آموزش

نکاتی که هکر ها دوست ندارند شما بدانید و امنیت سایت خود را افزایش دهید!

امن نگهداشتن وبسایت بسیار حائز اهمیت برای کسب و کار های اینترنتی میباشد در این مقاله شرکت ما قصد دارد تا گوشه ای از حفظ امنیت وبسایت را به شما آموزش دهد تا شما عزیزان با آگاهی بیشتر در جهت حفظ وبسایت خود کوشا باشید.

امنیت وب سایت چیست و چگونه وب سایت خود را ایمن کنیم؟

پیشگفتار: امنیت وب سایتمجموعه اقداماتی است که امنیت سایت را به حداکثر می رساند و احتمال نفوذ را به حداقل می رساند. به خاطر داشته باشید که امنیت سایت تابع موارد دیگری است که همه آنها نقشی حیاتی در امنیت وب سایت دارند.

امنیت سرور، امنیت شبکه، امنیت اینترنت، امنیت سیستم عامل، امنیت نرم افزار و بسیاری موارد دیگر نقش اساسی در تامین زیرساخت امنیت سایت دارند. بحث در حال حاضر در مراحل ابتدایی است و هنوز در مورد اقدامات موثر و کلیدی در خود سایت صحبتی نشده است.

با فرض اینکه همه موارد اولیه ایمن هستند و هر موضوع دیگری که بر امنیت سایت تأثیر می گذارد نیاز به اقداماتی در هر سایتی برای تضمین امنیت آن دارد. از آنجایی که اکثر سایت های موجود در وب داینامیک (دینامیک) هستند، بنابراین به سایت های پویا که بر اساس cms هستند می پردازیم و به اختصار به سایت های استاتیک می پردازیم. داشته است.

امنیت وب سایت چیست؟

امنیت سایت چیست : وضعیتی که یک سایت علی رغم خدمات معمول مورد نیاز، دارای بالاترین سطح امنیت مورد نیاز و کمترین سطح آسیب پذیری است. امنیت سایت به موارد زیادی بستگی دارد که باید رعایت شود.

اهمیت امنیت سایت (امنیت وب سایت)

امنیت سایت از اهمیت فوق العاده ای برخوردار است و می توان گفت که موثرترین عامل در حفظ، حفظ و حفظ اعتبار یک سایت از جمله موارد دیگر است. متاسفانه با بررسی وضعیت سایت های معمولی و حتی بزرگ و حساس به این نتیجه می رسیم که بسیاری از مدیران و مدیران وب سایت ها توجه کمی به امنیت سایت دارند.

هک نکردن سایت تضمین کننده امنیت سایت نیست، به این معنی که سایتی با نقص امنیتی ممکن است اقدام به هک کردن آن نکرده باشد و در صورت بحث در مورد سایت آسیب پذیر خواهد بود.

اهمیت امنیت سایت زمانی مشخص می شود که سایت مورد حمله قرار می گیرد که احتمالاً دو پیامد به همراه خواهد داشت. اگر امنیت سایت به درستی تامین شود، حمله با شکست مواجه می شود و به سایت آسیبی نمی رسد.

همچنین قابل توجه است که حتی با وجود امنیت هر سایت در هر زمان، مستعد حملات و آسیب پذیری است. نوع، تعداد و روش های هک و نفوذ بسیار گسترده است و مقابله با همه آنها نیازمند اقدام بسیار جدی و دائمی است. علاوه بر پوشش و حل مسائل امنیتی، توجه به مسائل امنیتی نیز مهم است.

مراقب تزریق SQL باشید

حملات تزریق SQL زمانی هستند که یک مهاجم از یک فیلد فرم وب یا پارامتر URL برای دسترسی یا دستکاری به پایگاه داده شما استفاده می کند.

هنگامی که از Transact SQL استاندارد استفاده می کنید، به راحتی می توانید ندانسته کدهای سرکش را در جستار خود وارد کنید که می تواند برای تغییر جداول، دریافت اطلاعات و حذف داده ها استفاده شود.

شما به راحتی می توانید با استفاده از پرس و جوهای پارامتری شده از این امر جلوگیری کنید، اکثر زبان های وب این ویژگی را دارند و پیاده سازی آن آسان است.

این پرس و جو را در نظر بگیرید:

“SELECT * FROM table WHERE column = ‘” + parameter + “‘;”


اگر یک مهاجم پارامتر URL را تغییر دهد تا در ‘ یا ‘1’=’1 ارسال شود، این باعث می شود که پرس و جو به این شکل باشد:

“SELECT * FROM table WHERE column = ” OR ‘1’=’1′;”


از آنجایی که ‘1’ برابر با ‘1’ است، این به مهاجم اجازه می دهد تا یک پرس و جو اضافی را به انتهای دستور SQL اضافه کند که همچنین اجرا خواهد شد.

شما می توانید این پرس و جو را با پارامترسازی صریح آن برطرف کنید. به عنوان مثال، اگر از MySQLi در PHP استفاده می کنید، باید به صورت زیر باشد:

$stmt = $pdo->prepare(‘SELECT * FROM table WHERE column = :value’);
$stmt->execute(array(‘value’ => $parameter));

در برابر XSS محافظت کنید

حملات اسکریپت بین سایتی (XSS) جاوا اسکریپت مخرب را به صفحات شما تزریق می کند، که سپس در مرورگرهای کاربران شما اجرا می شود و می تواند محتوای صفحه را تغییر دهد یا اطلاعات را بدزدد تا به مهاجم ارسال شود.

به عنوان مثال، اگر نظراتی را در یک صفحه بدون تأیید نشان می‌دهید، مهاجم ممکن است نظراتی حاوی برچسب‌های اسکریپت و جاوا اسکریپت ارسال کند که می‌تواند در مرورگر هر کاربر دیگری اجرا شود و کوکی ورود به سیستم آنها را بدزدد و به حمله اجازه دهد کنترل حساب هر کاربر را در دست بگیرد. کاربری که نظر را مشاهده کرده است. باید اطمینان حاصل کنید که کاربران نمی توانند محتوای فعال جاوا اسکریپت را به صفحات شما تزریق کنند.

این یک نگرانی خاص در برنامه‌های کاربردی وب مدرن است، جایی که صفحات در حال حاضر عمدتاً از محتوای کاربر ساخته می‌شوند و در بسیاری از موارد HTML را تولید می‌کنند که سپس توسط فریم‌ورک‌های جلویی مانند Angular و Ember نیز تفسیر می‌شود.

این فریم‌ورک‌ها بسیاری از حفاظت‌های XSS را ارائه می‌کنند، اما اختلاط رندر سرور و کلاینت، راه‌های حمله جدید و پیچیده‌تری را نیز ایجاد می‌کند: نه تنها تزریق جاوا اسکریپت به HTML مؤثر است، بلکه می‌توانید محتوایی را نیز با درج دستورالعمل‌های Angular یا استفاده از Ember تزریق کنید که کد را اجرا کند. کمک کنندگان

نکته کلیدی در اینجا این است که بر این تمرکز کنید که چگونه محتوای تولید شده توسط کاربر شما می تواند از محدودیت های مورد انتظار شما فرار کند و توسط مرورگر به عنوان چیزی غیر از آنچه در نظر داشتید تفسیر شود.

این شبیه به دفاع در برابر تزریق SQL است. هنگام تولید پویا HTML، از توابعی استفاده کنید که به صراحت تغییرات مورد نظر شما را ایجاد می کند (مثلاً از element.setAttribute و element.textContent استفاده کنید، که مرورگر به طور خودکار از آن خارج می شود، به جای تنظیم element.innerHTML با دست)، یا از توابع استفاده کنید. در ابزار قالب شما که به‌جای الحاق رشته‌ها یا تنظیم محتوای خام HTML، به‌طور خودکار فرار مناسب را انجام می‌دهد.

یکی دیگر از ابزارهای قدرتمند در جعبه ابزار مدافع XSS Content Security Policy (CSP) است. CSP عنوانی است که سرور شما می تواند برگرداند و به مرورگر می گوید که چگونه و چه چیزی جاوا اسکریپت در صفحه اجرا می شود را محدود کند، به عنوان مثال اجرای هر اسکریپتی که در دامنه شما میزبانی نشده است، غیرفعال کردن جاوا اسکریپت درون خطی یا غیرفعال کردن eval().

موزیلا یک راهنمای عالی با چند نمونه پیکربندی دارد. این کار اسکریپت های مهاجم را سخت تر می کند، حتی اگر بتوانند آنها را وارد صفحه شما کنند.

مراقب پیام های خطا باشید

مراقب میزان اطلاعاتی که در پیام های خطای خود می دهید باشید. فقط حداقل خطاها را به کاربران خود ارائه دهید تا مطمئن شوید که اسرار موجود در سرور شما (به عنوان مثال کلیدهای API یا رمزهای عبور پایگاه داده) فاش نمی شوند.

جزئیات کامل استثنا را نیز ارائه نکنید، زیرا این موارد می‌توانند حملات پیچیده مانند تزریق SQL را بسیار آسان‌تر کنند. خطاهای دقیق را در گزارش های سرور خود نگه دارید و فقط اطلاعات مورد نیاز کاربران را نشان دهید.

اعتبارسنجی از هر دو طرف

اعتبارسنجی باید همیشه هم در سمت مرورگر و هم در سمت سرور انجام شود. مرورگر می‌تواند خطاهای ساده مانند فیلدهای اجباری را که خالی هستند و زمانی که متن را در یک قسمت فقط اعداد وارد می‌کنید، تشخیص دهد.

با این حال، می‌توان این موارد را دور زد، و باید مطمئن شوید که این اعتبارسنجی و اعتبارسنجی عمیق‌تر سمت سرور را بررسی می‌کنید، زیرا عدم انجام این کار می‌تواند منجر به درج کد مخرب یا کد برنامه‌نویسی در پایگاه داده شود یا نتایج نامطلوبی در وب‌سایت شما ایجاد کند.

رمزهای عبور خود را بررسی کنید

همه می دانند که باید از رمزهای عبور پیچیده استفاده کنند، اما این بدان معنا نیست که همیشه این کار را می کنند. استفاده از رمزهای عبور قوی برای سرور و ناحیه مدیریت وب سایت بسیار مهم است، اما به همان اندازه مهم است که بر روی روش های رمز عبور خوب برای کاربران خود اصرار کنید تا از امنیت حساب های خود محافظت کنید.

به همان اندازه که کاربران ممکن است آن را دوست نداشته باشند، اعمال الزامات رمز عبور مانند حداقل حدود هشت کاراکتر، از جمله یک حرف بزرگ و عدد، به محافظت از اطلاعات آنها در طولانی مدت کمک می کند.

رمزهای عبور باید همیشه به عنوان مقادیر رمزگذاری شده ذخیره شوند، ترجیحاً از الگوریتم هش یک طرفه مانند SHA استفاده کنند. استفاده از این روش به این معنی است که وقتی در حال احراز هویت کاربران هستید، فقط مقادیر رمزگذاری شده را با هم مقایسه می کنید. برای امنیت بیشتر وب سایت، ایده خوبی است که رمزهای عبور را با استفاده از یک نمک جدید برای هر رمز عبور استفاده کنید.

در صورت هک کردن و سرقت رمزهای عبور شما توسط شخصی، استفاده از رمزهای عبور هش شده می تواند به محدود کردن آسیب کمک کند، زیرا رمزگشایی آنها امکان پذیر نیست.

بهترین کاری که کسی می تواند انجام دهد حمله به فرهنگ لغت یا حمله brute force است، که اساساً هر ترکیبی را حدس می زند تا زمانی که مطابقت پیدا کند.

هنگام استفاده از رمزهای عبور نمکی، فرآیند شکستن تعداد زیادی از رمزهای عبور حتی کندتر است زیرا هر حدس باید به طور جداگانه برای هر salt + password که از نظر محاسباتی بسیار گران است، هش شود.

خوشبختانه، بسیاری از CMS ها مدیریت کاربر را با بسیاری از این ویژگی های امنیتی وب سایت ارائه می کنند، اگرچه ممکن است برای استفاده از رمزهای عبور نمکی (قبل از دروپال 7) یا تنظیم حداقل قدرت رمز عبور، پیکربندی یا ماژول های اضافی لازم باشد.

اگر از دات نت استفاده می کنید، ارزش آن را دارد که از ارائه دهندگان عضویت استفاده کنید زیرا بسیار قابل تنظیم هستند، امنیت وب سایت داخلی را فراهم می کنند و شامل کنترل های آماده برای ورود به سیستم و بازنشانی رمز عبور هستند.

از آپلود فایل خودداری کنید

اجازه دادن به کاربران برای آپلود فایل ها در وب سایت شما می تواند یک خطر بزرگ امنیتی وب سایت باشد، حتی اگر صرفاً تغییر آواتار آنها باشد. خطر این است که هر فایلی که آپلود می‌شود، هر چند بی‌گناه به نظر برسد، می‌تواند حاوی اسکریپتی باشد که وقتی روی سرور شما اجرا می‌شود، وب‌سایت شما را به طور کامل باز می‌کند.

اگر فرم آپلود فایل دارید، باید با شک و تردید با همه فایل ها برخورد کنید. اگر به کاربران اجازه می‌دهید تصاویر را آپلود کنند، نمی‌توانید برای تأیید اینکه فایل یک تصویر است به پسوند فایل یا نوع mime تکیه کنید زیرا به راحتی می‌توان آن‌ها را جعلی کرد. حتی باز کردن فایل و خواندن هدر، یا استفاده از توابع برای بررسی اندازه تصویر نیز بی‌خطا نیست. اکثر فرمت‌های تصاویر اجازه می‌دهند بخش نظراتی را ذخیره کنند که می‌تواند حاوی کد PHP باشد که می‌تواند توسط سرور اجرا شود.

بنابراین برای جلوگیری از این امر چه کاری می توانید انجام دهید؟ در نهایت شما می خواهید کاربران را از اجرای هر فایلی که آپلود می کنند جلوگیری کنید. به‌طور پیش‌فرض، سرورهای وب سعی نمی‌کنند فایل‌هایی را با پسوندهای تصویری اجرا کنند، اما تنها به بررسی پسوند فایل تکیه نکنید، زیرا فایلی با نام image.jpg.php شناخته شده است.

برخی از گزینه‌ها عبارتند از تغییر نام فایل هنگام آپلود برای اطمینان از پسوند صحیح فایل، یا تغییر مجوزهای فایل، به عنوان مثال، chmod 0666 تا اجرا نشود. اگر از *nix استفاده می‌کنید، می‌توانید یک فایل htaccess. ایجاد کنید (به زیر مراجعه کنید) که فقط اجازه دسترسی به فایل‌هایی را می‌دهد که از حمله پسوند مضاعف که قبلاً ذکر شد، جلوگیری می‌کند.

deny from all
    <Files ~ "^\w+\.(gif|jpe?g|png)$">
    order deny,allow
    allow from all
    </Files>

در نهایت، راه حل پیشنهادی جلوگیری از دسترسی مستقیم به فایل های آپلود شده است. به این ترتیب، هر فایلی که در وب سایت شما آپلود می شود در پوشه ای خارج از webroot یا در پایگاه داده به عنوان یک حباب ذخیره می شود.

اگر فایل‌های شما مستقیماً در دسترس نیستند، باید یک اسکریپت ایجاد کنید تا فایل‌ها را از پوشه خصوصی (یا یک کنترل‌کننده HTTP در NET) واکشی کرده و به مرورگر تحویل دهید.

تگ‌های تصویر از یک ویژگی src پشتیبانی می‌کنند که نشانی اینترنتی مستقیم یک تصویر نیست، بنابراین ویژگی src شما می‌تواند به اسکریپت تحویل فایل شما اشاره کند که نوع محتوای صحیح را در هدر HTTP تنظیم کنید. مثلا:

<img src="/imageDelivery.php?id=1234" />
     
<?php
      // imageDelivery.php
     
      // Fetch image filename from database based on $_GET["id"]
      ...
     
      // Deliver image to browser
       Header('Content-Type: image/gif');
      readfile('images/'.$fileName);  
     
?>

اکثر ارائه دهندگان هاستینگ با پیکربندی سرور برای شما سروکار دارند، اما اگر وب سایت خود را روی سرور خود میزبانی می کنید، موارد کمی وجود دارد که می خواهید بررسی کنید.

مطمئن شوید که راه اندازی فایروال دارید و همه پورت های غیر ضروری را مسدود می کنید. در صورت امکان، یک DMZ (منطقه غیر نظامی) راه اندازی کنید که فقط اجازه دسترسی به پورت 80 و 443 را از جهان خارج می دهد. اگرچه اگر از طریق شبکه داخلی به سرور خود دسترسی نداشته باشید، ممکن است این امکان پذیر نباشد، زیرا باید پورت هایی را برای آپلود فایل ها باز کنید و از راه دور از طریق SSH یا RDP به سرور خود وارد شوید.

اگر اجازه می‌دهید فایل‌ها از اینترنت آپلود شوند، فقط از روش‌های انتقال امن به سرور خود مانند SFTP یا SSH استفاده کنید.

در صورت امکان، پایگاه داده خود را بر روی سروری متفاوت از سرور وب خود اجرا کنید. انجام این کار به این معنی است که سرور پایگاه داده نمی تواند مستقیماً از دنیای خارج دسترسی داشته باشد، فقط وب سرور شما می تواند به آن دسترسی داشته باشد و خطر افشای داده های شما را به حداقل می رساند.

در نهایت، محدودیت دسترسی فیزیکی به سرور خود را فراموش نکنید.

از HTTPS استفاده کنید

HTTPS پروتکلی است که برای تامین امنیت از طریق اینترنت استفاده می شود. HTTPS تضمین می کند که کاربران با سرور مورد انتظار خود صحبت می کنند و هیچ کس دیگری نمی تواند محتوایی را که در حین انتقال می بیند رهگیری یا تغییر دهد.

اگر چیزی دارید که کاربران شما ممکن است خصوصی بخواهند، بسیار توصیه می شود که برای ارائه آن فقط از HTTPS استفاده کنید. البته این به معنای صفحات کارت اعتباری و ورود به سیستم (و URL هایی است که آنها به آنها ارسال می کنند) اما معمولاً تعداد بیشتری از سایت شما نیز وجود دارد.

یک فرم ورود اغلب یک کوکی برای مثال تنظیم می کند، که همراه با هر درخواست دیگری که کاربر وارد شده به سایت شما ارسال می کند، ارسال می شود و برای احراز هویت آن درخواست ها استفاده می شود.

مهاجمی که این مورد را سرقت می‌کند، می‌تواند کاملاً از یک کاربر تقلید کند و جلسه ورود آن‌ها را کنترل کند. برای شکست دادن این نوع حملات، تقریبا همیشه می خواهید از HTTPS برای کل سایت خود استفاده کنید.

این دیگر مانند گذشته دشوار یا گران نیست. Let’s Encrypt گواهی‌های کاملاً رایگان و خودکار را ارائه می‌کند که برای فعال کردن HTTPS به آن‌ها نیاز دارید، و ابزارهای انجمن موجود برای طیف گسترده‌ای از پلتفرم‌ها و چارچوب‌های رایج در دسترس هستند تا به‌طور خودکار این را برای شما تنظیم کنند.

به ویژه گوگل اعلام کرده است که در صورت استفاده از HTTPS شما را در رتبه بندی جستجو ارتقاء می دهد و به این امر مزیت سئو را نیز می دهد. HTTP ناامن در راه است و اکنون زمان ارتقا است.

از قبل در همه جا از HTTPS استفاده می کنید؟ به راه‌اندازی HTTP Strict Transport Security (HSTS) نگاهی بیندازید، یک هدر آسان که می‌توانید به پاسخ‌های سرور خود اضافه کنید تا HTTP ناامن را برای کل دامنه خود مجاز نکنید.

ابزارهای امنیتی وب سایت را دریافت کنید

هنگامی که فکر می کنید تمام تلاش خود را انجام داده اید، وقت آن است که امنیت وب سایت خود را آزمایش کنید. موثرترین راه برای انجام این کار، استفاده از برخی ابزارهای امنیتی وب سایت است که اغلب به آنها تست نفوذ یا به اختصار تست قلم گفته می شود.

بسیاری از محصولات تجاری و رایگان برای کمک به شما در این زمینه وجود دارد. آنها بر مبنایی مشابه با هکرهای اسکریپت کار می کنند، زیرا همه اکسپلویت های شناخته شده را آزمایش می کنند و سعی می کنند با استفاده از برخی از روش های ذکر شده قبلی مانند SQL Injection، سایت شما را به خطر بیاندازند.

چند ابزار رایگان که ارزش دیدن دارند:

Netsparker (نسخه رایگان انجمن و نسخه آزمایشی موجود است). برای تست تزریق SQL و XSS خوب است
OpenVAS ادعا می کند که پیشرفته ترین اسکنر امنیتی منبع باز است. برای آزمایش آسیب پذیری های شناخته شده خوب است، در حال حاضر بیش از 25000 مورد را اسکن می کند. اما تنظیم آن ممکن است دشوار باشد و نیاز به یک سرور OpenVAS دارد که فقط روی *nix اجرا شود. OpenVAS پیش از تبدیل شدن به یک محصول تجاری منبع بسته، انشعابی یک Nessus است.
SecurityHeaders.io (بررسی آنلاین رایگان). ابزاری برای گزارش سریع سرفصل های امنیتی ذکر شده در بالا (مانند CSP و HSTS) که دامنه فعال و به درستی پیکربندی شده است.
Xenotix XSS Exploit Framework ابزاری از OWASP (پروژه امنیتی برنامه وب باز) که شامل مجموعه عظیمی از نمونه‌های حمله XSS است که می‌توانید آن‌ها را اجرا کنید تا به سرعت تأیید کنید که ورودی‌های سایت شما در کروم، فایرفاکس و IE آسیب‌پذیر هستند یا خیر.
نتایج آزمایش‌های خودکار می‌تواند دلهره‌آور باشد، زیرا انبوهی از مسائل بالقوه را نشان می‌دهد. نکته مهم این است که ابتدا روی مسائل مهم تمرکز کنید. هر مشکل گزارش شده معمولاً با توضیح خوبی از آسیب پذیری احتمالی همراه است. احتمالا متوجه خواهید شد که برخی از مسائل متوسط/پایین برای سایت شما نگران کننده نیستند.

مراحل دیگری وجود دارد که می توانید برای به خطر انداختن سایت خود با تغییر مقادیر POST/GET انجام دهید. یک پروکسی اشکال زدایی می تواند در اینجا به شما کمک کند زیرا به شما امکان می دهد مقادیر یک درخواست HTTP را بین مرورگر و سرور خود رهگیری کنید. یک نرم افزار رایگان محبوب به نام Fiddler نقطه شروع خوبی است.

بنابراین چه چیزی را باید در درخواست تغییر دهید؟ اگر صفحاتی دارید که فقط باید برای یک کاربر وارد شده قابل مشاهده باشند، سعی کنید پارامترهای URL مانند شناسه کاربر یا مقادیر کوکی را در تلاش برای مشاهده جزئیات کاربر دیگر تغییر دهید. حوزه دیگری که ارزش آزمایش دارد، فرم‌ها، تغییر مقادیر POST برای ارسال کد برای انجام XSS یا آپلود یک اسکریپت سمت سرور هستند.

مقالات مرتبط:

  • چگونه می توان آن را در صنعت طراحی وب سایت ساخت
  • 18 نمونه عالی از وب سایت های وردپرسی
  • 10 بهترین طراحی قالب HTML5

میزبانی سایت در هاست ایمن

هاست سایت خود را از شرکت های معتبر و قابل اعتماد دریافت کنید. بستر امنی که سایت روی آن میزبانی می شود از اهمیت ویژه ای برخوردار است.

استفاده از سیستم های امنیتی شامل آنتی ویروس، ضد هرزنامه، ضد پوسته، فایروال های سخت افزاری و نرم افزاری و محرمانگی حرفه ای سرور نقش اساسی در حمله دارد. امنیت کلی سایت به تمامی عوامل ذکر شده بستگی دارد و امنیت نیز موضوع بسیار مهمی است. هنگام خرید هاست به موارد فوق توجه کنید.

استفاده ایمن و ایمن از اینترنت

اغلب ارتباط بین سایت ها و کاربران دو طرفه و ارتباط از طریق اینترنت است. برای ثبت نام، ورود به سیستم و بسیاری موارد دیگر باید درخواست کاربر را به سایت ارسال کنید تا پاسخ مناسبی به آن درخواست داده شود.

به عنوان مثال، هنگام ورود به یک سایت، اگر مسیر حسابرسی (از رایانه ما به سایت و بالعکس) ممیزی شود، اعتبار ما به راحتی می تواند به سرقت رود. یعنی برای جلوگیری از این امر باید از ارتباطات ایمن و محدود استفاده کنیم.

استفاده از اینترنت عمومی بدون هیچ گونه کنترل امنیتی یا محدودیت خاصی می تواند بسیار خطرناک باشد. به خاطر داشته باشید که حتی اگر از اینترنت شخصی استفاده می کنید، باید اقدامات امنیتی مناسبی را برای ایمن سازی اینترنت انجام دهید.

از آنجایی که بیشتر اینترنت در کشور ما از طریق ADSL انجام می شود و از طریق مودم و روتر هدایت می شود و اکثر دستگاه ها از طریق وای فای به اینترنت متصل می شوند.

برای جلوگیری از هک وای فای باید اقدامات خاصی انجام شود. مواردی مانند محدود کردن مودم به دستگاه های مک آدرس، غیرفعال کردن WPS، فعال کردن فایروال مودم و غیره.

از سیستم عامل ها و نرم افزارهای معتبر و اصیل استفاده کنید

عموم مردم به خوبی درک می کنند که استفاده از سیستم عامل اصلی و نرم افزارهای معتبر امنیت بسیار بالاتری نسبت به عکس آن خواهد داشت.

به خاطر داشته باشید که ممکن است تغییراتی در هسته یا بخشی از سیستم عامل و نرم افزار استفاده شده در منابع غیر هسته ای ایجاد شود و این تغییرات احتمالاً در حال سوء استفاده، تخریب و جاسوسی و غیره باشد.

قابل بحث است که متاسفانه در در این صورت تشخیص و جلوگیری از این مشکل بسیار مشکل خواهد بود و توصیه می کنیم از سیستم عامل ها و نرم افزارهای معتبر استفاده کنید و اصلاً نسخه های معیوب و مشابه وجود نداشته باشد.

از آن استفاده نکنید. علاوه بر موارد فوق، اگر به جنبه های انسانی و اخلاقی موضوع نگاه کنیم، بهتر است حقوق سازنده محترم رعایت شود و از محصولات اصلی آنها استفاده شود.

از آنتی ویروس و فایروال قدرتمند، به روز، معتبر و واقعی استفاده کنید

این بخش نیز از اصول بخش قبل پیروی می کند، اما تفاوت های قابل توجهی نیز وجود دارد. استفاده از یک آنتی ویروس و فایروال قدرتمند، به روز، معتبر و معتبر یکی از ضروری ترین مواردی است که یک وب مستر باید از آن استفاده کند.

حتی با وجود همه شرایط دیگر و بدون توجه به این، مشکلات امنیتی بسیاری وجود دارد. برخی از محصولات امنیتی خوب وجود دارد، مانند محصولات ارائه شده توسط ESET و Kaspersky . اگر نمی توانید مجوز دریافت کنید، این محصولات امنیتی دارای محدوده آزمایشی محدودی هستند که می توانید از آنها استفاده کنید.

سیستم مدیریت محتوا، قالب و پسوند را فقط از منبع دریافت کنید

متاسفانه دلیل اصلی امنیت بسیاری از سایت ها عدم توجه به اصل دانلود CMS، قالب و افزونه فقط از منبع است. ساختار فایل به راحتی قابل ویرایش است و می تواند با بدافزار، پوسته، هرزنامه و موارد دیگر ترکیب شود.

بنابراین، هر فایلی که از منبع خود دانلود می شود، می تواند در معرض بدافزار قرار گیرد. ما قویاً به شما توصیه می کنیم که از این اصل پیروی کنید تا از مشکلات شدید جلوگیری کنید و امنیت سایت خود را به خطر بیندازید.

از یک رمز عبور قدرتمند استفاده کنید و از آن محافظت کنید

یکی از مواردی که همه با آن موافق هستند و متاسفانه درصد کمی از آنها به آن اهمیت می دهند استفاده از رمز عبور قوی و محافظت از آن است. پسوردهای خوب و قدرتمند باید بیش از 8 کاراکتر داشته باشند، ترکیبی از حروف بزرگ و کوچک – اعداد و کاراکترهای خاص مانند @,%! و موارد مشابه.

دیگری محافظت و تغییر آن است. اطلاعات حساس باید به طور ایمن محافظت شوند. خوشبختانه، سیستم هایی مانند Bit Locker و مانند آن می توانند از اطلاعات حساس ما مراقبت کنند. موضوع دیگر تغییر دوره ای رمز عبور است که برای محافظت در برابر حملات brute force باید در زمان های خاصی مانند یک بار در ماه تغییر کند.

سطح مناسب دسترسی به اطلاعات را تعیین کنید

تعیین سطح دسترسی مناسب به ویژه برای فایل هایی که حاوی اطلاعات کلیدی مانند اطلاعات پایگاه داده هستند، اهمیت دارد. در این صورت باید سطحی از دسترسی به فایل داده شود تا فقط وب سرور و صاحب فایل بتوانند اطلاعات داخل فایل کانفیگ را بخوانند و در غیر این صورت نخوانند یا بنویسند. برای سایر فایل ها و دایرکتوری ها نیز باید سطوح دسترسی معقول و استاندارد را تعیین کنیم و از دادن دسترسی سطح بالا خودداری کنیم.

از مسیر ورود به مدیریت سایت محافظت کنید

توصیه می شود از ویژگی حفاظت از ورود به سیستم مدیریت سایت استفاده کنید. این امر در تأمین و کمک به ایمن سازی سایت مؤثر است و در مواقعی محافظت قابل توجهی را فراهم می کند. فرض کنید اگر نام کاربری و رمز عبور سایت شما هک شده باشد، می توانید از دیدن مسیر مدیریت توسط هکر جلوگیری کنید.

همانطور که در ابتدای بحث اشاره شد امنیت 100% نیست اما مسائل امنیتی می تواند تا حد زیادی از مسائل امنیتی جلوگیری کند و در واقع انجام صحیح و ایمن سازی امنیت سایت می تواند پاسخگوی اقدامات انجام شده در مواقع حساس باشد و تجربه نیز ثابت کرده است که با پیکربندی صحیح امنیتی بسیاری از نقاط ضعف دیگر پوشش داده شده است. از نظر امنیت، کوچکترین چیزها نیز اهمیت خود را دارند.

محدودیت های دسترسی و مشاهده را تنظیم کنید

با تعیین محدودیت های دسترسی می توان امنیت سایت را تا حد زیادی بهبود بخشید. سایت ها ممکن است با اعمال محدودیت هایی مانند تعریف IP از مشاهده یک فایل یا فایل خاص توسط افراد غیرمجاز جلوگیری کنند.

در این حالت، به وب سرور دستور داده می شود که اگر IP کاربر غیر از مقدار یا مقادیر مشخص شده باشد، با پیام ممنوعه یا دسترسی ممنوع مواجه شود. این قابلیت در وب سرورهای لینوکس و ویندوز موجود است و به راحتی می توان از آن استفاده کرد. توصیه می کنیم از محدودیت های IP به خصوص در مدیریت سایت خود استفاده کنید.

محافظت از سایت در برابر هرزنامه ها

ربات‌های هرزنامه به جستجوی سایت‌ها می‌پردازند و نقاط ضعفی را در آنها پیدا می‌کنند، به‌ویژه فرم‌های محافظت‌نشده که می‌توان آن‌ها را به شیوه‌ای ماشین‌مانند تکمیل کرد تا حملات اسپم عظیمی را انجام دهد که احتمالاً در حفاظت اختلال ایجاد می‌کند. در سرور میزبان سایت، با میزبان سایت برخورد کنید و سرگرمی های خود را از منابع متعدد دریافت کنید.

اما با یک اقدام ساده و با استفاده از سیستم حفاظتی CAPTCHA می توانید از مشکلات امنیتی اسپم جلوگیری کنید. ما سیستم reCAPTCHA گوگل را توصیه می کنیم . بسیاری از سایت های بزرگ و معتبر در سراسر دنیا از این سیستم استفاده می کنند و شما می توانید با خیال راحت از این ابزار امنیتی استفاده کنید.

مسائل امنیتی گزارش شده و به روز رسانی های امنیتی مداوم را پیگیری کنید

مدیر امنیت وب سایت باید همیشه آخرین اخبار و رویدادهای امنیتی، به ویژه مواردی که مستقیماً با امنیت سایت مرتبط هستند را پیگیری کند. بسیاری از اوقات سایت های بزرگ، حتی متوسط ​​و کوچک قربانی این مشکلات می شوند.

اغلب، هر شرکت یا مرجعی که محصولی را هنگام کشف و انتشار باگ امنیتی راه‌اندازی می‌کند، باید فوراً یک راه‌حل امنیتی و وصله ارائه کند که بتواند در برابر مشکل محافظت کند.

در چنین مواردی آگاهی و آگاهی فوری از مشکل و پیشگیری از آن از بروز مشکلات امنیتی در سایت جلوگیری می کند. توجه داشته باشید که حتی سایت‌هایی که در بالاترین سطح امنیتی محافظت می‌شوند نیز در برابر باگ‌های امنیتی آسیب‌پذیر هستند و رفع باگ‌ها باید فوراً برطرف شوند. عضویت در خبرنامه ها و انجمن ها

گواهی امنیتی SSL را در سایت راه اندازی کنید

یکی از بهترین راه ها برای حفظ امنیت کاربران و مدیران سایت، استفاده از گواهینامه های امنیتی SSL در سایت است که علاوه بر مسائل امنیتی، تاثیر زیادی در نتایج سئو و جلب اعتماد کاربران دارد. گواهی SSL در محل، اطلاعات ورودی و خروجی را با یک الگوریتم بسیار پیچیده رمزگذاری می کند و از رهگیری و سرقت آنها جلوگیری می کند.

این امر در بسیاری از موارد حتی اگر کاربر یا مدیر ناامن باشد باعث ایجاد مشکل می شود. اگر اطلاعات نیز رهگیری شود، عملیاتی نخواهد شد و شنونده با اطلاعات رمزگذاری شده مواجه خواهد شد.

https://www.pinterest.com/pin/804666658433224277/
Rate this post

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *