Loading...

راه های افزایش امنیت وبسایت

1397/01/04 14:55 0 2,593


راه های افزایش امنیت وبسایت

حتما شما هم ترس ازهک شدن و از دست دادن اطلاعات وبسایتتان را دارید. همونطور که میدونین امنیت یک چیز صد در صدی نیست، بنابراین بذارین همین اول خیالتون رو راحت کنم در دنیای کامپیوتر هر چیزی قابل هک هست هر چیزی.
مایکروسافت با اون همه عظمت و ادعای امن بودنش ظرف 8 دقیقه بدون استفاده از هیچ نرم افزاری توسط استاد دانشگاه پیش روی دانشجویانش هک شد.

احتمالا الان پیش خودتون میگین پس هیچی هر کار هم بکنیم فایده نداره، اما نترسین اینطور نیست.

شما باید تا جایی که ممکنه کاری کنید تا فرآیند هک وبسایت شما سخت تر و طولانی تر شود، باید کاری کنید که هکر حوصلش سر بره و بیخیال شما بشه، چون هکرها معمولا صبر ندارن میخوان سریع شو آف مهارتشون رو بکنن و به بقیه نشون بدن چقدر خفنن!!

بنابراین اگه هکری (امروزه دیگه بچه 12 ساله هم تو بیوش زده هکر، به خودتون نگیرین بچه ان) ببینه که هک وبسایت شما زمانبره بیخیال میشه، مگه دیگه خیلی بیکار باشه که بخواد چند هفته و بعضا چند ماه وقت بذاره پای شما.

شاید باورتون نشه اما با چند نکته ساده و کلیدی میشه جلوی این به اصلاح هکرها رو گرفت.

 

1. وبسایت خود را همواره بروز نگه دارید

این موضوع ممکن است به وضوح برای همگان آشکار باشد، اما تاکید آن نیز خالی از لطف نیست چرا  که به روز نگهداری تمامی نرم افزارهای مورد استفاده برای حفظ امنیت وب سایت کاملا حیاتی می باشد. این موضوع هم برای سیستم عامل سرور میزبان و هم برای نرم افزارهای مورد استفاده در وب سایت مانند CMS ها یا Forum ها صادق است. زمانی که حفره های امنیتی هرچند کوچک در یک نرم افزار پدید آیند، هکر ها به سرعت با سوء استفاده از آن ها به سرور یا سایت شما رخنه می کنند. بنابراین تمامی سازنده های نرم افزار در دنیا سعی می کنند تا حفره های امنیتی موجود در محصولات خود را با ارایه بسته های بروز رسانی به کاربران برطرف سازند و به مرور زمان نرم افزار خود را در مقابل نفوذهای امنیتی مقاوم تر کنند.

 

2. SQL Injection

حملات SQL Injection زمانی رخ می دهند که هکرها از پارامترهای URL با فرم تحت وب برای دسترسی به دیتابیس شما استفاده کنند. زمانی که شما از قالب استاندارد Transact SQL استفاده می کنید، افزودن کدهای مخرب و سارق در بین کدهای شما به سادگی توسط هکرها امکان پذیر خواهد بود. این افراد با افزودن چنین کدهایی می توانند جداول شما را تغییر دهند، اطلاعات دیتابیس شما را دریافت کنند و یا برخی اطلاعات حیاتی شما را حذف نمایند. اما شما به راحتی می توانید از بروز چنین اتفاقاتی با استفاده از کوئری های پارامتردار جلوگیری نمایید. اکثر زبان های برنامه نویسی وب از این قابلیت پشتیبانی نموده و انجام آن نیز به راحتی امکان پذیر می باشد.

 

3. XSS

عملیات Cross site scripting  به زمانی گفته می شود که فرد حمله کننده سعی کند تا با اضافه نمودن کدهای اسکریپت JavaScript به فرم وب، کدهای مخرب خود را برای بازدیدکنندهای وب سایت شما اجرا نماید. بنابراین در هنگام طراحی و ساخت فرمهای خود همیشه مطمئن شین تا اطلاعات خودتون رو به درستی کد گذاری کرده و ارسال کنید و تا جای ممکن از ارسال کدهای ساده HTML جلوگیری نمایید.

 

2. رمزهای عبور: 
برای کار کردن به روی سایت مشتری اغلب نیاز است که با استفاده از جزئیات مدیریت کاربران به سایت یا سرور آنها وارد شویم.  در بسیاری از موارد Root Password  آنها امن نبوده  ولی کمی ترسناک است که این موضوع به آنها گفته شود. اما admin/admin ترکیب امنی برای Username و Password نیست. اگر پسورد شما در لیست پسوردهای رایج مشاهده شود باعث می شود که سایت شما نقاطی برای هک داشته باشد.حتی اگر رمز شما در این لیست وجود نداشته باشد، تصورات اشتباهی در مورد رمز عبور قوی وجود دارد.سهل انگاری در مورد انتخاب اندازه رمز عبور مناسب بخشی از مشکل است.

هنگامی که می خواهید یک رمز عبور مناسب انتخاب کنید باید سه مورد زیر را در نظر بگیرید:

- پیچیده بودن: پسورد باید بصورت تصادفی انتخاب شود. با انتخاب پسورد تصادفی دیگر کسی با پی بردن به تاریخ تولد یا تیم ورزشی مورد علاقه شما و دیگر موارد نمی تواند حساب شما را هک کند.

- طولانی بودن : پسورد باید بیشتر از 12 کاراکتر باشد.وقتی محدودیتی برای وارد کردن رمز عبور وجود نداشته باشد یک رمز عبور 12 کاراکتری به راحتی می تواند حدس زده شود. بنابراین بهتر است که رمز عبور طولانی تر انتخاب شود و بیش از 12 کاراکتر باشد و همچنین از علایمی مانند @ # $ % * & در رمزتون استفاده کنین تا فرآیند شکستن آن سختر و طولانی تر شود

 

5. تغییر تنظیمات پیش فرض CMS ها: 
برنامه های CMS امروزی اگرچه برای استفاده بسیار راحت می باشند اما از دیدگاه امنیتی برای کابران نهایی بسیار خطرناک هستند.تا کنون رایج ترین حملات در وب سایتهای بوده که کاملا اتوماتیک هستند و بسیاری از حملات با تکیه بر تنظیمات پیش فرض انجام می شود. شما با تغییر تنظیمات پیش فرض هنگام نصب CMS ها می توانید از بسیاری از حملات دوری کنید.معمولا ساده ترین راه برای تغییر تنظیمات پیش  فرض هنگام نصب CMS است اما بعد از نصب هم می توان این نتظیمات را تغییر داد.

 

6. اسکن فایل های هاست در سی پنل با ClamAV:

در بعضی از هاستینگ ها یک نرم افزار با نام clamav در سی پنل شما وجود دارد. توسط آن می توانید فایل های خود را اسکن کنید تا در صورت وجود فایل های مخرب آنها را حذف کنید 

 

7. تغییر پیشوند جدول های دیتابیس:

بهتر است پیشوند های دیتابس خود را تغییر دهید. برای مثال پس از نصب وردپرس تمام جدول های شما یک پیشوند wp دارد. یک هکر می تواند برای وارد شدن به جدول های شما توسط دستوارتی که از متد Get به سرور وارد می کند به جدول های شما وارد شود و خروجی اطلاعات را مشاهده کند. با تغییر پیشوند ها هکر نمی تواند پیشوند ها را حدس بزند. برای سیستم وردپرس پلاگین های امنیتی زیادی وجود دارد که این کار را انجام می دهند. برای سایر سیستم های مدیریت محتوا کافیست کمی جستجو کنید.

 

8. بک آپ گرفتن : 
مانند هر چیز دیگر در دنیای دیجیتال، ممکن است که یکباره همه چیز از بین برود. بهتر است که گاهی اوقات از وب سایت خود بک آپ بگیرید. بک آپ گرفتن از وب سایت خیلی مهم است اما ذخیره سازی این بک آپ بر روی سرور یک ریسک امنیتی خیلی بزرگ است. این بک آپ که شامل نسخه های اصلاح نشده CMS و افزونه هایی است که در دسترس عموم می باشد، به هکر ها اجازه میدهد که به راحتی به سرور شما دسترسی پیدا کنند.

 

9. نصب SSL:
در مورد مقالات بسیاری که به اشتباه بیان کرده اند که نصب SSL همه مسائل امنیتی شما را حل می کند دو طرز تفکر وجود دارد. SSL سایت شما را در برابر هیچ حمله مخربی محافظت نمی کند و توزیع نرم افزارهای مخرب را متوقف نمی کند. SSL ارتباط بین دو نقطه A و B بین سرور وب سایت شما و مرورگر را رمزگذاری می کند. این رمز گذاری به این دلیل که مانع از این می شود که هر کسی قادر به مشاهده ترافیک و اطلاعات انتقالی شما نباشد بسیار با اهمیت است. SSL برای امنیت وب سایت تجارت الکترونیک و هر وب سایتی که فرم هایی با اطلاعات حساس و شخصی افراد را می پذیرد بسیار مهم است. گواهینامه های امنیتی SSL انتقال اطلاعات بازدیدکنندگان شما را محافظت می کند.

 

10. استفاده از ابزارهای امنیتی

زمانی که تصور کردید تمامی راهکار های لازم و امکان پذیر را برای حفظ امنیت وب سایت خود به کار بسته اید، آنگاه زمان آن فرا می رسد تا امنیت وب سایت یا سرور خود را امتحان کنید. موثرترین روش انجام اینکار معمولا استفاده از ابزارهای امنیتی است که معمولا با نام آزمون نفود (Penetration Test) شناخته می شوند.

محصولات رایگان و همچنین تجاری بسیاری برای یاری به شما در این زمینه وجود دارند. این ابزار شبیه به اسکریپت های نوشته شده توسط هکر ها عمل می نمایند و تمامی احتمالات و ضعف های امنیتی وب سایت یا سرور شما را می سنجند تا در نهایت با یکی از متدهایی که قبلا توضیح داده شد، مانند SQL Injection به آن نفود نمایند.

برخی از محصولات رایگانی که به راحتی نیز قابل استفاده اند به شرح زیر می باشند :

- Netsparker: مناسب برای امتحان کردن روش های حمله SQL Injection و XSS

- OpenVAS: این نرم افزار به عنوان یکی از پیشرفته ترین ابزارهای اسکنر امنیتی متن باز شناخته می شود.  مناسب برای اسکن بیش از 25،000 نوع از آسیب پذیری های ممکن بوده اما راه اندازی آن می تواند برای افراد مبتدی تر کاری دشوار باشد و حتما به سرور OpenVAS نیازمند است که تنها در سیستم عامل لینوکس قابل نصب می باشد.

نتایج به دست آمده از تست های خودکار انجام شده توسط ابزارهایی این چنین می تواند بسیار دلهره آور باشد، زیرا در اکثر مواقع شامل موارد بسیار زیادی از مشکلات و حفره های امنیتی موجود در وب سایت یا سرور هستند. مهمترین نکته در بررسی نتایج بدست آمده، قرار دادن تمرکز در رفع مشکلات بحرانی در اولویت اول می باشد. گزارش های ارایه شده درباره مشکلات موجود معمولا توضیحات مناسبی از هر مورد آسیب پذیری همراه است، لذا شما نیز میتوانید با استفاده از این توضیحات به تشخیص اهمیت هریک از آن ها بپردازید.

 

با انجام این چند روش ساده میتونید امنیت وبسایتتون رو تا حد قابل توجهی بالا ببرید، باز هم میگم که امنیت یک چیز صد در صدی نیست بلکه نسبیه، اینو فراموش نکنین 

و اینکه خوشحال میشیم ما رو با نظراتتون بهره مند کنید



برچسب ها: هک امنیت افزایش امنیت وبسایت sql injection xss تست امنیت هک و امنیت hack website security


ما را در شبکه های اجتماعی دنبال کنید:








ارسال دیدگاه


person

comments





دیدگاه کاربران

دیدگاهی برای نمایش وجود ندارد ...