چگونه امنیت وب سایت خود را افزایش دهیم؟

چگونه امنیت وب سایت خود را افزایش دهیم؟

باید از وبسایت خود همانند خانه شخصی محافظت کنیم!

یکی از چالش‌های مهم این روزها، امنیت و تست نفوذ سیستم‌ها و فضاهای سایبری‌ست. هیچ‌کسی نمی‌تواند تضمین کند که امنیت در فضای مجازی 100% است، اما متخصصینی هستند که با محدود کردن دسترسی‌های موجود، از ورود نفوذگران به وبسایت‌ها تا حد زیادی جلوگیری می‌کنند. اگر شما نیز یک وب‌مستر یا طراح سایت می‌باشید، حتماً با چالش اینکه “چگونه امنیت وبسایت خود را بالا ببرم؟” روبه‌رو هستید. در ادامه قصد داریم راه‌های مقابله با حملات سایبری و به‌طور کلی ایمن سازی وبسایت بپردازیم.

معنی “امنیت” به زبان ساده

مفهوم امنیت به این معناست که: برای جلوگیری از وقوع حادثه یا کاهش درصد رخداد حوادث تا حد ممکن، از روش‌ها و عوامل پیشگیرانه‌ای استفاده می‌کنند که به این کار، ایمن سازی گویند. درنتیجه می‌توان گفت در جدال بین نفوذگران و صاحبان وبسایت‌ها، آن کسی برنده است که بتواند در شرایط نابهنگام، در سریع‌ترین زمان و با کمترین هزینه شرایط را به روال عادی برگرداند.

خدمات امنیتی چیست؟

برای اینکه بتوانیم وقوع حملات را به حداقل برسانیم، باید ساز و کارها را به اصولی‌ترین شکل ممکن اجرا و پیاده‌سازی کرده و به کاربران ارائه کنیم. متخصصینی که خدمات امنیتی ارائه می‌دهند، بارزترین فعالیت‌های خود را به شرح زیر معرفی می‌کنند:
امنیت وبسایت

محرمانه ماندن اطلاعات موجود در وبسایت

امنیت وبسایت

احراز هویت افراد

امنیت وبسایت

غیرقابل انکار ساختن پیام‌ها

امنیت وبسایت

کنترل دسترسی‌های افراد

امروزه یکی از مهم‌ترین عواملی که می‌تواند به حفظ و امنیت اطلاعات شما منجر شود و از فاش شدن آن‌ها جلوگیری کند، توجه کامل به مباحث امنیتی‌ست. این توجه کامل نیز نیازمند صرف هزینه‌ای است که در مقایسه با هزینه‌های موجود برای جبران خسارات، بسیار ناچیز خواهد بود. پس به‌کارگیری خدمات امنیتی و متخصصین این حوزه، سبب آسودگی خاطر شما و بسیاری از کاربران‌تان خواهد شد.

برای مشاهده خدمات گروه امنیتی لیان کلیک کنید

امنیت وبسایت و سیستم‌های مدیریت محتوا (CMS)

اینکه شما از چه پلتفرمی استفاده می‌کنید، هیچ ارتباطی با امنیت آن نخواهد داشت. غیرممکن است که کسی بتواند CMS اختصاصی بنویسد که امنیت آن کاملاً تضمین شده باشد و این امنیت را مختص آن نوع CMS دانست. درحقیقت می‌توان گفت که “افزایش امنیت یعنی پایین آوردن میزان ریسک نفوذ” نه حذف آن ریسک؛ با ایمن سازی می‌توانید وضعیت سایت خود را بهبود داده و احتمال هک شدن آن را کاهش دهید، اما نمی‌توانید از آن جلوگیری کنید!

حتی امن‌ترین وبسایت‌های سازمانی و دولتی نیز تجربه تلخ هک شدن را داشته‌اند و دارای امنیت صد درصدی نیستند.

روش‌های جلوگیری از هک و نفوذ

استفاده از آنتی‌ویروس‌های اورجینال و مطمئن، دانلود برنامه‌های مطمئن از سایت‌های معتبر، دریافت نکردن هیچ فایلی از ایمیل‌های ناشناس و… ازجمله روش‌های موجود برای جلوگیری از به‌وجود آمدن حفره‌های امنیتی می‌باشند (چراکه نرم‌افزارهای جاسوسی می‌توانند درقالب هرکدام از فایل‌های ذکرشده به سیستم شما وارد شوند). علاوه‌بر این موارد، حتماً همیشه سیستم‌عامل و نرم‌افزارهای خود را از سایت‌های رسمی آن‌ها به روزرسانی کنید. چراکه توسعه‌دهندگان نرم‌افزارها همواره درحال بررسی و رفع باگ نرم‌افزارهای خود هستند و با این کار، حفره‌های امنیتی را مسدود کرده و شما با به روزرسانی از سایت منبع، می‌توانید با خیال راحت به کار خود ادامه دهید؛ باید بدانید که مثلاً اگر کروم تا به حال 10 باگ امنیتی داشته، به این معنی نیست که دیگر قابل اطمینان نخواهد بود. عواملی که باعث عدم اطمینان می‌شوند عبارتنداز : نداشتن پشتیبانی، عدم به روز رسانی، عدم رفع حفره‌های امنیتی و… که در این مواقع هکرها دست به کار خواهند شد. یکی از رایج‌ترین مباحث در این زمینه، استفاده کردن یا نکردن از CMSهای اختصاصی، شرکتی و… می‌باشد. چراکه به دلیل اختصاصی بودن این CMSها، حفره‌های امنیتی آن‌ها ممکن است کشف نشده باقی بمانند. (به عنوان مثال، دروپال (Drupal) سیستم متن‌باز و رایگانی است که کاخ سفید آمریکا برای وب‌سایت‌های خود از آن استفاده می‌کند)

چه مواردی امنیت سایت شما را تهدید می‌کنند؟

هاستینگ (میزبانی وب)

سهم زیادی از مشکلات مربوط به هک شدن سایت‌ها، مربوط به هاستینگ است. اگر قصد خرید یک هاست دارید، حتماً یکی از اولین تحقیقات خود را بر روی “پایبندی هاست به مسائل امنیتی” بگذارید. چراکه امروزه انتخاب‌های زیادی در خرید هاست وجود دارد و مهم‌تر از همه چیز مسائل امنیتی است که باید به آن توجه کنید. هاست یا سرور مناسبی که انتخاب می‌کنید، حتماً باید از حریم خصوصی شما محافظت کرده و مدیر سرور، مسئولیت ارائه سرویس را برعهده بگیرد.

1
02

اپلیکیشن‌های مورد استفاده در وبسایت

در بحث امنیت سایت، باید به دو نکته توجه کرد: 1- امنیت زیرساخت‌های سایت 2- امنیت اپلیکیشن‌هایی که بر روی بستر وب نصب کرده‌اید. تامین امنیت زیرساخت برعهده هاست بوده و پیشتر توضیح داده شد که باید در انتخاب آن دقت کنید. اما نکته مهم‌تر تامین امنیت برنامه‌هایی‌ست که شما به نصب آن‌ها اقدام می‌کنید (که این هیچ ربطی به هاست ندارد). دراینجا باید متذکر شویم که بیشتر مشکلات امنیتی سایت‌ها مربوط به برنامه‌هایی‌ست که بر روی آن‌ها نصب می‌شوند و کمتر به هاستینگ مربوط می‌باشد. اپلیکیشن‌هایی که نصب می‌شوند نیز دارای زیرمجموعه‌های مختلفی هستند که می‌توان با افزایش اطلاعات در زمینه امنیت و همچنین محدود کردن دسترسی‌ها، از به خطر افتادن امنیت وبسایت تا حد زیادی جلوگیری کرد.

حفره‌های امنیتی کلاینت (کامپیوتر شخصی)

کامپیوترهای مدیران وب سایت‌ها، اصلی‌ترین منبع برای نفوذ هکرها به حساب می‌آیند. اگر وظیفه ایمن سازی این سیستم‌های شخصی برعهده شماست، حتماً اطمینان حاصل کنید از اینکه هیچ ویروس، نرم افزار جاسوسی، تروجان و… بر روی کامپیوتر ادمین وجود نداشته باشد. احتمال به خطر افتادن سایت در مواقعی که حفره‌های امنیتی بر روی کامپیوتر ادمین وجود دارد، بسیار زیاد و حتمی است. پس تمام تلاش شما باید روی کشف حفره‌های امنیتی، بستن پورت‌های مهم سیستم‌ها، کشف بدافزارها، کیلاگرها (keylogger) و… باشد. حتی ممکن است از صفحه مانیتور یا کیبورد شما، ازطریق دوربین‌های خارجی، تصویربرداری شود که در این صورت، اطمینان از امنیت محیط کاری نیز بسیار مهم خواهد بود.

3
4

حفره‌های امنیتی وب سرور (Server Side)

وب سرورها نیز همواره دارای حفره‌های امنیتی بوده و در همین راستا باید به طور مداوم نسخه های معتبری از وب سرور را نصب کنید (بازهم تاکید می‌شود که درصورت استفاده از هاست، اطمینان حاصل کنید که مدیران آن سرور به این مسئله توجه دارند). هاست‌های اشتراکی (که چندین وب سایت در یک هاست وجود دارند) نیز می‌توانند در معرض خطرهای امنیتی باشند. چرا که هکرها از حفره‌های امنیتی وبسایت‌های ضعیف‌تر (که هاست آن‌ها با شما یکی است) نفوذ کرده و به هدف خود، یعنی وبسایت شما دسترسی پیدا خواهند کرد. این حملات را symlink می‌نامند. پس اطمینان از اینکه مدیران هاست، دسترسی‌ها را محدود کرده باشند، خطرات امنیتی را برای شما کاهش خواهد داد.

حفره‌های امنیتی شبکه

یکی از عوامل بسیار مهم در شبکه این است که هر دو سمت Server و Client در کل مسیر ارتباطی، مورد اعتماد باشند. مثلاً استفاده از اینترنت کافی‌شاپ برای اتصال به بخش مدیریت وب سایت خود، کاری اشتباه است. همچنین استفاده از سیستم‌های وایرلس برای انجام این کار نیز یک ریسک بزرگ خواهد بود. پس در مواقعی که مدیریت و امنیت سرور برعهده خودتان است، سعی کنید که امنیت شبکه متصل به سرور را نیز بر دیگر موارد ارجحیت دهید.

5
6

رمزهای عبور (Password)

همه متخصصین و کارشناسان امنیت، همواره در حال توصیه کردن هستند که “پسورد خود را قوی کنید”. قوی بودن پسورد موجب جلوگیری از حدس زدن آن توسط افراد مخرب و همچنین مقابله با حملات bruteforce خواهد شد (حملاتی که با تست تعدادی از پسوردها روی اکانت انجام می‌شود). استفاده از پسوردهای ثابت یا پسوردهای یکسان در حساب‌های کاربری مختلف، یکی از عادت‌های بدی‌ست که برخی از افراد دارند. سرویس‌های قوی مثل Gmail، جایی نیستند که هکرها برای نفوذ به اطلاعات شما از آن استفاده کنند. هکرها ابتدا با حدس پسورد به سیستم‌های شما دسترسی پیدا کرده و سپس وارد Gmail شما خواهند شد. (چگونه باید پسورد قوی ساخت؟ ویدیو انتهای متن را مشاهده کنید)

پروتکل (Protocol)

اگر در سرور خود از سرویس FTP استفاده می‌کنید و سرور شما قابلیت پشتیبانی از SFTP را دارد، حتماً از SFTP استفاده کنید چراکه این دو بسیار مشابه هم هستند اما با یک تفاوت! وجه تمایز SFTP این است که پسورد و اطلاعات شما را رمزگذاری کرده و سپس ارسال خواهد کرد (امنیت بالا). پس نتیجه می‌گیریم که رمزعبور شما هیچ‌گاه به طور واضح در شبکه ارسال نخواهد شد و توسط برنامه‌های جاسوسی و اسنیف (شنود) قابل شناسایی نیست. (یکی از برنامه‌های معروف در این زمینه، Wireshark است).

7
8

مجوزهای دسترسی (Permission)

یکی از راه‌های ایجاد ناامنی برای وب سایت، مجوزهای دسترسی هستند که توسط آن‌ها می‌توان فایل‌های موجود را ویرایش کرد. در همه مواقع و مخصوصاً در مواقعی که از هاست اشتراکی استفاده می‌کنید، بهتر است تا حد ممکن مجوزهای دسترسی برای ویرایش و آپلود فایل را به صورت اصولی محدود کنید. و حتماً خودتان می‌دانید که برای انجام این کار، ابتدا باید ساختار سیستم مدیریت محتوای خود را کاملاً بشناسید.

امنیت پایگاه داده (Database)

اگر شما هم مثل بسیاری از افراد، چندین وب سایت را در یک سرور مدیریت می‌کنید، پیشنهاد می‌شود که برای هرکدام از آن‌ها یک پایگاه داده مجزا تعریف کنید. این کار به این دلیل انجام می‌شود که درصورت هک شدن یکی از دیتابیس‌ها، هکر به سایر وب سایت‌ها دسترسی نخواهد داشت. نکات زیادی برای امنیت پایگاه داده وجود دارد که این نکات بیشتر به مدیریت سرور مربوط هستند، تا اینکه مدیر سایت نقشی در آن‌ها داشته باشد.

9

برای مشاهده برترین فایروال‌های تحت وب (WAF) کلیک کنید:

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *