آرشیو آبان ماه 1399

امنيت سايت به مجموعه اقداماتي گفته مي شود كه با انجام آنها ضريب امنيت سايت به حداكثر رسيده و امكان نفوذ به آن به حداقل مي رسد. توجه داشته باشيد كه امنيت سايت تابع موارد ديگري نيز مي باشد كه تمامي آنها نقش بسيار اساسي در تامين امنيت وبسايت دارند. امنيت سرور ، امنيت شبكه ، امنيت اينترنت ، امنيت سيستم عامل ، امنيت نرم افزار و بسياري از موارد ديگر نقش كليدي در تامين زيرساخت امنيت سايت دارند. بحث فعلا در مراحل پايه است و هنوز در مورد اقدامات موثر و كليدي در خود سايت مبحثي ارائه نشده است. با فرض بر اينكه تمامي موارد پايه تامين هستند و مشكلي در ساير موارد كه امنيت سايت تحت تاثير آنهاست به يكسري اقدامات بر روي هر سايتي نياز است كه امنيت آن تامين گردد. با توجه به اينكه اكثر سايت هاي موجود در وب بصورت پويا ( ديناميك ) هستند به همين جهت روي سايت هاي ديناميك كه با سيستم مديريت محتوا ( cms ) پايه ريزي شده اند تمركز كرده و بحث مختصري نيز در مورد سايت هاي ايستا ( استاتيك ) خواهيم داشت. با توجه به اينكه موضوع امنيت سايت بسيار گسترده است و نياز به بررسي و بحث زيادي دارد سعي بر آن خواهد بود تا عناوين بصورت منظم و مشروح بيان شود.

امنيت وب چيست : به شرايط و وضعيتي گفته مي شود كه در آن سايت با وجود خدمات دهي معمول و مورد نياز ، بالاترين سطح امنيتي مورد نياز را داشته و سطح آسيب پذيري آن در پايين ترين سطح ممكن باشد. امنيت سايت به موارد بسياري وابسته است كه بايد رعايت شوند.

اهميت امنيت سايت

امنيت سايت از اهميت فوق العاده اي برخوردار است و مي توان گفت موثرترين عامل ادامه فعاليت ، ثبات و اعتبار يك سايت با توجه به موارد ديگر ، موضوع مهم امنيت است. متاسفانه با بررسي وضعيت سايت هاي عادي و حتي بزرگ و حساس به اين نتيجه مي رسيم كه بسياري از مديران و مسئولان سايت ها اهميت كمي به امنيت سايت مي دهند. هك نشدن سايت ، امن بودن سايت را تضمين نمي كند به اين معني كه ممكن است بر روي يك سايت با ضعف هاي امنيتي ، تلاشي براي هك و نفوذ به آن انجام نشده است و در صورت انجام سايت مورد بحث آسيب پذير خواهد بود. امنيت در وب زماني مشخص مي شود كه سايت تحت حمله قرار دارد كه محتمل به دو نتيجه خواهد بود. اگر امنيت سايت بصورت صحيح تامين شده باشد حمله ناموفق بوده و سايت آسيبي نخواهد ديد اما اگر موارد امنيتي رعايت و تامين نشده باشد ضريب آسيب پذيري سايت بسيار بالا خواهد بود و امكان هك سايت و نفوذ به آن وجود دارد. اين نكته نيز قابل توجه است كه حتي با وجود انجام و پوشش موارد امنيتي هر سايتي در هر زمان و موقعيت مستعد دريافت حملات و آسيب پذيري ناشي از حملات است. نوع ، تعداد و روشهاي هك و نفوذ بسيار گسترده هستند و مقابله در برابر تمامي آنها اقدامات بسيار جدي و دائمي را طلب مي كند. علاوه بر پوشش و رفع موارد امنيتي بحث مراقبت و رسيدگي نيز در امنيت بسيار حائز اهميت است.

ميزباني سايت بر روي هاست امن

هاستِ سايت خود را از شركت هاي معتبر و قابل اعتماد تهيه كنيد. وجود بستر امن كه سايت بر روي آن ميزباني مي شود از اهميت بسيار ويژه اي برخوردار است. استفاده از سيستم هاي امنيتي شامل آنتي ويروس ، آنتي اسپم ، آنتي شل ، فايروال سخت افزاري و نرم افزاري و كانفيگ حرفه اي و اصولي سرور نقش اساسي در برخورد با حملات را ايفا مي كند. در كل امنيت وب سايت وابسته به تمامي عوامل مطرح شده است كه امنيت هاست نيز يكي از موارد بسيار مهم است. در هنگام خريد هاست به موارد ذكر شده توجه نماييد.

استفاده از اينترنت امن و مطمئن

غالبا ارتباط بين سايت ها و كاربران دو طرفه بوده و اين ارتباط از طريق اينترنت انجام مي شود. براي ثبت نام ، ورود و بسياري از موارد ديگر مي بايست درخواستي از سمت كاربر به سايت ارسال شود تا سايت پاسخ مناسب براي آن درخواست را انجام دهد. براي مثال در هنگام ورود به يك سايت اگر در مسير درخواست ( از كامپيوتر ما تا سايت و بالعكس ) شنودي انجام شود اطلاعات كاربري ما به راحتي به سرقت مي رود حال اگر اين مورد در سطح بالاتري و براي مدير سايت اتفاق بيافتد يك فاجعه رخ داده است كه براي جلوگيري از اينكار مي بايست از ارتباطي امن و حدالامكان محدود شده استفاده كنيم. استفاده از اينترنت عمومي كه كنترل و محدوديت امنيتي خاصي بر روي آن انجام نشده است مي تواند بسيار خطرناك باشد. توجه داشته باشيد كه حتي در صورت استفاده از اينترنت شخصي نيز مي بايست اقدامات امنيتي مناسب براي تامين اينترنت امن را انجام داد. با توجه به اينكه عمدتا اينترنت در كشور ما از طريق adsl و هدايت آنها از طريق مودم و روتر انجام شده و اتصال اكثر دستگاه ها به اينترنت از طريق Wi-Fi انجام مي پذيرد مي بايست تمهيدات خاصي جهت جلوگيري از هك واي فاي انجام داد. مواردي مانند محدود كردن مودم به Mac Address دستگاه ها ، غير فعال كردن wps ، فعال كردن فايروال مودم و …

استفاده از سيستم عامل و نرم افزارهاي معتبر و اصلي

اين موضوع براي عموم كاملا قابل درك است كه با استفاده از سيستم عامل و نرم افزارهاي معتبر و اصلي امنيت بسيار بالاتري نسبت به حالت معكوس آن خواهيم داشت. اين نكته را در نظر داشته باشيد كه ممكن است در منابع غير اصلي تغييراتي در هسته يا بخشي از سيستم عامل و نرم افزار مورد استفاده انجام شده باشد و بسيار محتمل است كه اين تغييرات به سمت سوء استفاده ، تخريب و جاسوسي و … باشد و نكته قابل بحث در اينجاست كه متاسفانه در اين حالت تشخيص و جلوگيري از اين مشكل بسيار سخت خواهد بود و پيشنهاد ما به شما اين است كه حتما از سيستم عامل و نرم افزارهاي معتبر و اصلي استفاده كرده و به هيچ عنوان از نسخه هاي كرك شده و مشابه استفاده نكنيد. علاوه بر موارد گفته شده اگر از بعد انساني و اخلاقي نيز به موضوع نگاه كنيم بهتر است به حقوق توليد كننده احترام گذاشته و از محصولات اصلي آنها استفاده كنيم.

استفاده از آنتي ويروس و فايروال قدرتمند ، بروز ، معتبر و اصل

اين بخش نيز از اصول بخش قبل پيروي مي كند اما تفاوت هاي شاخصي نيز دارد. استفاده از آنتي ويروس و فايروال قدرتمند ، بروز ، معتبر و اصل از اساسي ترين مواردي است كه يك وبمستر بايد از آن استفاده كند. حتي با در نظر گرفتن حصول تمامي شرايط ديگر و عدم قيد به اين موضوع مي تواند مشكلات امنيتي بسياري بوجود آيد. محصولات امنيتي خوبي براي اينكار عرضه شده اند كه از آنها مي توان به محصولات عرضه شده توسط شركت هاي eset و kaspersky اشاره كرد. اگر قادر به تهيه لايسنس نيستيد اين محصولات امنيتي داراي بازه محدود Trial نيز هستند كه مي توانيد از آنها استفاده كنيد.

دريافت سيستم مديريت محتوا ، قالب و افزونه تنها از منبع اصلي

متاسفانه دليل عمده به خطر افتادن امنيت بسياري از سايت ها عدم رعايت اصل دريافت سيستم مديريت محتوا ، قالب و افزونه تنها از منبع اصلي است. ساختار فايل ها به راحتي قابل تغيير بوده و امكان تركيب آنها با بدافزار ، شل ، اسپمر و … وجود دارد. پس بنابراين هر فايلي كه از منبع غير اصلي آن دريافت مي شود مي تواند مستعد و حاوي انواع بدافزارها باشد. به شدت توصيه مي كنيم اين اصل را رعايت كنيد تا از بروز مشكلات حاد و به خطر افتادن امنيت سايت خود جلوگيري كنيد. براي جلوگيري از به وجود آمدن اين خطرات بايد به آموزش امنيت سايت بپردازيم.

استفاده از رمز عبور قدرتمند و محافظت از آن

يكي از مواردي كه همه با اتفاق نظر آنرا قبول دارند و متاسفانه درصد كمي به آن اهميت مي دهند بحث استفاده از رمز عبور قدرتمند و محافظت از آن است. پسورد خوب و قدرتمند بايد بيش از 8 كاراكتر داشته ، تلفيقي از حروف بزرگ و كوچك – اعداد و كاراكترهاي خاص مانند @ , % , ! و موارد مشابه باشد. مورد ديگر محافظت و تغيير آن است. اطلاعات حساس را مي بايست بصورت مطمئني محافظت كرد. خوشبختانه سيستم هايي مانند Bit Locker و مشابه آن مي توانند از اطلاعات حساس ما مراقبت كنند. بحث ديگر تغيير دوره اي رمز عبور است كه مي بايست در بازه هاي زماني مشخصي مانند ماهي يكبار تغيير داده شود تا در برابر حملات brute force محافظت شود.

تعيين سطح دسترسي مناسب اطلاعات

تعيين سطح دسترسي مناسب مخصوصا براي فايل هايي كه محتوي اطلاعات كليدي مانند اطلاعات ديتابيس هستند بسيار ضروري است. در اين مورد بايد سطحي از دسترسي را به فايل داد كه تنها وب سرور و owner فايل بتوانند اطلاعات داخل فايل كانفيگ را بخوانند و غير از آنها به هيچ نحو ديگري قابل خواندن و نوشتن نباشد. براي فايل ها و دايركتوري هاي ديگر نيز بايد سطح دسترسي معقول و استاندارد تعيين كرده و از اعطاي دسترسي سطح بالا خودداري كنيم.

محافظت از مسير ورود به مديريت سايت

پيشنهاد مي شود از قابليت محافظت از مسير ورود به مديريت سايت استفاده نماييد. اينكار در تامين و كمك به امنيت سايت موثر بوده و در مواقعي محافظت اساسي به عمل مي آورد. فرض كنيد اگر در حالتي نام كاربري و رمز عبور سايت شما به دست هكر افتاده باشد با اينكار مي توانيد از مشاهده مسير مديريت توسط هكر ممانعت به عمل آوريد. همانطور كه در ابتداي بحث گفته شد امنيت 100 درصد نيست اما با انجام موارد امنيتي مي توان تا حد بالايي از بروز مشكلات امنيتي جلوگيري كرد و در واقع با انجام و تامين صحيح امنيت سايت مي توان در مواقع بحراني روي اقدامات انجام شده حساب باز كرد و تجربه نيز اثبات كرده با كانفيگ صحيح امنيتي بسياري از ضعف هاي ديگر پوشش داده مي شوند. در موضوع امنيت كوچكترين موارد هم اهميت خاص خود را دارند كه از دلايل مهم بالا بردن امنيت سايت وردپرس به حساب مي آيد.

تعيين محدوديت هاي دسترسي و مشاهده

با تعيين محدوديت هاي دسترسي امنيت سايت تا حد بالايي بهبود مي يابد. در سايت ها اين امكان وجود دارد كه با اعمال محدوديت هايي مانند تعريف IP از مشاهده مسير يا فايل خاصي توسط اشخاص غير جلوگيري كرد. در اين حالت به وب سرور دستور داده مي شود كه اگر آي پي كاربر غير از مقدار يا مقادير تعريف شده باشد آنها را با پيغام forbidden يا access denied روبرو كند. در وب سرورهاي تحت لينوكس و ويندوز امكان استفاده از اين قابليت وجود دارد و به راحتي مي توان از آن استفاده كرد. پيشنهاد مي كنيم حتما از امكان محدوديت آي پي مخصوصا در مسير مديرتي سايت خود استفاده كنيد.

محافظت سايت در برابر اسپمرها

روبات هاي اسپمر با جستجو در سايت ها و پيدا كردن نقاط ضعف در آنها مخصوصا فرم هاي محافظت نشده كه تكميل آنها بصورت ماشيني امكان پذير است اقدام به حملات انبوه اسپم مي كنند كه اگر محافظتي در اينكار انجام نشده باشد بسيار محتمل است كه با ايجاد اختلال در سرور ميزبان سايت ، مورد برخورد شركت ميزبان سايت و دريافت ابيوز از منابع متعدد شويد. اما با يك اقدام ساده و استفاده از سيستم محافظت CAPTCHA مي توانيد از بروز مشكلات امنيتي اسپمرها جلوگيري كنيد. ما سيستم reCAPTCHA گوگل را به شما پيشنهاد مي كنيم. بسياري از سايت هاي بزرگ و معتبر دنيا از اين سيستم استفاده مي كنند و شما نيز مي توانيد با اطمينان خاطر از اين ابزار امنيتي استفاده كنيد.

پيگيري مشكلات امنيتي گزارش شده و بروزرساني امنيتي مداوم

مدير امنيت سايت بايد هميشه آخرين اخبار و رويدادهاي امنيت مخصوصا مواردي كه در ارتباط مستقيم با امنيت وب است را رصد و پيگيري كند. بسياري از مواقع سايت هاي بزرگ و حتي متوسط و كوچك قرباني اين مشكلات مي شوند. غالبا هر شركت يا مرجعي كه اقدام به انتشار محصولي مي كند در مواقعي كه باگ امنيتي در آن محصول مورد ارائه كشف و منتشر مي شود وظيفه دارد بلافاصله راهكار و پچ امنيتي كه بتواند از آن مشكل محافظت كند را ارائه نمايد. در چنين مواقعي هوشياري و اطلاع فوري از مشكل و رفع آن باعث جلوگيري از ايجاد مشكل امنيتي در سايت مي شود. توجه داشته باشيد كه حتي سايت هايي كه در بالاترين سطح امنيتي محافظت شده اند نيز در برابر باگ هاي امنيتي آسيب پذير هستند و مي بايست بلافاصله نسب به رفع باگ در سايت اقدام شود. عضويت در خبرنامه و انجمن ، پيگيري بخش اخبار و بلاگ سايتي كه از محصولات آن استفاده ميكنيم راهكار مناسبي براي اطلاع سريع و به عملكرد به موقع است.

راه اندازي گواهي امنيتي SSL بر روي سايت ورد پرس 

يكي از بهترين راهكارها براي حفظ امنيت اطلاعات كابران و مديران سايت استفاده از گواهي امنيتي SSL بر روي سايت است كه علاوه بر موارد امنيتي ، تاثيرات بسيار خوبي در نتايج سئو و جلب اعتماد كاربران دارد. گواهي ssl بر روي سايت اطلاعات ورودي و خروجي را با الگوريتم بسيار پيچيده اي رمزنگاري كرده و از شنود و دزديده شدن آنها جلوگيري مي كند. اينكار سبب مي شود كه در بسياري از حالات حتي در صورت استفاده كاربر يا مدير سايت از اينترنت ناامن مشكلي ايجاد نشود. در واقع در اين حالت اگر اطلاعات مورد شنود نيز قرار گيرد قابل بهره برداري نخواهد بود و شنود كننده با يكسري اطلاعات رمزنگاري شده روبرو خواهد شد.

يكي از دغدغه‌هاي مهم مديران وردپرسي تامين امنيت وردپرس هست كه نميشه به سادگي از كنار اين موضوع عبور كرد. وردپرس به دليل محبوبيتي كه در بين سيستم‌هاي سايت ساز داره همواره در معرض هك و نفوذ قرار داره كه استفاده از وردپرس در بسياري از سايت‌ها هم باعث بيشتر و بيشتر شدن موضوع هك سايت وردپرسي شده است. از اونجايي كه بحث امنيت يك چيز نسبي هست و نميشه گفت يك سيستم امنيت كامل داره بنابراين لازمه از تمامي راهكارهاي موجود براي افزايش امنيت در وردپرس استفاده كنيد.

در اين مقاله  قصد دارم به معرفي راه‌هاي تامين امنيت وردپرس بپردازم كه با استفاده كردن از اين روش‌ها ميتونيد امنيت سايت خودتون را افزايش داده و از هر گونه نفوذ و هك در سايت تا حد بسيار بالايي جلوگيري كنيد. پس اگر شما هم در امنيت سايتتون دچار مشكل شديد و از سوي برخي افراد مورد حمله قرار مي‌گيريد تا انتهاي اين مقاله با ما همراه باشيد تا با فعال كردن و اضافه كردن روش‌هاي امنيتي كه در اين مقاله با هم مرور مي‌كنيم امنيت وردپرس را افزايش دهيم.

خطر بد افزار ها

شايد كلمه بد افزار يا Malware به تنهايي ترسناك به نظر آيد و اين بخاطر آن است كه يك بد افزار مي تواند به وب سايت شما آسيب ها جدي بزند. بد افزار يا نرم افزار مخرب نرم افزاري است كه طراحي شده براي دسترسي به يك كامپيوتر و يا وب سايت بدون اينكه صاحب آن متوجه شود.

انواع مختلفي از بد افزار هستند كه مي توانند به وب سايت يا كامپيوتر شما آسيب بزنند. هر نوع از بد افزار براي يك هدف خاص طراحي مي شود. مثلا Spyware ها براي دزديدن اطلاعات حساس و Adware ها براي نمايش اجباري آگهي هاي تبليغات، Ransomware براي اخاذي، Zombie براي ارسال هرز نامه ها، Trojan horses براي تخريب، پاك كردن، تغيير دادن اطلاعات يا حتي كپي اطلاعات استفاده مي شوند و اين ليست ادامه دارد.

البته تنها وب سايت هاي دولتي يا شركت هاي بزرگ نيستند كه در دنيا مورد حمله هكر ها قرار مي گيرند. بر اساسا آمار سرويس امنيتي آمريكا (Secret Service and Verizon Wireless) 64% وب سايت هاي شركت ها با تعداد 100 كارمند يا كمتر مورد حمله قرار مي گيرند. و از آنجايي كه براي وب سايت ها و كسب و كارهاي كوچك و بزرگ اعتبار و شهرت اهميت فراواني دارد اين حملات باعث از دست رفتن اعتماد مشتريان و كاربران شده و آنها اين وب سايت ها سريعا ترك كرده و به دنبال وب سايت هاي امن تر مي روند.

نتيجه

در پايان مي توان به اين نكته اشاره كرد با اينكه هكر ها روز به روز به دنبال يافتن روش هاي جديدي براي نفوذ و آسيب زدن به وب سايت ها و كاربران اينترنت هستند اما ديگر عدم اطلاع بهانه ي قابل قبولي نيست. امروز ديگر روش هاي مناسبي براي امن كردن فضاي مجازي وجود دارد كه مي توان با استفاده آنها امنيت وب سايت و كليه فعاليت هاي مجازي خود را ايمن كنيم. فضاي مجازي و وب سايت ها به سرعت در حال گسترش و توسعه هستند. بنابراين براي استفاده از فرصت هاي عظيم فضاي اينترنت هرگونه سرمايه گذاري در جهت بهبود وب سايت ها با ارزش و سود ده خواهد بود. اگر نه با توسعه تكنولوژي كسب و كار ها و مشاغلي كه خود را با تكنولوژي روز همگام نكرده اند به بزودي از چرخه ي رقابت خارج شده و جاي خود را به كسب و كار هاي مدرن خواهند داد. داشتن يك وب سايت كه اولا نيازهاي روز متناسب با هر كسب و كار را براي مشتري فراهم كند الزامي است. همچين داشتن وب سايتي كه امنيت مناسبي داشته بايد براي مد نظر طراحان و صاحبان وب سايت باشد. و اين امر با به روز بودن و مشورت با كارشناسان اين صنعت ممكن مي شود.

براي اطلاعات بيشتر به سايت سه سوت وب مراجعه كنيد.