امروزه وب سایت ها از جایگاه مهمی در عرصه اینترنت برخوردارند. چرا که همه رفتارهای ما در این درگاه رخ میدهد. وب سایت ها نقش بسیار مهمی در زندگی انسان ها دارند. وب سایت ها در زندگی شما چه نقشی دارند؟ به بیان بهتر عملکرد روزانه بسیاری از ما به امنیت وب سایت ها بستگی دارد. به عنوان مثال درگاه اینترنت بانک را در نظر بگیرید . در وب سایت بانک اطلاعات حساب خود را وارد میکنیم و روند اداری را از خانه میگذرانیم. اگر وب سایت بانک باگ یا حفره امنیتی داشته باشد هکرها میتوانند با نفوذ به آن حساب ما را خالی کنند. در ادامه با پارمونت 5 روش تضمینی برای افزایش وب سایت ها را بررسی میکنیم.
-
محتوا نمایش عناوین
استفاده از رمز های عبور پیچیده و سخت
لزوم استفاده از پسوردهای پیچیده بر همه ما واضح است اما متاسفانه همه این موضوع را رعایت نمیکنند. انتخاب پسورد پیچیده و طولانی برای قسمت های مدیریتی سرور سایت، بسیار مهم است. اما لازم است که کاربران معمولی را برای انتخاب پسوردهای مناسب جهت امنیت حساب های کاربری تشویق نمود.
شاید بعضی از کاربران اعمال قوانین سخت گیرانه را نپسندند اما انتخاب پسوردهایی با حداقل هشت کاراکتر و تشکیل شده از حروف بزرگ و کوچک انگلیسی، اعداد و نشانه ها ضریب امنیتی حساب های کاربران را افزایش میدهد.
-
بارگذاری فایل و مدیا
دسترسی دادن به کاربران برای بارگذاری فایل در سرور می تواند کاری خطرناک و ریسک پذیر باشد. این دسترسی میتواند یک تغییر تصویر پروفایل توسط کاربر باشد. این مساله گرچه به نظر ساده باشد، اما زمانی میتواند خطرساز باشد که حاوی اسکریپت های مخربی باشد که با اجرای آن ها در سرور، اطلاعات وب سایت شما در دسترس هکر ها قرار بگیرد و اطلاعات محرمانه شما به سرقت برود.
اگر لازم است که از فرم آپلود فایل استفاده کنید، باید تمام فایل های آپلود شده را چک کنید، اگر کاربران صرفا امکان آپلود تصویر برای پروفایل بدهید، برای کنترل فایل ها نمی توانید تنها به محدودسازی فرمت فایل ها اکتفا کنید چرا که به سادگی قابل جعل می باشند. اکثر فرمت های تصویری دارای قسمتی برای ذخیره نظر (Comment) هستند که هکر ها می توانند با اضافه کردن کدهای PHP خود در این قسمت و آپلود تصویر اسکریپت های مخرب را روی سرور به اجرا درآورند.
-
افزایش امنیت سرور و بهبود آن
شرکت هایی که خدمات میزبانی وب انجام میدهند، تمام موارد امنیتی لازم را برای محافظت از سرورهای خود و همچنین سرور وب سایت شما انجام می دهند، اما اگر وب سایت خود را بر روی سرور اختصاصی خود راه اندازی کرده اید، باید نکاتی را رعایت کنید
از یک فایروال قدرتمند استفاده کنید و توسط آن تمامی پورت های غیر ضروری سرور را مسدود کنید. می توانید تنها اجازه دسترسی به پورت های ۸۰ و ۴۴۳ خارج به سرور بدهید.
اگر مقدور بود دیتابیس خود را بر روی سروری مجزا از سرور وب نگهداری کنید، مزیت این کار این است که اطلاعات دیتابیس شما به هیچ وجه از خارج سرور قابل دستیابی نخواهد بود و فقط از طریق وب سرور می تواند به آن دسترسی داشت. با اینکار ریسک امنیتی دیتابیس به کمترین میزان ممکن می رسد.
فراموش نکنید که دسترسی فیزیکی به سرور را برای همه افراد محدود کنید
-
استفاده از SSL برای امنیت وبسایت
SSL یک پروتکل امنیتی برای امنیت فضای جابجایی اطلاعات در فضای اینترنت است. هدف از استفاده این پروتکل این است که هنگام انتقال اطلاعات شخصی و محرمانه کاربران بین وب سایت و وب سرور یا دیتابیس امنیت انتقال را افزایش دهد. استفاده از SSL زمانی اهمیت پیدا میکند که بسیاری از هکرها اطلاعات انتقال یافته بین سرور و وب سایت ها را ردیابی (Sniff) می کنند؛ اگر محیط این جابجایی امنیت کافی نداشته نباشند، هکرها می توانند اطلاعات کاربری و مهم را به سرقت ببرند.
-
لزوم چک کردن تمام ابزارهای امنیتی
پس از اینکه همه روش های امنیتی لازم را برای افزایش امنیت وبسایت انجام دادید زمان باگ گیری امنیتی فرا میرسد. موثرترین روش انجام اینکار استفاده از ابزارهای امنیتی است که معمولا با نام آزمون نفود (Penetration Test) آن ها را میشناسیم.
نرم افزارهای بسیاری برای اینکار وجود دارند. این ابزار شبیه به اسکریپت های نوشته شده توسط هکر ها عمل می کنند و تمام احتمالات و ضعف های امنیتی سایت و سرور شما را بررسی میکنند تا در نهایت مانند SQL Injection به آن نفود کنند.
نرم افزارهای امنیتی
در ادامه به بررسی دو نرم افزار میپردازیم که برای بررسی حفره های امنیت وب سایت کاربرد دارند
OpenVAS : یکی از پیشرفته ترین ابزارهای چک امنیتی متن باز این نرم افزار است که برای اسکن بیش از ۲۵۰۰۰ نوع آسیب پذیری مناسب است اما راه اندازی و استفاده از آن می تواند برای افراد مبتدی کاری دشوار به نظر برسد و حتما به سرور OpenVAS نیازمند است که تنها در سیستم عامل لینوکس قابل نصب است.
Netsparker: مناسب برای چک و بررسی روش های حمله SQL Injection و XSSاست.
نتایج به دست آمده از تست های خودکار انجام شده توسط این نرم افزارها بسیار ترسناک و عجیب است؛ چرا که موارد بسیار زیادی از مشکلات و حفره های امنیتی موجود در وب سایت یا سرور را پیدا میکنند. پس از یافتن ایرادات و باگ ها پس از بررسی نتایج، تمرکز برای رفع مشکلات بحرانی است. گزارش مشکلات امنیتی، حاوی توضیحاتی درباره حفره امنیتی مد نظر است، شما میتوانید با استفاده از این توضیحات به تشخیص اهمیت هریک از آن ها بپردازید.
امیدواریم نکات گفته شده در این گفتار به امنیت اطلاعات و وب سایت شما کمک کرده باشد و بدین تریتب اهمیت امنیت وب سایت را درک کرده باشید.خوب است بدانید اکثر نرم افزار های مدیریت محتوا دارای بسیاری از ابزارهای امنیتی در هسته خود هستند، اما در هر صورت اطلاع از حملات رایج امنیتی می تواند به شما در بررسی امنیت سایتتان کمک شایانی نماید.
همچنین ابزارها و ماژول های بسیاری برای اکثر CMS ها وجود دارند تا بتوانید تمام حفره های امنیتی موجود در وب سایت خود را چک و رفع کنید.