مشاوره رایگان- 09913498412

طراحی سایت واپلیکیشن گروه نرم افزاری باران
با بیش از 15 سال سابقه طراحی حرفه ای سایت و بیش از 200 نمونه اپ موبایل

طراحی سایت و ساخت نرم افزارتان را به ما بسپارید

امنيت سايتها

تاریخ : 1399-4-16 20:57:05


امنيت سايت به مجموعه اقداماتي گفته مي شود که با انجام آنها ضريب امنيت سايت به حداکثر رسيده و امکان نفوذ به آن به حداقل مي رسد. توجه داشته باشيد که امنيت سايت تابع موارد ديگري نيز مي باشد که تمامي آنها نقش بسيار اساسي در تامين امنيت وبسايت دارند. امنيت سرور ، امنيت شبکه ، امنيت اينترنت ، امنيت سيستم عامل ، امنيت نرم افزار و بسياري از موارد ديگر نقش کليدي در تامين زيرساخت امنيت سايت دارند. بحث فعلا در مراحل پايه است و هنوز در مورد اقدامات موثر و کليدي در خود سايت مبحثي ارائه نشده است. با فرض بر اينکه تمامي موارد پايه تامين هستند و مشکلي در ساير موارد که امنيت سايت تحت تاثير آنهاست به يکسري اقدامات بر روي هر سايتي نياز است که امنيت آن تامين گردد. با توجه به اينکه اکثر سايت هاي موجود در وب بصورت پويا ( ديناميک ) هستند به همين جهت روي سايت هاي ديناميک که با سيستم مديريت محتوا ( cms ) پايه ريزي شده اند تمرکز کرده و بحث مختصري نيز در مورد سايت هاي ايستا ( استاتيک ) خواهيم داشت. با توجه به اينکه موضوع امنيت سايت بسيار گسترده است و نياز به بررسي و بحث زيادي دارد سعي بر آن خواهد بود تا عناوين بصورت منظم و مشروح بيان شود.



امنيت سايت چيست



امنيت سايت چيست : به شرايط و وضعيتي گفته مي شود که در آن سايت با وجود خدمات دهي معمول و مورد نياز ، بالاترين سطح امنيتي مورد نياز را داشته و سطح آسيب پذيري آن در پايين ترين سطح ممکن باشد. امنيت سايت به موارد بسياري وابسته است که بايد رعايت شوند.



اهميت امنيت سايت



امنيت سايت از اهميت فوق العاده اي برخوردار است و مي توان گفت موثرترين عامل ادامه فعاليت ، ثبات و اعتبار يک سايت با توجه به موارد ديگر ، موضوع مهم امنيت است. متاسفانه با بررسي وضعيت سايت هاي عادي و حتي بزرگ و حساس به اين نتيجه مي رسيم که بسياري از مديران و مسئولان سايت ها اهميت کمي به امنيت سايت مي دهند. هک نشدن سايت ، امن بودن سايت را تضمين نمي کند به اين معني که ممکن است بر روي يک سايت با ضعف هاي امنيتي ، تلاشي براي هک و نفوذ به آن انجام نشده است و در صورت انجام سايت مورد بحث آسيب پذير خواهد بود. اهميت امنيت سايت زماني مشخص مي شود که سايت تحت حمله قرار دارد که محتمل به دو نتيجه خواهد بود. اگر امنيت سايت بصورت صحيح تامين شده باشد حمله ناموفق بوده و سايت آسيبي نخواهد ديد اما اگر موارد امنيتي رعايت و تامين نشده باشد ضريب آسيب پذيري سايت بسيار بالا خواهد بود و امکان هک سايت و نفوذ به آن وجود دارد. اين نکته نيز قابل توجه است که حتي با وجود انجام و پوشش موارد امنيتي هر سايتي در هر زمان و موقعيت مستعد دريافت حملات و آسيب پذيري ناشي از حملات است. نوع ، تعداد و روشهاي هک و نفوذ بسيار گسترده هستند و مقابله در برابر تمامي آنها اقدامات بسيار جدي و دائمي را طلب مي کند. علاوه بر پوشش و رفع موارد امنيتي بحث مراقبت و رسيدگي نيز در امنيت بسيار حائز اهميت است.



ميزباني سايت بر روي هاست امن



هاستِ سايت خود را از شرکت هاي معتبر و قابل اعتماد تهيه کنيد. وجود بستر امن که سايت بر روي آن ميزباني مي شود از اهميت بسيار ويژه اي برخوردار است. استفاده از سيستم هاي امنيتي شامل آنتي ويروس ، آنتي اسپم ، آنتي شل ، فايروال سخت افزاري و نرم افزاري و کانفيگ حرفه اي و اصولي سرور نقش اساسي در برخورد با حملات را ايفا مي کند. در کل امنيت سايت وابسته به تمامي عوامل مطرح شده است که امنيت هاست نيز يکي از موارد بسيار مهم است. در هنگام خريد هاست به موارد ذکر شده توجه نماييد.



استفاده از اينترنت امن و مطمئن



غالبا ارتباط بين سايت ها و کاربران دو طرفه بوده و اين ارتباط از طريق اينترنت انجام مي شود. براي ثبت نام ، ورود و بسياري از موارد ديگر مي بايست درخواستي از سمت کاربر به سايت ارسال شود تا سايت پاسخ مناسب براي آن درخواست را انجام دهد. براي مثال در هنگام ورود به يک سايت اگر در مسير درخواست ( از کامپيوتر ما تا سايت و بالعکس ) شنودي انجام شود اطلاعات کاربري ما به راحتي به سرقت مي رود حال اگر اين مورد در سطح بالاتري و براي مدير سايت اتفاق بيافتد يک فاجعه رخ داده است که براي جلوگيري از اينکار مي بايست از ارتباطي امن و حدالامکان محدود شده استفاده کنيم. استفاده از اينترنت عمومي که کنترل و محدوديت امنيتي خاصي بر روي آن انجام نشده است مي تواند بسيار خطرناک باشد. توجه داشته باشيد که حتي در صورت استفاده از اينترنت شخصي نيز مي بايست اقدامات امنيتي مناسب براي تامين اينترنت امن را انجام داد. با توجه به اينکه عمدتا اينترنت در کشور ما از طريق adsl و هدايت آنها از طريق مودم و روتر انجام شده و اتصال اکثر دستگاه ها به اينترنت از طريق Wi-Fi انجام مي پذيرد مي بايست تمهيدات خاصي جهت جلوگيري از هک واي فاي انجام داد. مواردي مانند محدود کردن مودم به Mac Address دستگاه ها ، غير فعال کردن wps ، فعال کردن فايروال مودم و …



استفاده از سيستم عامل و نرم افزارهاي معتبر و اصلي



اين موضوع براي عموم کاملا قابل درک است که با استفاده از سيستم عامل و نرم افزارهاي معتبر و اصلي امنيت بسيار بالاتري نسبت به حالت معکوس آن خواهيم داشت. اين نکته را در نظر داشته باشيد که ممکن است در منابع غير اصلي تغييراتي در هسته يا بخشي از سيستم عامل و نرم افزار مورد استفاده انجام شده باشد و بسيار محتمل است که اين تغييرات به سمت سوء استفاده ، تخريب و جاسوسي و … باشد و نکته قابل بحث در اينجاست که متاسفانه در اين حالت تشخيص و جلوگيري از اين مشکل بسيار سخت خواهد بود و پيشنهاد ما به شما اين است که حتما از سيستم عامل و نرم افزارهاي معتبر و اصلي استفاده کرده و به هيچ عنوان از نسخه هاي کرک شده و مشابه استفاده نکنيد. علاوه بر موارد گفته شده اگر از بعد انساني و اخلاقي نيز به موضوع نگاه کنيم بهتر است به حقوق توليد کننده احترام گذاشته و از محصولات اصلي آنها استفاده کنيم.



استفاده از آنتي ويروس و فايروال قدرتمند ، بروز ، معتبر و اصل



اين بخش نيز از اصول بخش قبل پيروي مي کند اما تفاوت هاي شاخصي نيز دارد. استفاده از آنتي ويروس و فايروال قدرتمند ، بروز ، معتبر و اصل از اساسي ترين مواردي است که يک وبمستر بايد از آن استفاده کند. حتي با در نظر گرفتن حصول تمامي شرايط ديگر و عدم قيد به اين موضوع مي تواند مشکلات امنيتي بسياري بوجود آيد. محصولات امنيتي خوبي براي اينکار عرضه شده اند که از آنها مي توان به محصولات عرضه شده توسط شرکت هاي eset و kaspersky اشاره کرد. اگر قادر به تهيه لايسنس نيستيد اين محصولات امنيتي داراي بازه محدود Trial نيز هستند که مي توانيد از آنها استفاده کنيد.



دريافت سيستم مديريت محتوا ، قالب و افزونه تنها از منبع اصلي



متاسفانه دليل عمده به خطر افتادن امنيت بسياري از سايت ها عدم رعايت اصل دريافت سيستم مديريت محتوا ، قالب و افزونه تنها از منبع اصلي است. ساختار فايل ها به راحتي قابل تغيير بوده و امکان ترکيب آنها با بدافزار ، شل ، اسپمر و … وجود دارد. پس بنابراين هر فايلي که از منبع غير اصلي آن دريافت مي شود مي تواند مستعد و حاوي انواع بدافزارها باشد. به شدت توصيه مي کنيم اين اصل را رعايت کنيد تا از بروز مشکلات حاد و به خطر افتادن امنيت سايت خود جلوگيري کنيد.



استفاده از رمز عبور قدرتمند و محافظت از آن



يکي از مواردي که همه با اتفاق نظر آنرا قبول دارند و متاسفانه درصد کمي به آن اهميت مي دهند بحث استفاده از رمز عبور قدرتمند و محافظت از آن است. پسورد خوب و قدرتمند بايد بيش از 8 کاراکتر داشته ، تلفيقي از حروف بزرگ و کوچک – اعداد و کاراکترهاي خاص مانند @ , % , ! و موارد مشابه باشد. مورد ديگر محافظت و تغيير آن است. اطلاعات حساس را مي بايست بصورت مطمئني محافظت کرد. خوشبختانه سيستم هايي مانند Bit Locker و مشابه آن مي توانند از اطلاعات حساس ما مراقبت کنند. بحث ديگر تغيير دوره اي رمز عبور است که مي بايست در بازه هاي زماني مشخصي مانند ماهي يکبار تغيير داده شود تا در برابر حملات brute force محافظت شود.



تعيين سطح دسترسي مناسب اطلاعات



تعيين سطح دسترسي مناسب مخصوصا براي فايل هايي که محتوي اطلاعات کليدي مانند اطلاعات ديتابيس هستند بسيار ضروري است. در اين مورد بايد سطحي از دسترسي را به فايل داد که تنها وب سرور و owner فايل بتوانند اطلاعات داخل فايل کانفيگ را بخوانند و غير از آنها به هيچ نحو ديگري قابل خواندن و نوشتن نباشد. براي فايل ها و دايرکتوري هاي ديگر نيز بايد سطح دسترسي معقول و استاندارد تعيين کرده و از اعطاي دسترسي سطح بالا خودداري کنيم.



محافظت از مسير ورود به مديريت سايت



پيشنهاد مي شود از قابليت محافظت از مسير ورود به مديريت سايت استفاده نماييد. اينکار در تامين و کمک به امنيت سايت موثر بوده و در مواقعي محافظت اساسي به عمل مي آورد. فرض کنيد اگر در حالتي نام کاربري و رمز عبور سايت شما به دست هکر افتاده باشد با اينکار مي توانيد از مشاهده مسير مديريت توسط هکر ممانعت به عمل آوريد. همانطور که در ابتداي بحث گفته شد امنيت 100 درصد نيست اما با انجام موارد امنيتي مي توان تا حد بالايي از بروز مشکلات امنيتي جلوگيري کرد و در واقع با انجام و تامين صحيح امنيت سايت مي توان در مواقع بحراني روي اقدامات انجام شده حساب باز کرد و تجربه نيز اثبات کرده با کانفيگ صحيح امنيتي بسياري از ضعف هاي ديگر پوشش داده مي شوند. در موضوع امنيت کوچکترين موارد هم اهميت خاص خود را دارند.



تعيين محدوديت هاي دسترسي و مشاهده



با تعيين محدوديت هاي دسترسي امنيت سايت تا حد بالايي بهبود مي يابد. در سايت ها اين امکان وجود دارد که با اعمال محدوديت هايي مانند تعريف IP از مشاهده مسير يا فايل خاصي توسط اشخاص غير جلوگيري کرد. در اين حالت به وب سرور دستور داده مي شود که اگر آي پي کاربر غير از مقدار يا مقادير تعريف شده باشد آنها را با پيغام forbidden يا access denied روبرو کند. در وب سرورهاي تحت لينوکس و ويندوز امکان استفاده از اين قابليت وجود دارد و به راحتي مي توان از آن استفاده کرد. پيشنهاد مي کنيم حتما از امکان محدوديت آي پي مخصوصا در مسير مديرتي سايت خود استفاده کنيد.



محافظت سايت در برابر اسپمرها



روبات هاي اسپمر با جستجو در سايت ها و پيدا کردن نقاط ضعف در آنها مخصوصا فرم هاي محافظت نشده که تکميل آنها بصورت ماشيني امکان پذير است اقدام به حملات انبوه اسپم مي کنند که اگر محافظتي در اينکار انجام نشده باشد بسيار محتمل است که با ايجاد اختلال در سرور ميزبان سايت ، مورد برخورد شرکت ميزبان سايت و دريافت ابيوز از منابع متعدد شويد. اما با يک اقدام ساده و استفاده از سيستم محافظت CAPTCHA مي توانيد از بروز مشکلات امنيتي اسپمرها جلوگيري کنيد. ما سيستم reCAPTCHA گوگل را به شما پيشنهاد مي کنيم. بسياري از سايت هاي بزرگ و معتبر دنيا از اين سيستم استفاده مي کنند و شما نيز مي توانيد با اطمينان خاطر از اين ابزار امنيتي استفاده کنيد.



پيگيري مشکلات امنيتي گزارش شده و بروزرساني امنيتي مداوم



مدير امنيت سايت بايد هميشه آخرين اخبار و رويدادهاي امنيت مخصوصا مواردي که در ارتباط مستقيم با امنيت سايت است را رصد و پيگيري کند. بسياري از مواقع سايت هاي بزرگ و حتي متوسط و کوچک قرباني اين مشکلات مي شوند. غالبا هر شرکت يا مرجعي که اقدام به انتشار محصولي مي کند در مواقعي که باگ امنيتي در آن محصول مورد ارائه کشف و منتشر مي شود وظيفه دارد بلافاصله راهکار و پچ امنيتي که بتواند از آن مشکل محافظت کند را ارائه نمايد. در چنين مواقعي هوشياري و اطلاع فوري از مشکل و رفع آن باعث جلوگيري از ايجاد مشکل امنيتي در سايت مي شود. توجه داشته باشيد که حتي سايت هايي که در بالاترين سطح امنيتي محافظت شده اند نيز در برابر باگ هاي امنيتي آسيب پذير هستند و مي بايست بلافاصله نسب به رفع باگ در سايت اقدام شود. عضويت در خبرنامه و انجمن ، پيگيري بخش اخبار و بلاگ سايتي که از محصولات آن استفاده ميکنيم راهکار مناسبي براي اطلاع سريع و به عملکرد به موقع است.



راه اندازي گواهي امنيتي SSL بر روي سايت



يکي از بهترين راهکارها براي حفظ امنيت اطلاعات کابران و مديران سايت استفاده از گواهي امنيتي SSL بر روي سايت است که علاوه بر موارد امنيتي ، تاثيرات بسيار خوبي در نتايج سئو و جلب اعتماد کاربران دارد. گواهي ssl بر روي سايت اطلاعات ورودي و خروجي را با الگوريتم بسيار پيچيده اي رمزنگاري کرده و از شنود و دزديده شدن آنها جلوگيري مي کند. اينکار سبب مي شود که در بسياري از حالات حتي در صورت استفاده کاربر يا مدير سايت از اينترنت ناامن مشکلي ايجاد نشود. در واقع در اين حالت اگر اطلاعات مورد شنود نيز قرار گيرد قابل بهره برداري نخواهد بود و شنود کننده با يکسري اطلاعات رمزنگاري شده روبرو خواهد شد.