جدیدترین روش های افزایش امنیت سایت

اگر قصد دارید امنیت سایت خودتون رو به اندازه کافی برسانید، در این مقاله با ما همراه باشید.

آیا تا به حال به این فکر کرده اید که سایت‌تان از امنیت کافی برخوردار است یا خیر؟

باید بدانید که ریسک هک شدن در وب سایت اینترنتی هیچ وقت به صفر نمی‌رسد، اما به عنوان وب‌مستر می‌توانید تا حدودی امنیت سایت خودتون رو تامین کنید تا خطر هک شدن سایت خود را از سر بگذرانید.

شما باید فهم درستی از مفهوم امنیت وب سایت داشته باشید و نحوه استفاده از ابزار امنیتی رو فرا بگیرید.

با مشاهده برخی آمار مقاله خود را شروع کنیم:

• در سال ۲۰۱۸ بیش از ۱.۸ میلیارد سایت طراحی شده است و ممکن است تا الان از مرز ۲ میلیارد بگذرد.
• روزانه گوگل بیش از ۲۵ هزار سایت را مسدود و اسپم می‌کند.
• حدودا ۱.۵ میلیون بدافزار به صورت روزانه تولید و پخش می‌شود.

هکر ها با استفاده از تکنیک های زیر، نسبت به سرقت ترکیبات نام کاربری و پسورد شما می‌کنند:

Brute Force

” بروت فورس ” یک اصطلاح است که از آن، هکرها برای حملات استفاده می‌کنند، با این کار هکر ها سعی در پیدا کردن نام کاربری و رمز عبور سایت شما می‌کنند، این حملات بیشتر در CMS های حرفه‌ای و مشهور مثل وردپرس ، جوملا و … اتفاق می‌افتد. لازم به ذکر است که این حملات فقط در CMS ها نیست و در سرویس های مشهور مانند FTP و SSH نیز مورد Attack قرار می‌گیرند. روش‌های زیادی برای انجام حملات بروت فورس وجود دارد.مثلا حمله مبتنی بر دیکشنری یا dictionary-based که پراستفاده ترین روش است. روش این کار بسیار ساده است، هکرها با استفاده از یک لیست چندهزارتایی پسورد که در آن پسورد هایی که افراد آن‌ها را به عنوان رمز عبور خود قرار می‌دهند، استفاده می‌کنند.

آن‌ها با استفاده از نرم افزار ها تک تک پسورد ها را امتحان می‌کنند و اگر رمز عبور کسی جزو آن لیست باشد، مورد حمله قرار خواهد گرفت. توجه داشته باشید که حمله بروت فورس تا وقتی که هکر به نام و کلمه عبور شما دست پیدا نکند متوفق نخواهد شد.حتما در انتخاب رمز عبور خود توجه داشته باشید چرا که یک هکر برای ساخت نرم افزاری برای امتحان چندین هزار نام کاربری و رمزعبور بیش از ۲۰-۳۰ دقیقه وقت نمی‌گذارد بیشتر حملات مبتنی بر دیکشنری کلمات کلیدی خود نام دامنه را هم اضافه می کنند تا شانس موفقیت خود را بالا ببرد.

فیشینگ یا Phishing

تکنیک هک فیشینگ به این صورت است که یک آدرس ایمیل بسیار شبیه به آدرس سایت یا یک سایت با آدرسی شبیه به دامنه اصلی سایت موردنظر توسط هکر ساخته می‌شود تا کاربر را دچار اختلال کند و در نهایت نام کاربری و رمز عبور خود را در سایت جعلی وارد کند، مانند یک ماهی گیر که قرقره چوب ماهیگیری خود خود را می‌چرخاند و سر آن را در آب می‌اندازد و ماهی ها را فریب می‌دهد، هکر با این روش با طراحی سایت جعلی شانس خود را برای به دست آوردن اطلاعات کاربران بالا می‌برند. هکر ها این صفحات جعلی را در مقابل بازدیدکنندگانی که کمی ساده هستند سعی می‌کنند تا برخی کاربران طعمه را گاز بگیرند ( مانند ماهی ) و اطلاعات شخصی خود را در فرمی که مقابل آنان قرار دارید وارد کنند.

ممکن است کمی عجیب به نظرتان بیاید که چطور امکان دارد افراد فریب این صفحات را بخورند! اما این هکرها اصولا دانش کافی در زمینه های کدنویسی و اسکریپت نویسی دارند و می‌توانند صفحات را تا حد بسیار زیادی شبیه به سایت اصلی طراحی کنند، به طوریکه تشخیص آن نیاز به دقت داشته باشد، در نتیجه بازدیدکنندگان را فریب می‌دهند و اطلاعات آن‌ها را دریافت می‌کنند،

اگر توجه داشته باشید سالانه میلیارد ها تومان کلاه‌برداری از مردم عزیزمان از طریق درگاه‌های پرداخت اینترنتی انجام می‌شود، بنابراین مطمئن باشید افراد زیادی نیز هستند که گول این سایت ها را می‌خورند و اطلاعات شخصی خود را افشا می‌کنند.

XSS یا Cross-Site Scripting

XSS یک نوع دیگر از روش های هک برای از بین بردن امنیت سایت یا امنیت وب سایت محسوب می‌شود، این نوع آسیب پذیری، برنامه‌های تحت وب زیادی را تحت سلطه خود قرار داده و به دنبال این است که محتوای دلخواه خود را در سایت تزریق کند، بنابراین مروگر شخصی که قرار است مورد حمله قرار بگیرد، به خواست هکر با کدی مواجه می‌شود که توسط هکر نوشته شده است.

اصولا هک از طریق XSS وابسته به این است که کاربر نوعی فعال و انفعال انجام دهد، این کار که توسط کاربر انجام می‌شود دو شکل دارد، هکر می‌تواند کاربر را خودش فریب دهد تا اطلاعات محرمانه خود را افشا کند و هم می‌تواند منتظر بماند تا کاربر با پای خودش از طریق URL خاصی که پیشتر به منظور آسیب رسانی طراحی شده، وارد آن سایت شود و از آن بازدید کند، جدیدترین روش برای از بین بردن اعتبار و امنیت سایت در سال ۲۰۱۹ این است که هکر یک آفر جذاب به بازدیدکننده نشان می‌دهد و برای دریافت کدتخفیف یا… از آن درخواست اطلاعات می‌کند، سپس به صورت خودکار محتوای دلخواه خود را به آن سایت تزریق می‌کند، به صورت کلی هکر با استفاده از قابلیت iFrame و قرار دادن کد مخصوص، این کار را انجام می‌دهد.

MITM یا Man in the Middle

همانطور که از اسم این نوع حمله پیداست، فردی به طور محرمانه ارتباطی بین دو طرف ایجاد کرده که بدون حضور شخص ثالث می‌تواند ارتباطات آن‌را مشاهده یا حتی تغییر دهند.

حملات Man in the Middle، اطلاعات افراد را از طریق شبکه‌های غیرامن دریافت می‌کند، به همین دلیل است که در دهه جاری برخورداری از پروتکل رمزنگاری SSL اجباری بوده و گوگل از سال ۲۰۱۹ سایت هایی که از این قابلیت پشتیبانی نمی‌کنند را به عنوان سایت نا امن شناخته و به آن ها اجازه رسیدن به صفحه اول گوگل را نمی‌دهد!

راه حل های جلوگیری از دسترسی و سوء استفاده هکر ها از سایت شما

حال قصد دارم به شما روش های مهم برای حفظ امنیت وب سایت یا امنیت سایت را ارائه دهم، اگر از این موارد پیروی کنید مطمئن باشید سوء استفاده از برند شما غیرممکن خواهد شد.

کش یا Caching

وقتی یک بازدیدکننده وارد یک سایت می‌شود، سرور باید کد های سایت را کامپایل کرده و نتیجه نهایی را به کاربر نشان دهد، تمامی امکانات و محتوای سایت از این طریق به کاربران نمایش داده می‌شود، عیب این کار این است که باعث می‌شود تا سرعت لود سایت کاهش پیدا کند، همانطور که می‌دانید پایین بودن سرعت سایت برای سئو سایت شما منفی است بنابراین باید از افزونه ها و پلاگین‌هایی که باعث کاهش سرعت لود سایت می‌شود استفاده کنید، این کار باعث می‌شود بیش از ۳۰% امنیت سایت شما حفظ شود.

انواع کش

استراتژی های گوناگون و گسترده‌ای برای کش وجود دارد، اما ما در این مقاله ۳ مورد از انواع کش که برای شما بیشترین کاربرد را دارد ذکر می‌کنیم:

۱) کش فایل‌های استاتیک

ساده ترین و اولین نوع کش، کش فایل های استاتیک است که بررسی آن می‌پردازیم:

ویدئوها، متون، تصاویر، فونت‌ها، جاوا اسکریپت، CSS سایت و … باید از شبکه توزیع محتوا ( CDN ) بارگذاری و اجرا شوند، ارائه دهندگان این خدمات هزاران سرور قدرتمند در سراسر دنیا برای خدمات رسانی به مخاطبان دارند و در بهترین دیتاسنتر های دنیا میزبانی می‌شوند و باعث کاهش سرعت لود سایت شما می‌شوند، CDN ها خیلی سریع تر از سرور میزبانی، اطلاعات را به کاربر ارائه می‌دهد.

بنابراین سایت شما با سرعت کمتری لود می‌شود و سهم قابل توجهی از اینترنت را می‌توانید جذب سایت خود کنید.

۲) کش صفحات

این مورد از قدرتمند ترین نوع کش محسوب می‌شود، در این روش، هر زمان که امکان داشته باشد محتوای داینامیک سایت شما به HTML تبدیل می‌شود و باعث می‌شود سرعت سایت بسیار سریع‌تر شده و همچنین منابع سرور نیز کمتر مصرف شود.

لازم به ذکر است که همه صفحات با استفاده از این نوع کش، قابل کاهش نیستند به همین علت نوع کش زیر، پر استفاده ترین و محبوب ترین نوع کش می‌باشد.

۳) کش حافظه

این قابلیت شما را مجاب می‌کند که با استفاده از نرم افزارهایی مثل Redis یا Memcached بخشی از دیتابیس سایت خود را مستقیم از حافظه سرور بازیابی کنید.

استفاده از این مدل کش ( کش در حافظه ) ، زمان پاسخ دهی اسکریپت های SQL را بهبود بخشیده و هر چقدر که حجم سایت شما بالا باشد، باز هم می‌تواند سرعت لود سایت شما را به حداقل برساند.