طراحی سایت | برنامه نویسی

آموزش طراحی سایت و برنامه نویسی

طراحی سایت | برنامه نویسی

آموزش طراحی سایت و برنامه نویسی

بایگانی
پیوندهای روزانه
پیوندها

میخواهید وب سایتتان هک نشود پس این ۸ نکته طلایی را رعایت کنید

يكشنبه, ۳۰ تیر ۱۳۹۸، ۰۳:۵۷ ب.ظ

شما اغلب دوست ندارید به این مورد فکر کنید، اما افرادی وجود دارند که هک و حملات سایبری را در وب سایت ها انجام می دهند. حتی اگر شما یک وب سایت بزرگ شرکتی نیستید و فقط یک وب سایت کوچک شخصی دارید، امنیت چیزی است که باید در مورد آن فکر کنید. شما ممکن است تعجب کنید، و بگویید "چرا من؟ چرا باید نگران کسی باشم که وب سایت کوچک من را هک کنم؟" اما متاسفانه، وب سایتها با هر اندازه ای میتوانند هک شوند.

hack

در تجربه شخصی خود، چند سال پیش یک CMS ساده (بسیار بد) را برای نگه داشتن یک وبلاگ ساخته بودم. من از آن برای فروش محصولی استفاده نمیکردم و فقط مطالب ساده ای را بر روی آن قرار میدادم. اما کسی  در اینترنت وب سایت کوچک من را پیدا کرده بود! او با استفاده از تزریق SQL  به وبسایت من توانسته بود پایگاه داده من را با لینک های غیر قانونی از سایت خود پر کند و سپس افراد را از سایت من به سایت خود منتقل کند.

در آن روز من درس مهمی را آموختم: وب سایت خود را در برابر حملات سایبری مختلف ایمن کنید. ساختن وب سایتی که در برابر حملات و هک ایمن باشد نباید کاری سخت و پیچیده باشد. در سریعترین زمان ممکن و در زمان راه اندازی وب سایت با انجام چند نکته ای که در این مقاله به آنها اشاره میکنم، تلاش هکر ها برای نفوذ به وب سایت خود ناکام بگذارید.

من لیست 10 روش کلیدی برای اینکه بتوانید وب سایت خود را ایمن نگه دارید را در زیر آورده ام :

از سرور خود محافظت کنید

1. HTTPS و TLS/SSL را برای رمزنگاری ترافیک خود تنظیم کنید

وب سایت ها به طور پیش فرض از HTTP (پروتکل انتقال فرا متن) برای انتقال اطلاعات از سرور به مرورگر و بالعکس استفاده میکنند. HTTP مانند یک بزرگراه است که همه چیز در اینترنت را به هم متصل می کند و به همین دلیل است که  قبل از نام دامنه وب سایت از "http" یا "https" استفاده میکنید. HTTPS نسخه ای امن از HTTP است. این پروتکل ترافیک یک وبسایت را از هک شدن یا ربودن محافظت می کند.

پروتکل HTTPS به ویژه برای وب سایت های تجارت الکترونیک و یا وب سایت هایی است که اطلاعاتی حساس از کاربران خود مانند کارت های اعتباری، شماره تلفن و ... را ذخیره میکنند ، بسیار اهمیت دارد. به طور خلاصه، HTTPS با رمزنگاری و یا کد گذاری ترافیک کار می کند، به طوری که اطلاعات کد شده به آسانی قابل تفسیر نیست. رمزگشایی اطلاعات رمزنگاری شده کاری بسیار دشوار است.

HTTPs-Main-Image

امروزه نسبت به گذشته وب سایت ها علاقه ی بیشتری به این پروتکل نشان میدهند و حتی سایت هایی که کار تجارت الکترونیک انجام نمیدهند هم خود را به HTTPS مجهز کرده اند. گوگل اعلام کرده است که وب سایت هایی که از این پروتکل استفاده میکنند را در لیست جستجوی خود بالاتر از وب سایت های ناامن قرار می دهد. ممکن است این تغییر برای شما درد آور باشد،اما به طورکلی این موضوعی خوب است، زیرا هر روزه وب سایت های بیشتری ایمن میشوند و اینترنتی ایمن تر را خواهیم داشت.

اکنون چگونه میتوان وب سایت خود را با HTTPS ایمن کنیم؟ همه آن چیزی که باید انجام دهید این است که یک گواهیSSL یا TLSدر سایت خود نصب کنید. امروزه، شما می توانید این مورد را به راحتی و در برخی موارد رایگان در هنگام خرید نام دامنه انجام دهید.

اکثر میزبان های وب به طور خودکار به شما اجازه می دهند تا یک گواهی رمزگذاری را پیدا کرده و برای وب سایت خود ثبت کنید . اگر به امنیت بیشتری نیاز دارید، باید یکی از این گواهینامه ها را خریداری کنید. اما بیشتر وب سایت های کوچکی که تجارت الکترونیک ندارند می توانند با همان گواهینامه های رایگان کار خود را پیش ببرند.

نکته ای در مورد TLS وSSL  وجود دارد این است که در گذشتهSSL راه اصلی برای رمزگذاری ترافیک یک سایت بود. در حال حاضر، TLS جایگزین SSL  شده است که نسخا ای ایمن تر است . اما چون اکثر مردم با اصطلاح "SSL" آشنا هستند، بسیاری از مردم فقط می گویند SSL، حتی اگر از TLS استفاده کنند.

2. از فایروال ها برای محافظت از دسترسی های غیر مجاز استفاده کنید

اگر شما سروری برای خود دارید، احتمالا بر روی آن فایروال نصب شده است. فایروال، نرم افزار و یا سخت افزاری است که اتصالات غیر مجاز را مسدود می کند و فقط اجازه می دهد تا فرم های مشخصی از اطلاعات از آن عبور کند. شما معمولا می خواهید فقط دسترسی های عمومی ترافیک از طریق HTTP/HTTPS به سرور شما دسترسی داشته باشند، به طوری که کاربران بتوانند وب سایت شما را در مرورگر خود بارگذاری کنند و قطعا می خواهید ارتباطات عمومی را به قسمت های مهم و یا بخش هایی از سرور خود محدود کنید.

firewall

یکی از این قسمت های بسیار مهم پایگاه داده شماست که تمام اطلاعات را در آن نگه داری میکنید. بسته به میزان کنترل شما بر روی سرور، تنظیم فایروال میتواند کار نسبتا ساده ای باشد. حتی اگر شما کنترل مستقیمی بر فایروال خود ندارید، اکثر میزبان ها به شما اجازه می دهند حداقل آدرس IP خاصی را مسدود کنید. استراتژی دیگر ممنوعیت دسترسی به مواردی مانند صفحه مدیریت وب سایت از هر آدرس آی پی به غیر از خودتان است.

این باعث می شود هکرها حتی قادر به بارگذاری صفحه ورود به سیستم نباشند، تلاش بسیار کمتر برای ورود به سیستم انجام شود.البته این مورد  می تواند کمی آزار دهنده باشد، زیرا اگر شما نیاز داشته باشید از مکانی دیگر به وب سایت خود ورود کنید، باید به صورت دستی آدرس IP جدید را به فایروال اضافه کنید. اما این کار امنیت خاطر بیشتری به شما میدهد.

3. فایل ها را با SSH/SFTP به صورت ایمن انتقال دهید

یک اتصال دیگر به وب سرور شما که نیاز به حفاظت دارد، نحوه آپلود و دانلود فایلهای وب سایت شما است. همانند پروتکل HTTP ذکر شده در بالا، مکانیزم اصلی، FTP (پروتکل انتقال فایل) ناامن است. حتی اگر از یک ترکیب نام کاربری و رمز عبور برای اتصال استفاده می کنید، این اطلاعات در متن ساده ذخیره می شود و رمزگذاری نمی شود.

امروزه FTP با SFTP جایگزین شده است که نسخه ای ایمن از FTP است که SSH نیز نامیده میشود. SSH کاملا ایمن است زیر اطلاعات در آن رمزنگاری میشوند. هنگام تنظیم یک اتصال SSH بین سرور و رایانه خود، می توانید از یک جفت کلید رمزنگاری شده استفاده کنید تا اطمینان حاصل شود که تنها کامپیوتر شما به سرور دسترسی پیدا می کند. کلیدها از یک کلید عمومی و خصوصی تشکیل شده است. کلید عمومی بر روی سرور ذخیره می شود و کلید خصوصی بر روی کامپیوتر.

SFTP

کلید خصوصی کلیدی است که به شما اجازه میدهد  به وسیله کلید عمومی به سرور دسترسی پیدا می کند. هنگامی که شما سعی در اتصال به سرور دارید، کلید شما بررسی میشود و اطمینان حاصل میشود که با کلید عمومی مطابقت دارد. وبسایت های SSH این رابطه را به یک وضعیت قفل و کلید تبدیل می کنند،  در این صورت کلید عمومی قفل محسوب میشود و کلید خصوصی شما کلید منحصر به فردی است که می تواند این قفل را باز کند.

4. مجوز های کاربر را تنظیم کنید تا دسترسی به پوشه ها و فایل های مهم را مسدود کنید

آیا می دانستید که تمام سرورها به شما اجازه می دهند تا برای کاربران سایتتان مجوز های خاصی را تنظیم کنید .شما می توانید مجوز هایی را برای خواندن، نوشتن یا اجرای دسترسی برای هر فایل یا پوشه تعیین کنید. علاوه بر این، این مجوزها را می توان برای مالک (معمولا مدیر)، گروه (یک یا چند کاربر) یا عمومی (همه !!) تنظیم کرد. نحوه دسترسی با استفاده از یک عدد سه رقمی با تعداد مشخصی "امتیاز" برای هر رقم تعیین میشود.

دسترسی به خواندن دارای 4 امتیاز، دسترسی به نوشتن داری 2 امتیاز، و اجرای دسترسی دارای 1 امتیاز است و این ارقام مربوط به کاربران مختلف است: اولین رقم مالک است، رقم دوم گروه است، و رقم سوم عمومی است. اگر کسی هیچ گونه دسترسی به فایلی نداشته باشد، مجوز سطح 000 برای آن در نظر گرفته میشود. اگر همه کاربران دسترسی کاملی به یک فایل داشته باشند، مجوز با مقدار 777 تنظیم خواهند شد.

به طور کلی، مالک (معمولا مدیر سیستم یا کاربر "sa") باید دسترسی خواندن و نوشتن داشته باشد و کاربران گروهی و عمومی فقط باید دسترسی به خواندن داشته باشند. چیزی که هیچ وقت نباید انجام دهید همه مجوزهایتان را با مقدار 777 تنظیم کنید - بسیاری از افراد این کار را انجام میدهند  و در این صورت با مشکلات بزرگی ممکن است روبه رو شوند. زیرا افراد به همه پرونده ها دسترسی دارند و حتی میتوانند آنها را حذف کنند که این مورد خطرناک است.

به طور کلی شما مطمئنا نمی خواهید وب سایت خود برای همه با مجوز های مدیر اجرا کنید، زیرا اگر اعتبار ها به خطر بیفتند، یک هکر می تواند دسترسی کاملی به سرور شما داشته باشد. وب سایت شما باید تحت کاربر خود اجرا شود. نگه داشتن سطوح مختلف دسترسی جدا از یکدیگر کمک خواهد کرد فایل های سرور خود را امن نگه دارید.

از وب سایت خود محافظت کنید

5. سیستم مدیریت محتوا و دیگر برنامه های سایت خود را به روزرسانی کنید

چه شما سایت خود را بر روی وردپرس اجرا کرده اید و یااز تعدادی از بسته های npm استفاده می کنید، قطعا باید مطمئن شوید که تمام این نرم افزار ها و ابزارهایی که استفاده می کنید، به روز می شوند. برای وردپرس به طور خاص، باید اطمینان حاصل کنید که  نسخه اصلی وردپرس شما به همراه تم و پلاگین های آن بروز شده اند. این مورد بسیار مهم است زیرا توسعه دهندگان همیشه باید تغییراتی را برای محافظت در برابر آسیب پذیری ها انجام دهند.

update

اگر این بروز رسانی ها به صورت مرتب انجام نشود ، سایتتان را در معرض حملات سایبری قرار داده اید. نکته ی دیگر در مورد وب سایت هایی که از ورد پرس استفاده میکنند این است که میتوانند از پلاگین های امنیتی همچون Sucuri و یا Bulletproof برای جلوگیری از حملات استفاده کنند.

6. ارسال اطلاعات از طریق فرم های وب سایتتان را ایمن کنید

ارسال اطلاعات از طریق فرم های یک وب سایت، یکی از رایج ترین روش هایی است که هکرها به یک وب سایت حمله می کنند. دلیل آن هم این است که که فرم ها داده ها را به پایگاه داده وب سایت شما ارسال می کند.برخی از رایج ترین روش ها برای تخریب عملکرد اصلی یک فرم عبارتند از : SQL Injection و XSS. در یک فرم محافظت نشده، تزریق SQL  به یکی از فیلد های پایگاه داده و سپس اجرای آن باعث اختلال در عملکرد وب سایت خواهد شد.

SQL-Injection

حملات Cross-site یا همان XSS باعث انتقال کد های جاوا اسکریپت به وب سایت شما شده که می تواند محتوای وب سایت را برای کاربران تغییر دهد و موجب شود آنها اطلاعات حساس خود را ناآگاهانه در اختیار هکر ها قرار دهند. ازهر دوی این حملات  می توان با اعتبارسنجی مناسب در بخش های فرم  جلوگیری کرد. پس اعتبار سنجی سمت کاربر و سمت سرور را جدی بگیرید. در حالت ایده آل، شما باید هر دو اعتبار سنجی سمت کاربر و سرور را انجام دهید.

با این حال نمیتوانید تنها به اعتبار سنجی سمت کاربر تکیه کنید زیرا این اعتبار سنجی به تنهایی آسیب پذیر است.اعتبار سنجی سمت سرور یک لایه امنیتی دیگر را برای بررسی داده ها برای هر اطلاعات مخرب اضافه می کند.

7. از کلمات عبور امن و منحصر به فرد استفاده کنید

در زمان ایجاد رمز عبور برای وب سایت خود باید نکاتی را رعایت کنید.از اسامی یا کلمات که هر نوع ارتباطی با شما دارند استفاده نکنید برای مثال از روز تولد، آدرس یا شماره ملی استفاده نکنید. سعی کنید از کلمات عبوری با طولی با بیش از 20 کاراکتراستفاده کنید.  یک کلمه عبور یکسان را در حساب های مختلف استفاده نکنید. گذرواژه هایتان را به صورت دوره ای تغییر دهید. بهتر است این مورد هر چه زودتر انجام شود ولی یک دوره شش ماه برای این کار میتواند مناسب باشد.


8. پشتیبان گیری از فایل های وب سایت و پایگاه های داده

در بدترین حالت ممکن است شما تمام اطلاعات وب سایت خود را از دست بدهید. در این گونه مواقع قطعا نسخه پشتیبان وب سایت به داد شما خواهد رسید. نسخه پشتیبان حیاتی است در غیر این صورت ممکن است زحمات چند ساله شما در کمتر از یک دقیقه نابود شود. میزبان وب سایت شما باید قابلیت پشتیبان گیری خورکار و دوره ای را برای شما فعال کرده باشد. پس باید در انتخاب شرکت میزبانی خود دقت کافی را به عمل بیاورید.

سخن پایانی

امنیت وب سایت یکی از آن چیزهایی است که ممکن است برای آن لازم باشد کمی زمان صرف کنید، اما اگر بخواهید یک حمله سایبری را تجربه نکنید، ارزشش را دارد.البته، با وجود رعایت تمام نکات باز نمیتوان به صورت صد در صد تضمین کرد هیچ مشکلی رخ نخواهد داد. با این حال باید تمام کارهای پیشگیرانه را انجام داد.

دستورالعمل های اساسی بیان شده در بالا قطعا به محافظت از وب سایت شما کمک می کند، اما ممکن است هنوز راه نفوذی وجود داشته باشد. خبر خوب این است که با استفاده از این نکات می توانید از اکثر حملات را جلوگیری کنید.

امیدوارم این مقاله برای شما مفید بوده باشد! شما چگونه از وب سایت خود محافظت می کنید؟ نظرتان را در همین جا برای ما قرار دهید

منبع: لرن سورس

موافقین ۰ مخالفین ۰ ۹۸/۰۴/۳۰
شهربانو دوستی

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است

ارسال نظر

ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم