شما اینجا هستید

امنیت وب سایت
ارسال شده در ش, 10/29/1397 - 15:33 -- توسط abolfazl

امنیت وب سایت

امنیت سایت امنیت سایت به مجموعه اقداماتی گفته می شود که با انجام آنها ضریب امنیت سایت به حداکثر رسیده و امکان نفوذ به آن به حداقل می رسد.

توجه داشته باشید که امنیت سایت تابع موارد دیگری نیز می باشد که تمامی آنها نقش بسیار اساسی در تامین امنیت وبسایت دارند. امنیت سرور ، امنیت شبکه ، امنیت اینترنت ، امنیت سیستم عامل ، امنیت نرم افزار و بسیاری از موارد دیگر نقش کلیدی در تامین زیرساخت امنیت سایت دارند. بحث فعلا در مراحل پایه است و هنوز در مورد اقدامات موثر و کلیدی در خود سایت مبحثی ارائه نشده است. با فرض بر اینکه تمامی موارد پایه تامین هستند و مشکلی در سایر موارد که امنیت سایت تحت تاثیر آنهاست به یکسری اقدامات بر روی هر سایتی نیاز است که امنیت آن تامین گردد. با توجه به اینکه اکثر سایت های موجود در وب بصورت پویا ( دینامیک ) هستند به همین جهت روی سایت های دینامیک که با سیستم مدیریت محتوا ( cms ) پایه ریزی شده اند تمرکز کرده و بحث مختصری نیز در مورد سایت های ایستا ( استاتیک ) خواهیم داشت.

امنیت وب سایت

امنیت سایت چیست؟

امنیت سایت چیست : به شرایط و وضعیتی گفته می شود که در آن سایت با وجود خدمات دهی معمول و مورد نیاز ، بالاترین سطح امنیتی مورد نیاز را داشته و سطح آسیب پذیری آن در پایین ترین سطح ممکن باشد. امنیت سایت به موارد بسیاری وابسته است که باید رعایت شوند.

اهمیت امنیت سایت

امنیت سایت از اهمیت فوق العاده ای برخوردار است و می توان گفت موثرترین عامل ادامه فعالیت ، ثبات و اعتبار یک سایت با توجه به موارد دیگر ، موضوع مهم امنیت است. متاسفانه با بررسی وضعیت سایت های عادی و حتی بزرگ و حساس به این نتیجه می رسیم که بسیاری از مدیران و مسئولان سایت ها اهمیت کمی به امنیت سایت می دهند. هک نشدن سایت ، امن بودن سایت را تضمین نمی کند به این معنی که ممکن است بر روی یک سایت با ضعف های امنیتی ، تلاشی برای هک و نفوذ به آن انجام نشده است و در صورت انجام سایت مورد بحث آسیب پذیر خواهد بود. اهمیت امنیت سایت زمانی مشخص می شود که سایت تحت حمله قرار دارد که محتمل به دو نتیجه خواهد بود. اگر امنیت سایت بصورت صحیح تامین شده باشد حمله ناموفق بوده و سایت آسیبی نخواهد دید اما اگر موارد امنیتی رعایت و تامین نشده باشد ضریب آسیب پذیری سایت بسیار بالا خواهد بود و امکان هک سایت و نفوذ به آن وجود دارد. این نکته نیز قابل توجه است که حتی با وجود انجام و پوشش موارد امنیتی هر سایتی در هر زمان و موقعیت مستعد دریافت حملات و آسیب پذیری ناشی از حملات است. نوع ، تعداد و روشهای هک و نفوذ بسیار گسترده هستند و مقابله در برابر تمامی آنها اقدامات بسیار جدی و دائمی را طلب می کند. علاوه بر پوشش و رفع موارد امنیتی بحث مراقبت و رسیدگی نیز در امنیت بسیار حائز اهمیت است.

 

میزبانی سایت بر روی هاست امن

هاست سایت خود را از شرکت های معتبر و قابل اعتماد تهیه کنید. وجود بستر امن که سایت بر روی آن میزبانی می شود از اهمیت بسیار ویژه ای برخوردار است. استفاده از سیستم های امنیتی شامل آنتی ویروس ، آنتی اسپم ، آنتی شل ، فایروال سخت افزاری و نرم افزاری و کانفیگ حرفه ای و اصولی سرور نقش اساسی در برخورد با حملات را ایفا می کند. در کل امنیت سایت وابسته به تمامی عوامل مطرح شده است که امنیت هاست نیز یکی از موارد بسیار مهم است. در هنگام خرید هاست به موارد ذکر شده توجه نمایید.

تهدیدات امنیتی وب سایت:

موارد بسیاری می توانند امنیت یک وب سایت را به خطر اندازند:

رخنه کردن در اطلاعات: اطلاعاتی نظیر مشخصات شخصی، اطلاعات تماس، شماره کارت های اعتباری و ... همیشه در معرض خطر قرار گرفتن در دست افراد سودجو هستند.
حمله DDos: حمله منع سرویس تا سال 2015 حدود 180 درصد افزایش داشته است و امسال در صدر حملات سایبری قرار داشته است.
باج افزار و تروجان: دریافت اینگونه بدافزارها معمولاً هنگام دانلود فایل از سطح اینترنت برای کاربران رخ می دهد.
نفوذ injection: اینگونه نفوذ هنگامی اتفاق می افتد که داده هایی در قالب یک دستور ارسال می شود. داده های نفوذی می توانند باعث اجرای دستوراتی شده و یا بدون مجوز به داده ها دسترسی پیدا کنند.
اسپم ها: مزاحمت اسپم ها همیشه آزار دهنده است، ولی بدتر از آن این است که گاهی ربات های اسپم می توانند درخواست های زیادی را به سایت شما ارسال کرده و باعث اضافه بار (overload) سرور شده و آن را در بلک لیست گوگل قرار دهند.

استفاده از اینترنت امن و مطمئن

غالبا ارتباط بین سایت ها و کاربران دو طرفه بوده و این ارتباط از طریق اینترنت انجام می شود. برای ثبت نام ، ورود و بسیاری از موارد دیگر می بایست درخواستی از سمت کاربر به سایت ارسال شود تا سایت پاسخ مناسب برای آن درخواست را انجام دهد. برای مثال در هنگام ورود به یک سایت اگر در مسیر درخواست ( از کامپیوتر ما تا سایت و بالعکس ) شنودی انجام شود اطلاعات کاربری ما به راحتی به سرقت می رود حال اگر این مورد در سطح بالاتری و برای مدیر سایت اتفاق بیافتد یک فاجعه رخ داده است که برای جلوگیری از اینکار می بایست از ارتباطی امن و حدالامکان محدود شده استفاده کنیم. استفاده از اینترنت عمومی که کنترل و محدودیت امنیتی خاصی بر روی آن انجام نشده است می تواند بسیار خطرناک باشد. توجه داشته باشید که حتی در صورت استفاده از اینترنت شخصی نیز می بایست اقدامات امنیتی مناسب برای تامین اینترنت امن را انجام داد. با توجه به اینکه عمدتا اینترنت در کشور ما از طریق adsl و هدایت آنها از طریق مودم و روتر انجام شده و اتصال اکثر دستگاه ها به اینترنت از طریق Wi-Fi انجام می پذیرد می بایست تمهیدات خاصی جهت جلوگیری از هک وای فای انجام داد. مواردی مانند محدود کردن مودم به Mac Address دستگاه ها ، غیر فعال کردن wps ، فعال کردن فایروال مودم و …

استفاده از سیستم عامل و نرم افزارهای معتبر و اصلی

این موضوع برای عموم کاملا قابل درک است که با استفاده از سیستم عامل و نرم افزارهای معتبر و اصلی امنیت بسیار بالاتری نسبت به حالت معکوس آن خواهیم داشت. این نکته را در نظر داشته باشید که ممکن است در منابع غیر اصلی تغییراتی در هسته یا بخشی از سیستم عامل و نرم افزار مورد استفاده انجام شده باشد و بسیار محتمل است که این تغییرات به سمت سوء استفاده ، تخریب و جاسوسی و … باشد و نکته قابل بحث در اینجاست که متاسفانه در این حالت تشخیص و جلوگیری از این مشکل بسیار سخت خواهد بود و پیشنهاد ما به شما این است که حتما از سیستم عامل و نرم افزارهای معتبر و اصلی استفاده کرده و به هیچ عنوان از نسخه های کرک شده و مشابه استفاده نکنید. علاوه بر موارد گفته شده اگر از بعد انسانی و اخلاقی نیز به موضوع نگاه کنیم بهتر است به حقوق تولید کننده احترام گذاشته و از محصولات اصلی آنها استفاده کنیم.

استفاده از آنتی ویروس و فایروال قدرتمند ، بروز ، معتبر و اصل

1- استفاده از فایروال:

اینترنت فضای ایمنی نیست. حتی اگر مبنا را بر این بگذاریم که سرور مورد استفاده ی شما برای میزبانی، بسیار ایمن باشد، این سرور بقیه ی فضای نا امن اینترنت را به فایل های آنلاین شما متصل می کند. اگر از هیچگونه ابزار امنیتی استفاده نکنید کار را برای ویروس ها راحت تر می کنید. در این مورد فایروال نیاز می شود.

وب سرورها از دو نوع فایروال استفاده می کنند:

  1. فایروال سخت افزاری: این فایروال بین سرور شما و اینترنت قرار گرفته و وقتی اطلاعات منتقل می شود می تواند مشخص کند چه چیزهایی اجازه انتقال دارند و چه فایل هایی نباید منتقل شوند.
  2. فایروال نرم افزاری: اکثر افراد، به خصوص کاربران سیستم عامل ویندوز با این نوع از فایروال آشنایی دارند. فایروال نرم افزاری به بررسی آی پی های ورودی و نرخ دانلود اطلاعات می پردازد. در صورتی که ترافیک دانلود شده از مقدار مد نظر بیشتر باشد، برای جلوگیری از آسیب های احتمالی آن را بلاک می کند.

فعال کردن محافظت از حمله منع سرویس (DDos):

فایروال ها می توانند آی پی های جعلی را تشخیص دهند. اما از آن جایی که آی پی ها بسیار متنوع هستند نمی توان تمام ترافیک ورودی و خروجی به سایت را کنترل کرد. بنابراین باید از محافظت منبع سرویس برای کاهش این خطر استفاده کرد. این نوع حمله با افزایش ترافیک به وب سرور آسیب می رساند. با یک شبکه ارسال محتوا مانند Cloudflare، این ترافیک می تواند از طریق یک شبکه تقسیم بندی شده از سرورها انتقال یابد تا از میزان صدمه احتمالی کم کند.

با مسیردهی هوشمند ترافیک، CDN می تواند بدون بلاک کردن کاربران جلوی از کار افتادن سایت شما را بگیرد.

شما به راحتی می توانید برای محافظت سایت خود در برابر این حمله ها و افزایش سرعت ارسال محتوای استاتیک از Clouadflare استفاده کنید.

3. نصب آنتی ویروس:

یک آنتی ویروس نصب و وب سایت خود را پاک سازی کنید.

شما نمی توانید با استفاده یک نرم افزار آنتی ویروس وب سایت خود را پاک سازی کنید اما ابزارهایی برای کنترل و پاک سازی وب سایت وجود دارند که استفاده از آن ها می تواند تفاوت بسیاری بین یک وب سایت امن و سالم و یک سایت در معرض آلودگی ایجاد کند.

این کار معمولاً شامل صرف هزینه می شود به خصوص اگر وب سایت شما آلوده شده باشد. هاست هایی وجود دارند که سرویس های آن ها شامل این نوع از محافظت نیز می شود.

اگر هاست شما از اینگونه محافظت استفاده نمی کند می توانید از ابزارهایی نظیر Sucuri یا  Cobweb Security برای آنالیز وب سایت استفاده کنید.

4. ثبت دامنه به صورت خصوصی:

وقتی که یک دامنه را جهت راه اندازی سایت ثبت می کنید، نام شما، آدرس، شماره تلفن و اینگونه اطلاعات به صورت عمومی نمایش داده می شوند. گاهی اوقات بسته به کشوری که شما در آن دامنه را خریداری می کنید می توان قسمت نمایش عمومی این اطلاعات را تغییر داد.

5- دریافت گواهی SSL یا TLS:

استفاده از ssl برای وب سایت یکی از راه های کاربردی ارتقاء امنیت وب سایت و کاربران آن می باشد. اطلاعات رمزگذاری نشده درست مانند این است که شما اطلاعات خود را مانند هدیه ای تقدیم افراد سودجو کنید. آن ها می توانند این اطلاعات را دزدیده، آن ها را رهگیری یا هرگونه استفاده ی دیگری از آن ها انجام دهند.

این موضوع به خصوص وقتی بسیار جدی می شود که بحث انتقال اطلاعات شخصی در میان باشد. به عنوان مثال، شما دارای یک فروشگاه اینترنتی هستید. بنابراین اطلاعات بسیاری از مشتریان نظیر اطلاعات فردی، آدرس، شماره تماس و شماره کارت های کاربران در وب سایت شما وجود دارد و همه ی این اطلاعات هر لحظه در معرض خطر قرار دارند. علاوه بر آن اگر قصد راه اندازی فروشگاه اینترنتی دارید بهتر است برای دریافت گواهینامه ssl اقدام کنید، زیرا بدون داشتن این گواهی احتمال اینکه در لیست سیاه گوگل قرار بگیرید وجود دارد.

هنگامی که شما ssl را برای سایت خود نصب می کنید، سرور برای برقراری اتصال TLS به سیستم کاربر متصل می شود. اگر همه ی موارد در حالت تأیید شده باشد، یک اتصال امن بین کاربر و سرور برای انتقال اطلاعات به صورت رمزنگاری شده برقرار می شود.

این اتصال ممکن است مقداری زمان گیر باشد که البته برای ssl های مختلف مقدار این بازه ی زمانی متفاوت است. برخی از آن ها امنیت بیشتری را در زمانی کمتر ارائه می دهند. نوع ssl مورد استفاده با توجه به قیمت و کاربری سایت شما متفاوت خواهد بود.

دریافت سیستم مدیریت محتوا ، قالب و افزونه تنها از منبع اصلی

متاسفانه دلیل عمده به خطر افتادن امنیت بسیاری از سایت ها عدم رعایت اصل دریافت سیستم مدیریت محتوا ، قالب و افزونه تنها از منبع اصلی است. ساختار فایل ها به راحتی قابل تغییر بوده و امکان ترکیب آنها با بدافزار ، شل ، اسپمر و … وجود دارد. پس بنابراین هر فایلی که از منبع غیر اصلی آن دریافت می شود می تواند مستعد و حاوی انواع بدافزارها باشد. به شدت توصیه می کنیم این اصل را رعایت کنید تا از بروز مشکلات حاد و به خطر افتادن امنیت سایت خود جلوگیری کنید.

استفاده از رمز عبور قدرتمند و محافظت از آن

یکی از مواردی که همه با اتفاق نظر آنرا قبول دارند و متاسفانه درصد کمی به آن اهمیت می دهند بحث استفاده از رمز عبور قدرتمند و محافظت از آن است. پسورد خوب و قدرتمند باید بیش از 8 کاراکتر داشته ، تلفیقی از حروف بزرگ و کوچک – اعداد و کاراکترهای خاص مانند @ , % , ! و موارد مشابه باشد. مورد دیگر محافظت و تغییر آن است. اطلاعات حساس را می بایست بصورت مطمئنی محافظت کرد. خوشبختانه سیستم هایی مانند Bit Locker و مشابه آن می توانند از اطلاعات حساس ما مراقبت کنند. بحث دیگر تغییر دوره ای رمز عبور است که می بایست در بازه های زمانی مشخصی مانند ماهی یکبار تغییر داده شود تا در برابر حملات brute force محافظت شود.

تعیین سطح دسترسی مناسب اطلاعات

تعیین سطح دسترسی مناسب مخصوصا برای فایل هایی که محتوی اطلاعات کلیدی مانند اطلاعات دیتابیس هستند بسیار ضروری است. در این مورد باید سطحی از دسترسی را به فایل داد که تنها وب سرور و owner فایل بتوانند اطلاعات داخل فایل کانفیگ را بخوانند و غیر از آنها به هیچ نحو دیگری قابل خواندن و نوشتن نباشد. برای فایل ها و دایرکتوری های دیگر نیز باید سطح دسترسی معقول و استاندارد تعیین کرده و از اعطای دسترسی سطح بالا خودداری کنیم.

محافظت از مسیر ورود به مدیریت سایت

پیشنهاد می شود از قابلیت محافظت از مسیر ورود به مدیریت سایت استفاده نمایید. اینکار در تامین و کمک به امنیت سایت موثر بوده و در مواقعی محافظت اساسی به عمل می آورد. فرض کنید اگر در حالتی نام کاربری و رمز عبور سایت شما به دست هکر افتاده باشد با اینکار می توانید از مشاهده مسیر مدیریت توسط هکر ممانعت به عمل آورید. همانطور که در ابتدای بحث گفته شد امنیت 100 درصد نیست اما با انجام موارد امنیتی می توان تا حد بالایی از بروز مشکلات امنیتی جلوگیری کرد و در واقع با انجام و تامین صحیح امنیت سایت می توان در مواقع بحرانی روی اقدامات انجام شده حساب باز کرد و تجربه نیز اثبات کرده با کانفیگ صحیح امنیتی بسیاری از ضعف های دیگر پوشش داده می شوند. در موضوع امنیت کوچکترین موارد هم اهمیت خاص خود را دارند.

تعیین محدودیت های دسترسی و مشاهده

با تعیین محدودیت های دسترسی امنیت سایت تا حد بالایی بهبود می یابد. در سایت ها این امکان وجود دارد که با اعمال محدودیت هایی مانند تعریف IP از مشاهده مسیر یا فایل خاصی توسط اشخاص غیر جلوگیری کرد. در این حالت به وب سرور دستور داده می شود که اگر آی پی کاربر غیر از مقدار یا مقادیر تعریف شده باشد آنها را با پیغام forbidden یا access denied روبرو کند. در وب سرورهای تحت لینوکس و ویندوز امکان استفاده از این قابلیت وجود دارد و به راحتی می توان از آن استفاده کرد. پیشنهاد می کنیم حتما از امکان محدودیت آی پی مخصوصا در مسیر مدیرتی سایت خود استفاده کنید.

محافظت سایت در برابر اسپمرها

روبات های اسپمر با جستجو در سایت ها و پیدا کردن نقاط ضعف در آنها مخصوصا فرم های محافظت نشده که تکمیل آنها بصورت ماشینی امکان پذیر است اقدام به حملات انبوه اسپم می کنند که اگر محافظتی در اینکار انجام نشده باشد بسیار محتمل است که با ایجاد اختلال در سرور میزبان سایت ، مورد برخورد شرکت میزبان سایت و دریافت ابیوز از منابع متعدد شوید. اما با یک اقدام ساده و استفاده از سیستم محافظت CAPTCHA می توانید از بروز مشکلات امنیتی اسپمرها جلوگیری کنید. ما سیستم reCAPTCHA گوگل را به شما پیشنهاد می کنیم. بسیاری از سایت های بزرگ و معتبر دنیا از این سیستم استفاده می کنند و شما نیز می توانید با اطمینان خاطر از این ابزار امنیتی استفاده کنید.

پیگیری مشکلات امنیتی گزارش شده و بروزرسانی امنیتی مداوم

مدیر امنیت سایت باید همیشه آخرین اخبار و رویدادهای امنیت مخصوصا مواردی که در ارتباط مستقیم با امنیت سایت است را رصد و پیگیری کند. بسیاری از مواقع سایت های بزرگ و حتی متوسط و کوچک قربانی این مشکلات می شوند. غالبا هر شرکت یا مرجعی که اقدام به انتشار محصولی می کند در مواقعی که باگ امنیتی در آن محصول مورد ارائه کشف و منتشر می شود وظیفه دارد بلافاصله راهکار و پچ امنیتی که بتواند از آن مشکل محافظت کند را ارائه نماید. در چنین مواقعی هوشیاری و اطلاع فوری از مشکل و رفع آن باعث جلوگیری از ایجاد مشکل امنیتی در سایت می شود. توجه داشته باشید که حتی سایت هایی که در بالاترین سطح امنیتی محافظت شده اند نیز در برابر باگ های امنیتی آسیب پذیر هستند و می بایست بلافاصله نسب به رفع باگ در سایت اقدام شود. عضویت در خبرنامه و انجمن ، پیگیری بخش اخبار و بلاگ سایتی که از محصولات آن استفاده میکنیم راهکار مناسبی برای اطلاع سریع و به عملکرد به موقع است.

دسته بندی: 

درباره ابوالفضل کریمی

ابوالفضل کریمی احمد متولد سال 1368 صادره از قزوین ،دارای مدرک کارشناسی نرم افزار کامپیوتراز دانشگاه آزاد قزوین

افزودن دیدگاه جدید

دیدگاه

  • تگ‌های HTML مجاز: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <img>
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • نشانی صفحه‌ها وب و پست الکترونیک بصورت خودکار به پیوند تبدیل می‌شوند.

Plain text

  • تگ‌های HTML مجاز نیستند.
  • نشانی صفحه‌ها وب و پست الکترونیک بصورت خودکار به پیوند تبدیل می‌شوند.
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
كد امنيتي
این پرسش برای جلوگیری از ارسال اسپمهای اتوماتیک است.