ژوئن 24, 2019 توسط 0

امنیت وبسایت | امن سازی وبسایت ، هاست ، سرور | استاندارد ، افزونه ها

امنیت وبسایت با امن سازی وبسایت در بخش های امنیت سرور یا امنیت هاست ، امنیت CMS ، امنیت قالب ، امنیت پلاگین ها و کنترل ورود تامین می شود. در این زمینه موضوعاتی همچون بهترین افزونه امنیتی وبسایت ، تامین امنیت وبسایت ، استاندارد امنیت وبسایت ، الزامات امنیت سایت ، هزینه امنیت وبسایت ، خدمات امن سازی وبسایت ، تحلیل امنیت وبسایت ، امنیت هاست ایران ، امنیت هاست خارجی ، امنیت وردپرس ، امنیت هاست لینوکس و … مطرح می شوند که هر یک را مورد بررسی قرار می دهیم .

امنیت در کدام مرحله؟ راه اندازی وبسایت در بدو اراده با دغدغه امن سازی وبسایت شروع نمی شود! اما هر چه جلوتر می رویم اهمیت و اولویت امنیت وبسایت بالاتر خواهد رفت تا جایی که پس از مدتی همگام با رشد کسب و کار (خبری، خرید و فروش، خدمات و …) بعنوان پارامتری حیاتی در نظر گرفته می شود و نیازمند هزینه و صرف زمان است. در این تحقیق امن سازی و الزامات امنیتی راه اندازی وبسایت را گام به گام بیان میکنیم. مراحل راه اندازی یک وبسایت عبارت است از:

  • انتخاب دامین یا دامنه
  • انتخاب نام یا هویت سایت
  • انتخاب هاست مناسب با مدل طراحی وبسایت
  • طراحی پرتال یا انتخاب cms
  • طراحی یا خرید قالب
  • طراحی یا خرید پلاگین ها
  • امنیت دسترسی و کدهای امن سازی وبسایت
  • بهینه سازی های سئو و سرعت
  • پشتیبانی و بروزرسانی منظم

امنیت وبسایت : شاید در مرحله ابتدایی کسب و کار اینترنتی امنیت وبسایت اهمیت ندانی نداشته باشد اما با ان گرفتن کسب و کار ، امنیت وبسایت پارامتر حیاتی خواهد بود. امنیت وبسایت در سه لایه اصلی خلاصه می شود : امنیت هاست ، امنیت سیستم محتوا CMS و امنیت قالب وبسایت . هر یک از این لایه ها و امنیت آنها در ادامه تشریح خواهند شد. امنیت پرتال از همان لحظه اول هم گام با کد نویسی بایستی مد نظر قرار گیرد. در موضوع امنیت پورتال ، در هر مرحله و تابع، فیدبک های امنیتی (باگ ها ، سطح امنیتی ، سطح دسترسی و …) بصورت شبیه سازی و برآورد علمی در نظر گرفته می شوند. وقتی امنیت در کدنویسی cms در نظر گرفته می شود بطور همزمان ( با trade off) پارامترهای سرعت و هزینه (منابع) نیز اهمیت بسیار بالایی دارند.

خطرات امنیتی وبسایت :

مهمترین تهدیدات امنیتی وبسایت ها عبارتند از :

حمله DDos: این حملات می توانند سایت شما را به طور کامل کند یا از کار بیندازند و تمام عملکردها را حذف کرده و وبسایت را از دستر بازدیدکنندگان خارج کنند.حمله Malvare : بدافزار _ مخفف “نرم افزار مخرب”، بدافزار یک تهدید بسیار رایج است که برای سرقت اطلاعات حساس مشتری، توزیع هرزنامه، اجازه دسترسی مجرمان سایبری به سایت شما و موارد دیگر استفاده می شود.

حمله لیست سیاه یا Blacklisting: اگر موتورهای جستجو بدافزار را پیدا کنند، در مورد وبسایت شما اعلام زنگ خطر خواهند کرد و لذا ممکن است از نتایج موتورهای جستجو حذف شود و با هشداری علامت گذاری شود که بازدیدکنندگان دور شوند

حمله Vulnerability exploits یا اکسپلویت های آسیب پذیری : مجرمان سایبری می توانند با سوء استفاده از نقاط ضعیف یک سایت ، مانند یک افزونه وردپرس قدیمی ، به یک سایت و داده های ذخیره شده در آن دسترسی داشته باشند .

حمله تخریب : این حمله محتوای وب سایت شما را با محتوای مخرب یک مجرم سایبری جایگزین می کند.انتخاب بهترین شیوه های تامین امنیت وب سایت، بازدیدکنندگان شما را از این خطرات رایج نیز محافظت می کند:

سرقت اطلاعات : از آدرس‌های ایمیل گرفته تا اطلاعات پرداخت، هکرها اغلب به دنبال داده‌های بازدیدکننده یا مشتری ذخیره‌شده در یک سایت هستند.

فیشینگ : فیشینگ فقط در ایمیل اتفاق نمی افتد – برخی از حملات به شکل صفحات وب ظاهر می شوند که مشروع به نظر می رسند اما برای فریب کاربر برای سرقت اطلاعات حساس طراحی شده اند.ربودن جلسه Session hijacking : برخی از حملات سایبری می توانند عملیات کاربر را تحت تأثیر قرار دهند و او را مجبور به انجام اقدامات ناخواسته در یک سایت کنند.

تغییر مسیرهای مخرب : برخی از حملات می توانند بازدیدکنندگان را از سایتی که قصد بازدید از آن را داشتند به یک وب سایت مخرب هدایت کنند.

سئو اسپم : پیوندها، صفحات و نظرات غیرمعمول را می توان در یک سایت قرار داد تا بازدیدکنندگان شما را گیج کند و ترافیک را به سمت سایت های مخرب هدایت نماید

امن سازی وبسایت ( یا پورتال ) : کد نویسی پورتال یا استفاده از CMS های متداول و جهانی، هر کدام دغدغه های امنیتی مربوط به خود را دارند. هنگام طراحی پورتال، اهداف امن سازی برای مقابله با انواع حمله ها تعیین می شوند. در کد نویسی پورتال، امنیت سرور نیز توام می شود. اما اولین دغدغه امن سازی وبسایت با انتخاب نوع cmc و هاست مناسب مطرح می شود.

تامین امنیت وبسایت : مدتی پس از اینکه با حواشی و تدابیر سئو درگیر بودیم و بازدید و یا فروش به حد قابل اهمیتی رسید انجاست که به فکر تامین امنیت وبسایت خواهیم افتاد. شاید به خاطر این تامین امنیت وب ، مجبور به شخم زنی وبسایت و یا حتی محتوا شویم. البته اگر اهداف بلند مدت برای کسب و کار داشته باشیم بایستی از همان ابتدا امنیت وبسایت را مهم دانسته و برای آن هزینه کنیم.

امنیت قالب وبسایت : اگر می خواهیم قالب وبسایت را کد نویسی کنیم در کنار ایجاد امکانات و تدابیر نربوط به سرعت و سئو ، الزامات جلوگیری از نفوذ و باگ های امنیت قالب نیز باید فهرست و به منظور حفظ امنیت کد نویسی شوند. اگر قرار است برای وبسایت قالب مناسبی خریداری شود اعتبار طراح و اراده دهنده قالب اهمیت به سزایی دارد. قالب را از جای معتبر تهیه کنید و در کنار تنوع ابزارها، سرعت و امنیت را پارامتر مهمی تلقی کنیم

امنیت هاست وبسایت : می توان گفت سطح عظیمی از امنیت وبسایت وابسته به امنیت و قابلیت های امنیتی هاست است. پارامترهای امنیتی هاست عبارتند از:

  • نوع هاست (لینوکس، ویندوز،…)
  • بروز بودن نسخه PHP و SQL
  • وجود SFTP
  • دسترس پذیری هاست
  • ورود امن SSL
  • پشتیبان گیری

پارامترهای SFTP، SSL و پشتیبان گیری از مهم ترین پارامترهای امنیت هاست وبسایت محسوب می شوند. همچنین باید دقت کرد میزبان هاست چه راهکارهایی جهت تامین و یا بررسی های امنیتی وبسایت و هاست در اختیار مدیریت قرار می دهد. در حالت کلی برای تامین و تکمیل امنیت هاست رعایت الزامات امنیتی زیر توصیه می شود:

  • استفاده از نرم افزارهای معتبر و تایید شده
  • بروزرسانی نرم افزارها و ابزارهای بکار رفته
  • بکارگیری دیواره آتش و ابزارهای امنیتی
  • استفاده از رمز عبور قوی طبق الزامات امنیتی رمز عبور
  • حذف کد یا ابزارهایی که بلااستفاده هستند
  • بررسی و آگاهی از آسیب پذیری های بخش های مختلف کد، افزونه ها، ابزارها و اصلاح یا جایگزینی موارد با ریسک زیاد
  • کنترل دسترسی ها و اعمال محدودیت های لازم
  • مانیتورینگ هاست و بررسی لاگ ها
  • رصد هر گونه تغییر و تنظیم ناخواسته

امنیت سرور : امنیت سرور بنیاد امنیت وبسایت است. چون کلیه اطلاعات و دیتابیس روی سرور می باشد هر دسترسی غیرمجاز به سرور منجر به دسترسی به بسیاری از اطلاعات خواهد شد. امنیت سرور یا هاست وبسایت در گام اول به اعتبار سرویس دهنده و سپس آپدیت و … بستگی دارد.

امنیت سرور خارجی : امنیت سرور خارجی در گام اول به مبحث دسترسی و خدمات هاستینگ آن شرکت ها جی بستگی دارد. با توجه به شرایط فعلی ایران و فیلترینگ ، دسترسی به هاست واقع در کشور مبدا نیز مدنظر قرار گیرد

امنیت سرور ایران : امنیت سرور های ایرانی در حال رشد است . از لحاظ دسترسی ، سرورهای ایرانی بهتر هستند. اینکه ارتباط بین مکان سرور و سئو به چه صورت است در مقوله این بحث نیست

امنیت هاست ایران : هر هاست دارای یک بستر تنظیمات و امکان نصب نرم افزار دارد . هاست های اشتراکی امنیت کمتری دارند و سرورها امنیت بیشتر و وابسته به مدیر سرور . بنابراین تنظیمات و امن سازی ورودی ها از مهمترین پارامترهای امنیت هاست هستند. افزونه ها و تم ها نیز در گام بعدی بزرگترین خطرات امنیتی را ممکن است برای وبسایت بوجود آورند

امنیت هاست خارجی : هاست های خارجی بسته به اعتبار سرویس دهنده هاستینگ ، امنیت متفاوت ایجاد می کنند .

پارامتر های امنیتی وبسایت : امنیت وبسایت در لایه های مختلفی مورد بررسی قرار می گیرد. امنیت پوسته ، امنیت cms ، امنیت هاست ، امنیت افزونه ها ، امنیت ورود و دسترسی به فایل ها از جمله لایه های امنیتی در وبسایت هستند

امنیت وبسایت وردپرس : وردپرس به دلیل اینکه یک cms محبوب و باز است هم می تواند مورد هجمه های امنیتی بیشتر قرار بگیرد و هم اینکه در صورت بروز مشکل امنیتی سریعا اقدامات لازم انجام و اطلاع رسانی می شود

امنیت وبسایت جوملا : بستر cms جوملا یک پلتفرم قوی و امن است. جوملا چون یک سیستم باز است هم احتمال رخنه بیشتر است و هم کشف ضعف های امنیتی. با توجه به جامعه آماری زیاد استفاده کنندگان از این پلتفرم ، پیشرفت های امنیتی نیز در این cms قابل قبول است. در بررسی امنیت وبسایت جوملا از cms که بگذریم ، قالب و هاست یا سرور بایستی به درستی امن سازی شوند

امنیت هاست جوملا : برای امن سازی وبسایت جوملا موارد زیر را رعایت کنید :

  • از نام کاربری و پسورد ورود قوی استفاده کنید
  • افزونه های زیادی نصب نکنید
  • مجوزهای فایل و دایرکتوری را محدود کنید
  • از ورود مدیر محافظت کنید
  • از فایروال برنامه وب استفاده کنید
  • گواهی SSL داشته باشید
  • وب سایت خود را زیر نظر داشته باشید
  • جوملا و افزونه های آن را به روز نگه دارید
  • پیکربندی PHP خود را سخت کنید
  • یک شرکت هاست قابل اعتماد انتخاب کنید

توجه : هر افزونه می تواند خطر جدی برای امنیت وبسایت جوملا باشد . بنابراین حتی الامکان از نصب پلاگین بپرهیزید

امنیت سرور لینوکس : برای امن سازی سرور لینوکس وبسایت موارد زیر را اعمال نمایید :

  • سرور را بروز نگه دارید
  • نام کاربری سخت انتخاب نمایید
  • کلید ssl را بروز نمایید
  • ssl را ایمن کنید (سه تغییر را اعمال کنید:غیرفعال کردن احراز هویت رمز عبور ، روت SSH را از ورود از راه دور محدود کنید ، دسترسی به IPv4 یا IPv6 را محدود کنید)

آدرس /etc/ssh/sshd_config را با استفاده از ویرایشگر متن انتخابی خود باز کنید و از این خطوط اطمینان حاصل کنید:

PasswordAuthentication yes
PermitRootLogin yes
به این شکل تغییر دهید:

PasswordAuthentication no
PermitRootLogin no
سپس با تغییر گزینه AddressFamily ، سرویس SSH را به IPv4 یا IPv6 محدود کنید. برای تغییر آن به استفاده از IPv4 (که برای اکثر مردم خوب است) این تغییر را انجام دهید:

AddressFamily inet
سرویس SSH را مجددا راه اندازی کنید تا تغییرات شما فعال شود. توجه داشته باشید که قبل از راه اندازی مجدد سرور SSH، بهتر است دو اتصال فعال به سرور خود داشته باشید. داشتن آن اتصال اضافی به شما امکان می‌دهد تا در صورت راه‌اندازی مجدد اشتباه، هر چیزی را برطرف کنید.

در اوبونتو:

$ sudo service sshd restart
در فدورا یا CentOS یا هر چیزی که از Systemd استفاده می کند:

$ sudo systemctl restart sshd

امنیت هاست وردپرس : مدت زمانی است که به پیشنهادات هاست مخصوص وردپرس بر خورد می کنیم . هاست وردپرس معمولا با تکیه بر افزایش سرعت ارائه می شود و در واقع همان مبتنی بر هاست لینوکس یا ویندوز است . هاست بهینه وردپرس تا وقتی ارزش دارد که امنیت هاست فدای سرعت وبسایت نشود.

امن ترین هاست : امنیت هاست در وهله اول یعنی اعتماد به سرویس دهنده هاستینگ. شما هر کاری برای امنیت وبسایت خود انجام دهید ، شرکتی که از وی هاست را خریداری کرده آید دسترسی کامل به هاست دارد. دومین شرط داشتن امن ترین وبسایت ، بروز بودن نسخه php و ماژول های خود بستر وبسایت است.

هاست ایران امن تر است یا هاست خارجی ؟ ابتدا ببینید کدام معتبر تر است و پاسخگو . امن تر بودن هاست ایران به دلیل در دسترس بودن مسوولین ارجحیت دارد ولی صد در صد نیست

برآورد امنیت وبسایت : وبسایت های زیادی وجود دارند که علاوه بر شرکت های طراحی وبسایت ، می توانید از آنها برای ارزیابی امنیت وبسایت بهره ببرید.

تحلیل امنیت وبسایت :

تحلیل آنلاین امنیت وبسایت :

پلاگین امنیت وبسایت :

خدمات امنیتی وبسایت :

شرکت امنیت وبسایت :

امنیت دامنه وبسایت : اولین و هیجان انگیزترین گام در راه اندازی یک وبسایت، انتخاب دامنه و هویت وبسایت است. آیا انتخاب نام دامین نیازمند در نظر گرفتن تدابیر امنیتی است و آیا این نام میتواند ریسک ها و آسیب پذیری های امنیتی بوجود آورد؟ در پاسخ به این سوالات، صرفا نام دامنه نمی‌تواند باعث آسیب پذیری و ریسک های امنیتی شود اما بطور غیر مستقیم ممکن است باعث رقابت منفی یا اختلال در پهنای باند شود. شباهت زیاد نام دامنه به دامنه ای که پیشتر کارش را شروع کرده است می تواند با برداشت تخریب یا تجاوز مواجه شود و باعث رقابت های منفی گردد. این نوع رقابت های آتش زا می تواند تهدیدات امنیتی نیز برای وبسایت در پی داشته باشد. از طرفی هرچند داشتن سئو بالا بسیار رقابتی و مطلوب جلوه می کند اما ممکن است بازدیدهای کاذب پهنای باند مصرفی را افزایش داده و برای وبسایت های با پهنای باند محدود ایجاد مشکل کند. البته این موارد بستگی به نوع کسب و کار دارد و ریسک های امنیتی که ناشی از نام دامین و هویت وبسایت است نسبی هستند.

در تامین امنیت سیستم مدیریت محتوا CMS/پورتال طراحی شده و یا استفاده از سیستم های آماده مانند وردپرس، جوملا، پرستاشاپ و … رعایت الزامات امنیتی زیر توصیه می شود:

  • به روز رسانی پیوسته سیستم مدیریت محتوا (جوملا، وردپرس، پرستاشاپ، Vbulletin و…)
  • به روز رسانی پلاگین ها، ماژول ها و کامپوننت های استفاده شده در وبسایت
  • نصب و تنظیم پلاگین های امنیتی ارائه شده توسط سیستم مدیریت محتوا به منظور افزایش امنیت وب سایت
  • قرار دادن کد Captcha در بخش ها و صفحاتی مانند (نظرسنجی، تماس با ما و…) که اطلاعاتی از کاربران گرفته می شود جهت جلوگیری از اعمال کدهای مخرب
  • تغییر دوره ای و منظم نام کاربری و رمز عبور دیتابیس استفاده شده در سیستم مدیریت محتوا و به طبع ویرایش فایل های wp-config.php در وردپرس و فایل configuration.php در جوملا
  • تغییر دوره ای رمز عبور مدیریت وبسایت و سایر اکانت های بخش مدیریت طبق الزامات امنیتی رمز عبور
  • بررسی ایمیل ها و نظرات دریافتی وب سایت و اطمینان از عدم دانلود و یا نگهداری محتویات مشکوک
  • عدم استفاده از هرگونه قالب های آماده، کرک شده که ممکن است خطرات و ضعف های امنیتی داشته باشند.
  • پرهیز از نصب اسکریپت های نامعتبر و… که معمولا توسط مراجع ناشناخته و نامعتبر ارائه می شوند.
  • بازبینی تمام اطلاعات اکانت هاست اشتراکی توسط ابزار Virus Scanner در کنترل پنل هاست و پاکسازی محتویات آسیب دیده و یا مشکوک (برگرفته از سرور دات آی ار)

البته علاوه بر رعایت الزامات امنیتی سیستم مدیریت محتوا و الزامات امنیتی هاست، میزبان نیز بایستی الزامات امنیتی زیر را تأمین کند تا امنیت وبسایت در بالاترین سطح باشد:

  • تامین امنیت فیزیکی سرورها
  • تامین امنیت با استفاده از بهره گیری از بهترین فایروال ها، waf ها ، IPS و IDS های سخت افزاری
  • کنترل ۲۴ ساعته سرورها
  • قابلیت بک آپ چند گانه برای بازگردانی تمام اطلاعات
  • محافظت از سایت در برابر حمله های DOS و DDOS
دسته بندیامنیت امنیت وبسایت رهنمودهای تخصصی
برچسب هاامنیت امنیت وبسایت

دیدگاهتان را بنویسید