آسیب پذیرمی باشند  و باید  بلافاصله نسب به رفع باگ در سایت اقدام شود. با عضو شدن در  خبرنامه و انجمن پیگیری بخش اخبار و بلاگ سایتی که از محصولات آن استفاده میکنیم راهکاری مناسب برای بدست آوردن اطلاع سریع و عملکرد به موقع آن است.

راه اندازی گواهی امنیتی SSL بر روی سایت

یکی از راهکارها ی حفظ امنیت اطلاعات کابران و مدیران سایت استفاده از گواهی امنیتی SSL روی سایت می باشد که علاوه بر موارد امنیتی ، تاثیرات خوبی در نتایج سئو و جلب اعتماد کاربران خواهد داشت . گواهی SSL  روی سایت اطلاعات ورودی و خروجی را با الگوریتم بسیار پیچیده ای رمزنگاری کرده است و از شنود و دزدیده شدن آنها جلوگیری می نماید. اینکار باعث می شود که در بسیاری از حالت ها  حتی در صورت استفاده کاربر یا مدیر سایت از اینترنت ناامن مشکلی ایجاد نخواهد شد. در واقع در این حالت اگر اطلاعات مورد شنود نیز قرار گیرد قابل بهره برداری نخواهد بود و هکر با یکسری اطلاعات رمزنگاری شده روبرو میشود.