ایمن سازی وبسایت

13 روش ساده برای ایمن سازی وبسایت شما

ایمن سازی وبسایت همیشه یکی از دغدغه های و فاکتورهای مهم در طراحی سایت بوده است. زیرا این روزها بازار و زندگی افراد به سمت بازار آنلاین رفته و با وجود آموزش های رایگان و سیستم های مدیریت محتوا (CMS) بسیاری از صاحبان مشاغل دارای یک سایت کاری برای شغل خود هستند.

طبیعی است که بسیاری از افراد به دنبال منافع مالی و سو استفاده از این موقعیت قرار بگیرند. هک کردن سایت، نوعی دزدی و دست درازی به اطلاعات شخصی و مالی افراد است. چنانچه سایتی مورد حمله هکرها رار بگیرد، در واقع از آن دزدی شده است. دزدی از سایت بر خلاف سایر دزدی ها فقط به صاحب مال ضرر نمی رساند. بلکه می تواند امنیت کاربران و مخاطبانی که به سایت شما اعتماد کرده بودند را نیز به خطر بیاندازد.

فرقی نمی کند که شما صاحب یک سایت کوچک یا یک سایت شرکتی بزرگ باشید. حتی مهم نیست سایت مربوط به ارگان دولتی باشد یا خصوصی. کاربران شما انتظار یک تجربه آنلاین کاملا ایمن را دارند.

چرا ایمن سازی وبسایت مهم است؟

هیچ روشی برای ایمن سازی وبسایت ها، نمی تواند تضمین کند که سایت شما هیچوقت “هک” نمی شود. در حقیقت هیچ راهی برای جلوگیری از هک شدن وجود ندارد. اما برخی از روش ها هستند که ایمنی سایت شما را بالا برده و میزان آسیب پذیری سایت شما را به طرز چشمگیری را کاهش می دهد. این امنیت باعث می شود تا اطلاعات شما به راحتی در دسترس هر هکری قرار نگیرد. یا سایت تان به سادگی هک نشود. علاوه بر آن به عنوان یک آیتم مهم در سئو سایت محسوب می شود. هر چه روش های افزایش امنیت وبسایت را بیشتر اجرا کنید، سئو قوی تری خواهید داشت. روش های ایمن سازی سایت در بخش سئو تکنیکال بررسی می شود. در نتیجه در رتبه های بالاتر موتورهای جستجو خواهید بود. بنابراین کاربران بیشتری به وبسایت شما اعتماد کرده و از خدمات آنلاین آن بهره می برند. این به معنی جذب مخاطب بیشتر، ارائه خدمات بیشتر و در نتیجه درآمد بیشتر برای شماست.

روش های ایمن سازی وبسایت

 

13 نکته کلیدی برای افزایش امنیت سایت

  1. نرم افزارها و پلاگین های نصب شده در وبسایت را آپدیت کنید

یکی از مهمترین نکات برای ایمن سازی وبسایت بروز رسانی یک نرم افزار CMS، افزونه های سئو و پلاگین های نصب شده است. هکرها و ربات های هوشمند سایت ها را برای پیدا کردن چنین مواردی اسکن می کنند. این بروز رسانی ها و اپدیت بودن ها سایت شما را ایمن نگه می دارد. بسیاری از پلاگین ها و نرم افزار ها با ورژن قدیمی علاوه بر آنکه ممکن است در دنیای تکنولوژی نوین، عملکرد درستی نداشته باشند، نفوذ پذیری به آنها نیز راحت تر خواهد بود. از این رو لازم است تمامی درخواست های بروز رسانی را جدی بگیرید. آپدیت کردن نرم افزارها و پلاگین ها اغلب شامل تعمیرات سیستمی و پیشرفت های امنیتی هستند.

انواع CMS وجود دارد. اما امروزه بیشتر وبمستران از CMS محبوب وردپرس برای طراحی سایت ها و به خصوص سایت های فروشگاهی استفاده می کنند. هرچند وردپرس یک سیستم بسیار امن است. اما به این معنی نیست که شما نباید به فکر افزایش امنیت وردپرس و آپدیت آن باشید.

  1. پلاگین های امنیتی نصب کنید

برای افزایش امنیت وبسایت، بعد از آپدیت و به روز رسانی تمام موارد، پلاگین هایی که به طور فعال در برابر تلاش های هک کردن جلوگیری می کند را نصب کنید.

به عنوان مثال چنانچه سیستم مدیریت محتوای شما وردپرس باشد، می توانید پلاگین های رایگان مثل iThemes Security و Bulletproof Security را نصب کنید. این پلاگین ها به نقاط ضعف ذاتی در هر پلتفرم اشاره می کند و اطبق برنامه ای که گرفته، تمام راهکارهایی که منجر به تهدید به هک شدن سایت داشته باشد را مسدود می کند.

  1. گواهی SSL را برای ایمن سازی وبسایت فعال کنید

یکی از راه ‌های ایمن سازی وبسایت استفاده از url امن است. به خصوص اگر کاربران سایت شما پیشنهاد ارسال اطلاعات خصوصی خود را دارند، در این صورت برای جذب اعتماد آنها به گواهی SSL و پروتکل HTTPS نیاز دارید. این پروتکل رمز نگاری شده است که اطلاعات شخصی کاربر را بین وبسایت و پایگاه داده شما در حین انتقال، رمزگذاری می کند تا از خواندن آن توسط سودجویان جلوگیری کند.

  1. یک گذر واژه هوشمند انتخاب کنید

پایگاه های داده یک وبسایت نیاز به یک پسورد دارد. این پسورد فقط دست مدیر سایت و یا ادمین سایت قرار می گیرد. یعنی فقط این افراد توانایی ورود به CMS، پایگاه داده و نرم افزاهای نصب شده و تمامی اطلاعات را دارند. چنانچه این پسورد دست فرد دیگری بیوفتد و یا هکرها آن را به دست بیاورند، می توانند به راحتی مدیریت سایت را از شما بگیرند و یا تمامی اطلاعات را به سرقت ببرند.

برای جلوگیری از این اتفاق و افزایش امنیت سایت خود برای هر بخش ورود، یک پسورد منحصر به فرد ایجاد کنید. با رمز عبورهای پیچیده، تصادفی و دشوار سایت خود را ایمن کرده و سپس گذر واژه ها را خارج از فهرست وب سایت خود ذخیره کنید.

 از پسوردهای قوی که ترکیبی از حروف کوچک و بزرگ انگلیسی، اعداد و علامت ها است، استفاده نمایید. این پسوردها را در جایی مخفی کنید تا قابل دسترسی برای هر کسی نباشد. از اسامی و اطلاعات شخصی (مثل نام خودتان) یا اعداد مشخص (مثل تاریخ تولدتان) استفاده نکنید. بهتر است گذر واژه شما غیر قابل حدس زدن باشد. برای افزایش ایمنی باید گذر واژه های خود را حداکثر پس از 2 ماه تغییر دهید.

  1. از هاست و شرکت میزبانی امن استفاده کنید

خیلی مهم است که یک هاست خوب از یک شرکت معتبر پیدا کنید. زیرا انتخاب هاست و میزبانی وب از یک سرور نا ایمن برای سایت شما خطر افرین است. بسیاری از افراد از همین طریق به اطلاعات وبسایت شما نفوذ می کنند. بسیاری از هاستینگ ها ویژگی های امنیتی سرور را ارائه می دهند. این خصایص امنیتی از داده های وبسایت شما بهتر محافظت می کنند. پیش از انتخاب شرکت هاستینگ نکات زیر را در مورد آن شرکت بررسی بفرمایید:

  • آیا استفاده FTP توسط کاربر ناشناس غیرفعال است؟
  • گواهی ssl بر روی دامنه ارائه می دهد؟
  • آیا میزبان وب پروتکل امن انتقال فایل (SFTP) را ارائه می دهد؟
  • آیا از اسکنر روت کیت استفاده می کند؟
  • آنها چقدر در مورد به روز رسانی های امنیتی به روز هستند؟
  • آیا خدمات پشتیبان گیری از فایل را ارائه می دهد؟
  • خدمات بک آپ گیری از سایت و کلیه اطلاعات موجود در هاست دارند؟
  1. تنظیمات پیش فرض CMS خود را تغییر دهید

عموما بیشتر حملات علیه وبسایت ها به صورت کاملا خودکار انجام می شود. زیرا بسیاری از کاربران از مدیریت داده و  CMSهای عمومی با تنظیمات پیشفرض استفاده می کنند. از جمله تنظیمات CMS می توان به تنظیم نظرات، قابلیت مشاهده کاربر، مجوزها و دسترسی کاربران اشاره کرد. پس از آن که CMS مورد نظرتان را انتخاب و نصب کردید، لازم است بلافاصله تنظیمات پیش فرض آن را تغییر دهید. این تغییر باعث می شود تا از وقوع تعداد زیادی از حملات جلوگیری شود.

یکی از تغییر تنظیمات پیش فرض که باید انجام دهید، تغییر در “مجوزهای پرونده” است که مشخص می کند چه کسی برای یک پرونده چه کاری انجام می دهد. هر پرونده دارای سه مجوز و یک عدد است که نشان دهنده هر اجازه است:

  • Read (4): مشاهده محتویات فایل.
  • Write (2): ویرایش محتویات پرونده.
  • Execute (1): اجرای پرونده یا اسکریپت.
  1. استفاده از نمایشگرهای پارامتری

یکی از روش هایی که عموما برای هک استفاده می شود، تزریق SQL است. تزریق SQL زمانی مهم می گردد که یک فرم وب یا پارامتر URL وجود دارد و به کاربران اجازه می دهد تا اطلاعات خود را ارائه دهند. به عنوان مثال در یک سایت فروشگاهی اطلاعات شخصی مثل اطلاعات تماس، شماره حساب، کد ملی، و پسوردها در آن فرم ثبت شود. قطعا کاربر به سایت شما اعتماد کرده و این اطلاعات را ثبت می کند. پس وظیفه شماست که به عنوان صاحب و مدیر سایت از این اطلاعات محافظت کنید. چنانچه پارامترهای یک فیلد را به صورت باز رها کنید، هکر ها می توانند با تزریق کد درون پایگاه داده شما آن را هک کنند.

یکی از ساده ترین و مهمترین روش ها برای ایمن سازی وبسایت شما، استفاده از درخواست های پارامتری است. نمایش پارامتری تضمین می کند که کد شما پارامترهای کافی دارد. به طوری که هیچ فضایی برای هکر وجود ندارد که در آن خرابکاری کند.

افزایش امنیت سایت

 

  1. بررسی دسترسی کاربران و مدیران سایت

ممکن است شما یک سایت بزرگ کاری داشته باشید که تعدادی از شرکا یا کارمندانتان نیز برای انجام کارها به سیستم مدیریت محتوای آن دسترسی دارند. اما ممکن است امنیت سایت به اندازه ای که برای شما مهم است برای سایر کاربران با دسترسی سطح بالا و یا سایر مدیران مهم نباشد. یا در اثر بی دقتی در هنگام ورود به سیستم به امنیت وبسایت فکر نمی کنند و تمرکز آنها صرفا وظیفه ای است که به عهده دارند.

یک سهل انگاری کوچک یا چشم پوشی از یک موضوع می تواند منجر به یک مسئله امنیتی مهم شود. قبل از آنکه به افراد مختلف دسترسی ورود بدهید، نکات امنیتی و قوانین سایت را به آنها گوشزد کنید. می توانید بنا به کاری که قرار است در سیستم مدیریت محتوا انجام دهند، دسترسی های محدودتر و طبقه بندی شده تری به آنها بدهید تا از بروز برخی اشتباهات و هک شدن سایت جلوگیری شود.

  1. از وب سایت خود بک آپ و نسخه پشتیبان تهیه کنید

برای بسیاری از سایت ها پیش آمده که بنا به دلال مختلف غیر فعال شوند یا از دسترس خارج شوند. گاهی ممکن است مشکل از سمت کارکنان سایت ایجاد شود و یا گاهی سرور اصلی دچار مشکل شود. در هر صورت ممکن است اطلاعات سایت تان را از دست بدهید. تهیه نسخه پشتیبان و بک آپ از اطلاعات هاست و وبسایت موجب حفظ و افزایش امنیت سایت شما خواهد بود. بک آپ گرفتن یک نقطه اطمینان برای شماست تا در صورت بروز مشکل، نگران از دست دادن اطلاعات و محتوای خود نخواهید بود. سعی کنید به صورت هفتگی و ماهانه از سایت خود نسخه پشتیبان تهیه کنید.

  1. استفاده از CSP

حملات اسکریپتی Cross-site (XSS) یکی دیگر از روش هایی است که هکرها از آن استفاده می کنند. این حملات زمانی اتفاق می افتد که هکرها راهی برای نفوذ به کد جاوا اسکریپت در صفحات شما پیدا کنند. بدین صورت می توانند تمام صفحات هر بازدید کننده ای که به سایت شما مربوط است را آلوده کنند.

یکی از راه های ایمن سازی سایت در برابر حملات XSS شبیه به نمایش پارامتری است که برای تزریق SQL استفاده می شود. در ابتدا باید مطمئن شوید هر کدی که در وبساییتان استفاده می کنید برای توابع یا زمینه هایی که اجازه ورودی به عنوان صریح در مواردی که ممکن است مجاز باشد را صادر می کند. این یعنی شما هیچ چیزی را برای لغزش یا نفوذ آماده نمی کنید.

علاوه بر آن می توانید سیاست امنیتی محتوایی (CPS) را بررسی کنید. CPS به شما این امکان را می دهد که دامنه هایی که یک مرورگر باید به عنوان منابع معتبر اسکریپت های اجرایی در هنگام استفاده از صفحات در نظر بگیرد را معرفی کنید. بنابراین مرورگر متوجه می شود که به هیچ یک از دامنه های معرفی نشده یا اسکریپت های مخرب که ممکن است کامپیوتر شما را آلوده کند، توجه نکند.

  1. برای ایمن سازی وبسایت فایلهای پیکر بندی وب سرور خود را بشناسید

با پرونده های پیکر بندی وب سرور خود آشنا شوید. می توانید آنها را در فهرست اصلی هاست پیدا کنید. چنانچه نمی دانید از کدام وب سرور استفاده می کنید، از هاستینگ خود بپرسید. همچنین می توانید برای بررسی وبسایت خود از یک اسکنر وب سایت، مانند Sitecheck استفاده نمایید.

Sitecheck یک سایت است که نرم افزارهای مخرب را شناسایی می کند. علاوه بر آن ویروس ها، وضعیت لیست سیاه، خطاهای وبسایت و موارد دیگر را نیز اسکن می نماید. هرچه در مورد وضعیت فعلی امنیت وبسایت خود اطلاعات بیشتری داشته باشید، کمک بیشتری به افزایش امنیت سایت شما خواهد کرد.

پرونده های پیکربندی وب سرور به شما امکان را می دهد تا قوانین سرور را مدیریت کنید. این شامل دستورالعمل هایی است که برای بهبود و افزایش امنیت سایت شما نیاز است. انواع مختلفی از این پرونده ها با هر سرور وجود دارد. از جمله:

  • سرورهای Apache از پرونده .htaccess استفاده می کنند.
  • سرورهای Nginx از conf استفاده می کنند.
  • سرورهای IIS مایکروسافت از config استفاده می کنند.
  1. اطمینان از پیکربندی صحیح فایروال (Firewall Web Application)

نرم افزار فایروال برنامه وب (WAF) اتصال بین سرور و وبسایت شما را تنظیم می کند. امروزه بیشتر WAFها مبتنی بر cloud (سرویس ابری) هستند. سرویس ابری دسترسی بیشتری به ترافیک ورودی می دهد. اسپمرها و ربات های مخرب را نیز مسدود می سازد. علاوه بر آن از هک شدن سایت و سایر اطلاعات تا حد زیادی جلوگیری می نماید.

  1. امنیت شبکه را تقویت کنید

امنیت شبکه را در کنار امنیت وب سایت تحلیل و تقویت کنید. کارکنانی که از رایانه های اداری استفاده می کنند ممکن است سهوا و نا خواسته راهی نا امن به وبسایت شما ایجاد کنند. ممکن است به توانند به هر طریقی دسترسی به اطلاعات را بدست بیاورند و آن را تصادفا یا عمدا در اختیار دیگران قرار دهند. برای جلوگیری از دسترسی افراد به سرور وبسایت تان، موارد زیر را انجام دهید:

اگر کارمندی مدتهاست به سیستم مدیریت محتوئا وارد نشده، یا قرار نیست که پس از این وارد شود، دسترسی آن را قطع و ورود به سیستم را پس از مدت کوتاهی منقضی کنید. سیستم خود را طوری تنظیم کنید که هر سه ماه یکبار کاربران را ملزم به تغییر گذر واژه می کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *