اگر قصد دارید امنیت سایت خودتون رو به اندازه کافی برسانید، در این مقاله با ما همراه باشید.
آیا تا به حال به این فکر کرده اید که سایتتان از امنیت کافی برخوردار است یا خیر؟
باید بدانید که ریسک هک شدن در وب سایت اینترنتی هیچ وقت به صفر نمیرسد، اما به عنوان وبمستر میتوانید تا حدودی امنیت سایت خودتون رو تامین کنید تا خطر هک شدن سایت خود را از سر بگذرانید.
شما باید فهم درستی از مفهوم امنیت وب سایت داشته باشید و نحوه استفاده از ابزار امنیتی رو فرا بگیرید.
با مشاهده برخی آمار مقاله خود را شروع کنیم:
- در سال ۲۰۱۸ بیش از ۱.۸ میلیارد سایت طراحی شده است و ممکن است تا الان از مرز ۲ میلیارد بگذرد.
- روزانه گوگل بیش از ۲۵ هزار سایت را مسدود و اسپم میکند.
- حدودا ۱.۵ میلیون بدافزار به صورت روزانه تولید و پخش میشود.
هکر ها با استفاده از تکنیک های زیر، نسبت به سرقت ترکیبات نام کاربری و پسورد شما میکنند:
Brute Force
” بروت فورس ” یک اصطلاح است که از آن، هکرها برای حملات استفاده میکنند، با این کار هکر ها سعی در پیدا کردن نام کاربری و رمز عبور سایت شما میکنند، این حملات بیشتر در CMS های حرفهای و مشهور مثل وردپرس ، جوملا و … اتفاق میافتد. لازم به ذکر است که این حملات فقط در CMS ها نیست و در سرویس های مشهور مانند FTP و SSH نیز مورد Attack قرار میگیرند. روشهای زیادی برای انجام حملات بروت فورس وجود دارد.مثلا حمله مبتنی بر دیکشنری یا dictionary-based که پراستفاده ترین روش است. روش این کار بسیار ساده است، هکرها با استفاده از یک لیست چندهزارتایی پسورد که در آن پسورد هایی که افراد آنها را به عنوان رمز عبور خود قرار میدهند، استفاده میکنند.
آنها با استفاده از نرم افزار ها تک تک پسورد ها را امتحان میکنند و اگر رمز عبور کسی جزو آن لیست باشد، مورد حمله قرار خواهد گرفت. توجه داشته باشید که حمله بروت فورس تا وقتی که هکر به نام و کلمه عبور شما دست پیدا نکند متوفق نخواهد شد.حتما در انتخاب رمز عبور خود توجه داشته باشید چرا که یک هکر برای ساخت نرم افزاری برای امتحان چندین هزار نام کاربری و رمزعبور بیش از ۲۰-۳۰ دقیقه وقت نمیگذارد بیشتر حملات مبتنی بر دیکشنری کلمات کلیدی خود نام دامنه را هم اضافه می کنند تا شانس موفقیت خود را بالا ببرد.
فیشینگ یا Phishing
تکنیک هک فیشینگ به این صورت است که یک آدرس ایمیل بسیار شبیه به آدرس سایت یا یک سایت با آدرسی شبیه به دامنه اصلی سایت موردنظر توسط هکر ساخته میشود تا کاربر را دچار اختلال کند و در نهایت نام کاربری و رمز عبور خود را در سایت جعلی وارد کند، مانند یک ماهی گیر که قرقره چوب ماهیگیری خود خود را میچرخاند و سر آن را در آب میاندازد و ماهی ها را فریب میدهد، هکر با این روش با طراحی سایت جعلی شانس خود را برای به دست آوردن اطلاعات کاربران بالا میبرند. هکر ها این صفحات جعلی را در مقابل بازدیدکنندگانی که کمی ساده هستند سعی میکنند تا برخی کاربران طعمه را گاز بگیرند ( مانند ماهی ) و اطلاعات شخصی خود را در فرمی که مقابل آنان قرار دارید وارد کنند.
ممکن است کمی عجیب به نظرتان بیاید که چطور امکان دارد افراد فریب این صفحات را بخورند! اما این هکرها اصولا دانش کافی در زمینه های کدنویسی و اسکریپت نویسی دارند و میتوانند صفحات را تا حد بسیار زیادی شبیه به سایت اصلی طراحی کنند، به طوریکه تشخیص آن نیاز به دقت داشته باشد، در نتیجه بازدیدکنندگان را فریب میدهند و اطلاعات آنها را دریافت میکنند،
اگر توجه داشته باشید سالانه میلیارد ها تومان کلاهبرداری از مردم عزیزمان از طریق درگاههای پرداخت اینترنتی انجام میشود، بنابراین مطمئن باشید افراد زیادی نیز هستند که گول این سایت ها را میخورند و اطلاعات شخصی خود را افشا میکنند.
XSS یا Cross-Site Scripting
XSS یک نوع دیگر از روش های هک برای از بین بردن امنیت سایت یا امنیت وب سایت محسوب میشود، این نوع آسیب پذیری، برنامههای تحت وب زیادی را تحت سلطه خود قرار داده و به دنبال این است که محتوای دلخواه خود را در سایت تزریق کند، بنابراین مروگر شخصی که قرار است مورد حمله قرار بگیرد، به خواست هکر با کدی مواجه میشود که توسط هکر نوشته شده است.
اصولا هک از طریق XSS وابسته به این است که کاربر نوعی فعال و انفعال انجام دهد، این کار که توسط کاربر انجام میشود دو شکل دارد، هکر میتواند کاربر را خودش فریب دهد تا اطلاعات محرمانه خود را افشا کند و هم میتواند منتظر بماند تا کاربر با پای خودش از طریق URL خاصی که پیشتر به منظور آسیب رسانی طراحی شده، وارد آن سایت شود و از آن بازدید کند، جدیدترین روش برای از بین بردن اعتبار و امنیت سایت در سال ۲۰۱۹ این است که هکر یک آفر جذاب به بازدیدکننده نشان میدهد و برای دریافت کدتخفیف یا… از آن درخواست اطلاعات میکند، سپس به صورت خودکار محتوای دلخواه خود را به آن سایت تزریق میکند، به صورت کلی هکر با استفاده از قابلیت iFrame و قرار دادن کد مخصوص، این کار را انجام میدهد.
MITM یا Man in the Middle
همانطور که از اسم این نوع حمله پیداست، فردی به طور محرمانه ارتباطی بین دو طرف ایجاد کرده که بدون حضور شخص ثالث میتواند ارتباطات آنرا مشاهده یا حتی تغییر دهند.
حملات Man in the Middle، اطلاعات افراد را از طریق شبکههای غیرامن دریافت میکند، به همین دلیل است که در دهه جاری برخورداری از پروتکل رمزنگاری SSL اجباری بوده و گوگل از سال ۲۰۱۹ سایت هایی که از این قابلیت پشتیبانی نمیکنند را به عنوان سایت نا امن شناخته و به آن ها اجازه رسیدن به صفحه اول گوگل را نمیدهد!
راه حل های جلوگیری از دسترسی و سوء استفاده هکر ها از سایت شما
حال قصد دارم به شما روش های مهم برای حفظ امنیت وب سایت یا امنیت سایت را ارائه دهم، اگر از این موارد پیروی کنید مطمئن باشید سوء استفاده از برند شما غیرممکن خواهد شد.
کش یا Caching
وقتی یک بازدیدکننده وارد یک سایت میشود، سرور باید کد های سایت را کامپایل کرده و نتیجه نهایی را به کاربر نشان دهد، تمامی امکانات و محتوای سایت از این طریق به کاربران نمایش داده میشود، عیب این کار این است که باعث میشود تا سرعت لود سایت کاهش پیدا کند، همانطور که میدانید پایین بودن سرعت سایت برای سئو سایت شما منفی است بنابراین باید از افزونه ها و پلاگینهایی که باعث کاهش سرعت لود سایت میشود استفاده کنید، این کار باعث میشود بیش از ۳۰% امنیت سایت شما حفظ شود.
انواع کش
استراتژی های گوناگون و گستردهای برای کش وجود دارد، اما ما در این مقاله ۳ مورد از انواع کش که برای شما بیشترین کاربرد را دارد ذکر میکنیم:
۱) کش فایلهای استاتیک
ساده ترین و اولین نوع کش، کش فایل های استاتیک است که بررسی آن میپردازیم:
ویدئوها، متون، تصاویر، فونتها، جاوا اسکریپت، CSS سایت و … باید از شبکه توزیع محتوا ( CDN ) بارگذاری و اجرا شوند، ارائه دهندگان این خدمات هزاران سرور قدرتمند در سراسر دنیا برای خدمات رسانی به مخاطبان دارند و در بهترین دیتاسنتر های دنیا میزبانی میشوند و باعث کاهش سرعت لود سایت شما میشوند، CDN ها خیلی سریع تر از سرور میزبانی، اطلاعات را به کاربر ارائه میدهد.
بنابراین سایت شما با سرعت کمتری لود میشود و سهم قابل توجهی از اینترنت را میتوانید جذب سایت خود کنید.
۲) کش صفحات
این مورد از قدرتمند ترین نوع کش محسوب میشود، در این روش، هر زمان که امکان داشته باشد محتوای داینامیک سایت شما به HTML تبدیل میشود و باعث میشود سرعت سایت بسیار سریعتر شده و همچنین منابع سرور نیز کمتر مصرف شود.
لازم به ذکر است که همه صفحات با استفاده از این نوع کش، قابل کاهش نیستند به همین علت نوع کش زیر، پر استفاده ترین و محبوب ترین نوع کش میباشد.
۳) کش حافظه
این قابلیت شما را مجاب میکند که با استفاده از نرم افزارهایی مثل Redis یا Memcached بخشی از دیتابیس سایت خود را مستقیم از حافظه سرور بازیابی کنید.
استفاده از این مدل کش ( کش در حافظه ) ، زمان پاسخ دهی اسکریپت های SQL را بهبود بخشیده و هر چقدر که حجم سایت شما بالا باشد، باز هم میتواند سرعت لود سایت شما را به حداقل برساند.