برای امنیت سایت چه باید کرد؟

در ابتدا بهتر است بگوییم امنیت سایت چیست به شرایط و وضعیتی گفته می‌شود که در آن سایت با وجود خدمات‌دهی معمول و مورد نیاز ، بالاترین سطح امنیتی مورد نیاز را داشته و سطح آسیب پذیری آن در پایین‌ترین سطح ممکن باشد. امنیت سایت به موارد بسیاری وابسته است که باید رعایت شوند.

اهمیت امنیت سایت

امنیت سایت از اهمیت فوق العاده‌ای برخوردار است و می‌توان گفت موثرترین عامل ادامه فعالیت ، ثبات و اعتبار یک سایت با توجه به موارد دیگر ، موضوع مهم امنیت است. اگر امنیت سایت بصورت صحیح تامین شده باشد حمله ناموفق بوده و سایت آسیبی نخواهد دید اما اگر موارد امنیتی رعایت و تامین نشده باشد ضریب آسیب‌پذیری سایت بسیار بالا خواهد بود و امکان هک سایت و نفوذ به آن وجود دارد. ‌نوع ، تعداد و روش‌های هک و نفوذ بسیار گسترده هستند و مقابله در برابر تمامی آنها اقدامات بسیار جدی و دائمی را طلب می‌کند. علاوه بر پوشش و رفع موارد امنیتی بحث مراقبت و رسیدگی نیز در امنیت بسیار حائز اهمیت است.

میزبانی سایت بر روی هاست امن

هاستِ سایت خود را از شرکت‌های معتبر و قابل اعتماد تهیه کنید. وجود بستر امن که سایت بر روی آن میزبانی می‌شود از اهمیت بسیار ویژه ای برخوردار است. استفاده از سیستم‌های امنیتی شامل آنتی‌ویروس ، آنتی اسپم ، آنتی شل ، فایروال سخت افزاری و نرم افزاری و کانفیگ حرفه ای و اصولی سرور نقش اساسی در برخورد با حملات را ایفا می کند. در کل امنیت سایت وابسته به تمامی عوامل مطرح شده است که امنیت هاست نیز یکی از موارد بسیار مهم است. در هنگام خرید هاست به موارد ذکر شده توجه نمایید.

استفاده از اینترنت امن و مطمئن

غالبا ارتباط بین سایت‌ها و کاربران دو طرفه بوده و این ارتباط از طریق اینترنت انجام می‌شود. برای ثبت‌نام ، ورود و بسیاری از موارد دیگر می‌بایست درخواستی از سمت کاربر به سایت ارسال شود تا سایت پاسخ مناسب برای آن درخواست را انجام دهد. برای مثال در هنگام ورود به یک سایت اگر در مسیر درخواست ( از کامپیوتر ما تا سایت و بالعکس ) شنودی انجام شود اطلاعات کاربری ما به راحتی به سرقت می‌رود حال اگر این مورد در سطح بالاتری و برای مدیر سایت اتفاق بیافتد یک فاجعه رخ داده است که برای جلوگیری از اینکار می‌بایست از ارتباطی امن و حدالامکان محدود شده استفاده کنیم. استفاده از اینترنت عمومی که کنترل و محدودیت امنیتی خاصی بر روی آن انجام نشده است می‌تواند بسیار خطرناک باشد. توجه داشته باشید که حتی در صورت استفاده از اینترنت شخصی نیز می‌بایست اقدامات امنیتی مناسب برای تامین اینترنت امن را انجام داد. با توجه به اینکه عمدتا اینترنت در کشور ما از طریق adsl و هدایت آنها از طریق مودم و روتر انجام شده و اتصال اکثر دستگاه‌ها به اینترنت از طریق Wi-Fi انجام می‌پذیرد می‌بایست تمهیدات خاصی جهت جلوگیری از هک وای فای انجام داد. مواردی مانند محدود کردن مودم به Mac Address دستگاه‌ها ، غیر فعال کردن wps ، فعال کردن فایروال مودم و …

استفاده از سیستم عامل و نرم افزارهای معتبر و اصلی

این موضوع برای عموم کاملا قابل درک است که با استفاده از سیستم عامل و نرم‌افزارهای معتبر و اصلی امنیت بسیار بالاتری نسبت به حالت معکوس آن خواهیم داشت. این نکته را در نظر داشته باشید که ممکن است در منابع غیر اصلی تغییراتی در هسته یا بخشی از سیستم عامل و نرم‌افزار مورد استفاده انجام شده باشد و بسیار محتمل است که این تغییرات به سمت سوء استفاده ، تخریب و جاسوسی و … باشد و نکته قابل بحث در اینجاست که متاسفانه در این حالت تشخیص و جلوگیری از این مشکل بسیار سخت خواهد بود و پیشنهاد ما به شما این است که حتما از سیستم عامل و نرم‌‌افزارهای معتبر و اصلی استفاده کرده و به هیچ عنوان از نسخه‌های کرک شده و مشابه استفاده نکنید. علاوه بر موارد گفته شده اگر از بعد انسانی و اخلاقی نیز به موضوع نگاه کنیم بهتر است به حقوق تولید کننده احترام گذاشته و از محصولات اصلی آن‌ها استفاده کنیم.

استفاده از آنتی‌ویروس و فایروال قدرتمند ، به‌روز ، معتبر و اصل

این بخش نیز از اصول بخش قبل پیروی می‌کند اما تفاوت‌های شاخصی نیز دارد. استفاده از آنتی‌ویروس و فایروال قدرتمند ، به‌روز ، معتبر و اصل از اساسی‌ترین مواردی است که یک وب‌مستر باید از آن استفاده کند. حتی با در نظر گرفتن حصول تمامی شرایط دیگر و عدم قید به این موضوع می‌تواند مشکلات امنیتی بسیاری بوجود آید. محصولات امنیتی خوبی برای اینکار عرضه شده‌اند که از آن‌ها می‌توان به محصولات عرضه شده توسط شرکت‌های eset و kaspersky اشاره کرد. اگر قادر به تهیه لایسنس نیستید این محصولات امنیتی دارای بازه محدود Trial نیز هستند که می‌توانید از آن‌ها استفاده کنید.

استفاده از رمز عبور قدرتمند و محافظت از آن

یکی از مواردی که همه با اتفاق نظر آنرا قبول دارند و متاسفانه درصد کمی به آن اهمیت می‌دهند بحث استفاده از رمز عبور قدرتمند و محافظت از آن است. پسورد خوب و قدرتمند باید بیش از 8 کاراکتر داشته ، تلفیقی از حروف بزرگ و کوچک – اعداد و کاراکترهای خاص مانند @ , % , ! و موارد مشابه باشد. مورد دیگر محافظت و تغییر آن است. بحث دیگر تغییر دوره‌ای رمز عبور است که می‌بایست در بازه‌های زمانی مشخصی مانند ماهی یکبار تغییر داده شود تا در برابر حملات brute force محافظت شود.

تعیین سطح دسترسی مناسب اطلاعات

تعیین سطح دسترسی مناسب مخصوصا برای فایل‌هایی که محتوی اطلاعات کلیدی مانند اطلاعات دیتابیس هستند بسیار ضروری است. در این مورد باید سطحی از دسترسی را به فایل داد که تنها وب‌سرور و owner فایل بتوانند اطلاعات داخل فایل کانفیگ را بخوانند و غیر از آنها به هیچ نحو دیگری قابل خواندن و نوشتن نباشد. برای فایل‌ها و دایرکتوری‌های دیگر نیز باید سطح دسترسی معقول و استاندارد تعیین کرده و از اعطای دسترسی سطح بالا خودداری کنیم.

تعیین محدودیت‌های دسترسی و مشاهده

با تعیین محدودیت‌های دسترسی امنیت سایت تا حد بالایی بهبود می‌یابد. در سایت‌ها این امکان وجود دارد که با اعمال محدودیت‌هایی مانند تعریف IP از مشاهده مسیر یا فایل خاصی توسط اشخاص غیر جلوگیری کرد. در این حالت به وب‌سرور دستور داده می‌شود که اگر آی پی کاربر غیر از مقدار یا مقادیر تعریف شده باشد آنها را با پیغام forbidden یا ‌  access denied  روبرو کند. در وب‌سرورهای تحت لینوکس و ویندوز امکان استفاده از این قابلیت وجود دارد و به راحتی می‌توان از آن استفاده کرد. پیشنهاد می‌کنیم حتما از امکان محدودیت آی‌پی مخصوصا در مسیر مدیرتی سایت خود استفاده کنید.

محافظت سایت در برابر اسپمرها

روبات‌های اسپمر با جستجو در سایت‌ها و پیدا کردن نقاط ضعف در آن‌ها مخصوصا فرم‌‌های محافظت نشده که تکمیل آن‌ها به‌صورت ماشینی امکان‌پذیر است اقدام به حملات انبوه اسپم می‌کنند که اگر محافظتی در اینکار انجام نشده‌باشد بسیار محتمل است که با ایجاد اختلال در سرور میزبان سایت ، مورد برخورد شرکت میزبان سایت و دریافت ابیوز از منابع متعدد شوید. اما با یک اقدام ساده و استفاده از سیستم محافظت CAPTCHA می‌توانید از بروز مشکلات امنیتی اسپمرها جلوگیری کنید. ما سیستم reCAPTCHA  گوگل را به شما پیشنهاد می‌کنیم. بسیاری از سایت‌های بزرگ و معتبر دنیا از این سیستم استفاده می‌کنند و شما نیز می‌توانید با اطمینان خاطر از این ابزار امنیتی استفاده کنید.

پیگیری مشکلات امنیتی گزارش شده و بروزرسانی امنیتی مداوم

مدیر امنیت سایت باید همیشه آخرین اخبار و رویدادهای امنیت مخصوصا مواردی که در ارتباط مستقیم با امنیت سایت است را رصد و پیگیری کند. بسیاری از مواقع سایت‌های بزرگ و حتی متوسط و کوچک قربانی این مشکلات می‌شوند. غالبا هر شرکت یا مرجعی که اقدام به انتشار محصولی می‌کند در مواقعی که باگ امنیتی در آن محصول مورد ارائه کشف و منتشر می‌شود وظیفه دارد بلافاصله راهکار و پچ امنیتی که بتواند از آن مشکل محافظت کند را ارائه نماید. در چنین مواقعی هوشیاری و اطلاع فوری از مشکل و رفع آن باعث جلوگیری از ایجاد مشکل امنیتی در سایت می‌شود. توجه داشته باشید که حتی سایت‌هایی که در بالاترین سطح امنیتی محافظت شده‌اند نیز در برابر باگ‌های امنیتی آسیب‌پذیر هستند و می‌بایست بلافاصله نسب به رفع باگ در سایت اقدام شود.

راه‌اندازی گواهی امنیتی SSL بر روی سایت

یکی از بهترین راهکارها برای حفظ امنیت اطلاعات کابران و مدیران سایت استفاده از گواهی امنیتی SSL بر روی سایت است که علاوه بر موارد امنیتی ، تاثیرات بسیار خوبی در نتایج سئو و جلب اعتماد کاربران دارد. گواهی ssl بر روی سایت اطلاعات ورودی و خروجی را با الگوریتم بسیار پیچیده‌ای رمزنگاری کرده و از شنود و دزدیده شدن آن‌ها جلوگیری می‌کند. اینکار سبب می‌شود که در بسیاری از حالات حتی در صورت استفاده کاربر یا مدیر سایت از اینترنت ناامن مشکلی ایجاد نشود. در واقع در این حالت اگر اطلاعات مورد شنود نیز قرار گیرد قابل بهره‌برداری نخواهد بود و شنود کننده با یکسری اطلاعات رمزنگاری شده رو‌به‌رو خواهد شد.